De CSR (Cyber Security Raad) constateert dat het Nederlandse bedrijfsleven nog te weinig doet aan digitale veiligheid. Dit terwijl het wél verplicht is. De Raad brengt daarom een aantal adviezen uit.
Zo moet het Kabinet volgens de Raad zelfregulering ten aanzien van ‘zorgplichten’ te stimuleren. De politiek moet het voortouw nemen in een discussie hierover, en de wetgeving van Europese lidstaten op elkaar afstemmen.
Onvoldoende
Volgens de huidige wet- en regelgeving hebben bedrijven de plicht om te zorgen voor een adequate digitale beveiliging. Mocht zich toch een incident voordoen, moeten ze de gevolgen ervan beperken en verdere incidenten voorkomen.
In de praktijk blijkt dat bedrijven hier onvoldoende van op de hoogte zijn. Bedrijven hebben vaak hun systemen onvoldoende beveiligd. Daardoor komen er producten op de markt die onvoldoende tegen hacken zijn beveiligd.
VNO-NCW
VNO-NCW krijgt het advies om met haar leden invulling te geven aan de verplichte zorg voor digitale veiligheid. Als ondersteuning publiceert de CSR op zijn website een handreiking. daarin staat een overzicht van de belangrijkste juridische zorgplichten voor bedrijven op het gebied van cybersecurity. De handleiding bevat ook de belangrijkste handvatten om deze plichten in te vullen.
Diverse topjuristen, Radboud Universiteit, Openbaar Ministerie, Nederland ICT, CIO Platform Nederland en Consumentenbond hebben hieraan meegewerkt. Nederland ICT en het CIO Platform Nederland hebben inmiddels aangegeven hun achterban te willen assisteren bij de implementatie van de handreiking.
Negeren van verantwoordelijkheid
Ieder bedrijf heeft de verplichting de eigen digitale beveiliging goed op orde te hebben. Een schending van deze ‘zorgplichten’ kan leiden tot aansprakelijkheid. Als een bedrijf software, mobiele telefoons, of andere producten of diensten met een ICT-toepassing verwerkt, moeten ze adequaat beveiligd zijn tegen hacken.
Dit kan alleen als cybersecurity al in het ontwikkelstadium van deze producten en diensten wordt meegenomen. Veel bedrijven zijn zich onvoldoende bewust van deze verplichtingen. Daarnaast zijn er bedrijven die hun verantwoordelijkheid bewust negeren.
Vervolgens probeert men aansprakelijkheid te ontlopen via ontsnappingsclausules in contracten. Dit is niet toegestaan onder het consumentenrecht. Ook onder het ondernemingsrecht valt niet alle verantwoordelijkheid uit te sluiten.
Steeds vaker aansprakelijk
Het bestuur of de directie van een bedrijf is verantwoordelijk voor het inzicht in de cybersecurityrisico’s en de adequate maatregelen. Gebeurt dit niet, dan kunnen zij aansprakelijk zijn voor de schade die consumenten en andere bedrijven lijden.
Door nieuwe technologische ontwikkelingen, zoals Internet of Things en eHealth, neemt het risico op digitale én fysieke schade sterk toe. De verwachting van de CSR is dan ook dat schade in de toekomst steeds vaker verhaald zal worden.
