Cyber Security Raad: schade door slechte beveiliging zal vaker worden verhaald

De Nederlandse Cyber Security Raad verwacht dat bedrijven in de toekomst vaker aansprakelijk gesteld zullen worden voor gebrekkige beveiliging. Daarnaast constateert de organisatie dat Nederlandse bedrijven te weinig doen om hun systemen en producten te beveiligen.

Lokke Moerel, als hoogleraar ict-recht in Tilburg en advocaat bij Morrison & Foerster verbonden aan de CSR, zegt dat deze verwachting voortkomt uit een aantal factoren. Zo is er meer helderheid over het feit dat bedrijven plichten hebben om te zorgen voor een adequate beveiliging van hun producten en diensten. Daarnaast zijn er steeds meer belangenorganisaties die zich inzetten voor de bescherming van de privacy van burgers en die zich toeleggen op het indienen van claims bij bedrijven. "Ook de meldplicht datalekken speelt daarbij een belangrijke rol, omdat hierdoor datalekken bekend moeten worden gemaakt, zodat burgers hun rechten kunnen uitoefenen", aldus Moerel.

Verder is zij van mening dat er geen nieuwe regels nodig zijn om bedrijven aansprakelijk te stellen voor gebrekkige beveiliging. "Het huidige Burgerlijk Wetboek is gemaakt om mee te bewegen met nieuwe ontwikkelingen in de maatschappij en daar zal de Hoge Raad in meegaan. Bij elke nieuwe techniek wordt er weer gevraagd om nieuwe regels, die achteraf vaak niet nodig blijken te zijn. Zo heeft de Hoge Raad al uitgemaakt dat de aansprakelijkheid voor standaardsoftware geleverd via het internet of op een gegevensdrager gewoon onder de huidige koopregels valt. Er zijn op het moment nog geen honderden rechtszaken waar wij op kunnen terugvallen, maar die komen er wel."

De Cyber Security Raad heeft woensdag een 'handreiking' gepubliceerd waarin de verschillende zorgplichten worden genoemd die gelden voor bedrijven. Zo zijn bedrijven die persoonsgegevens verwerken, verplicht deze gegevens van een degelijke beveiliging te voorzien. Deze eis vloeit voort uit de Wet bescherming persoonsgegevens. De Autoriteit Persoonsgegevens heeft hiervoor verschillende beleidsregels gepubliceerd.

Daarnaast geldt een zorgplicht voor bedrijven die gebruikmaken van ict. Zo mogen zij bijvoorbeeld niet 'opzettelijk of bewust roekeloos gebruikmaken van ict waarvan de cybersecurity sterk tekortschiet'. Mochten er door dergelijk gebruik problemen ontstaan, dan zou een bedrijf zich volgens de handreiking niet kunnen beroepen op de uitsluiting van aansprakelijkheid in hun contracten.

Een derde scenario geldt voor bedrijven die zelf producten of diensten ontwikkelen met een 'ict-toepassing'. Zo moeten de producten aan de verwachtingen van de koper voldoen. Het voorbeeld wordt genoemd van een smartphone of een draadloze autosleutel, die over een 'basisbeveiliging tegen hacken' moet beschikken. De Nederlandse toezichthouder ACM zei daarover eerder dat telefoonretailers in ieder geval de klant moeten voorlichten als zij een telefoon verkopen die geen updates meer krijgt.

De CSR schrijft verder in zijn bericht dat er voor het kabinet en de ondernemersorganisatie VNO-NCW een taak is weggelegd om degelijke beveiliging te stimuleren. Zo kan de politiek bijvoorbeeld het bedrijfsleven aansporen tot zelfregulering. Het algemene beeld in de mededeling van de CSR is dat Nederlandse bedrijven te weinig ondernemen om te zorgen voor adequate beveiliging.

IT-banen

Reacties (36)

Lennyz 5 april 2017 11:43

De meeste interessante vraag die nog open staat en altijd voer voor discussie zal zijn:

Wanneer heeft iemand voldoende beveiliging om niet aansprakelijk te zijn?

