Skip naar inhoud

Draagt eindklant of msp aansprakelijkheid bij hack?

Wilt u deze bijdrage aanbevelen? Dat kan via:

Hackers vinden alsmaar nieuwe routes naar de data van bedrijven. Om toegang te krijgen tot een grote database aan klanten, kiezen kwaadwillenden steeds vaker managed serviceproviders (msp’s) en it-leveranciers als doelwit. Dit opent een nieuwe discussie: wie is er aansprakelijk als een bedrijf wordt gehackt, maar ontzorgd wordt door een msp? De msp of de klant zelf?

Om antwoord te kunnen geven op de vraag moet er gekeken worden naar de voorafgaande gemaakte afspraken tussen de msp en de klant. Met name naar de afspraken op het gebied van beveiliging en continuïteit. Om toekomstige onduidelijkheden te voorkomen, is het van belang dat beiden partijen weten wat ze van elkaar kunnen verwachten.
Tegenwoordig zijn er steeds meer en grotere cyberrisico’s. Ook bestaat de meldplicht datalekken door de intreding van de AVG, met mogelijk boetes als gevolg. Hoewel de meeste bedrijven zich tegenwoordig bewust zijn van deze ontwikkelingen, zijn ze nog vaak slachtoffer van ransomware. Vervolgens onstaat er onduidelijkheid en zelfs disussie tussen de bedrijven en msp’s over de aansprakelijkheid. Er wordt regelmatig naar de msp gewezen als een eindklant slachtoffer wordt van een cyberaanval – met als reden dat de msp immers wordt ingehuurd om het bedrijf te ontzorgen op it-gebied. Ook op het gebied van backup en en cybersecurity. Gaat het mis? Dan is de msp dus verantwoordelijk en aansprakelijk. Zo eenvoudig is de situatie echter vaak niet. Het is belangrijk om te kijken naar de afspraken die zijn gemaakt. Heeft de msp bijvoorbeeld geadviseerd om business continuity and disaster recovery (bcdr)- en security-oplossingen af te nemen? En wat heeft de klant met dat advies gedaan?

Onwetenheid bij het mkb

“Het mkb denkt nog vaak (onterecht) dat cybercriminelen zich niet richten op de kleinere partijen”

Msp’s proberen klanten zo goed mogelijk te adviseren over de benodigde security- en business continuity-oplossingen. Toch komen er situaties voor waarin het advies niet wordt opgevolgd door de klant. De oorzaak is vaak een gebrek aan bewustzijn van de gevaren. Ze denken dat ze waarschijnlijk geen slachtoffer zullen worden, waardoor het de investering niet waard is.

Mkb’ers hebben vaak geen eigen it-afdeling, en daardoor kan de combinatie van eigen kennis en financiële belangen ervoor zorgen dat er verkeerde keuzes vallen. De kennis en het advies van msp’s en leveranciers is in dit soort situaties van groot belang. Het is de taak van msp’s om hun eindklanten op de hoogte te stellen van de risico’s die ze lopen. Ook als de eindklant ervoor kiest de risico’s te negeren, moeten de grote consequenties duidelijk zijn. Het mkb denkt nog vaak (onterecht) dat cybercriminelen zich niet richten op de kleinere partijen. Maar élk bedrijf kan slachtoffer worden van een hack, ongeacht de grootte, branche of locatie.

Daarnaast gaan veel mkb-bedrijven er ten onrechte vanuit dat het steeds grotere aantal cloud- en saas-oplossingen dat ze gebruiken automatisch door de aanbieder wordt beveiligd. Ook worden er niet automatisch backups gemaakt van de data die zich in Microsoft 365 bevindt. De gebruiker moet er zelf voor zorgen dat er backups worden gemaakt.

Voorkom onduidelijkheden, maak afspraken

Maar hoe voorkom je dat je in een discussie terechtkomt over de schuldvraag? Het is van belang dat msp’s en klanten samen duidelijk vastleggen wat de msp levert, maar ook wat er juist niet geleverd wordt. Specificeer de afspraken in de overeenkomst. Oók als een bcdr-oplossing is geadviseerd, maar door de klant niet wordt afgenomen. Een waiver tekenen waarin neergelegd de gevolgen van deze keuze bij de eindklant, is ook een optie.

Daarnaast kan een cyberriskverzekering een voorwaarde zijn voor het aangaan van een samenwerking. Een cyberriskverzekering vergoedt de kosten die ontstaan bij een datalek en biedt concrete hulp als een incident zich voordoet. Door veel verzekeringen worden zowel de crisiskosten als aansprakelijkheidsschade gedekt. Een dergelijke verzekering wordt steeds vaker als voorwaarde gesteld omdat de klant dan zeker weet dat ze bij de msp terechtkunnen als het aankomt op aansprakelijkheid. Daar zijn ze immers voor verzekerd.

Auteurs: Hans ten Hove, director sales Northern Europe bij Datto, en Joost Schmaal, partner bij advocatenkantoor Kennedy van de Laan

Lees ook:

Wat wil en wenst de ontwikkelaar?

In een krappe ict-arbeidsmarkt is het voor werkgevers interessant te weten wat er onder ontwikkelaars leeft. Bedrijven die de juiste tools bieden, hebben een streepje voor. Een internationaal onderzoek onder ruim zeventigduizend ontwikkelaars uit de Stack Overflow-community geeft inzicht in de trends. Dit rapport is bij recruiters dan ook niet onopgemerkt gebleven. Ze krijgen zo een beeld van hoe developers leren en meer kennis vergaren, welke tools ze gebruiken en waaraan ze behoefte hebben.

TNO: Europa kan tech-overmacht VS en China doorbreken

Zet vol in op de ontwikkeling van 6G, maak Gaia-X volwassen, loop voorop met edge computing en omarm open technologie. Dit zijn enkele aanbevelingen van TNO om in Europa de overheersing van Big Tech en Chinese (5G-)bedrijven te doorbreken.

Subpostmaster campaigning forces government to set up compensation scheme and make interim payments

Subpostmaster campaign group is a step closer to achieving what it was originally set up to do as government launches compensation scheme for its members who did not receive fair payouts

Advies: wacht met 3,5 GHz tot Inmarsat weg is

Het duurt waarschijnlijk tot eind 2023 voordat de 3,5-GHz-frequentieband beschikbaar komt voor openbare mobiele-communicatiediensten. Er is weliswaar veel vraag naar extra frequentieruimte, maar op de daarvoor afgesproken 3,5-GHz-band kan dat storen met noodoproepen van de lucht- en zeevaart. Het ministerie krijgt het advies te wachten totdat satellietbedrijf Inmarsat is verhuisd van het Friese Burum naar Griekenland.

Na sase komt sse (security service edge)

Security service edge (sse) is de evolutie van het sase-framework van Gartner. Door de letter ‘A’ (voor ’access) te verwijderen, wordt duidelijk dat het netwerk niet langer wordt beschouwd als onderdeel van een beveiligingsoplossing. Het is slechts het mechanisme dat de datastromen naar het security- en controleplatform transporteert.

UK tech has 2.8% gender ‘wage gap’, says Hired

The wage offered to women for tech jobs in the UK is 2.8% less than offered to male counterparts – a larger gap than in the US and Canada, says Hired

Wilt u deze bijdrage aanbevelen? Dat kan via:

Klaar voor de beste oplossing voor uw IT & ICT-situatie?

Ik heb mijn wachtwoord gewijzigd in “onjuist.” Dus wanneer ik vergeet wat het is, zal de computer zeggen: “Uw wachtwoord is onjuist.”