Cyberincidenten: wat zijn de contractuele gevolgen voor u als dienstverlener? (Timelex)

Auteurs: Bernd Fiten en Wout Platteau (Timelex)

Cyberincidenten hebben niet alleen gevolgen voor IT-systemen; ze kunnen ook verstrekkende contractuele consequenties hebben. Hieronder lees je hoe je als dienstverlener omgaat met die impact en welke contractuele clausules in het bijzonder aandacht vragen.

1. Contractbreuk en vertrouwelijkheid

Contractbreuk bij een cyberincident 

De kernvraag is of je als dienstverlener, door een cyberincident, een contractuele verplichting schendt. Vaak gaat het dan om bepalingen rond vertrouwelijkheid, persoonsgegevens en beveiliging. Is de vertrouwelijkheidsclausule bijvoorbeeld geschonden omdat er ongeoorloofde toegang tot (klant)gegevens is ontstaan?

Root cause analysis: wie is verantwoordelijk voor het cyberincident? 

Bij een cyberincident zoals een datalek of een hack is het cruciaal om een root cause analysis uit te voeren om te achterhalen wie verantwoordelijk is voor de oorzaak van het cyberincident. Misschien ligt het lek bij een onderaannemer of was er een fout van de klant. Dit onderzoek is niet alleen technisch, maar ook juridisch relevant, want kan je als dienstverlener beschuldigd worden van contractbreuk als je niet verantwoordelijk was voor de oorzaak van het cyberincident? Dat hangt ervan af.

Zorg ervoor dat je als dienstverlener bent voorbereid op het uitvoeren van een root cause analysis:

• Misschien kan je de root cause analysis intern uitvoeren, maar is dit ook wenselijk?
• Interne teams hebben meestal een diepgaande kennis van de eigen systemen, maar een externe partij kan misschien een frisse en onbevooroordeelde blik op het cyberincident werpen, zonder interne aannames of blinde vlekken.
• Bovendien kunnen interne teams overbelast raken bij een cyberincident waardoor het inschakelen van externe hulp noodzakelijk is om de analyse tijdig en grondig uit te voeren.
• Daarom zien we ook vaak een hybride aanpak, waarbij het interne team nauw samenwerkt met externe experts. Het interne team kan de basisanalyse en dataverzameling verzorgen, terwijl de externe specialisten worden ingeschakeld voor specifieke expertise, geavanceerde analyse of een onafhankelijke review.

Als dienstverlener speel je een belangrijke rol bij het uitvoeren van een root cause analysis, zeker als het cyberincident gerelateerd is aan jouw diensten. Echter, de klant speelt altijd een belangrijke rol door informatie te verschaffen en inzicht te geven in hun eigen omgeving. Het is essentieel om duidelijke afspraken hierover vast te leggen in de Service Level Agreement (SLA).

Vertrouwelijkheidsclausules

• Wie is gebonden? Meestal ben jij als dienstverlener verplicht om (klant)informatie strikt vertrouwelijk te houden.
• Reikwijdte van de clausule: omvat die alleen expliciet als ‘vertrouwelijk’ aangeduide gegevens, of ook technische bedrijfsinfo, software, enz.? Moet je als dienstverlener ook je onderaannemers en medewerkers verplichten tot dezelfde vertrouwelijkheid?
• Schending: kan soms leiden tot schadevergoedingen of zelfs (kosteloze) contractbeëindiging. Controleer of je een vaste (forfaitaire) vergoeding verschuldigd bent.

2. Clausules inzake beveiliging

Beveiligingsverplichtingen 

• Niveau en normen: welke specifieke normen (ISO 27001, NIST, CyberFundamentals Framework) beloof je als dienstverlener te volgen? Is dat in het contract vastgelegd? Gelden deze ook voor je onderaannemers? Dat is met name relevant als uit de root cause analysis blijkt dat de onderaannemer verantwoordelijk was voor het cyberincident.
• Bewijslast en audits (of bereid je voor): ben je verplicht om audits, pentests of vulnerability scans uit te voeren en de resultaten te delen? Zorg ervoor dat je kunt aantonen dat je maatregelen regelmatig evalueert. Soms bepaalt het contract dat de klant een audit kan uitvoeren na een cyberincident. In dat geval, wees je hier dan van bewust als dienstverlener en probeer je hierop voor te bereiden, of nog beter, probeer proactief te handelen.

