2
Jul
2014

Het beveiligen van ICT en aansprakelijkheid

In dit artikel wordt besproken wat de (juridische) consequenties kunnen zijn van het gebruik van onvoldoende beveiligde Informatie en communicatie technologie (ICT). Daartoe wordt allereerst uiteengezet waaruit de schade die hierdoor mogelijk ontstaat kan bestaan en welke partijen hierbij betrokken zijn dan wel hierdoor worden geraakt. Vervolgens wordt bekeken wie in de praktijk voor de schade aansprakelijk kan worden gesteld. Daarna wordt de noodzaak van het nemen van beveiligingsmaatregelen en het creëren van een juridisch evenwichtige aansprakelijkheidsverdeling benoemd. Tot slot wordt beknopt de rol die De IT-jurist hierin kan spelen aangestipt.

De noodzaak van het beveiligen van ICT en de daarbij betrokken partijen

Het gebruik van Informatie- en Communicatietechnologie binnen organisaties neemt nog steeds toe. Omdat de werkzaamheden die met behulp van ICT veel waarde vertegenwoordigen is de continuïteit van dat gebruik van groot belang: de bedrijfsvoering van een organisatie is in het geding. Deze continuïteit is echter niet volledig te waarborgen. Een van de redenen is hiervoor dat ICT niet volledig is af te schermen van (kwaadwillende) derden. Met het beveiligen van ICT kan echter in beginsel een groot deel van dat risico worden afgedekt. Tegenwoordig zijn het gebruik van een firewall, het versleutelen van gegevens en het transporteren van gegevens via beveiligde verbindingen dan ook gemeengoed.

Naast het waarborgen van de continuïteit van het gebruik van ICT worden met het nemen van beveiligingsmaatregelen ook de gegevens die bij dat gebruik worden verwerkt beschermd. Deze gegevens zijn namelijk in veel gevallen niet voor een groot publiek bestemd. Dergelijke gegevens kunnen allereerst voor een organisatie zelf van belang zijn. In dit verband moet bijvoorbeeld worden gedacht aan de administratie of aan bedrijfsgeheimen. Daarnaast kunnen de gegevens die door een organisatie worden verwerkt tevens voor derden waardevol zijn. Dat is met name het geval wanneer het persoonsgegevens betreft. Het kan dan om naam- en adresgegevens gaan, maar ook om bankrekeningnummers of medische informatie. 

De schade die het gevolg is van gebrekkige beveiliging van ICT kan groot zijn. Deze schade kan ten eerste voortvloeien uit het feit dat een organisatie haar bedrijfsvoering niet voort kan zetten. Dit kan bijvoorbeeld het geval zijn wanneer zij bepaalde software niet kan gebruiken. De schade kan ook ontstaan doordat gegevens beschadigd zijn geraakt, wat eveneens de continuïteit van de bedrijfsvoering kan frustreren. Gegevens kunnen echter ook zijn ontvreemd of worden ingezien door een onbevoegde. Een de beschadiging en ontvreemding van gegevens kan naast de organisatie zelf ook de derde op wie de gegevens betrekking hebben raken. Naast dat hiermee de privacybelangen van deze derde kunnen zijn geraakt, is het goed mogelijk dat een organisatie hierdoor te maken krijgt met negatieve publiciteit.

Beveiligingsmaatregelen bestaan uit organisatorische en technische maatregelen. Organisatorische maatregelen beogen het handelen van mensen zo te reguleren dat het gebruik van ICT veiliger wordt. Zo kan een organisatie haar medewerkers verbieden om bedrijfsgegevens naar huis mee te nemen. Technische maatregelen zijn bijvoorbeeld het in gebruik nemen van een wachtwoordsysteem of van een firewall. Daarnaast moet ook het ontwikkelen van zo veilig mogelijke software hieronder worden geschaad. Een organisatie heeft niet altijd zelf de technische kennis in huis om deze maatregelen te treffen, wat de reden is voor het uitbesteden van deze werkzaamheden aan een ICT-dienstverlener.

