Zorgplicht rondom cybersecurity: hoe maak je goede afspraken?

Als IT-leverancier heb je een zorgplicht naar je klanten. Maar hoever reikt die? Als je door onduidelijke afspraken in een schemergebied terechtkomt, ontstaan er soms pijnlijke situaties. Zo klaagde de gemeente Hof van Twente na een hack hun IT-leverancier aan wegens wanpresteren. Onlangs oordeelde de rechtbank dat het IT-bedrijf geen blaam treft, omdat de gemeente zelf verantwoordelijk was voor het incident, door de beveiliging van de leverancier te omzeilen. Duidelijke afspraken kunnen dit soort rechtszaken voorkomen. Hoe regel je dit het beste met je klanten? In dit artikel een aantal aandachtspunten. 

Wettelijke zorgplicht

Volgens de wet moet een IT-leverancier zich gedurende de uitvoering van de werkzaamheden gedragen als een goed opdrachtnemer (artikel 7:401 BW). Hoe groot deze zorgplicht precies is, verschilt per situatie. Het hangt onder meer af van de omvang van de werkzaamheden. Als je bijvoorbeeld alleen een applicatie levert, heb je een minder grote zorgplicht dan wanneer je verantwoordelijk bent voor een totaaloplossing.

Ook de deskundigheid van beide partijen speelt een rol. Als IT-leverancier ben je doorgaans deskundiger dan je klant. Vanwege die voorsprong in kennis hebben IT-leveranciers vaak een bijzondere ofwel verzwaarde zorgplicht. Dat betekent dat je niet alleen een goed opdrachtnemer moet zijn, maar ook een informatie- en waarschuwingsplicht hebt. Je moet de klant uitgebreid voorlichten over eventuele risico’s, en waarschuwen als die je adviezen niet opvolgt. Waarschuw je klant dan niet één keer, maar zo vaak mogelijk, in duidelijke bewoordingen. En leg deze conversaties vast.

Aansprakelijkheid voorkomen

Om te voorkomen dat de klant jou aansprakelijk stelt voor zaken waar je niet verantwoordelijk voor bent, is het belangrijk om de opdracht goed af te bakenen. Wat valt er precies onder jouw verantwoordelijkheden? Maak hier heldere afspraken over. Benoem in de overeenkomst niet alleen wat je gaat doen voor de klant, maar ook wat je níét gaat doen en hoe vaak je het gaat doen. Hete hangijzers zijn bijvoorbeeld de frequentie en wijze van back-ups en ondersteuning bij incidenten, dus werk deze goed uit.

Voorkom ook in je algemene voorwaarden dat je aansprakelijkheid exponentieel uitbreidbaar is via zaken als gegevensverlies en indirecte schade. NLdigital biedt algemene voorwaarden (NLdigital Voorwaarden) aan die je aansprakelijkheid beperken tot wat redelijk is binnen het product of de dienstverlening.

Enkele praktische tips

NIS2 en zorgplicht

Vanuit de EU komt er grote nieuwe cybersecurity-wetgeving aan. Door nieuwe wetten als NIS2 vallen veel meer leveranciers van hard- en software onder zwaardere regelgeving. De uitbreiding van de zorgplicht voor IT-leveranciers is een belangrijk aspect van de NIS2-richtlijn. NLdigital volgt dit onderwerp op de voet en heeft een kritische houding. Het is belangrijk om te bepalen hoe de zorgplicht vorm krijgt, zodat deze werkbaar en effectief is.

We houden je up-to-date

Wil je op de hoogte blijven over onder andere de ontwikkelingen rondom NIS2 en zorgplicht? Schrijf je dan in voor onze nieuwsbrief. Of heb je vragen over een overeenkomst met je klant, zorgplicht of aansprakelijkheid? Laat je adviseren door onze juristen!


Deel via:

Gerelateerde artikelen

Tijdlijn Cybersecurity Wet- en Regelgeving 

In dit overzicht delen we de cybersecurity wet- en reglgeving die er de komende jaren aankomt. Zo kunnen onze leden…
Cybersecurity

Stappenplan NIS2 richtlijn

De NIS2 komt eraan. Met dit stappenplan helpen we je om nu al aan de slag te gaan met de…
Cybersecurity

Cyber Resilience Act: verplicht cybersecurity CE-markering voor alle hard- en software

30 november zijn het Europees Parlement en de Europese Raad tot een akkoord gekomen over de Cyber Resilience Act (CRA),…
Cybersecurity