Cybercrime en cybersecurity, zo innig met elkaar verbonden dat het bijna geliefden lijken. De werkelijkheid is wat minder romantisch. Criminelen vinden steeds weer nieuwe manieren om met behulp van ICT hun slag te slaan. De beveiligingsindustrie draait op volle toeren en de mogelijkheden om systemen en data te beveiligen worden steeds groter. Daarmee ontstaat een duivels dilemma: hoe beter de mogelijkheden tot beveiliging, hoe groter de kans dat het slachtoffer aansprakelijk is voor schade als gevolg van falende beveiliging.
Data is geld waard. Niet alleen de gegevens van klanten (denk aan bankgegevens, koophistorie, etc.) en omzetten, maar ook echte bedrijfsgeheimen, zoals het recept van Coca Cola, hebben een financiële waarde, vooral voor anderen dan de rechtmatige eigenaar. Het is dan ook niet vreemd, dat criminelen hun oog op deze data laten vallen. Die belangstelling is van alle tijden. Bedrijfsspionage is niet nieuw, maar de manier waarop die plaatsvindt wel. Alle informatie is tegenwoordig elektronisch en kan ontsloten worden met behulp van ICT. Meestal ook op afstand, omdat de gebruikte storage-apparatuur in een netwerk hangt.
De achterstand in technologische kennis hebben criminele organisaties inmiddels ingehaald. Het is overigens goed om voor ogen te houden dat ook in cybercrime de gelegenheid vaak de dief maakt. Nog steeds zijn het vaak mensen uit de eigen organisatie of andere nauw betrokkenen die de hand leggen op waardevolle data.
Hoe ver moet je gaan bij beveiliging?
De reactie op deze criminele belangstelling ligt voor de hand. De beveiligingsindustrie draait op volle toeren. Door middel van onder meer encryptie, fysieke en logische toegangsbeveiliging, irisscanners, vingerafdruksensoren, camera’s en data analyses moeten cybercriminelen buiten de (virtuele) deur worden gehouden.
De beveiliging zit de criminelen dicht op de huid. Dat betekent dat er vanuit mag worden gegaan dat een volledige state-of-the-art beveiliging zorgt voor een minimaal risico slachtoffer te worden van cybercrime. Maar goed, state-of-the-art is duur en in allerlei opzichten ook vervelend en onhandig. Immers, ook de reguliere gebruikers hebben last van alle beveiligingsdrempels. De vraag is dus: hoe ver moet je gaan bij beveiliging?
Voor de eigen data is het eenvoudig. De kosten en hinder van beveiliging moeten worden afgezet tegen de kans op een ‘inbraak’ en de schade die het bedrijf daardoor leidt. De zaak wordt complexer wanneer er ook data van of over derden moet worden beveiligd, bijvoorbeeld bij hosting of cloud diensten of indien klant- of patiëntgegevens worden verwerkt.
De vereiste zorgvuldigheid neemt toe
Zodra er iets mis gaat met de gegevens, kan de partij van wie de beveiliging is gebroken aansprakelijk zijn voor de schade die derden daardoor lijden. Dit is het geval wanneer de getroffen beveiligingsmaatregelen niet aan de verwachtingen voldeden. Richting klanten kan dit opgelost worden door in het contract uit te schrijven hoe de beveiliging eruitziet. Daarbij past dan ook een clausule om de aansprakelijkheid te beperken. Bij derden, bijvoorbeeld de klanten van de bank waarvan de systemen worden gehost, ligt dit lastiger. Grofweg, het is richting deze derden onrechtmatig om te handelen in strijd met wat maatschappelijk bezien zorgvuldig is. Wat zorgvuldig is hangt nadrukkelijk ook samen met wat technisch mogelijk is en met wat in de markt gebruikelijk is. Met andere woorden; naar mate de beveiligingsmogelijkheden toenemen, neemt ook het aansprakelijkheidsrisico toe indien die technische mogelijkheden niet worden benut. Deze risico’s moeten worden meegenomen bij de besluitvorming over het niveau van de te treffen beveiliging.
Patrick Wit is ICT-recht advocaat en partner bij het Amsterdamse advocatenkantoor Kennedy Van der Laan
