Zorgplicht rondom cybersecurity: hoe maak je goede afspraken?
Als IT-leverancier heb je een zorgplicht naar je klanten. Maar hoever reikt die? Als je door onduidelijke afspraken in een schemergebied terechtkomt, ontstaan er soms pijnlijke situaties. Zo klaagde de gemeente Hof van Twente na een hack hun IT-leverancier aan wegens wanpresteren. Onlangs oordeelde de rechtbank dat het IT-bedrijf geen blaam treft, omdat de gemeente zelf verantwoordelijk was voor het incident, door de beveiliging van de leverancier te omzeilen. Duidelijke afspraken kunnen dit soort rechtszaken voorkomen. Hoe regel je dit het beste met je klanten? In dit artikel een aantal aandachtspunten.
Wettelijke zorgplicht
Volgens de wet moet een IT-leverancier zich gedurende de uitvoering van de werkzaamheden gedragen als een goed opdrachtnemer (artikel 7:401 BW). Hoe groot deze zorgplicht precies is, verschilt per situatie. Het hangt onder meer af van de omvang van de werkzaamheden. Als je bijvoorbeeld alleen een applicatie levert, heb je een minder grote zorgplicht dan wanneer je verantwoordelijk bent voor een totaaloplossing.
Ook de deskundigheid van beide partijen speelt een rol. Als IT-leverancier ben je doorgaans deskundiger dan je klant. Vanwege die voorsprong in kennis hebben IT-leveranciers vaak een bijzondere ofwel verzwaarde zorgplicht. Dat betekent dat je niet alleen een goed opdrachtnemer moet zijn, maar ook een informatie- en waarschuwingsplicht hebt. Je moet de klant uitgebreid voorlichten over eventuele risico’s, en waarschuwen als die je adviezen niet opvolgt. Waarschuw je klant dan niet één keer, maar zo vaak mogelijk, in duidelijke bewoordingen. En leg deze conversaties vast.
Aansprakelijkheid voorkomen
Om te voorkomen dat de klant jou aansprakelijk stelt voor zaken waar je niet verantwoordelijk voor bent, is het belangrijk om de opdracht goed af te bakenen. Wat valt er precies onder jouw verantwoordelijkheden? Maak hier heldere afspraken over. Benoem in de overeenkomst niet alleen wat je gaat doen voor de klant, maar ook wat je níét gaat doen en hoe vaak je het gaat doen. Hete hangijzers zijn bijvoorbeeld de frequentie en wijze van back-ups en ondersteuning bij incidenten, dus werk deze goed uit.
Voorkom ook in je algemene voorwaarden dat je aansprakelijkheid exponentieel uitbreidbaar is via zaken als gegevensverlies en indirecte schade. NLdigital biedt algemene voorwaarden (NLdigital Voorwaarden) aan die je aansprakelijkheid beperken tot wat redelijk is binnen het product of de dienstverlening.
Enkele praktische tips
- Helaas onderschatten veel bedrijven de noodzaak van digitale veiligheid. Het gevolg is dat ze er te weinig in investeren. Praat daarom met je klanten over noodzakelijke cybersecuritymaatregelen. Leg je afspraken vast in een verwerkersovereenkomt. We hebben hiervoor een standaard ontwikkeld die je als lid gratis kunt downloaden. Niet-leden kunnen deze verwerkersovereenkomst kopen.
- We kunnen het niet vaak genoeg benadrukken: alles valt of staat met heldere communicatie. Zorg dat de afspraken en cybersecurityrisico’s voor iedereen duidelijk zijn.
- Heb je je klant herhaaldelijk geadviseerd en gewaarschuwd, maar kiest die ervoor zijn eigen koers te varen? Geef dan zwart op wit aan dat je niet verantwoordelijk bent voor de mogelijke gevolgen.
- Als de verwachtingen echt te ver uit elkaar liggen, is het soms beter om een opdracht terug te geven.
NIS2 en zorgplicht
Vanuit de EU komt er grote nieuwe cybersecurity-wetgeving aan. Door nieuwe wetten als NIS2 vallen veel meer leveranciers van hard- en software onder zwaardere regelgeving. De uitbreiding van de zorgplicht voor IT-leveranciers is een belangrijk aspect van de NIS2-richtlijn. NLdigital volgt dit onderwerp op de voet en heeft een kritische houding. Het is belangrijk om te bepalen hoe de zorgplicht vorm krijgt, zodat deze werkbaar en effectief is.
We houden je up-to-date
Wil je op de hoogte blijven over onder andere de ontwikkelingen rondom NIS2 en zorgplicht? Schrijf je dan in voor onze nieuwsbrief. Of heb je vragen over een overeenkomst met je klant, zorgplicht of aansprakelijkheid? Laat je adviseren door onze juristen!
Gerelateerde artikelen
Cyber Resilience Act: verplicht cybersecurity CE-markering voor alle hard- en software
De NIS2 komt eraan: wat betekent dit voor jouw bedrijf?
