• nl
  • en
Menu
Gegijzeld door ransomware: aansprakelijk?

Gegijzeld door ransomware: aansprakelijk?

11 juli 2017

Onlangs raakten wereldwijd computersystemen besmet met het Wannacry-virus. Ook Nederlandse bedrijven bleven niet gespaard. Dit virus valt onder de categorie ransomware: het gijzelt je bestanden en geeft je pas weer toegang nadat aan bepaalde eisen is voldaan (vaak het betalen van een fors geldbedrag). Het betalen van de geldsom is echter geen garantie dat alles weer bij het oude is: in de meeste gevallen vindt er ook dataverlies plaats. Vervelend natuurlijk, niet in de laatste plaats omdat een bedrijf dat door cyberaanvallen is getroffen zijn verplichtingen naar klanten daardoor misschien niet meer op tijd kan nakomen, en daarvoor dan aansprakelijk wordt gesteld.

Er is op dit moment nog geen rechtspraak gepubliceerd over aansprakelijkheid voor niet-nakoming die het gevolg is van ransomware. Bij de beoordeling of het getroffen bedrijf aansprakelijk is, zal onder meer relevant zijn in hoeverre rekening moest worden gehouden met ransomware en of er passende voorzorgsmaatregelen zijn genomen. Een bedrijf dat aan aansprakelijkheid wil ontkomen, zal dus moeten zorgen voor goede beschermingssoftware, een backup-faciliteit, het uitvoeren van software-updates en – niet in de laatste plaats – ‘awareness’ bij het personeel (‘niet klikken op links in verdachte e-mails’).

Daarnaast is het van belang om in overeenkomsten of in uw algemene voorwaarden op te nemen dat men niet aansprakelijk is voor niet-nakoming die veroorzaakt wordt door bijvoorbeeld ransomware of een cyberaanval.

Een extra aandachtspunt is de privacywetgeving. Als uw bedrijf door ransomware wordt getroffen, bent u mogelijk verplicht een melding te doen bij de Autoriteit Persoonsgegevens (AP). Die verplichting bestaat als door een beveiligingsincident veel persoonsgegevens, of zogeheten ‘bijzondere persoonsgegevens’ zijn gelekt, er een ‘aanzienlijke kans’ is op ernstige nadelige gevolgen voor bescherming van persoonsgegevens. Dat laatste is al spoedig het geval en er moet dan een melding bij de AP worden gedaan. Wie dat nalaat kan, bij ontdekking, te maken krijgen met zeer hoge boetes. Daarnaast kan er een verplichting zijn om degenen van wie de persoonsgegevens gegijzeld waren, te informeren.

Meer weten over cyberaansprakelijkheid en datalekken? Onze specialisten van de praktijkgroep Privacy beantwoorden graag uw vragen.

Wilt u op de hoogte blijven?

  • nl
  • en