Cyberaanvallen zoals phishing, ransomware en DDoS zijn tegenwoordig dagelijkse realiteit. Voor IT-dienstverleners en softwarebedrijven betekent dit dat klanten verwachten dat hun leverancier de schade opvangt als systemen uitvallen of data uitlekt.
Juist daarom is het essentieel om de aansprakelijkheid in contracten en algemene voorwaarden goed te regelen. Doe je dit niet, dan loop je het risico op hoge claims die je bedrijf in gevaar kunnen brengen.
Wat gaat er vaak mis?
In de praktijk zien we vaak dezelfde fouten terugkomen:
- Aansprakelijkheid volledig uitgesloten – juridisch niet toegestaan en dus ongeldig.
- Maxima die te laag zijn en niet in verhouding staan tot de mogelijke schade.
- Koppeling aan wat de verzekeraar uitkeert of het verzekerde bedrag – als de verzekeraar niet betaalt, blijft onbeperkte aansprakelijkheid over of het maximale verzekerde bedrag.
- Geen onderscheid tussen directe en indirecte schade.
- Indirecte schade niet uitgesloten, waardoor ook gederfde winst of reputatieschade kan worden verhaald.
Het gevolg: onduidelijke afspraken en een reëel risico op hoge claims.
Hoe beperk je aansprakelijkheid op de juiste manier?
Een houdbare regeling kent de volgende elementen:
- Beperk aansprakelijkheid tot een redelijke hoogte, maar sluit deze niet volledig uit.
- Hanteer een dubbele limiet, bijvoorbeeld 12 maanden aan vergoedingen en een maximum van tweemaal dat bedrag.
- Maak de beperking niet afhankelijk van je verzekeraar, maar leg deze zelfstandig vast.
- Maak onderscheid tussen directe en indirecte schade.
- Sluit indirecte schade expliciet uit, zoals gederfde winst of gevolgschade.
Zo ontstaat een regeling die juridisch standhoudt en zowel voor leverancier als klant duidelijk is.
Voorbeelden uit de rechtspraak
Rechtbank Noord-Nederland, zaaknummer C/17/192416 / HA ZA 23-238
Een Friese IT-leverancier werd volledig aansprakelijk gehouden nadat een hacker via een Azure-omgeving 60 servers misbruikte voor cryptomining. De oorzaak: MFA stond uit.
De verzekering weigerde dekking en de rechtbank oordeelde dat beveiliging en configuratie volledig onder verantwoordelijkheid van de IT-leverancier vallen en de aansprakelijkheidsbeperking was niet goed vastgelegd.
Gevolg: €864.000 schadevergoeding + circa €39.000 proceskosten, volledig voor eigen rekening.
Les voor IT- en softwarebedrijven:
- Reken niet op je verzekering bij dit soort security-incidenten.
- Contracten en SLA’s moeten glashelder zijn over security-verantwoordelijkheden en aansprakelijkheid.
Rechtbank Noord-Nederland, zaaknummer C/19/131097 / HA ZA 20-82
Na een ransomware-aanval (waarbij zelfs back-ups werden versleuteld) claimde een klant €1.000.000 schade.
De rechtbank oordeelde dat de ICT-leverancier tekort was geschoten en aansprakelijk was.
Maar: dankzij een duidelijke aansprakelijkheidsbeperking in de overeenkomst hoefde de leverancier geen miljoen te betalen, maar €50.000.
Indirecte schade, omzetverlies en forensisch onderzoek waren contractueel uitgesloten.
Les voor ICT- en softwarebedrijven:
- Cyberincidenten kunnen enorme financiële gevolgen hebben, zelfs wanneer het probleem terug te voeren is op één kleine fout.
- Goede algemene voorwaarden en SLA’s maken het verschil tussen overleven en faillissement.
Conclusie
Cyberincidenten zijn onvermijdelijk. De manier waarop je aansprakelijkheid contractueel regelt, bepaalt of een claim je bedrijf failliet laat gaan of overleeft. Volledig uitsluiten is ongeldig, te laag limiteren is gevaarlijk en vertrouwen op je verzekeraar is riskant.
De oplossing is een duidelijke en redelijke beperking van aansprakelijkheid. Daarmee bescherm je je bedrijf en bied je klanten zekerheid.
Wil je weten of jouw contracten en voorwaarden je echt beschermen bij cyberincidenten?
Herkenbaar? Laat het me weten.
Stuur me een bericht op LinkedIn of een mail naar maarten@virtualcounsel.nl. Dan kijk ik even mee.
