Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Draagt eindklant of msp aansprakelijkheid bij hack?

27 mei 2021 - 12:334 minuten leestijdOpinieGovernance & PrivacyDatto
Hans ten Hove en Joost Schmaal
Hans ten Hove en Joost Schmaal

Hackers vinden alsmaar nieuwe routes naar de data van bedrijven. Om toegang te krijgen tot een grote database aan klanten, kiezen kwaadwillenden steeds vaker managed serviceproviders (msp’s) en it-leveranciers als doelwit. Dit opent een nieuwe discussie: wie is er aansprakelijk als een bedrijf wordt gehackt, maar ontzorgd wordt door een msp? De msp of de klant zelf?

Om antwoord te kunnen geven op de vraag moet er gekeken worden naar de voorafgaande gemaakte afspraken tussen de msp en de klant. Met name naar de afspraken op het gebied van beveiliging en continuïteit. Om toekomstige onduidelijkheden te voorkomen, is het van belang dat beiden partijen weten wat ze van elkaar kunnen verwachten.

Tegenwoordig zijn er steeds meer en grotere cyberrisico’s. Ook bestaat de meldplicht datalekken door de intreding van de AVG, met mogelijk boetes als gevolg. Hoewel de meeste bedrijven zich tegenwoordig bewust zijn van deze ontwikkelingen, zijn ze nog vaak slachtoffer van ransomware. Vervolgens onstaat er onduidelijkheid en zelfs disussie tussen de bedrijven en msp’s over de aansprakelijkheid. Er wordt regelmatig naar de msp gewezen als een eindklant slachtoffer wordt van een cyberaanval – met als reden dat de msp immers wordt ingehuurd om het bedrijf te ontzorgen op it-gebied. Ook op het gebied van backup en en cybersecurity. Gaat het mis? Dan is de msp dus verantwoordelijk en aansprakelijk. Zo eenvoudig is de situatie echter vaak niet. Het is belangrijk om te kijken naar de afspraken die zijn gemaakt. Heeft de msp bijvoorbeeld geadviseerd om business continuity and disaster recovery (bcdr)- en security-oplossingen af te nemen? En wat heeft de klant met dat advies gedaan?

Onwetenheid bij het mkb

Msp’s proberen klanten zo goed mogelijk te adviseren over de benodigde security- en business continuity-oplossingen. Toch komen er situaties voor waarin het advies niet wordt opgevolgd door de klant. De oorzaak is vaak een gebrek aan bewustzijn van de gevaren. Ze denken dat ze waarschijnlijk geen slachtoffer zullen worden, waardoor het de investering niet waard is.

Mkb’ers hebben vaak geen eigen it-afdeling, en daardoor kan de combinatie van eigen kennis en financiële belangen ervoor zorgen dat er verkeerde keuzes vallen. De kennis en het advies van msp’s en leveranciers is in dit soort situaties van groot belang. Het is de taak van msp’s om hun eindklanten op de hoogte te stellen van de risico’s die ze lopen. Ook als de eindklant ervoor kiest de risico’s te negeren, moeten de grote consequenties duidelijk zijn. Het mkb denkt nog vaak (onterecht) dat cybercriminelen zich niet richten op de kleinere partijen. Maar élk bedrijf kan slachtoffer worden van een hack, ongeacht de grootte, branche of locatie.

Daarnaast gaan veel mkb-bedrijven er ten onrechte vanuit dat het steeds grotere aantal cloud- en saas-oplossingen dat ze gebruiken automatisch door de aanbieder wordt beveiligd. Ook worden er niet automatisch backups gemaakt van de data die zich in Microsoft 365 bevindt. De gebruiker moet er zelf voor zorgen dat er backups worden gemaakt.

Voorkom onduidelijkheden, maak afspraken

Maar hoe voorkom je dat je in een discussie terechtkomt over de schuldvraag? Het is van belang dat msp’s en klanten samen duidelijk vastleggen wat de msp levert, maar ook wat er juist niet geleverd wordt. Specificeer de afspraken in de overeenkomst. Oók als een bcdr-oplossing is geadviseerd, maar door de klant niet wordt afgenomen. Een waiver tekenen waarin neergelegd de gevolgen van deze keuze bij de eindklant, is ook een optie.

Daarnaast kan een cyberriskverzekering een voorwaarde zijn voor het aangaan van een samenwerking. Een cyberriskverzekering vergoedt de kosten die ontstaan bij een datalek en biedt concrete hulp als een incident zich voordoet. Door veel verzekeringen worden zowel de crisiskosten als aansprakelijkheidsschade gedekt. Een dergelijke verzekering wordt steeds vaker als voorwaarde gesteld omdat de klant dan zeker weet dat ze bij de msp terechtkunnen als het aankomt op aansprakelijkheid. Daar zijn ze immers voor verzekerd.

Auteurs: Hans ten Hove, director sales Northern Europe bij Datto, en Joost Schmaal, partner bij advocatenkantoor Kennedy van de Laan

Meer over

Hacking

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Computable.nl

    Slimme toegang vs. onzichtbare cyberrisico’s in de Zorg

    In zorginstellingen is een constante stroom van personeel, patiënten en bezoekers. Maar hoe zorg je ervoor dat gevoelige gebieden beschermd blijven zonder de dagelijkse gang van zaken te verstoren? Hoe herken je eventuele zwakke plekken in het netwerk?

    Computable.nl

    Strategische alternatieven voor VMware

    Ontdek 3 strategieën voor een succesvolle overstap

    Meer lezen

    AchtergrondData & AI

    ISO 42001 veelbelovend als standaard voor verantwoorde ai

    ActueelCloud & Infrastructuur

    Onderzoek naar omkoping bouw Microsoft-datacenter Wieringermeer  

    AdvertorialGovernance & Privacy

    Impact van NIS2 op fysieke beveiliging

    OpinieCloud & Infrastructuur

    Digitale soevereiniteit vraagt om herziening van cloudstrategie  

    Rusland, hacker
    ActueelGovernance & Privacy

    AIVD: Rusland steeds agressiever, China bespioneert bedrijven

    AchtergrondCloud & Infrastructuur

    3 alternatieven voor trainen van ai zonder gebruikersdata

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs