Cybersecurity aansprakelijkheid?

January 11, 2022

Waar ligt de grens als het gaat om aansprakelijkheid wanneer een bedrijf ervoor kiest om het beheer van het netwerk uit handen te geven?

Voorgestelde beveiligingsmaatregelen en firewall die werden afge wezen. Niet met back-ups op roulerende externe schijven willen werken. Het vereenvoudigen van "complexe wachtwoorden" op verzoek van de klant. Met als gevolg een succesvolle ransomware-aanval.

Volgens de rechtbank Amsterdam moet een IT-dienstverlener - en niet de klant - de schade als gevolg van een ransomware-infectie grotendeels vergoeden. Eén van de wijze lessen die wij hopen dat organisaties hieruit kunnen trekken, is dat je er niet zomaar vanuit kan gaan dat elke IT-dienstverlener ook daadwerkelijk het netwerk veilig houdt.

Aan de ene kant omdat niet iedere IT-dienstverlener ook per definitie kennis heeft van (technische) cyber security. (Zelfs niet als deze ISO 27001 gecertificeerd zijn). Uit het onderzoek werd bijvoorbeeld geconcludeerd dat de ransomware-aan val voorkomen had kunnen worden door een combinatie van technische maatregelen (firewall) en sterkere wachtwoorden. Maar met alleen een firewall ben je er ni et. Ook dit vergt namelijk weer de juiste configuratie, specialistische kennis en onderhoud.

Aan de andere kant omdat je altijd zelf enige verantwoordelijkheid houdt. Als afnemer van (security)diensten neem je een risico met de aanname dat een IT-dienstverlener alles uit handen kan nemen. Je hebt als organisatie zelf ook de verantwoordelijkheid om enig bewustzijn te creëren bij je werknemers en jouw IT-beveiliging met enige regelmaat te laten toetsen.

Wij hopen in ieder geval dat deze uitspraak gaat leiden tot een beter bewustzijn bij bedrijven die hun beheer uitbesteden en dat niet elke dienstverlener ook een security expert is. Ter vergelijking: een aannemer is ook niet per definitie een expert in inbraakpreventie maar kan natuurlijk wel zonder problemen dievenklauwen plaatsen.

Of dat voldoende is om inbraken te voorkomen, zal moeten blijken. Zie cybersecurity daarom ook als een verzekering; een risicoafdekking. En niet als kostenpost. Regel het daarom goed.

En niet met alleen een nieuwe clausule in het contract.

Abonneer op onze nieuwsbrief
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Klaar om jouw cybersecurity naar een hoger niveau te tillen?

Let's get started!