Kunt u de schadeposten bij een data lek straks op uw IT-leverancier verhalen?

U heeft er ongetwijfeld over gehoord: de meldplicht datalekken komt er aan per 1 januari 2016. De ernstigere datalekken/beveiligingsinbreuken moeten straks snel worden gemeld bij het CBP en/of de betrokkene. Dit kan met zeer hoge kosten gepaard gaan. Onderzoek (laten) doen naar de details van een incident of een publiekscampagne opzetten is immers niet goedkoop. Bovendien bestaat de kans dat u een boete opgelegd krijgt, bijvoorbeeld omdat de melding niet snel genoeg is gedaan, of omdat uit de melding blijkt dat u uw beveiliging niet op orde had. Nu hebben veel organisaties hun IT al lang niet meer (volledig) intern in beheer. Dat roept de vraag op: kunt u bij een beveiligingsinbreuk de daaruit voortvloeiende schadeposten verhalen op uw IT-leverancier? Een korte verkenning.

Tekortkoming van leverancier vereist.

De hoofdregel in de wet is overzichtelijk: de leverancier is verplicht de schade die voortvloeit uit een tekortkoming te vergoeden, tenzij de leverancier zich op overmacht kan beroepen. Bij een tekortkoming kan de geleden schade dus in beginsel op de leverancier worden verhaald. Dat brengt ons direct bij de vraag: houdt een beveiligingsinbreuk ook een tekortkoming in?

Analyse van afspraken vereist

Er zal dus moeten worden gekeken in de contracten naar de verplichtingen die de leverancier op zich heeft genomen. Daarbij geldt grosso modo de volgende tweedeling:

  • als er wel iets staat over de door de leverancier te verzorgen beveiligings(-maatregelen), dan moet worden getoetst of de leverancier die verplichtingen is nagekomen.
  • Als dat niet het geval is, is in beginsel sprake van een tekortkoming als er niets staat over de door de leverancier te verzorgen beveiligings(-maatregelen), dan is hoogstwaarschijnlijk de conclusie dat er ook geen sprake is van een tekortkoming.

Weliswaar rust op IT-leveranciers een zorgplicht, maar die zorgplicht gaat in de regel (doch niet altijd) niet zo ver dat hieruit een hele specifieke verplichting afgeleid kan worden tot het nemen van bepaalde maatregelen.

Analyse soms best een puzzel

De analyse van de gemaakte afspraken is soms best een puzzel. Vaak moeten meerdere documenten worden vergeleken en met elkaar in verband worden gebracht. Algemene voorwaarden willen hierbij nog wel eens een valkuil zijn.

Niet ieder lek is ook een tekortkoming. Zelfs als er wel heel concrete afspraken zijn gemaakt over beveiliging, is het nog maar de vraag of er bij een data lek sprake is van een tekortkoming van de leverancier. Het kan immers best zijn dat de gemaakte afspraken prima zijn uitgevoerd, maar dat er toch een data lek heeft plaatsgevonden. Uitgangspunt van de wet is dan dat de volledige schade door de leverancier moet worden vergoed. De leverancier is dus bij een tekortkoming volgens de wet onbeperkt aansprakelijk. Daarbij moeten wel enkele algemene kanttekeningen in acht worden genomen, zoals dat schade die in een te ver verwijderd (causaal) verband staat buiten beschouwing wordt gelaten en dat wordt gecorrigeerd voor behaald voordeel en voor eigen schuld.

In de praktijk wordt echter bijna altijd van dit wettelijke uitgangspunt afgeweken. Bijna alle leveranciers hebben in de contracten (veelal forse) beperkingen van aansprakelijkheid opgenomen. In een zakelijke context zijn dergelijke contractbepalingen in beginsel gewoon geldig. Dit betekent dat de schade die wordt geleden bij een beveiligingsinbreuk, alleen maar binnen de contractuele kaders (met beperking van aansprakelijkheid) kan worden verhaald.

Dure les bij onvoldoende aandacht voor datalekken in contracten

Onvoldoende aandacht voor (de risico’s van) datalekken in contracten kan uw organisatie dus duur komen te staan. Wat u niet afspreekt over beveiliging met uw leverancier, kunt u ook niet aan hem verwijten. En als u de leverancier al iets kunt verwijten, is nog maar de vraag of u dankzij de beperking van aansprakelijkheid iets van uw schade vergoed krijgt.

Kritisch inkopen vereist

Het voorgaande bevestigt eens te meer dat het van belang is bij de inkoop van IT-dienstverlening kritisch te kijken naar: de risico’s die zich kunnen voordoen; en in hoeverre de dienstverlening en de toepasselijke contractuele voorwaarden aansluiten op die risico’s. De ervaring leert dat hier in de praktijk lang niet altijd (voldoende) aandacht voor is. Een mismatch kan uw organisatie duur komen te staan.

Slotopmerking

Uit het voorgaande volgt dat de komende meld- en administratieplicht beveiligingsinbreuken bredere consequenties heeft dan alleen de meld- en administratieplicht als zodanig. Om goed aan deze nieuwe verplichtingen te kunnen voldoen, zonder dat het de organisatie (heel) veel pijn kost, is kritisch inkopen vereist. Het zal interessant zijn om te zien of dat ook gaat gebeuren en zo ja, in hoeverre leveranciers nog lang weg zullen komen met (de thans gebruikelijke) beperkingen van aansprakelijkheid die er in feite op neer komen dat schade niet tot nauwelijks op leveranciers is te verhalen.

Verder is van het belang in de organisatie ook andere maatregelen te treffen om de risico’s te dempen, zoals het sluiten van adequate verzekeringen. Mocht dat niet gebeuren, dan zou het me niets verbazen wanneer we over enige tijd zaken voorbij gaan zien komen over bestuurdersaansprakelijkheid vanwege het onvoldoende borgen van privacy risico’s.

Bron: Emerce.nl


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*