We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
Voordat een klant afspraken kan maken met een leverancier over informatiebeveiliging moet de klant in kaart hebben gebracht welke informatiebeveiligingseisen op zijn eigen organisatie van toepassing zijn. Deze eisen zal hij normaal gesproken immers moeten doorleggen aan de leverancier. De belangrijkste wet- en regelgeving wordt hier kort genoemd.
Algemene verordening gegevensbescherming (AVG)
Iedere verwerkingsverantwoordelijke is op grond van artikel 32 AVG verplicht om passende technische en organisatorische beveiligingsmaatregelen te treffen ter beveiliging van persoonsgegevens. De keuze voor beveiligingsmaatregelen moet gebaseerd zijn op een risicoanalyse en de doeltreffendheid van de getroffen voorzieningen moet regelmatig worden geëvalueerd. Voor inbreuken in verband met persoonsgegevens geldt voorts een meldplicht bij de Autoriteit Persoonsgegevens (AP) en/of richting betrokkenen.
Wet beveiliging netwerk- en informatiesystemen
De Wet beveiliging netwerk- en informatiesystemen (Wbni) is van toepassing op aanbieders van essentiële diensten, andere vitale aanbieders en digitale dienstverleners. De essentiële diensten en andere vitale aanbieders worden bij wet aangewezen. Denk aan netbeheerders van het hoogspanningsnet of houders van een vergunning op grond van de Kernenergiewet. De digitale dienstverleners worden niet specifiek bij wet aangewezen. Wel geldt voor hen een omvangvereiste. Is de Wbni van toepassing, dan is de aanbieder verplicht passende beveiligingsmaatregelen te treffen en moeten incidenten worden gemeld bij het Nationaal Cyber Security Centrum (NCSC) of een andere nader aangewezen instantie.
Sectorale wet- en regelgeving
In sectorale wet- en regelgeving kunnen aanvullende eisen zijn gesteld op het gebied van informatiebeveiliging. Zo moet een zorgaanbieder voldoen aan NEN 7510 en NEN 7512 wanneer hij gebruikmaakt van een zorginformatiesysteem of een elektronisch uitwisselingssysteem waarop hij is aangesloten. Een verzekeraar die IT-voorzieningen wil uitbesteden aan een clouddienstverlener mag dit alleen doen wanneer is voldaan aan specifieke richtlijnen. Ook deze sectorale wet- en regelgeving moet dus in kaart worden gebracht.
Wanneer de toepasselijke eisen in beeld zijn gebracht is het zaak deze in het contract op te nemen. Zowel de AVG als de Wbni bevat een open norm voor wat betreft de eisen die aan informatiebeveiliging gesteld moeten worden. Voor het doorleggen van zulke verplichtingen kan allereerst worden verwezen naar de norm zelf en kan aanvullend op onderdelen een concretere uitwerking worden opgenomen.
Een IT-leverancier moet garanties kunnen bieden ten aanzien van beveiliging. Vraag daarom relevante certificaten en auditverklaringen op en laat deze beoordelen door een deskundige. Vergeet niet om ook de scope en de verklaring van toepasselijkheid van een certificering te checken. Een ISO/IEC 27001-certificering die alleen ziet op een ontwikkelomgeving is niet per se relevant voor een transactie waarbij alleen beheer- en supportdiensten worden afgenomen.
Inmiddels is de Cyberbeveiligingsverordening van kracht. Deze verordening schept een Europees kader voor de certificering van cyberbeveiliging. Met deze certificaten kunnen fabrikanten en aanbieders het beveiligingsniveau van hun IT-producten, ‑diensten en ‑processen aantonen. De certificeringsregelingen zullen op Europees niveau worden opgesteld, maar de uitgifte van certificaten en handhaving en toezicht zal plaatsvinden op nationaal niveau. Op Europees niveau wordt op het moment onder meer gewerkt aan certificeringsregelingen voor IT-beveiligingsproducten en clouddiensten.
Op basis van de AVG zijn partijen onder omstandigheden verplicht om afspraken met elkaar te maken over de beveiliging van persoonsgegevens. Deze afspraken worden dan vastgelegd in een zogenaamde verwerkersovereenkomst. Van belang is op te merken dat de verwerkersovereenkomst doorgaans alleen ziet op de verwerking van persoonsgegevens en niet op de verwerking van andere type data. Dit betekent dat de afspraken in de verwerkersovereenkomst niet noodzakelijkerwijs van toepassing zijn op die toepassingen waarbij geen persoonsgegevens worden verwerkt. Het is daarom zaak dat ook in het lichaam van de overeenkomst adequate afspraken worden opgenomen over informatiebeveiliging.
Bij IT-dienstverlening is vaak sprake van een overeenkomst van opdracht. In zulke gevallen dient de opdrachtnemer – zoals besproken in hoofdstuk 7 – zorg te dragen voor een goede uitvoering van de opdracht. Deze zorgplicht kan ook vergaande consequenties hebben voor de aansprakelijkheid van een IT-dienstverlener bij beveiligingsgebreken. IT-leveranciers moeten ernstig rekening houden met deze zorgplicht bij het aannemen van een opdracht en bij de uitvoering daarvan.
In 2018 oordeelde de rechtbank Amsterdam dat een klant die opdracht geeft tot levering van een ‘totaalpakket’ – bestaand uit de aanleg en het beheer en onderhoud van een bedrijfsnetwerk – mag verwachten dat een adequate beveiliging in de vorm van een firewall en adequate back-upstructuur is inbegrepen. Hoewel de IT-leverancier aan de klant had voorgesteld om extra beveiligingsmaatregelen te treffen in de vorm van een firewall en andere back-upstructuur, was dit volgens de rechtbank onvoldoende. De IT-leverancier had de opdracht wegens onuitvoerbaarheid moeten weigeren, alternatieven moeten aandragen, of indringend en herhaaldelijk moeten waarschuwen over de risico’s.
Hacken is strafbaar. Wie slachtoffer wordt van een cyberaanval moet daarom ook overwegen om aangifte te doen van computervredebreuk (o.a. artikel 138ab, 138b, 138c, 350 en 350a Sr). Hoewel de pakkans bij digitale criminaliteit wellicht niet heel groot lijkt, kan het doen van aangifte toch belangrijk zijn. Al is het maar om naar de buitenwereld te tonen dat jouw organisatie slachtoffer is geworden van een ernstig misdrijf. Het doen van aangifte kan ook een verzekeringsvoorwaarde zijn.
Heeft u vragen over het succesvol uitvoeren van ICT-projecten, neem dan contact op met Jeroen van Helden, advocaat IT, Privacy & Cybersecurity.
De inhoud van deze blog is onderdeel van ‘ICT Projecten: een praktische handreiking’, een bundeling van artikelen over het succesvol uitvoeren van een ICT-project. Klik hier om de praktische handreiking te downloaden.
Wil je elke maand een overzicht van updates en blogs in je mailbox? Klik dan hier om je in te schrijven voor de nieuwsbrief!
