Informatiebeveiliging in diverse bestaande wetten
Wie online nieuws volgt krijgt soms het beeld dat er pas in recente wetten opeens aandacht is voor informatiebeveiliging. Het onderwerp is echter al veel langere tijd in beeld in het recht.
Vanuit privacyrechtelijke optiek is beveiliging al lang in beeld. Zo stond in de oude Wet persoonsregistraties (van kracht tussen 1989 en 2001) in artikel 8 bijvoorbeeld al een verplichting opgenomen om “de nodige voorzieningen” te treffen ter beveiliging van een persoonsregistratie. Dit evolueerde tot de plicht om “passende” maatregelen te treffen om persoonsgegevens te beveiligen in artikel 13 Wet bescherming persoonsgegevens in de periode 2001-2018. En tegenwoordig kennen we het sterk hierop gelijkende artikel 32 AVG.
In veel sectorale wetgeving staan specifieke voorschriften. Denk aan bijvoorbeeld de Good Practice Informatiebeveiliging en binnenkort DORA voor de financiële sector, de verplichting voor openbare aanbieders van netwerken en communicatiediensten deze goed te beveiligen uit artikel 11.3 Telecommunicatiewet en de verplichtingen uit de Wet beveiliging netwerk- en informatiesystemen voor essentiële en vitale aanbieders.
Ook vanuit heel andere optiek is informatiebeveiliging al lang een onderwerp. Bij de verplichte accountscontrole die grote ondernemingen moeten ondergaan rust op de accountant al sinds 1993 (!) de plicht om te rapporteren over “bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking” (artikel 2:393 lid 4 BW). In de verschillende versies van Nederlandse Corporate Governance codes komt ook de aandacht voor informatiebeveiliging terug.
De eisen die vanuit laatstgenoemde documenten inzake goed bestuur worden gesteld, kunnen vervolgens – ook voor kleinere ondernemingen – weer “doorsijpelen” bij de vraag of het bestuur een persoonlijk verwijt kan worden gemaakt en dus zelf, in privé, aansprakelijk is (vgl. ECLI:NL:HR:1997:ZC2243, voorheen LJN ZC2243, Hoge Raad, 16145).
De EU Digitale Agenda
Op EU niveau neemt de aandacht voor informatiebeveiliging en daarmee verband houdende risico’s de laatste tijd enorm toe. De EU heeft de EU Digitale Agenda gelanceerd en digitale veiligheid is hierin een van de grote pijlers.
In de diverse wetten die worden geïntroduceerd komt veiligheid bijna steeds terug. Of het nu gaat om producten, diensten, netwerken, daaraan aanpalende dienstverlening, bedrijven en instellingen in vitale sectoren, etc.: steeds is de boodschap dat de lat omhoog gaat en dat de veiligheid moet worden verbeterd.
Het zijn vooral deze recente initiatieven die nu veel het nieuws halen en die soms doen denken alsof informatiebeveiliging nu pas opeens in de wet staat. Zoals hiervoor aangegeven is het onderwerp echter eenvoudig tot (in ieder geval) 1993 terug te herleiden.
Steeds meer procedures over schade bij privacyschending
Met al die aandacht voor informatiebeveiliging en wetgeving over digitale zaken is het niet verrassend dat het aantal rechtszaken over het onderwerp ook toeneemt.
Bij het Hof van Justitie van de EU zijn de afgelopen tijd een hele verzameling zaken voorbij gekomen over de vraag hoe en wanneer er nu precies sprake is van schade bij een privacyschending. Lees bijvoorbeeld een blog over een van deze arresten en bekijk een overzichtsblog an alle toegewezen schadevergoedingen.
Sinds enkele jaren is het in Nederland mogelijk collectief te procederen. Het is opvallend dat een flink deel van de collectieve procedures die nu worden gevoerd een privacyaspecten kent.
Recent voorbeeld: een gehackte garage
Voor het Gerechtshof Arnhem-Leeuwaarden werd recent een zaak gewezen die in één klap de risico’s goed duidelijk maakt.
De casus is in de kern heel overzichtelijk. Een Australische man die woont en werkt in Nederland koopt bij een Nederlandse garage een auto. Er wordt per e-mail en telefoon onderhandeld en er worden wat gegevens per e-mail uitgewisseld. Na wat mailwisseling over tenaamstelling en eerste aanbetaling volgt een mail met het verzoek het resterende bedrag van € 26.900 te betalen. Die laatste mail met het verzoek het restantbedrag te betalen was verstuurd door een hacker, die was binnengedrongen in de systemen van de garage. Toen de koper uiteindelijk de auto wilde ophalen bleek dat er niet aan de garage, maar aan de hacker was betaald.
