“Als een producent software heeft aangeboden die vervolgens niet voldoet aan de digitale veiligheidseisen, is hij mogelijk aansprakelijk op grond van wanprestatie”

Gepubliceerd op 16 december 2020 om 08:00
“Als een producent software heeft aangeboden die vervolgens niet voldoet aan de digitale veiligheidseisen, is hij mogelijk aansprakelijk op grond van wanprestatie”

Gebruikers kunnen de software-ontwikkelaar aansprakelijk stellen voor de schade die een hacker heeft toegebracht als blijkt dat de cybersecurity niet op orde is. Als het product niet voldoet aan de digitale veiligheidseisen, kan de fabrikant of verkoper van de software aangeklaagd worden op grond van wanprestatie. Er zijn echter wel de nodige juridische en economische barrières die het verhalen van de schade complex maken.

Hoger niveau tillen

De 'Roadmap DHVS' is in het leven geroepen door het kabinet om het digitaal veiligheidsniveau van ICT-producten en -diensten tot een hoger niveau te tillen. De Roadmap maakt onderdeel uit van de Rijksbrede aanpak voor digitale veiligheid in de Nederlandse Cyber Security Agenda (NCSA) en bestaat uit een combinatie van Europese en nationale maatregelen. Een hoger veiligheidsniveau voor ICT-producten en -diensten is niet alleen goed voor burgers en ondernemers, maar creëert tevens een gelijk speelveld voor Europese ondernemers.

Om dit doel te bereiken, zijn veiligheidsupdates onmisbaar. In 2019 zijn er daarom twee belangrijke richtlijnen opgesteld: een richtlijn voor de levering van digitale inhoud en diensten en een richtlijn voor de verkoop van digitale goederen. Uiterlijk op 1 juli 2021 moeten deze richtlijnen opgenomen zijn in nationale wetgeving (specifiek in het consumentenrecht). Begin volgend jaar stuurt het kabinet daarom een wetsvoorstel naar de Tweede Kamer die beide richtlijnen integreert.

Recht op updates

In het wetsvoorstel staat dat consumenten recht hebben op (veiligheids)updates “zolang zij die redelijkerwijs mogen verwachten”. De verkoper moet dan afspraken maken met de softwareleverancier over de updates die consumenten kunnen verwachten. Alleen als de handelaar vooraf duidelijk maakt dat consumenten geen updates hoeven te verwachten en zij daarmee instemmen, mogen retailers van dit standpunt afwijken.

Het wetsvoorstel schetst niet alleen wettelijke verplichtingen op Europees niveau, maar biedt tevens aanknopingspunten voor toezichthouders om hun taak uit te oefenen. Zo kan de Autoriteit Persoonsgegevens erop toezien dat ‘slimme’ apparaten of smart devices (IoT) de privacy van gebruikers beschermen.

Ook voor de Autoriteit Consument & Markt (ACM) is een belangrijke rol weggelegd in de plannen van het kabinet. Zij moet erop toezien dat consumenten vooraf goed geïnformeerd worden over het updatebeleid van smart devices. De consumentenwaakhond constateerde in oktober nog dat grote retailers als Bol.com, Coolblue en MediaMarkt dat steeds beter doen. Zij vertellen onder meer hoelang consumenten in ieder geval updates kunnen verwachten, hoe vaak deze worden uitgerold en wat voor soort updates ze kunnen verwachten (software, firmware, security). Deze informatie kunnen consumenten laten meewegen in hun aankoopbeslissing. Dat is belangrijk, omdat sommige smart devices zonder updates onveilig of onbruikbaar worden.

Wetsvoorstel

In het wetsvoorstel wil het kabinet ook een basis scheppen voor civiele aansprakelijkheid. In haar brief schrijft staatssecretaris Keijzer dat gebruikers degene die schade heeft aangericht aansprakelijk kan stellen wegens het verrichten van een onrechtmatige daad. In praktijk is het echter lastig om een hacker of cybercrimineel daar op aan te spreken. Slachtoffers kunnen echter ook hun schade verhalen bij de producent of verkoper van de software op basis van een overeenkomst. “Als een producent software heeft aangeboden die vervolgens niet voldoet aan de digitale veiligheidseisen, is hij mogelijk aansprakelijk op grond van wanprestatie”, zo stelt Keijzer.

Door het aansprakelijkheidsrecht expliciet te formuleren in het wetsvoorstel, wil de staatssecretaris stimuleren dat softwareproducenten voorzorgsmaatregelen nemen om schade door een gebrekkig update beleid te voorkomen. Daar zitten echter juridische en economische haken en ogen aan, zo blijkt uit onderzoek van het Centre for the Law and Economics of Cyber Security van de Erasmus Universiteit Rotterdam. Zo is het volgens de onderzoekers 'zeer complex' voor bedrijven om de geleden schade na een cybersecurity incident te verhalen. Het maken en vastleggen van contractuele afspraken over cybersecurity is volgens Keijzer een belangrijk aanknopingspunt. Ze gaat in overleg met de sector om te kijken op welke manier er vanuit de overheid een handvat kan worden geboden aan bedrijven om iets aan deze problematiek te doen.

Cybersecurity inkoopeisen

“Als belangrijke ICT-gebruiker kan de overheid met haar inkoopbeleid de vraag naar digitaal veilige ICT-producten en diensten stimuleren”, zo schrijft staatssecretaris Keijzer. Daarom gaat de overheid voortaan bij de in- en aankoop van hard- en software rekening houden met cybersecurity. Deze ‘cybersecurity inkoopeisen’ gelden vanaf volgend jaar voor alle overheidslagen en -instanties en worden standaard onderdeel van de Baseline Informatiebeveiliging Overheid (BIO).

De ‘cybersecurity inkoopeisen’ heeft de staatssecretaris samen met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties geformuleerd, evenals een tool die overheidsinstanties helpt bij de inkoop van ICT-producten en -diensten. Op dit moment wordt in pilots de tool getest bij verschillende overheidsorganisaties, waaronder bij Logius en Stichting ICTU. Logius is verantwoordelijk voor digitale diensten als DigiD en Digipoort. Stichting ICTU is een onafhankelijk adviesorganisatie die de overheid adviseert over de inzet van ICT-middelen bij maatschappelijke vraagstukken. De pilots lopen door tot in 2021.

Bron: tweedekamer.nl, vpngids.nl

Meer nieuwsberichten of info over ‘Cybercrime algemeen’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Voortgang Roadmap Digitaal Veilige Hard En Software
Word – 98,7 KB 449 downloads