Als voorbeeld een eenmanszaak die ik ken:

- Host zijn e-mail via Google Apps.
- Draait up-to-date software op zijn pc.
- Heeft de bestanden op een up-to-date Synology staan.
- Alles draait achter een router
- Zijn telefoon beschikt over de laatste software

Wat kan er dan nog meer van een normaal persoon worden verwacht? Zou deze persoon dan aansprakelijk zijn voor schade mocht hij gehackt worden?

[Reactie gewijzigd door Lennyz op 22 juli 2024 17:34]

Koekiemonsterr @Lennyz • 5 april 2017 11:57

Wanneer een bedrijf voldoende beveiliging heeft aangebracht om aansprakelijkheid te kunnen 'afweren', zal sterk afhangen van de specifieke feiten en omstandigheden van het geval.

De rechter zal per geval moeten beoordelen of de feiten aanleiding geven tot de conclusie dat de wettelijke voorschriften al dan niet zijn geschonden. Je kan hier moeilijk een algemeen antwoord op geven, gelet op de enorme verscheidenheid aan ict-producten en de vele manieren om die te beveiligen.

Lennyz @Koekiemonsterr • 5 april 2017 12:04

Dat klopt inderdaad. Het zal per geval afhangen, maar het lijkt mij dat als je software up-to-date is dat je al bijna voldoende doet om niet aansprakelijk te zijn.

Daarbij is het altijd de vraag hoe erg het is om in het geval van data lekken aansprakelijk gesteld te worden. Want wat is nu de schade als bijvoorbeeld iemands privé gegevens lekken? Buiten het feit dat het vervelend kan zijn is er weinig tot geen directe schade.

cadroni @Lennyz • 5 april 2017 12:19

Ligt eraan welke privégegevens gelekt zijn. Het vervelende is dat dit jaren later pas voor schade kan zorgen. Ook zijn de gevolgen van de lek soms niet zichtbaar.

Als voorbeeld:

Je bent bijvoorbeeld aan het solliciteren en een van de bedrijven waarbij je hebt gesolliciteerd gaat even op internet wat gegevens over je zoeken en vinden hierbij je gelekte gegevens. Ze nodigen je gewoon daardoor niet uit voor een gesprek vanwege inhoud van de gelekte gegevens.

Dit kom je bijna nooit te weten.
Maar zou wel een gevolg kunnen zijn.
Maar is ok zeer afhankelijk van de gelekte gegevens waarbij medische en strafrechtelijke gegevens heel zwaar kunnen wegen.

[Reactie gewijzigd door cadroni op 22 juli 2024 17:34]

GreatDictator @Koekiemonsterr • 5 april 2017 23:14

Inderdaad. Dit is een gelijksoortige vraag als of een persoon nalatig is geweest, of zorgvuldig heeft gehandeld. Prima door het rechtssysteem af te handelen, en daaruit zullen richtlijnen voortkomen.

Daniel_Elessar @Lennyz • 5 april 2017 11:48

Dat lijkt me inderdaad ook een goede vraag. Een normale eenmanszaak zal geen fysieke firewall draaien. Als hij alles al via een Syn nas doet of direct alles in de cloud bij Google/MS dan kun je ervan uitgaan dat als hij sterke wachtwoorden en 2factor author. gebruikt hem niks verweten kan worden.

Mr.Aargh @Lennyz • 5 april 2017 11:50

Nee,
maar hij kan zijn leveranciers (Google, Synology) wel aansprakelijk stellen op basis van het hier boven genoemde.

SpoekGTi @Lennyz • 5 april 2017 12:52

Encryptie op mail?
Encryptie op nas?

Ulysses @SpoekGTi • 5 april 2017 15:56

Mag ik even onderbreken, lang verhaal, wat ik begrepen heb uit wetgeving is dat er een redelijke inspanning verricht moet zijn om binnendringers af te weren. Encryptie is over the top en heeft ook niet veel zin op een NAS. Een redelijke inspanning is meestal al de handleiding even lezen en het standaard wachtwoord veranderen. Maar zelfs in het geval waarin het standaard wachtwoord werd gebruikt op een ziekenhuis server in het verleden werd degene die "doelbewust een zichtbaar aangebrachte beveiliging zonder toestemming doorbrak" schuldig bevonden.

grasnek @Ulysses • 5 april 2017 17:41

Of een systeem beveiligd is of helemaal niet, je mag er niet op inbreken. Natuurlijk wordt zo iemand schuldig bevonden. Dat betekent nog niet dat de eigenaar van het systeem daardoor niet nalatig is geweest.

