Beveiligen van ICT en aansprakelijkheid

In dit artikel wordt besproken wat de (juridische) consequenties kunnen zijn van het gebruik van onvoldoende beveiligde Informatie en communicatie technologie (ICT). Daartoe wordt allereerst uiteengezet waaruit de schade die hierdoor mogelijk ontstaat kan bestaan. Ook wordt onderzocht welke partijen hierbij betrokken zijn, dan wel hierdoor worden geraakt. Vervolgens wordt bekeken wie in de praktijk voor de schade aansprakelijk kan worden gesteld. Daarna wordt de noodzaak van het nemen van beveiligingsmaatregelen en het creŰren van een juridisch evenwichtige aansprakelijkheidsverdeling aangetoond. Tot slot wordt kort ingegaan op de rol die de IT-notaris hierin kan spelen.

De noodzaak van het beveiligen van ICT en de daarbij betrokken partijen

Het gebruik van Informatie- en Communicatietechnologie binnen organisaties neemt nog steeds toe. Omdat de werkzaamheden die met behulp van ICT een grote waarde kunnen vertegenwoordigen, is de continu´teit van dat gebruik van groot belang. Het beveiligen van ICT is een hulpmiddel waarmee deze continu´teit zoveel mogelijk kan worden gewaarborgd.

Naast het waarborgen van de continu´teit van het gebruik van ICT, worden met het nemen van beveiligingsmaatregelen ook de gegevens die bij dat gebruik worden verwerkt beschermd. Deze gegevens zijn namelijk in veel gevallen niet voor een groot publiek bestemd. Dergelijke gegevens kunnen allereerst voor een organisatie zelf van belang zijn. In dit verband moet bijvoorbeeld worden gedacht aan de administratie of aan bedrijfsgeheimen. Daarnaast kunnen de gegevens die door een organisatie worden verwerkt voor derden (eveneens) van waarde zijn. Dat is bijvoorbeeld het geval wanneer het de persoonsgegevens die een organisatie verwerkt, betreft. Het kan dan om naam- en adresgegevens gaan, maar ook om bankrekeningnummers of medische informatie.

De schade die het gevolg is van gebrekkige beveiliging van ICT kan groot zijn. Deze schade kan ten eerste voortvloeien uit het feit dat een organisatie haar bedrijfsvoering door een beveiligingsgebrek niet voort kan zetten. Dit kan bijvoorbeeld het geval zijn wanneer zij bepaalde software niet kan gebruiken of wanneer gegevens beschadigd zijn geraakt. Gegevens kunnen echter ook zijn ontvreemd of zijn ingekeken door een onbevoegde. De beschadiging en ontvreemding van gegevens kan naast de organisatie zelf, ook de derde op wie de gegevens betrekking hebben raken. Wanneer het persoonsgegevens betreft zullen bijvoorbeeld zijn privacybelangen zijn geraakt. Ten slotte kan een beveiligingslek ook leiden tot negatieve publiciteit.

Beveiligingsmaatregelen

Beveiligingsmaatregelen bestaan uit organisatorische en technische maatregelen. Organisatorische maatregelen beogen het handelen van mensen zo te reguleren dat het gebruik van ICT veiliger wordt. Zo kan een organisatie haar medewerkers verbieden om bedrijfsgegevens naar huis mee te nemen. Technische maatregelen betreffen de wijze waarop de ICT (de techniek) is ingericht en ingesteld. Voorbeelden zijn het in gebruik nemen van een wachtwoordsysteem of van een firewall. Daarnaast moet ook het ontwikkelen van zo veilig mogelijke software hieronder worden geschaad. Een organisatie heeft niet altijd zelf de technische kennis in huis om deze maatregelen te treffen, wat de reden is voor het uitbesteden van deze werkzaamheden aan een ICT-dienstverlener.

Het aansprakelijkheidsvraagstuk

Gelet op de grote kosten die verbonden kunnen zijn aan het herstellen van de schade die het gevolg is geweest van een gebrekkige beveiliging, is het belangrijk om na te denken over de vraag wie voor die schade aansprakelijk kan worden gesteld. Er moet met andere woorden bekeken worden wie het beveiligingsrisico dat aan het gebruik van ICT inherent is dient te dragen. Hierboven is gebleken dat grofweg een drietal partijen (een organisatie die van ICT gebruik maakt, haar ICT-dienstverlener en derde personen) betrokken zou kunnen worden bij de bespreking van dit vraagstuk.

De ICT-dienstverlener is van dit drietal degene die vaak verantwoordelijk is voor de technische inrichting van de beveiliging. Fouten in de door hem geleverde software (bijvoorbeeld datalekken) of een slecht ingestelde firewall zijn in de meestal het gevolg van zijn handelen of nalaten. Wanneer dat het geval is, zal de ICT-dienstverlener daarom wettelijk gezien voor de schade die hieruit voortvloeit aansprakelijk kunnen worden gesteld door de organisatie die zijn diensten afneemt. ICT-dienstverleners beperken of exonereren echter vaak in hun leveringsvoorwaarden de aansprakelijkheid voor schade die het gevolg is van verlies en beschadiging van gegevens of computerprogrammatuur. Hierdoor is het in de praktijk voor een organisatie lastig om de schade die zij als gevolg van een slechte beveiliging lijdt op degene die verantwoordelijk is voor de technische inrichting van de beveiliging van ICT, te verhalen. Zij zal daarom deze schade vaak zelf moeten dragen, tenzij er aan de kant van de ICT-dienstverlener aantoonbaar sprake is geweest van opzet of bewuste roekeloosheid.

De organisatie kan daarnaast te maken krijgen met derden die door een beveiligingslek worden geraakt. Deze derden zouden de organisatie bijvoorbeeld aansprakelijk kunnen stellen voor het feit dat de gegevens die op hen betrekking hebben in handen van onbevoegden zijn gekomen. Het is voor een organisatie niet altijd mogelijk om aansprakelijkheid voor schade die het gevolg is van het niet goed beveiligd verwerken van gegevens van derden, af te wentelen. Op grond van de Wet bescherming persoonsgegevens (Wbp) wordt een organisatie zelfs expliciet aansprakelijk gesteld voor dergelijke schade, wanneer die gegevens moeten worden aangemerkt als persoonsgegevens. De Wbp schrijft namelijk in het dertiende artikel van deze wet voor dat een organisatie die persoonsgegevens verwerkt passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Op grond van artikel 49 Wbp vervolgens is de verantwoordelijke aansprakelijk voor schade die ontstaat uit het niet conform de Wbp verwerken van persoonsgegevens.

Interessant is daarbij dat het derde lid van artikel 49 Wbp dwingend voorschrijft dat een bewerker van persoonsgegevens aansprakelijk is voor de schade voor zover deze voortvloeit uit zijn werkzaamheden. De bewerker is degene die ten behoeve van een organisatie (de verantwoordelijke) persoonsgegevens verwerkt. Het is goed mogelijk dat een ICT-dienstverlener als zodanig moet worden aangemerkt. Dit is bijvoorbeeld het geval wanneer hij een back-up van de gegevensbestanden van de organisatie beheert. Indien ICT-dienstverlener een bewerker van persoonsgegevens is, kan hij vanwege de dwingende Wbp-voorschriften zijn aansprakelijkheid voor de schade die ontstaat als gevolg van het slecht beveiligen van de gegevens die hij bewerkt, niet beperken.

Beveiligen van ICT-gebruik: een noodzakelijke uitdaging

Vanwege de potentieel grote omvang van de schade die kan ontstaan door het niet behoorlijk beveiligen van ICT, is het van belang om de maatregelen te treffen waarmee de kans op die schade zoveel mogelijk wordt beperkt. Wanneer de Wet bescherming persoonsgegevens van toepassing is, is een organisatie daar zelfs wettelijk toe verplicht. Afwachten is dus niet aan te raden. Het nemen van beveiligingsmaatregelen kan echter behoorlijke investeringen vergen. Zo gaat het voldoen aan internationale standaarden zoals de ISO code voor informatiebeveiliging gepaard met het nemen van grote aantallen technische en organisatorische maatregelen.