Het aansprakelijkheidsvraagstuk

Gelet op de grote kosten die verbonden kunnen zijn aan het herstellen van de schade die het gevolg is geweest van een gebrekkige beveiliging, is het belangrijk om na te denken over de vraag wie voor die schade aansprakelijk kan worden gesteld. Er moet met andere woorden bekeken worden wie het beveiligingsrisico dat aan het gebruik van ICT inherent is dient te dragen. Hierboven is gebleken dat grofweg een drietal partijen (een organisatie die van ICT gebruik maakt, haar ICT-dienstverlener en derde personen) betrokken zou kunnen worden bij de bespreking van dit vraagstuk.

De ICT-dienstverlener is van dit drietal degene die vaak verantwoordelijk is voor de technische inrichting van de beveiliging. Fouten in de door hem geleverde software (bijvoorbeeld datalekken) of een slecht ingestelde firewall zijn in de meestal het rechtstreekse gevolg van zijn handelen of nalaten. Wanneer dat het geval is zal de ICT-dienstverlener daarom wettelijk gezien voor de schade die hieruit voortvloeit aansprakelijk kunnen worden gesteld door de organisatie die zijn diensten afneemt. ICT-dienstverleners beperken of exonereren echter vaak in hun leveringsvoorwaarden de aansprakelijkheid voor schade die het gevolg is van verlies en beschadiging van gegevens of computerprogrammatuur. Hierdoor is het in de praktijk voor een organisatie lastig om de schade die zij als gevolg van een slechte beveiliging lijdt op degene die verantwoordelijk is voor de technische kant van het beveiligen te verhalen. Zij zal daarom deze schade vaak zelf moeten dragen, tenzij er aan de kant van de ICT-dienstverlener aantoonbaar sprake is geweest van opzet of bewuste roekeloosheid.

De organisatie kan daarnaast te maken krijgen met derden die door een beveiligingslek worden geraakt. Deze derden zouden de organisatie bijvoorbeeld aansprakelijk kunnen stellen voor het feit dat de gegevens die op hen betrekking hebben in handen van onbevoegden zijn gekomen. Het is voor een organisatie niet altijd mogelijk om aansprakelijkheid voor schade die het gevolg is van het niet goed beveiligd verwerken van gegevens van derden af te wentelen. Op grond van de Wet bescherming persoonsgegevens (Wbp) wordt een organisatie zelfs expliciet aansprakelijk gesteld voor dergelijke schade wanneer die gegevens moeten worden aangemerkt als persoonsgegevens. De Wbp schrijft namelijk in het dertiende artikel van deze wet voor dat een organisatie die persoonsgegevens verwerkt passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Op grond van artikel 49 Wbp vervolgens is de verantwoordelijke aansprakelijk voor schade die ontstaat uit het niet conform de Wbp verwerken van persoonsgegevens.

Interessant is daarbij dat het derde lid van artikel 49 Wbp dwingend voorschrijft dat een bewerker van persoonsgegevens aansprakelijk is voor de schade voor zover deze voortvloeit uit zijn werkzaamheden. De bewerker is degene die ten behoeve van een organisatie (de verantwoordelijke) persoonsgegevens verwerkt. Het is goed mogelijk dat een ICT-dienstverlener als zodanig moet worden aangemerkt. Dit is bijvoorbeeld het geval wanneer hij een back-up van de gegevensbestanden van de organisatie beheert. Indien ICT-dienstverlener een bewerker van persoonsgegevens is kan hij vanwege de dwingende Wbp-voorschriften zijn aansprakelijkheid voor de schade die ontstaat als gevolg van het slecht beveiligen van de gegevens die hij bewerkt niet beperken.

Beveiligen van ICT-gebruik: een noodzakelijke uitdaging

Vanwege de potentieel grote omvang van de schade die kan ontstaan door het niet behoorlijk beveiligen van ICT is het van belang om de maatregelen te treffen waarmee de kans op die schade zoveel mogelijk wordt beperkt. Wanneer de Wbp van toepassing is, is een organisatie daar zelfs wettelijk toe verplicht. Afwachten is dus niet aan te raden. Het nemen van beveiligingsmaatregelen kan echter behoorlijke investeringen vergen. Om te voldoen aan internationale standaarden zoals de ISO code voor informatiebeveiliging zijn is het nemen van grote aantallen technische en organisatorische maatregelen noodzakelijk.