Bij de rechtbank in eerste aanleg was er een hele discussie over valse betaalinstructies en voor wiens risico het nu komt dat er verkeerd betaald is. Het komt er – vrij vertaald – op neer dat de rechtbank van oordeel is dat de koper beter had kunnen opletten en niet ‘zomaar’ een fors restantbedrag op een andere rekening had moeten betalen.
In hoger beroep keert de kwestie echter 180 graden. In hoger beroep gaat de discussie veel meer over de plicht om de mailbox goed beveiligd te houden. Het Hof stelt – in lijn met rechtspraak van het Hof van Justitie – vast dat het enkele feit dat de mailbox was gehackt vast nog niet betekent dat de beveiliging niet adequaat was, maar dat laat onverlet dat op de garage op grond van de AVG een plicht rust tot passende beveiliging dat de garage ook zal moeten onderbouwen dat de beveiliging passend was.
Het Hof constateert vervolgens dat de garage onvoldoende heeft kunnen verklaren hoe de hack nu heeft kunnen plaatsvinden en ook maar summier onderbouwt hoe de beveiliging nu eigenlijk geregeld was. Dat de garage de beveiliging in feite uitbestede aan haar IT-beheerder en er zelf kennelijk weinig op toe zag, wordt de garage voorlopig tegengeworpen. De garage krijgt echter de kans om alsnog te onderbouwen dat de beveiliging wel degelijk aan de maat was.
Vooruitlopend op een finaal oordeel merkt het Hof alvast op dat de garage zich niet kan bevrijden van haar aansprakelijkheid als ze niet slaagt in het bewijs dat de beveiliging toch op orde was. Het zijn in die zin communicerende vaten: of de beveiliging was op en er is geen aansprakelijkheid, of de beveiliging was niet op orde en de aansprakelijkheid is gegeven. Wel acht het Hof denkbaar dat de schade uiteindelijk nog wordt gematigd uit hoofde van eigen schuld.
Deskundigheid uitbesteden aan derde partij
In dit geval had de garage de IT uitbesteed aan een externe partij. De garage leek in wezen heel sterk op de IT-deskundigheid van dat bedrijf te leunen.
Het is ergens helemaal niet vreemd dat de garage leunt op externe deskundigheid. Een garage is immers goed in wat garagisten plegen te doen, niet per se in IT. Zo hebben bijna alle bedrijven in Nederland hun IT wel in meer of mindere mate uitbesteed. Tegelijkertijd zie je dat het Gerechtshof het toch iets ‘gemakkelijk’ vindt dat de garage zich achter die externe IT-leverancier verschuilt.
Het kan maar zo zijn dat de kwestie nog een verder staartje krijgt, namelijk een waarbij de garage het IT-bedrijf aanspreekt. Het zal dan aankomen op de vraag wat er precies tussen partijen is afgesproken. Mogelijk dat de zorgplicht van IT-leveranciers nog een rol kan spelen bij het verder ‘inkleuren’ van die verplichtingen. Van de zorgplicht moeten echter ook weer geen wonderen worden verwacht in een dergelijk geval: wie bewust de goedkoopste variant inkoopt krijgt er niet ‘via’ de zorgplicht alsnog een luxe versie van geleverd. Let dus goed op wat u precies inkoopt. Bovendien is niet ondenkbaar dat in de onderliggende voorwaarden het IT-bedrijf iedere aansprakelijkheid heeft weggecontracteerd.
Slotopmerking
Informatiebeveiliging is een belangrijk onderwerp voor alle bedrijven en instellingen. Het staat al zeker sinds de jaren 90 in de wet en krijgt de laatste tijd alleen maar meer aandacht. Wie de boel nu nog niet op orde heeft, heeft zitten slapen. De garage in het laatste voorbeeld laat ook zien hoe snel het mis kan gaan: één hacker die één mailtje stuurt veroorzaakt hier al voor € 26.900 aan schade. Een hacker die de werkzaamheden wat ‘opschaalt’ kan vermoedelijk een veelvoud verdienen. Laat het u niet overkomen en voorkom claims. Koop deskundigheid in en toets ook kritisch wat u nu eigenlijk inkoopt, inclusief de onderliggende contracten. Wij denken hierover graag met u mee.
