Zorgplicht cybersecurity: maak goede afspraken

maand cyberweerbaarheidsnetwerk

Ondernemers hebben een zorgplicht als het gaat om cybersecurity. Volgens NLdigital is het voor IT-bedrijven daarom goed om heldere afspraken te maken, zodat je als ondernemer fouten kunt voorkomen. De branchevereniging geeft aandachtspunten om hieraan tegemoet te komen.

Als je door onduidelijke afspraken in een schemergebied terechtkomt, ontstaan er soms pijnlijke situaties. Zo klaagde de gemeente Hof van Twente na een hack hun IT-leverancier aan wegens wanpresteren. Onlangs oordeelde de rechtbank dat het IT-bedrijf geen blaam treft, omdat de gemeente zelf verantwoordelijk was voor het incident. Goede afspraken kunnen dit soort situaties voorkomen.

Zorgplicht

Volgens de wet moet een IT-leverancier zich gedurende de uitvoering van de werkzaamheden gedragen als een goed opdrachtnemer. Hoe groot deze zorgplicht precies is, verschilt per situatie. Het hangt onder meer af van de omvang van de werkzaamheden. Als je bijvoorbeeld alleen een applicatie levert, heb je een minder grote zorgplicht dan wanneer je verantwoordelijk bent voor een totaaloplossing.

Ook de deskundigheid van beide partijen speelt een rol. Als IT-leverancier ben je doorgaans deskundiger dan de klant. Vanwege die voorsprong in kennis hebben IT-leveranciers vaak een bijzondere ofwel verzwaarde zorgplicht. Dat betekent dat je niet alleen een goed opdrachtnemer moet zijn, maar ook een informatie- en waarschuwingsplicht hebt. Je moet de klant uitgebreid voorlichten over eventuele risico’s, en waarschuwen als die je adviezen niet opvolgt. Waarschuw je klant dan niet één keer, maar zo vaak mogelijk, in duidelijke bewoordingen. En leg deze conversaties vast.

Aansprakelijkheid voorkomen

Om te voorkomen dat de klant de ondernemer aansprakelijk stelt als er iets misgaat, is het belangrijk om de opdracht goed af te bakenen. Wat valt er precies onder jouw verantwoordelijkheden? Maak hier heldere afspraken over. Benoem in de overeenkomst niet alleen wat je gaat doen voor de klant, maar ook wat je níét gaat doen. Hete hangijzers zijn vaak beveiliging en back-ups, dus benoem deze zeker.

Zet ook in je algemene voorwaarden dat je niet aansprakelijk bent voor zaken als gegevensverlies en indirecte schade. NLdigital biedt algemene voorwaarden aan die je aansprakelijkheid beperken.

Enkele praktische tips

Helaas onderschatten veel bedrijven de noodzaak van digitale veiligheid. Het gevolg is dat ze er te weinig in investeren. Praat daarom met je klanten over noodzakelijke cybersecuritymaatregelen. Leg je afspraken vast in een verwerkersovereenkomst. We hebben hiervoor een standaard ontwikkeld die je als lid gratis kunt downloaden. Niet-leden kunnen deze verwerkersovereenkomst kopen.
We kunnen het niet vaak genoeg benadrukken: alles valt of staat met heldere communicatie. Zorg dat de afspraken en cybersecurityrisico’s voor iedereen duidelijk zijn.

Heb je je klant herhaaldelijk geadviseerd en gewaarschuwd, maar kiest die ervoor zijn eigen koers te varen? Geef dan zwart op wit aan dat je niet verantwoordelijk bent voor de mogelijke gevolgen.
Als de verwachtingen echt te ver uit elkaar liggen, is het soms beter om een opdracht terug te geven.

NIS2

Vanuit de EU komt er grote nieuwe cybersecuritywetgeving aan. Door nieuwe wetten als NIS2 vallen veel meer leveranciers van hard- en software onder zwaardere regelgeving. De uitbreiding van de zorgplicht voor IT-leveranciers is een belangrijk aspect van de NIS2-richtlijn. NLdigital volgt dit onderwerp op de voet en heeft een kritische houding. Het is belangrijk om te bepalen hoe de zorgplicht vorm krijgt, zodat deze werkbaar en effectief is.

Lees ook:

Gerelateerde berichten...