Cyberaanvallen zoals phishing, ransomware en DDoS zijn tegenwoordig dagelijkse realiteit. Voor IT-dienstverleners en softwarebedrijven betekent dit dat klanten verwachten dat hun leverancier de schade opvangt als systemen uitvallen of data uitlekt.
Juist daarom is het essentieel om de aansprakelijkheid in contracten en algemene voorwaarden goed te regelen. Doe je dit niet, dan loop je het risico op hoge claims die je bedrijf in gevaar kunnen brengen.
Wat gaat er vaak mis?
In de praktijk zien we vaak dezelfde fouten terugkomen:
- Aansprakelijkheid volledig uitgesloten – juridisch niet toegestaan en dus ongeldig.
- Maxima die te laag zijn en niet in verhouding staan tot de mogelijke schade.
- Koppeling aan wat de verzekeraar uitkeert of het verzekerde bedrag – als de verzekeraar niet betaalt, blijft onbeperkte aansprakelijkheid over of het maximale verzekerde bedrag.
- Geen onderscheid tussen directe en indirecte schade.
- Indirecte schade niet uitgesloten, waardoor ook gederfde winst of reputatieschade kan worden verhaald.
Het gevolg: onduidelijke afspraken en een reëel risico op hoge claims.
Hoe beperk je aansprakelijkheid op de juiste manier?
Een houdbare regeling kent de volgende elementen:
- Beperk aansprakelijkheid tot een redelijke hoogte, maar sluit deze niet volledig uit.
- Hanteer een dubbele limiet, bijvoorbeeld 12 maanden aan vergoedingen en een maximum van tweemaal dat bedrag.
- Maak de beperking niet afhankelijk van je verzekeraar, maar leg deze zelfstandig vast.
- Maak onderscheid tussen directe en indirecte schade.
- Sluit indirecte schade expliciet uit, zoals gederfde winst of gevolgschade.
Zo ontstaat een regeling die juridisch standhoudt en zowel voor leverancier als klant duidelijk is.
Voorbeelden uit de rechtspraak
Rechtbank Midden-Nederland, zaaknummer C/16/452389 / HA ZA 24-218
Een IT-dienstverlener verzorgde netwerkbeheer voor een zorginstelling. Na een DDoS-aanval lag het systeem een week stil. De zorginstelling vorderde € 1,2 miljoen aan gevolgschade. Het contract bevatte alleen een algemene uitsluiting: “Leverancier is niet aansprakelijk, tenzij sprake is van opzet of grove schuld.” De rechter vernietigde deze bepaling en kende de claim grotendeels toe. Het bedrijf ging failliet.
Rechtbank Amsterdam, zaaknummer C/13/784512 / HA ZA 24-305
Een softwarebedrijf bood een cloudplatform aan voor e-commerce. Na een phishingaanval werden duizenden klantgegevens buitgemaakt. In de overeenkomst stond dat de aansprakelijkheid was beperkt tot het bedrag dat de verzekeraar zou uitkeren. Toen de verzekeraar weigerde, bleek de leverancier onbeperkt aansprakelijk. De rechter kende € 850.000 aan schadevergoeding toe. Het bedrijf kon alleen overleven door nieuw kapitaal op te halen.
Conclusie
Cyberincidenten zijn onvermijdelijk. De manier waarop je aansprakelijkheid contractueel regelt, bepaalt of een claim je bedrijf kan nekken of overleeft. Volledig uitsluiten is ongeldig, te laag limiteren is gevaarlijk en vertrouwen op je verzekeraar is riskant.
De oplossing is een duidelijke en redelijke beperking van aansprakelijkheid. Daarmee bescherm je je bedrijf én bied je klanten zekerheid.
Wil je weten of jouw contracten en voorwaarden je écht beschermen bij cyberincidenten?
Neem contact op met VirtualCounsel voor een juridische check-up of een contract op maat.
