Draagt eindklant of msp aansprakelijkheid bij hack?

Hackers vinden alsmaar nieuwe routes naar de data van bedrijven. Om toegang te krijgen tot een grote database aan klanten, kiezen kwaadwillenden steeds vaker managed serviceproviders (msp’s) en it-leveranciers als doelwit. Dit opent een nieuwe discussie: wie is er aansprakelijk als een bedrijf wordt gehackt, maar ontzorgd wordt door een msp? De msp of de klant zelf?

Om antwoord te kunnen geven op de vraag moet er gekeken worden naar de voorafgaande gemaakte afspraken tussen de msp en de klant. Met name naar de afspraken op het gebied van beveiliging en continuïteit. Om toekomstige onduidelijkheden te voorkomen, is het van belang dat beiden partijen weten wat ze van elkaar kunnen verwachten.
Tegenwoordig zijn er steeds meer en grotere cyberrisico’s. Ook bestaat de meldplicht datalekken door de intreding van de AVG, met mogelijk boetes als gevolg. Hoewel de meeste bedrijven zich tegenwoordig bewust zijn van deze ontwikkelingen, zijn ze nog vaak slachtoffer van ransomware. Vervolgens onstaat er onduidelijkheid en zelfs disussie tussen de bedrijven en msp’s over de aansprakelijkheid. Er wordt regelmatig naar de msp gewezen als een eindklant slachtoffer wordt van een cyberaanval – met als reden dat de msp immers wordt ingehuurd om het bedrijf te ontzorgen op it-gebied. Ook op het gebied van backup en en cybersecurity. Gaat het mis? Dan is de msp dus verantwoordelijk en aansprakelijk. Zo eenvoudig is de situatie echter vaak niet. Het is belangrijk om te kijken naar de afspraken die zijn gemaakt. Heeft de msp bijvoorbeeld geadviseerd om business continuity and disaster recovery (bcdr)- en security-oplossingen af te nemen? En wat heeft de klant met dat advies gedaan?

Onwetenheid bij het mkb

“Het mkb denkt nog vaak (onterecht) dat cybercriminelen zich niet richten op de kleinere partijen”

Msp’s proberen klanten zo goed mogelijk te adviseren over de benodigde security- en business continuity-oplossingen. Toch komen er situaties voor waarin het advies niet wordt opgevolgd door de klant. De oorzaak is vaak een gebrek aan bewustzijn van de gevaren. Ze denken dat ze waarschijnlijk geen slachtoffer zullen worden, waardoor het de investering niet waard is.

Mkb’ers hebben vaak geen eigen it-afdeling, en daardoor kan de combinatie van eigen kennis en financiële belangen ervoor zorgen dat er verkeerde keuzes vallen. De kennis en het advies van msp’s en leveranciers is in dit soort situaties van groot belang. Het is de taak van msp’s om hun eindklanten op de hoogte te stellen van de risico’s die ze lopen. Ook als de eindklant ervoor kiest de risico’s te negeren, moeten de grote consequenties duidelijk zijn. Het mkb denkt nog vaak (onterecht) dat cybercriminelen zich niet richten op de kleinere partijen. Maar élk bedrijf kan slachtoffer worden van een hack, ongeacht de grootte, branche of locatie.

Daarnaast gaan veel mkb-bedrijven er ten onrechte vanuit dat het steeds grotere aantal cloud- en saas-oplossingen dat ze gebruiken automatisch door de aanbieder wordt beveiligd. Ook worden er niet automatisch backups gemaakt van de data die zich in Microsoft 365 bevindt. De gebruiker moet er zelf voor zorgen dat er backups worden gemaakt.

Voorkom onduidelijkheden, maak afspraken

Maar hoe voorkom je dat je in een discussie terechtkomt over de schuldvraag? Het is van belang dat msp’s en klanten samen duidelijk vastleggen wat de msp levert, maar ook wat er juist niet geleverd wordt. Specificeer de afspraken in de overeenkomst. Oók als een bcdr-oplossing is geadviseerd, maar door de klant niet wordt afgenomen. Een waiver tekenen waarin neergelegd de gevolgen van deze keuze bij de eindklant, is ook een optie.

Daarnaast kan een cyberriskverzekering een voorwaarde zijn voor het aangaan van een samenwerking. Een cyberriskverzekering vergoedt de kosten die ontstaan bij een datalek en biedt concrete hulp als een incident zich voordoet. Door veel verzekeringen worden zowel de crisiskosten als aansprakelijkheidsschade gedekt. Een dergelijke verzekering wordt steeds vaker als voorwaarde gesteld omdat de klant dan zeker weet dat ze bij de msp terechtkunnen als het aankomt op aansprakelijkheid. Daar zijn ze immers voor verzekerd.

Auteurs: Hans ten Hove, director sales Northern Europe bij Datto, en Joost Schmaal, partner bij advocatenkantoor Kennedy van de Laan

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt artificiële intelligentie en machine learning om spam te verminderen. Bekijk hoe uw reactiegegevens worden verwerkt.

Gerelateerde berichten

Grote beveiligingslek ontdekt in populaire 3CX desktop app, uitgebreide uitleg en samenvatting

In dit blogbericht wordt een beveiligingslek besproken dat is ontdekt in de populaire 3CX desktop app, een software die wordt gebruikt door vele grote bedrijven wereldwijd. De blogpost begint met het beschrijven van de officiële 3CX desktop app en hoe deze wordt gebruikt als een vervanging van traditionele zakelijke telefoonlijnen. Vervolgens wordt ingegaan op de ontdekking van onverwachte kwaadaardige activiteit afkomstig van de 3CX desktop app door beveiligingsanalisten van CrowdStrike. De reactie van het bedrijf op de ontdekking wordt bekritiseerd en er wordt gewezen op het gebrek aan voorbereiding van veel grote bedrijven op malware-aanvallen. De blogpost gaat verder met een technische uitleg van hoe het beveiligingslek werkt, inclusief de aanwezigheid van kwaadaardige dll-bestanden en de versleuteling van kwaadaardige payloads. De ernst van het beveiligingslek wordt benadrukt, omdat het honderden of zelfs duizenden bedrijven kan treffen die de 3CX desktop app gebruiken.

Lees verder

Autodiefstal met USB-kabels

In deze blog bespreken we de ontwikkelingen op het gebied van autodiefstal met USB-kabels. We leggen uit hoe autodieven met deze methode te werk gaan en hoe fabrikanten proberen dit probleem aan te pakken. We bespreken enkele mogelijke oplossingen, waaronder software-updates en fysieke beveiligingsmaatregelen, om deze vorm van autodiefstal te voorkomen.

Lees verder

Hackers nemen Iraanse televisie over

Hackers hebben onlangs Iraanse live televisie overgenomen en kijkers aangespoord om geld van hun bankrekeningen op te nemen om de valuta van het land te ontwrichten. De hackers roepen op tot opstand tegen de regering.

Lees verder
U bent helemaal bij, dit was het laatste bericht.
  • Tags

  • Categorieën

  • Archieven

  • Naar de inhoud springen