Twanne @grasnek • 6 april 2017 10:00

Inderdaad, ook het 'slachtoffer' kan hier schuldig zijn.

In België kan je bijvoorbeeld ook een boete krijgen voor het niet afsluiten van je wagen. Maar dat neemt niet weg dat iets uit de auto stelen nog steeds strafbaar blijft. Beiden zijn dan dus in fout.

Verwijderd @Lennyz • 5 april 2017 12:31

Als jij een Word document met een macro opent en je klantgegevens worden opbaar dan willen de advocaten dat je geld betaald. Zij willen dan weer dik geld verdienen door de slachtoffers bij te staan als deze tegen jou procederen.

Lennyz @Verwijderd • 5 april 2017 13:01

Dat mogen ze willen, maar dan is nog steeds de vraag wat nu de schade is. Die zal er namelijk bijna nooit zijn.

gamezfreak @Lennyz • 5 april 2017 13:59

De meeste interessante vraag die nog open staat en altijd voer voor discussie zal zijn:

Wanneer heeft iemand voldoende beveiliging om niet aansprakelijk te zijn?

Als voorbeeld een eenmanszaak die ik ken:

- Host zijn e-mail via Google Apps.
- Draait up-to-date software op zijn pc.
- Heeft de bestanden op een up-to-date Synology staan.
- Alles draait achter een router
- Zijn telefoon beschikt over de laatste software

Wat kan er dan nog meer van een normaal persoon worden verwacht? Zou deze persoon dan aansprakelijk zijn voor schade mocht hij gehackt worden?

Ik heb een tijdje gewerkt als support medewerker bij Mediamarkt. Geloof me, er zijn zat mensen die hun PC niet up to date houden, niet weten hoe zij een backup moeten maken op een Synology NAS, weten zelfs niet eens wat een router is, laat staan dat zij weten hoe zij hun telefoon up to date moeten houden... Qua omgang kunnen de meeste zich wel redden, echter met de lastigere zaken (up to date houden van OS, software e.d. backups instellen) kunnen ze niet. Ja, je kan automatische updates installeren, maar er zijn altijd mensen die op die reclames klikken met dat hun OS of AV niet up to date is...

De meeste mensen leren alleen omgaan met het apparaat, maar de achterliggende techniek en/of beveiliging is nihil. Ik weet nog dat ik een computer scande en waarna meer dan 30.000 (ja, ik meen het) virussen op stonden... diegene had geen AV, en wist niet eens dat, dat moest...

Vooral de ouderen die langzamerhand kunnen omgaan met smart devices (tablets, smartphones, laptops e.d.) verwacht ik, dat zij de technologie en de achterliggende gedachtes, niet bij kunnen benen. Vooral als het gaat om de beveiliging ervan. Ook steeds meer jongeren zien de beveiliging als iets wat niet belangrijk is...

Als IT'er kan je het misschien nog bijbenen, maar jongeren of ouderen, niet echt. Vaak heeft dat ook te maken met het interesse gebied.

Maarja, ik vind dat je dan moet kijken naar, ligt het aan de bedrijf of aan de gebruiker? Heeft de gebruiker geen AV en/of geen enige vorm van beveiliging (behalve Windows Defender), dan is het de schuld van de gebruiker. Heeft het bedrijf geen stappen genomen om de beveiliging zo goed mogelijk te maken, dan is het de schuld van het bedrijf.

^{Edit: typo's}

[Reactie gewijzigd door gamezfreak op 22 juli 2024 17:34]

Ulysses @gamezfreak • 5 april 2017 16:00

virussen op stonden... diegene had geen AV, en wist niet eens dat, dat moest...

In het geval van Windows 8 t/m heden is dat ook geen eis / moeten want zit het gewoon bij het besturingssysteem in.

Daniel_Elessar @gamezfreak • 5 april 2017 16:26

Sommige mensen zijn inderdaad zo. Maar genoeg studenten die ook niet zo goed weten hoe dingen werken. Of er gewoon de moeite niet voor nemen om iets eraan te doen.

Echter toch ook een klein beetje kritiek op je post: Windows Defender is een behoorlijke goede scanner. Ze hebben er de afgelopen jaren veel geld in gestopt en dat is te merken, ze zijn beter dan menig betaalde AV. Maar goed

CivLord

@Lennyz • 6 april 2017 09:09

De meeste interessante vraag die nog open staat en altijd voer voor discussie zal zijn:

Wanneer heeft iemand voldoende beveiliging om niet aansprakelijk te zijn?

Als voorbeeld een eenmanszaak die ik ken:

- Host zijn e-mail via Google Apps.
- Draait up-to-date software op zijn pc.
- Heeft de bestanden op een up-to-date Synology staan.
- Alles draait achter een router
- Zijn telefoon beschikt over de laatste software

Wat kan er dan nog meer van een normaal persoon worden verwacht? Zou deze persoon dan aansprakelijk zijn voor schade mocht hij gehackt worden?

Het is altijd een afweging tussen risico en inspanningen, net als in de fysieke wereld.
Voor een normale winkel is een normaal slot op de voordeur voldoende, maar voor een bank met kluisjes zijn meerdere stevige deuren met speciale sloten nodig.

bousix 5 april 2017 12:41

mijn garage biedt een website en een vooraf ingesteld account. inlognaam en wachtwoord komen in 1 mail voorbij. letwel; dat speelt deze week dus, april 2017. de website login gaat via een http verbinding en Chrome meldt dat er hier sprake is van een onbeveiligde verbinding. vervolgens zie ik allerlei gegevens van mijzelf online, waaronder mijn geboortedatum, kenteken, adres uiteraard etc.

diezelfde garage sprak ik in 2011 al eens hierop aan; toen was het argument dat via iframes er wel degelijk https verkeer gegenereerd zou worden en alles prima veilig was. mijn account werd toen -op mijn nadrukkelijke verzoek- verwijderd.

heb gisteren gevraagd wat ze er zelf van vinden als hun klanten een Chrome melding krijgen, waarin staat dat hun garage een onveilige website gebruikt voor het gebruik van persoonlijke gegevens. let wel; dit is een grote onderneming, meerdere garages.

maar mijn vraag is nu: HOE breng ik mijn schade in kaart? en hoe verhaal ik die? het leed is tenslotte mogelijk al geschiedt.

wica @bousix • 5 april 2017 12:51

Mijn tip.
E-mail de betreffende garage met in de mail wat je constateerd.
Zet het volgende in je CC: cert@ncsc.nl

Maakt meer indruk, en als ncsc het erg genoeg vind, kunnen ze een brief verwachten met handige tips

Zo heb, ik onder andere KPN Interned Service gedwongen iets aan te passen met plaintekst wachtwoorden.

verdroidnogaan2 @wica • 5 april 2017 13:45

Ik denk dat cert@ncsc.nl niet zal reageren. Deze toko houdt zich op een ander niveau met dit soort ongein bezig:
"Het NCSC heeft een Nationaal Cyber Security Operations Center (NCSOC) dat 24 uur per dag 7 dagen per week opereert als meldpunt voor cyberincidenten. Het NCSOC signaleert daarnaast nieuwe cyberdreigingen en ict-kwetsbaarheden en voorziet haar netwerk van opvolgbare informatie in de vorm van beveiligingsadviezen.

Het NCSC is tevens de Computer Emergency Response Team (CERT) voor de Rijksoverheid en organisaties binnen de kritieke infrastructuur. Specifiek voor deze partners biedt het NCSC 24-uurshulp aan. Die hulp is afhankelijk van de situatie, en kan bestaan uit:

telefonische intake van incidenten door specialisten
advies over de afhandeling van ICT-incidenten
analyse van kwaadaardige software (malware), om de aard en ernst van een infectie te bepalen
een inschatting van gelekte informatie
inschakelen van ons (inter)nationale netwerk
inzet van gespecialiseerde software voor logging en bestrijding van malware
ondersteuning van eigen technische medewerkers
ondersteuning van management van betreffende organisatie door ervaren incident response managers
assistentie ter plaatse

Het NCSC richt zich op de doelgroep Rijksoverheid en aanbieders van vitale processen. Organisaties behorende tot deze doelgroep kunnen binnen en buiten kantooruren contact opnemen met het NSCOC en CERT via cert@ncsc.nl. Algemene vragen kunnen worden gesteld via info@ncsc.nl."
https://www.ncsc.nl/incident-response/24-uurshulp.html

