Het grootste misverstand over cyberaanvallen is dat de schade altijd bij de hacker ligt. Als ondernemer ben jij immers de verwerkingsverantwoordelijke onder de AVG. Dit betekent dat je verantwoordelijk bent voor de beveiliging van alle persoonsgegevens in je bedrijf. Wordt er ingebroken en lekken klantgegevens uit, dan kun jij aansprakelijk worden gesteld door de getroffen personen.
Deze aansprakelijkheid geldt overigens ook als de hack wordt veroorzaakt door een fout van een medewerker. Klikt bijvoorbeeld je administratief medewerker op een phishing-mail waardoor het hele netwerk wordt geïnfecteerd? Dan ben jij als werkgever aansprakelijk. De rechter gaat namelijk na of je voldoende technische en organisatorische maatregelen hebt getroffen om een dergelijk incident te voorkomen. Geen goede cyberbeveiliging betekent geen juridische bescherming.
Een datalek door een cyberaanval betekent automatisch een meldplicht bij de Autoriteit Persoonsgegevens (AP). Je hebt dan 72 uur de tijd om het lek te melden en bij ernstige risico’s moet je ook alle getroffen personen informeren. Doe je dit niet of te laat, dan kun je bovenop de schade van de hack ook nog eens een boete ontvangen.
Deze AVG-boetes zijn geen symbolische bedragen. De maximumboete bedraagt maar liefst € 20 miljoen of 4% van je wereldwijde jaaromzet. Ook voor MKB-bedrijven kunnen de boetes fors zijn. Zo heeft de AP al boetes van € 525.000 opgelegd aan kleinere ondernemingen. Gecombineerd met de kosten van de cyberaanval zelf, kan dit je bedrijf financieel de kop kosten.
Een cyberverzekering lijkt een goede oplossing, maar pas wel op voor de kleine lettertjes. Veel polissen dekken alleen directe schade, zoals losgeld en herstelkosten, maar niet de AVG-boetes of claims van derden. Bovendien stellen verzekeraars steeds strengere eisen aan cyberbeveiliging alvorens zij tot uitkering overgaan.
Heeft je bedrijf geen tweefactorauthenticatie, wordt gebruik gemaakt van verouderde software of zijn er onvoldoende backups? Dan kan de verzekeraar weigeren uit te keren. Cyberverzekeringen zijn dus geen vrijbrief om slordig om te gaan met beveiliging. Ze vormen een laatste vangnet, maar alleen als jij je huiswerk goed hebt gedaan. Lees de polisvoorwaarden daarom kritisch door en zorg ervoor dat je voldoet aan alle beveiligingseisen.
Veel cyberaanvallen komen binnen via externe leveranciers of IT-partners. Denk aan een boekhoudkantoor dat gehackt wordt, waarbij ook jouw gegevens worden gestolen. Of een clouddienst die offline gaat door een aanval. Kun je dan die leverancier aansprakelijk stellen voor de schade?
Dat is afhankelijk van de contractuele afspraken die je hebt gemaakt. Veel IT-leveranciers sluiten aansprakelijkheid uit of beperken deze tot het bedrag van het contract. Een cloudprovider die bijvoorbeeld € 100 per maand rekent is dan maximaal € 100 schadeplichtig, ook al loop jij € 100.000 schade door uitval. Onderhandel daarom altijd over de contractuele aansprakelijkheidsbedingen en zorg voor adequate dekking in je eigen verzekeringen.
De beste juridische bescherming tegen cyberaanvallen is uiteraard voorkomen dat deze zich voordoen. Investeer daarom in goede firewalls, regelmatige software-updates, tweefactorauthenticatie en vooral: train je personeel. De meeste hacks worden immers veroorzaakt door een menselijke fout.
Daarnaast dien je juridisch je huiswerk op orde te hebben. Denk aan privacy statements, verwerkersovereenkomsten met leveranciers en incidentprocedures voor als het misgaat. Het Nationaal Cyber Security Centrum biedt gratis handleidingen op ncsc.nl voor mkb-ondernemers. Een cyberaanval is vaak onvermijdelijk, maar de juridische gevolgen kun je wel beperken met de juiste voorbereiding.
Heb je vragen over dit onderwerp? Neem vrijblijvend contact met ons op.
Auteur: Niels Vanaken
