top of page
Zoeken

Aansprakelijkheidsrecht en cybersecurityschade in b2b-relatie

  • Mr. Elfahmi el Bouazati (LL.M.) (niet meer in dienst)
  • 24 jun 2021
  • 3 minuten om te lezen

In deze studie is onderzocht of het Nederlandse aansprakelijkheidsrecht voldoende mogelijkheden biedt om in een b2b-relatie cybersecurityschade te verhalen. Voorbeeld hiervan is een bedrijf dat gehackt wordt omdat het gebruik maakt van onveilige software van een leverancier en daardoor schade lijdt.

Barrières voor verhaalmogelijkheden

De conclusie is dat de juridische en economische barrières vaak te groot zijn om verhaal praktisch mogelijk te maken. Deze barrières zijn:

  1. De zorgplicht. Schade kan alleen worden verhaald als er een schending is van een ‘norm’. In het geval van aansprakelijkheid voor cybersecurity zijn dit minimumvereisten voor cybersecurity. Deze vereisten zijn bijvoorbeeld in het contract vastgelegd of komen door de aard van de b2b-relatie tot uitdrukking.

  2. Schade. Uiteraard moet er schade zijn om een mogelijkheid te hebben om deze te verhalen.

  3. Causaliteit. Er dient een causaal verband te zijn tussen de geschonden norm, in casu de cyberonveiligheid van de leverende partij, en de geleden schade van de afnemende partij.

  4. Bewijslast. De bewijslast ligt in beginsel bij de partij die de schade wil verhalen tenzij anders overeengekomen. Dit beginsel bemoeilijkt de mogelijkheid om schade te verhalen enorm omdat de afnemende partij niet in de IT-systemen van de leverende partij kan kijken en dus ook niet kan identificeren of de zorgplicht is geschonden en er een causaal verband is tussen de geschonden zorgplicht en de geleden schade.

  5. Onderhandelingsmacht. Grote partijen sluiten in het algemeen aansprakelijkheid volledig uit en beperken ook hun zorgplicht. Hier valt, in ieder geval in de perceptie van MKB partijen, niet of nauwelijks over te onderhandelen.

  6. Toegang tot de rechter als de juridische kosten hoog zijn en de succesverwachting laag, bijvoorbeeld in het geval van het halen van verhaal bij een Amerikaanse leverancier.

  7. Faillissement. De waarde van een claim wordt gemaximeerd door een eventueel faillissement van de leverende partij.

 

Beleid versus contractvrijheid

Er zijn daarom ook voor zover wij weten geen rechtszaken rondom dit thema. Kan beleid deze juridische en economische barrières deels wegnemen? Een bijkomende uitdaging: de beleidsopties dienen de contractvrijheid zo veel mogelijk in stand te laten, want contractvrijheid zorgt in de meeste gevallen voor welvaart. In dit onderzoek doen wij enkele suggesties voor verder onderzoek naar beleidsopties. Deze strekken ertoe:

  • Afspraken over cybersecurity te verduidelijken zodat ook duidelijker wordt wanneer een leverancier zich niet aan de afspraken met betrekking tot cybersecurity houdt. (de zogenaamde ‘zorgplicht’).

  • De bewijslast te vereenvoudigen door het eenvoudiger te maken de zowel schade als het verband tussen de schade en de gebrekkige cybersecurity te bewijzen.

Binnen een b2b-relatie is de contractvrijheid niet problematisch, tenzij er bijvoorbeeld sprake is van een zodanig verschil in onderhandelingsmacht dat de sterke partij hiervan misbruik kan maken. Daartoe strekken ook een aantal aanbevelingen tot verder onderzoek, zoals onderzoek naar:

  • Het verplichten van meer pluraliteit in aansprakelijkheidsvormen bij grote software-aanbieders, zodat niet alle aansprakelijkheid standaard wordt uitgesloten door die partijen.

  • Toegang tot de rechter wanneer men schade wil verhalen bij grote internationale partijen.

 

Conclusie: stimuleren van verhaalsmogelijkheden en het in stand houden van contractsvrijheid

Concluderend: het mes van het aansprakelijkheidsregime is bot. Zelfs indien beleidsopties worden doorgevoerd blijft de balans houden tussen het stimuleren van verhaalsmogelijkheden en het in stand houden van contractsvrijheid een uitdagende opgave voor de overheid. De vraag is of het aansprakelijkheidsregime in een b2b-relatie een effectief middel is om schade te verhalen en prikkels goed te leggen. Men zou ook alternatieven voor aansprakelijkheidsstelling kunnen onderzoeken en/of stimuleren, zoals het risico afdekken door middel van bijvoorbeeld een cyberverzekering of een risicospreidingsovereenkomst.

Voor een afnemende partij kan dat een laagdrempelig alternatief zijn voor aansprakelijkheidsstelling van de leverancier die bemoeilijkt wordt door de grote juridische en economische barrières voor verhaal.


Raadpleeg hier het onderzoeksrapport.

bottom of page