Beter meteen bij de juiste instantie melding maken:
"Tip ons
Hoe gaan organisaties in de praktijk om met uw privacy? Houden zij zich aan de wettelijke regels voor de bescherming van persoonsgegevens? Dat wil de Autoriteit Persoonsgegevens (AP) graag weten. Valt u iets op? Geef ons dan een tip. Dat helpt ons om hier goed zicht op te krijgen. Met uw tip kunt u bijdragen aan de bescherming van de persoonsgegevens van alle Nederlanders.

Bij Het werk van de Autoriteit Persoonsgegevens leest u wat wij met uw tips doen. Uw tip kan bijvoorbeeld reden zijn om een onderzoek te starten."
https://autoriteitpersoon...-persoonsgegevens/tip-ons

SpoekGTi @bousix • 5 april 2017 12:55

1. Dat is een aanname, immers een selfsigned certificaat zal nooit geaccepteerd worden door een grote authoritie terwijl de verbinding misschien prima beveiligd.

En 2. Krijg je de melding expliciet in Chrome of ook nog in andere browsers.

Ik ben het met je eens dat je login credentials en inlog portal niet in 1 mail wil proppen.

Wat moet je garage trouwens met je geboortedatum......

Lennyz @bousix • 5 april 2017 12:59

Dat is een goede vraag. Wat is je schade? Die is er namelijk niet. Zelfs als er een lek is, dan kan de garage wel aansprakelijk zijn, maar schade is er niet.

TheDiver @Lennyz • 5 april 2017 13:47

Wat dacht je van imagoschade of economischeschade .... niet direct zichtbaar maar weldegelijk aanwezig.

Lennyz @TheDiver • 5 april 2017 14:04

Ik zie niet in hoe het lekken van naam, geboortedatum, kenteken, adres imagoschade of economische schade kan opleveren. De ene uitzondering daargelaten. Het is niet gewenst dat het gebeurt, maar dat betekent niet dat er schade is.

TheDiver @Lennyz • 6 april 2017 14:33

Identiteitsdiefstal .... Naam en geboortedatum is al voldoende om achter een BSN te komen.

Verwijderd 5 april 2017 11:36

Leuk allemaal, maar er zijn legio onveilige ICT producten uit China en naar mijn weten is de verkoop ervan nog nooit verboden.

Dus dit is alleen maar weer een manier van advocaten om binnenlandse bedrijven geld af te troggelen met rechtszaken.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:34]

RoestVrijStaal @Verwijderd • 5 april 2017 11:46

Het nare is dat een campagne om geen ICT producten uit China te kopen weer gezien wordt als marktprotectionisme wat Brussel weer niet leuk vindt

Yamotek @RoestVrijStaal • 5 april 2017 14:17

Hoeft niet, er kan ook worden aangestuurd op een keurmerk wat veiligheid garandeert. Chinese handelaren kunnen hier ook aan mee doen als ze willen.

Dit valt of staat natuurlijk wel met hoe betrouwbaar en hoe betekenisvol het keurmerk is. Mocht het lukken dan is het wel een goede manier voor de normale consument om te kijken wat veilige producten zijn en wat niet.

FreezeXJ @Verwijderd • 5 april 2017 12:50

Tja, maar dat dwingt die 'binnenlandse bedrijven' wel om orde op zaken te stellen, waarna mensen dat gaan verwachten, en ook proberen de Chinezen aan te klagen. Eventueel kunnen we een importverbod ertegenaan gooien, want het voldoet niet aan de regels (probeer maar eens een Nolex-horloge of een iPhona van een tientje te importeren, dan krijg je ook de douane op je dak).

Er gaat dan een kwaliteitsverschil ontstaan dat we gaan merken, want als burgers straks ook aangeklaagd kunnen worden omdat ze brakke meuk gebruiken, denk ik dat ofwel de Chinezen keurig volgen met beveiliging, ofwel mensen beperkter Chinees shoppen. Het risico wordt immers te groot.

