Column


IT-jurist Peter van Schelven over...

Digitale zorgplichten & cybersecurity

“Ieder bedrijf heeft digitale zorgplichten.” Onder die titel heeft de Cyber Security Raad (CSR) een uiterst lezenswaardige handleiding voor bedrijven op het gebied van cybersecurity gepubliceerd. De CSR presenteert daarmee een voor juridische leken bestemd algemeen overzicht van de belangrijkste zorgplichten en de wijze waarop bedrijven – producenten, leveranciers en gebruikers van ICT – daaraan concreet invulling kunnen geven.

Op heel praktische wijze vertaalt de handleiding complexe juridische vraagstukken rondom security naar de directie van bedrijven. Het stuk bevat bijvoorbeeld nuttige checklists.

Het idee achter de zorgplichten is heel eenvoudig. Ieder bedrijf moet, algemeen gesproken, tot op zekere hoogte rekening houden met legitieme belangen van anderen. Dat geldt ook – en in het bijzonder – voor cybersecurity. De waarde van de publicatie van de CSR is dat duidelijk wordt gemaakt dat een bedrijf goede securitymaatregelen niet louter uit eigenbelang treft. Als bedrijf doe je dat ook met het oog op jouw klanten, jouw werknemers en andere bedrijven waarmee je in een bedrijfsketen samenwerkt.

Aansprakelijkheidsclaim
Wie vanwege benedenmaatse securitymaatregelen de belangen van anderen uit het oog verliest, kan daar hard juridisch op worden afgerekend, bijvoorbeeld met een aansprakelijkheidsclaim. Daar is geen wetswijziging voor nodig, zo blijkt uit de handleiding. Het huidige rechtsstelsel biedt al volop haakjes waaraan zorgplichten en claims kunnen worden opgehangen.

De CSR heeft het rapport laten opstellen door juristen van de Radboud Universiteit te Nijmegen. Het leverde evenwel geen droge theoretische kost op. Een breed samengestelde begeleidingscommissie onder de bezielende leiding van de Tilburgse hoogleraar professor Lokke Moerel heeft de makers van de handleiding rijkelijk voorzien van praktijkcases en andere praktijkervaringen. Mede daardoor is de publicatie zeer goed toegankelijk voor lezers zonder juridische achtergrond.

Beeldbrigade-arrest
De handleiding bespreekt onder meer de zorgplichten van leveranciers van producten en diensten waarbij gebruik wordt gemaakt van een ICT-toepassing. In dat verband wordt aangeknoopt bij het zogeheten Beeldbrigade-arrest van de Hoge Raad uit 2012. In die uitspraak wordt - kort gezegd - de leverantie van software onder de bestaande wettelijke regels van het kooprecht gebracht.

Dat klinkt op het eerste gehoor wellicht als vanzelfsprekend, maar het hoogste rechtscollege in ons land had zoiets nog niet eerder gedaan. Met deze vernieuwende uitspraak wordt in feite de toepasselijkheid van de conformiteitsregel voor software naar binnen gehaald. Volgens die wettelijke regel mag een koper van software verwachten dat de verkoper hem of haar een product levert dat voldoende veilig is voor het normale gebruik van dat product.

Scala van sancties
Een verkoper die deze wettelijke regel schendt, kan met een scala van sancties uit het kooprecht juridisch worden aangepakt. Voor consumenten geldt die conformiteitsregel altijd, maar in koopcontracten tussen bedrijven onderling mag van die regel evenwel worden afgeweken. Het belang van de CSR-handleiding is dat deze het securityvraagstuk in de kern van de tamelijk zware spelregels van het kooprecht plaatst.

Een punt dat ook niet ongenoemd kan blijven, is de aansprakelijkheid bij de leverantie van onvoldoende beveiligde ICT-producten en -diensten. Leveranciers plegen in hun contracten of leveringsvoorwaarden met afnemer hun aansprakelijkheid voor schade uit te sluiten of te beperken. Dat is voor veel leveranciers een belangrijke vorm van zelfbescherming.

Securitygebreken
Terecht wijst de handleiding er echter op dat een leverancier zich niet met succes op dergelijke contractuele bepalingen kan beroepen als de leverancier weet dat zijn product of dienst mank is vanwege een securitygebrek. Het risico van wellicht forse schadeclaims vormt dan ook mede een prikkel om zo veilig mogelijke producten op de markt te brengen.

De handleiding van de CSR geeft – vanuit een juridische invalshoek – handen en voeten aan de noodzaak tot versterking van cybersecurity binnen bedrijven. Dat is zeker geen overbodige luxe. De CSR verdient een vet compliment voor haar initiatief.


Lees meer over