Voor het beveiligen van het verwerken van persoonsgegevens moeten echter niet internationale standaarden, maar de regels uit de Wbp als leidraad worden gebruikt. Deze wet schrijft zoals gezegd passende beveiligingsmaatregelen voor. De omvang van de maatregelen zijn dus afhankelijk van een aantal omstandigheden. Zo is de aard van de persoonsgegevens van belang. Gevoelige medische gegevens dienen bijvoorbeeld beter beschermd te worden dan e-mailadressen. Daarnaast moet ook de stand van de techniek bij deze beoordeling betrokken worden. Wanneer met naar verhouding geringe investeringen het beveiligingsniveau aanzienlijk kan worden verhoogd zal een organisatie hiertoe verplicht moeten worden geacht.

Ten slotte is het nog belangrijk om op te merken dat een groot deel van de beveiligingsproblemen zijn oorzaak heeft in het gebruik van onveilige software. Het maken ontwerpfouten in de software en het onvoldoende testen daarop door de leverancier (een ICT-dienstverlener) zijn daar de oorzaak van. Voor het creëren van een situatie waarin ICT-gebruik veilig is, is het daarom nodig dat ook het gebruik van software door een organisatie geen risicovolle activiteit is.

Juridische maatregelen ter stimulering van veilig ICT-gebruik

Uit het voorgaande blijkt dat in de praktijk de ICT-dienstverlener vaak verantwoordelijk is voor het uitvoeren van de technische maatregelen die nodig zijn voor het beveiligen van ICT. Door exoneratiebedingen in de onderliggende contracten echter is een organisatie die ICT afneemt nog steeds degene die het meeste risico loopt om de kosten die voortvloeien uit de schade als gevolg van een gebrekkige beveiliging te moeten dragen. Een enigszins voor de hand liggende oplossing is daarom het stimuleren van de ICT-dienstverlener tot het faciliteren van veilig ICT-gebruik. Dit kan door een deel van het hiervoor genoemde risico aan hem over te dragen en een streep te zetten door aansprakelijkheidsbeperkingen.

Concreet betekent dit bijvoorbeeld dat een softwareleverancier de verplichting op zich neemt om de geleverde programmatuur uitgebreid te testen op beveiligingslekken. Ook zou in een Service Level Agreement (SLA) kunnen worden afgesproken dat een ICT-dienstverlener die de data van een organisatie wordt toevertrouwd de inspanning levert om deze zo goed mogelijk te beschermen. Met het accepteren van hieruit voortvloeiende aansprakelijkheid wordt een ICT-dienstverlener gedwongen om zich in te zetten voor het faciliteren van veilig ICT-gebruik.

Ten slotte is het van belang dat door een organisatie bekeken wordt of de beveiliging van ICT voldoet aan de van toepassing zijnde wettelijke voorschriften, een activiteit die ook wel wordt geschaard onder het begrip compliance. Het verwerken van persoonsgegevens bijvoorbeeld moet binnen een conform de Wbp voorschreven beveiligde omgeving plaatsvinden. Wanneer voor compliance werkzaamheden een externe auditor of adviseur wordt ingehuurd zou door de organisatie met hem ook afspraken kunnen worden gemaakt over de verdeling van aansprakelijkheden.

Uit het voorgaande is gebleken dat het risico op schade door onvoldoende beveiligd ICT-gebruik kan worden afgedekt met het nemen van (passende) beveiligingsmaatregelen enerzijds en het opstellen van daartoe bijdragende juridische afspraken anderzijds. Omdat De IT-jurist op dit snijvlakgebied opereert kan hij bijvoorbeeld compliance werkzaamheden verrichten. Zo kan hij bijvoorbeeld beoordelen of een set beveiligingsmaatregelen voldoet aan wettelijke voorschriften. Hij kan daarnaast ICT-dienstverleners en ICT afnemende organisaties adviseren over contractuele afspraken waarmee het gebruik van veilige ICT wordt bevorderd.