Ulysses @FreezeXJ • 5 april 2017 15:47

Ik snap even niet wat de relevantie van handelspartner China is in deze? Waarom zou daar per definitie onbetrouwbare 'meuk' vandaan komen?
Het artikel gaat toch echt over onze lokale soevereine wetgeving dacht ik. Dus

Annihlator @Verwijderd • 5 april 2017 15:57

Het heeft geen zin om productkoop te verbieden om meerdere redenen, de belangrijkste zijnde;

Als je producten blijft verbieden, zal dat alleen maar motiveren tot het uitstel van de bewustwording in hoe veilig of onveilig een-ieder apparaat zal zijn. Dat dat proces op gang komt is zelfs wel heel belangrijk, anders blijft het dweilen met de kraan open

Verwijderd @Annihlator • 5 april 2017 16:11

Door producten te verbieden dwing je producenten en leveranciers / importeurs om veilige producten te leveren.

Als een importeur tienduizend IP camera's moet terugnemen dan zal dit een enorme financiële strop voor hem zijn. Dan kijkt deze wel twee keer uit voordat hij dit soort troep nog hier naartoe haalt.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 17:34]

Annihlator @Verwijderd • 5 april 2017 16:44

Dat is m.i. geen redelijke manier om daar tegenaan te kijken; dat die apparatuur zo geleverd wordt komt door de oerdomme klantvraag om apparatuur waarbij allerlei functionaliteit zo "out of the box" zou werken, anders verkoopt het apparaat nieteens.

Dat is ook wat het tot dweilen met de kraan open zou maken; je hebt een glazen bol nodig om de domme setups die gebruikers zouden maken vooraf in te zien.

De enige die weet welke functies verlangd worden is de eindgebruiker, dus enkel die kan daarin een verdere afweging maken. Dat is een stuk verantwoording die ze kunnen blijven afschuiven, maar daar los je het probleem niet mee op.

Je gaat via deze weg apparatuur verbieden omdat mensen (als analogie) een plastic postbus als kluis pogen in te zetten... moeten we dan echt de fabrikant van de brievenbus verwijten dat die niet zo veilig is als een kluis? Neen.

CivLord

@Verwijderd • 6 april 2017 08:58

De aanbieder/ importeur van dergelijke producten is verantwoordelijk.
Koop je dergelijke producten bij een Nederlandse handelaar, kun je bij hem terecht wanneer het product niet deugt. Dat is niet anders dan wanneer kinderspeelgoed giftige verf bevat waarvan het gif vrijkomt wanneer een kind er op gaat sabbelen.
Koop je zelf als particulier zo'n product ik China, dan ben je zelf verantwoordelijk. Je neemt zelf het risico dat het product niet deugt door de keuze te maken om het goedkoop uit China te halen.

wica 5 april 2017 12:46

Waarom staat er niets in omtrent website's van bedrijven. Waardoor je geinfecteerd kan raken. Ik denk o.a. aan reclame .

CAPSLOCK2000

Security
Netwerk en systeembeheer

5 april 2017 14:03

Dit zou wel eens heel hard kunnen gaan. De software-industrie is al decennia lang praktisch onaantastbaar. Ze schuiven alle verantwoordelijk van zich af via contracten, gebruikersvoorwaarden of technobabbel. Het is haast niet mogelijk om software te krijgen waarbij de leverancier echt garant staat voor de werking en al helemaal niet voor een prijs die betaalbaar is voor normale stervelingen.

Ergens is het heel begrijpelijk, software is complex en maakt vrijwel altijd gebruik van een hoop externe modules waar de applicatieprogrammeur eigenlijk geen controle over heeft. Ik zou ook niet weten hoe ik betrouwbare software moet leveren zolang ik afhankelijk ben van een hele stack aan onderliggende libraries (en een OS) die zelf niet zo'n garanties bieden. Alle risico's en verantwoordelijkheden worden daarom bij de klant geparkeerd.

Toch kan het niet zo verder gaan, ooit moeten we er grip op krijgen. Ik verwacht dat, vroeg of laat, een rechter gaat zeggen dat een softwareleverancier toch verantwoordelijk is voor het falen van een product, ook al was dat in het contract afgedekt. Als dat één keer gebeurt dan denk ik dat er direct een hoop andere zaken volgen; want er is heel veel frustratie rond slechte software.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (36)

Sorteer op:

Weergave: