Cyber Security

Cyber security en recht gaan hand in hand.

Hacks, datalekken, ransomware, DDos-aanvallen, CEO-fraude, identiteitsfraude, zijn dagelijks in het nieuws. Het zijn voorbeelden van cyber crime die voor elke onderneming grote tot zelfs desastreuze gevolgen kan hebben. Denk aan imagoschade, verlies van klanten, verlies van kostbare knowhow en intellectuele eigendom (IE) en andere (vitale) bedrijfsgeheimen, schending van privacy, boetes van de Autoriteit Persoonsgegevens tot aan persoonlijke aansprakelijkheid als bestuurder en faillissement van de onderneming.

Voorbeeld:
In juni 2011 werd er bij DigiNotar, een commerciële Nederlandse certificaatautoriteit voor SSL-certificaten, ingebroken door de “Comodohacker”. DigiNotar verzorgde de beveiliging van websites van de Nederlandse overheid, w.o. DigiD en de RDW. Vanaf 19 juli 2011 was DigiNotar bekend met de hack en de gevolgen die dit had (namelijk de uitgifte van valse SSL-certificaten, zoals valse Google-certificaten). DigiNotar deed hiervan geen melding! (dat was toen nog niet verplicht.) Uiteraard werd de hack wel bekend omdat gebruikers van valse certificaten de valsheid ontdekten. Eind augustus 2011 verschenen er publicaties over op internet.

Drie weken later, op 20 september 2011, werd DigiNotar failliet verklaard. Circa 50 mensen verloren hun baan.

De zaak DigiNotar kreeg ook nog een dikke staart: DigiNotar was begin 2011 overgenomen. De kopers eisten in de procedure – kort gezegd – terugbetaling van de koopsom aandelen, een slordige € 3,7 miljoen. In het vonnis van de rechtbank Amsterdam d.d. 30 juli 2014 werd die vordering toegewezen.

Deze uitspraak was ook de opmaat voor de meldplicht datalekken, zoals die 1 januari 2016 werd ingevoerd.

Verantwoordelijkheid bestuur en anders wellicht aansprakelijkheid bestuur

Er bestaat inmiddels geen twijfel meer over dat cyber security en privacy, onderwerpen zijn die hoog op de agenda van directie/(raad van) bestuur horen, zoals ook de Nationale Cyber Security Raad (NCSR), een onafhankelijk adviesorgaan van het Kabinet, onderschrijft. Elke onderneming heeft op dit gebied zorgplichten. Het nalaten van een onderneming om passende technische en organisatorische maatregelen te treffen om beveiligingsincidenten en datalekken te voorkomen, kan niet alleen tot aansprakelijkheid van een onderneming leiden maar ook tot persoonlijke aansprakelijkheid van bestuurders.

De NCSR heeft in april 2017 een handreiking voor bedrijven op het gebied van cyber security gepubliceerd met nuttige tips.

Rechtsbijstand

Cyber Security heeft in juridisch opzicht vooral te maken met privacy-recht. Daarnaast met IE-recht en natuurlijk aansprakelijkheidsrecht.

Wat kan Broeseliske Van Vlijmen Advocaten op dit rechtsgebied voor ondernemers en hun ondernemingen betekenen? Kort gezegd, dat ondernemingen in juridisch opzicht voldoen aan de wet- en regelgeving, zodat ondernemingen en hun bestuurders in principe geen aansprakelijkheidsrisico lopen.

-      Toetsen van en adviseren over het beleid en (te treffen) organisatorische maatregelen vanuit juridisch perspectief;

-      Toetsen van, adviseren over en opstellen van overeenkomsten met uw relaties en interne protocollen. Zowel om beveiligingsincidenten te voorkomen als een richtsnoer voor het handelen bij een beveiligingsincident;

-      Het juridisch beoordelen of er sprake is van een datalek en of er een meldplicht is bij de Autoriteit Persoonsgegevens en betrokkene(n);

-      Het begeleiden bij het melden van een datalek  aan de Autoriteit Persoonsgegevens en betrokkene, het adviseren over de externe communicatie;

-      Het voeren van procedures naar aanleiding van een datalek, bijvoorbeeld bij handhavend optreden van de Autoriteit Persoonsgegevens of in aansprakelijkheidskwesties van ondernemingen na een datalek;

-      Het adviseren en procederen inzake aansprakelijkheid van leveranciers na een beveiligingsincident;

-      Het adviseren en procederen over bestuurdersaansprakelijkheid, zowel binnen als buiten faillissement.