Beveiliging, hacks en verzekeringen: lessen uit de praktijk

In een recent gepubliceerde uitspraak oordeelt de rechtbank dat een IT-leverancier zelf opdraait voor schade door een hack. Ook de verzekering keerde niet uit. Hoe zit dit? En welke lessen kan je leren uit deze zaak? We leggen het hieronder voor je uit.

De zaak

Freez.it beheert digitale werkomgevingen voor haar klanten en koopt daarvoor clouddiensten in bij Microsoft-distributeur Copaco. Microsoft introduceert op een gegeven moment een reeks verplichte beveiligingseisen. Freez.it is verantwoordelijk voor de beveiliging van de cloudomgeving en moet dit dus implementeren, maar doet dat niet. Copaco heeft Freez.it hier herhaaldelijk op gewezen. Door het gebrek aan voldoende beveiliging vindt er vervolgens een hack plaats bij een van de klantomgevingen.

Via de hack zijn 60 extra cloudservers aangemaakt die een aantal weken op de hoogste capaciteit draaien. Deze extra verbruikskosten brengt Copaco bij Freez.it in rekening. Dit gebeurt op basis van de gemaakte afspraken tussen Freez.it en Copaco: alle gebruikskosten worden steeds achteraf in rekening gebracht bij Freez.it, die dit op haar beurt weer in rekening kan brengen bij de desbetreffende eindklant. In dit geval komt dat laatste niet zover: de kosten worden niet doorgelegd naar de eindklant (vermoedelijk omdat het toen al duidelijk was dat er een hack had plaatsgevonden). En dus zit Freez.it met de kosten.

Freez.it probeert de kosten te laten dekken door haar bedrijfsaansprakelijkheidsverzekering, maar de verzekering die Freeze.it heeft afgesloten dekt alleen schade die is geleden door een derde. Er is in dit geval echter geen derde die schade oploopt, en dus worden die kosten niet gedekt door de verzekering. En draait Freeze.it zelf op voor de schade die door de hack is veroorzaakt.

Lessen uit deze zaak

1. Wees zorgvuldig in je dienstverlening

Freeze.it moest beveiligingsmaatregelen implementeren, maar deed dat niet. Microsoft stelde dit wel verplicht. Door het gebrek aan voldoende beveiliging kon de klant van Freeze.it worden gehackt met grote schade als gevolg. In deze zaak ging het dus mis omdat Freeze.it de beveiligingsinstructies van zijn toeleverancier niet goed opvolgde.

De belangrijkste les: wees zorgvuldig in je dienstverlening.  Zorg als IT-leverancier sowieso dat de beveiliging waar jij voor verantwoordelijk bent op orde is. Als een toeleverancier verplichte beveiligingseisen introduceert, is het wel zo verstandig om die op te volgen.

2. Weet wanneer je je kan beroepen op een bedrijfs- of beroepsaansprakelijkheidsverzekering

De IT-leverancier deed (tevergeefs) een beroep op zijn bedrijfsaansprakelijkheidsverzekering. Maar wat is dit precies? Een bedrijfsaansprakelijkheidsverzekering is een soort WA-verzekering voor bedrijven en dekt meestal schade bij je klant of andere derden door dood, lichamelijk letsel of materiële beschadiging van zaken. Een beroepsaansprakelijkheidsverzekering dekt de schade in geval je een fout maakt in je dienstverlening, waardoor de klant of een andere derde schade lijdt.

In deze zaak was het dus logischer als de IT-leverancier een beroep zou doen op een beroepsaansprakelijkheidsverzekering.  Een complicerende factor was in deze zaak dan wel dat de facturen van de cloud-leverancier naar Freeze.it gingen. Met andere woorden: de klant leed (nog) geen schade, zodat ook een beroepsaansprakelijkheidsverzekering waarschijnlijk niet zou uitkeren. Pas als de klant schade claimt bij de leverancier, keert een beroepsaansprakelijkheidsverzekering uit.

3. Bescherm je tegen de gevolgen van een hack

Bij een hack of ander cyberincident kan je dus zelf schade lijden. Hier wil je je ook tegen kunnen beschermen. Mogelijk is in dat geval een cyberverzekering interessant. Een cyberverzekering dekt doorgaans verschillende vormen van schade en kosten die voortvloeien uit cyberincidenten.

Maar let op: met alleen de juiste verzekering ben je er niet. Het blijft belangrijk dat je je dienstverlening zorgvuldig uitvoert. Doe je dit niet? Dan is de kans groot dat een cyberverzekering de schade niet dekt. Zie het zo: een inboedelverzekering keert ook niet uit als je de voordeur wagenwijd open hebt laten staan. Zo werkt het ook met je bedrijf. ‘Eigen schuld-schade’ dekken verzekeraars doorgaans niet. In deze specifieke casus was een cyberverzekering dus waarschijnlijk ook ontoereikend voor de IT-leverancier.

De belangrijkste les is: wees je je ervan bewust dat een verzekering geen vrijbrief is om daarna alles uit je handen te kunnen laten vallen. Het zorgvuldig uitvoeren van je dienstverlening blijft het belangrijkste middel om schade en aansprakelijkheid zoveel mogelijk te voorkomen.

Deel via:

Paula Hooyman

Jurist
Neem contact op met
Paula Hooyman

Het laatste nieuws

NLdigital stuurt inbreng digitale sector aan informateurs

De kabinetsformatie is een nieuwe fase ingegaan, waarbij Hans Wijers (D66) en Sybrand Buma (CDA) zijn benoemd als informateurs. Ze...
Politiek & wetgeving

NLdigital en overheid starten dialoog over soevereine cloud voor Nederland

Ontdek hoe de Nederlandse Digitaliseringsstrategie (NDS) samen met NLdigital en cloudleveranciers werkt aan een soevereine overheidscloud. Lees meer over de open dialoogsessies, samenwerking en Europese kaders.
Politiek & wetgeving

ABRO: Nieuwe beveiligingseisen voor leveranciers aan Rijksoverheid en Politie

Vanaf 2026 geldt met ABRO één uniform stelsel van beveiligingseisen voor leveranciers aan de Rijksoverheid en Politie, gericht op het beschermen van de nationale veiligheid tegen onder andere spionage en sabotage. Leveranciers moeten rekening houden met strengere, proportioneel toegepaste eisen op gebieden als cyber, cloud en ketenbeveiliging, waarbij het Nationaal Bureau Industrieveiligheid toeziet op de naleving.
Politiek & wetgeving

Wat betekent de verkiezingsuitslag voor de digitale sector? 

Nu de verkiezingsuitslag op hoofdlijnen vastgesteld is, kunnen we voorzichtig mogelijke coalities in kaart gaan brengen. We kijken naar reële coalities op basis van de uitslag, wat partijen eerder zelf uitgesproken hebben, en ook zetelaantallen in de Eerste Kamer. Met behulp van onze analyse van de verkiezingsprogramma’s kijken we ook vooruit naar wat deze coalities zullen betekenen voor de digitale sector. Met VNO-NCW en MKB-Nederland delen wij in ieder geval de visie dat de politiek geen tijd te verliezen heeft en nú werk moet maken van een stabiel en daadkrachtig kabinet. 
Politiek & wetgeving

NLdigital: Volt meest digitaal, CDA verrassende binnenkomer kopgroep

NLdigital analyseerde alle partijprogramma’s op digitale thema’s: Volt scoort het hoogst, gevolgd door VVD, D66 en verrassend CDA. De Verkiezingsmatrix laat grote verschillen zien per thema: innovatie en AI krijgen veel aandacht, maar cybersecurity en digitale overheid blijven onderbelicht. NLdigital ziet bij een mogelijke nieuwe coalitie met VVD, CDA en D66 kansen voor serieuze stappen in de digitale economie.
Politiek & wetgeving