Nieuwe risico’s in het aansprakelijkheidsrecht: cyberrisks

ICT en internet zijn niet meer weg te denken uit onze samenleving. Bijna ieder bedrijf, groot en klein, is afhankelijk van computers en internet. We staan met gemak allerlei gegevens af, die vervolgens in razend tempo worden gedeeld en verspreid. Aan de ene kant zorgt deze digitalisering voor nieuwe kansen: bedrijven kunnen overal ter wereld hun gezicht laten zien, dienstverlening wordt gemakkelijker. Aan de andere kant brengt de digitalisering nieuwe risico’s met zich mee. De afhankelijkheid van bijvoorbeeld internet maakt ons kwetsbaar, en vaak kwetsbaarder dan gedacht.

De laatste tijd is geregeld sprake geweest van ‘digitale incidenten’. Denk bijvoorbeeld aan het nieuws over Ddos-aanvallen op de websites van banken en overheidsinstellingen die daardoor onbereikbaar werden, het hacken van KPN waardoor deze haar internetservice tijdelijk afsloot, de brand in de telefooncentrale van Vodafone met als gevolg dat haar klanten dagenlang niet konden bellen en sms’en. Ook is het hacken van Diginotar niet ongemerkt voorbij gegaan en kreeg de computerstoring een ziekenhuis, waardoor operaties moesten worden uitgesteld, de nodige aandacht in de media.

Deze incidenten kunnen grote invloed hebben op bedrijven, zowel op financieel gebied als het op het gebied van imago. Uit onderzoek van TNO blijkt dat de schade door cybercriminaliteit in Nederland 10 miljard euro per jaar bedraagt. Daarnaast kan een tot dan toe vlekkeloze reputatie opeens onderwerp van twijfel worden: is ons geld nog wel veilig bij de bank? Blijft het noodnummer wel altijd bereikbaar? Kan ik nog wel vertrouwen op operatieapparatuur? Wie is er juridisch eigenlijk verantwoordelijk als het fout gaat?

Deze laatste vraag is niet eenduidig te beantwoorden. Digitale problemen kunnen immers verschillende oorzaken hebben. Enerzijds bestaat er de bekende cybercriminaliteit, maar anderzijds kunnen problemen ook worden veroorzaakt door technische problemen zoals storingen, of door menselijke fouten, bijvoorbeeld indien (beveiligings)software niet tijdig wordt geüpdate of indien programma’s foutief worden geïnstalleerd.

De Europese Commissie werkt inmiddels aan nieuwe wetgeving, waarin een meldplicht voor datalekken wordt ontwikkeld. Bedrijven die te maken hebben met een datalek, worden verplicht om binnen 24 uur te melden om wat voor lek het gaat, of en zo ja hoeveel persoonsgegevens er in het geding zijn, hoe ze het lek denken te gaan dichten en hoe ze problemen in de toekomst willen voorkomen. Schending van deze meldplicht heeft een boete tot gevolg die kan oplopen tot 2% van de wereldwijde jaaromzet. Niet alleen bij grote, internationale bedrijven kunnen deze boetebedragen daarom enorm zijn, denk ook aan zorginstellingen, banken, verzekeraars, gemeenten en provincies.

Bovenstaande ziet met name op het lekken van data. Maar wat als een bedrijf, bijvoorbeeld een webwinkel, schade lijdt doordat het geen gebruik kan maken van betalingsverkeer, omdat de bank te kampen heeft met een Ddos-aanval? Dient de bank dan de schade van het bedrijf te vergoeden? En is het de plicht van een bank om toezicht te houden op hun netwerk- en informatiebeveiliging?

Zo zijn er tal van voorbeelden te noemen die dergelijke vragen oproepen. Civiele aansprakelijkheid in verband met cyberrisks kan voortvloeien uit bijvoorbeeld wanprestatie (toerekenbare tekortkoming, artikel 6:74 BW) of uit onrechtmatige daad (artikel 6:162 BW). Daarnaast bestaan er strafrechtelijke gronden waarmee een bedrijf te maken zou kunnen krijgen (bijvoorbeeld artikel 161septies Sr) .

Het (cyber)risicobewustzijn is momenteel in Nederland nog laag te noemen. Zo is het nog niet gebruikelijk om als bedrijf tegen dergelijke risico’s verzekerd te zijn. Deze verzekeringen worden langzaam maar zeker steeds meer aangeboden.

Deze bijdrage vormt een opmaat voor een serie artikelen, waarin op de hierboven gestelde vragen nader wordt ingegaan.

Dirkzwager houdt de ontwikkelingen op het gebied van cyberrisks, alsmede de verzekerbaarheid daarvan, goed in de gaten en kan adviseren over de meest actuele stand van zaken. Uiteraard kunt u bij vragen hierover contact met ons opnemen.