Voor het beveiligen van het verwerken van persoonsgegevens moeten echter niet internationale standaarden, maar de regels uit de Wbp als leidraad worden gebruikt. Deze wet schrijft zoals gezegd passende beveiligingsmaatregelen voor. De omvang van de maatregelen zijn dus afhankelijk van een aantal omstandigheden. Zo is de aard van de persoonsgegevens van belang. Gevoelige medische gegevens dienen bijvoorbeeld beter beschermd te worden dan e-mailadressen. Daarnaast moet ook de stand van de techniek bij deze beoordeling betrokken worden. Wanneer met naar verhouding geringe investeringen het beveiligingsniveau aanzienlijk kan worden verhoogd, zal een organisatie hiertoe verplicht moeten worden geacht.

Ten slotte is het nog belangrijk om op te merken dat een groot deel van de beveiligingsproblemen zijn oorzaak heeft in het gebruik van onveilige software. Het maken ontwerpfouten in de software en het onvoldoende testen daarop door de softwareleverancier (een ICT-dienstverlener) zijn daar de oorzaak van. Voor het creŰren van een situatie waarin ICT-gebruik veilig is, is het daarom nodig dat ook het gebruik van software door een organisatie geen risicovolle activiteit is.

Juridische maatregelen ter stimulering van veilig ICT-gebruik

Uit het voorgaande blijkt dat in de praktijk de ICT-dienstverlener vaak verantwoordelijk is voor het uitvoeren van de technische maatregelen die nodig zijn voor het beveiligen van ICT. Door exoneratiebedingen in de onderliggende contracten echter is een organisatie die ICT afneemt nog steeds degene die het meeste risico loopt om de kosten die ontstaat door een gebrek in de beveiliging te moeten dragen. Een enigszins voor de hand liggende oplossing is daarom het stimuleren van de ICT-dienstverlener tot het faciliteren van veilig ICT-gebruik. Dit kan door een deel van de aansprakelijkheid voor schade die ontstaat door gebrekkige beveiliging aan hem over te dragen.

Concreet betekent dit bijvoorbeeld dat een softwareleverancier de verplichting op zich neemt om de geleverde programmatuur uitgebreid te testen op beveiligingslekken. Ook zou in een Service Level Agreement (SLA) kunnen worden afgesproken dat een ICT-dienstverlener waaraan de data van een organisatie wordt toevertrouwd de inspanning levert om deze zo goed mogelijk te beschermen. Met het accepteren van hieruit voortvloeiende aansprakelijkheid wordt een ICT-dienstverlener gedwongen om zich in te zetten voor het faciliteren van veilig ICT-gebruik.

Ten slotte is het van belang dat door een organisatie bekeken wordt of de beveiliging van ICT voldoet aan de van toepassing zijnde wettelijke voorschriften, een activiteit die ook wel wordt geschaard onder het begrip compliance. Het verwerken van persoonsgegevens bijvoorbeeld moet binnen een conform de Wbp voorschreven beveiligde omgeving plaatsvinden. Wanneer voor compliancewerkzaamheden een externe auditor of adviseur wordt ingehuurd zou door de organisatie met hem ook afspraken kunnen worden gemaakt over de verdeling van aansprakelijkheden. Zo wordt ook hij gestimuleerd om goed werk te leveren.

Rol IT-notaris

Uit het voorgaande is gebleken dat het risico op schade door onvoldoende beveiligd ICT-gebruik kan worden afgedekt met het nemen van (passende) beveiligingsmaatregelen enerzijds en het opstellen van daartoe bijdragende juridische afspraken anderzijds. De IT-notaris bezit zowel de technische als juridische kennis die nodig is om op beide aandachtsgebieden advies te kunnen geven. Zo kan hij ICT-dienstverleners en ICT afnemende organisaties adviseren over contractuele afspraken waarmee het gebruik van veilige ICT wordt bevorderd. Ook kan hij beoordelen of een set beveiligingsmaatregelen voldoet aan de van toepassing zijnde wettelijke voorschriften.
 
 
Er is uiterste zorg besteed aan het zo actueel, correct en compleet mogelijk maken en houden van de inhoud van dit artikel. Het is echter mogelijk dat de inhoud van de documenten verouderd, incompleet en/of incorrect is door wijzigingen in wet- en regelgeving, ontwikkelingen in hard- en software en/of voortschrijdend inzicht. Aan de inhoud van dit document kunnen dan ook geen rechten worden ontleend. De auteurs kunnen niet aansprakelijk worden gehouden voor de gevolgen van het gebruik, op welke wijze dan ook, van de in dit artikel aangeboden informatie.