Impact van NIS2 

De Europese NIS2-richtlijn versterkt de focus op cybersecurity. Dienstverleners kunnen gevraagd worden hun beveiliging – én die van hun toeleveranciers – aantoonbaar op orde te hebben. Denk aan:

• “All-hazards” benadering: de NIS2 vereist een brede kijk op risicomanagement. Niet alleen cyberdreigingen, maar alle potentiële gevaren moeten worden overwogen. Denk aan cyberaanvallen, maar ook natuurrampen, menselijke fouten, interne bedreigingen, stroomuitval en fysieke aanvallen. Door focus ligt op de impact op de continuïteit van de dienstverlening, ongeacht de oorzaak.
• Aantoonbare, passende en proportionele maatregelen: de NIS2 vereist dat je passende en proportionele technische, operationele en organisatorische maatregelen hebt genomen als dienstverlener. Minstens moet je als dienstverlener voldoen aan de 11 minimummaatregelen van de NIS2.
• Meldplicht: strengere eisen rond het melden van cyberincidenten aan de bevoegde autoriteiten, en vaak ook aan de klant. Aangezien de eerste melding binnen 24 uren na het cyberincident moet gebeuren, is het cruciaal om onmiddellijk te weten wat je moet doen als dienstverlener.

Vermijdbaarheid en causatie 

Als je getroffen wordt door een cyberincident, rijst de vraag: had je met ‘passende’ maatregelen kunnen voorkomen dat gegevens werden gelekt of versleuteld? Als blijkt dat je te weinig hebt gedaan, kan de klant je aansprakelijk stellen. Factoren:

• Bepaalde norm niet gevolgd? Bijvoorbeeld het ‘essentieel’ beveiligingsniveau uit het CyberFundamentals Framework.
• Causaal verband: kan de klant aantonen dat het incident vermeden was als jouw beveiliging wél op het afgesproken (of vereiste) niveau had gezeten?

Proactieve opvolging

• Up-to-date blijven: cyberdreigingen evolueren; het niveau van beveiliging dat bij contractsluiting volstond, kan later achterhaald zijn. Contractueel kun je verplicht zijn om je beveiliging te blijven aanscherpen. Controleer het contract om na te gaan wat je verplichtingen op dit vlak zijn als dienstverlener.
• Bewijsvoering: houd documentatie bij over risicobeoordelingen, updates en scans.

Beveiliging van de toeleveringsketen 

NIS2 legt nadruk op de beveiliging van de hele keten. Als je toeleveranciers inschakelt:

• Due diligence: heb je onderzocht of je onderaannemers hun beveiliging op orde hebben? Als een onderaannemer verantwoordelijk is voor het cyberincident, verzamel dan bewijsmateriaal zodat je kan aantonen dat je als dienstverlener geen fouten hebt gemaakt bij het aanstellen van die onderaannemer.
• Supply Chain Security Policy: onder NIS2 moet je zo’n beleid opstellen en opvolgen. Bij een incident bij jouw leverancier kun jij alsnog (mede)verantwoordelijk worden gehouden.

3. Clausules inzake persoonsgegevens

Wanneer persoonsgegevens door het incident zijn getroffen, komen verwerkers- en (sub)verwerkersclausules in beeld:

• Verwerkingsovereenkomst: vaak ben je als dienstverlener een verwerker en heb je dus specifieke meldplichten aan de klant (die verwerkingsverantwoordelijke is in deze hypothese). Controleer of je bepaalde termijnen moet respecteren om de klant te informeren als het gaat om een lek van persoonsgegevens.
• Reikwijdte melding: moet je contractueel ieder (mogelijk) datalek melden of alleen wanneer aantoonbaar persoonsgegevens zijn getroffen? In de praktijk rekken sommige verwerkingsovereenkomsten de meldplicht op tot het verplicht melden van mogelijke datalekken aan de verwerkingsverantwoordelijke, zelfs als er geen persoonsgegevens gelekt zijn.
•  Gevolgen: bepaalde contracten bieden de klant het recht om extra audits te doen of de overeenkomst (gedeeltelijk) te beëindigen na een datalek. Zorg dat je die scenario’s kent en voorbereid bent.

4. Clausules inzake aansprakelijkheid

Schade door een cyberincident 

Een cyberincident kan in de praktijk soms aanleiding geven tot aanzienlijke schade. De schade en kosten kunnen bestaan uit:

• Herstelkosten (systemen, forensisch onderzoek, losgeld bij ransomware).
• Service credits (SLA-tekortkomingen).
• Downtime (inkomstenderving, klanten die vertrekken).
• Reputatieschade (bijvoorbeeld negatieve publiciteit).

Contractuele aansprakelijkheid 

• Beperkingen: veel contracten bevatten limieten op de aansprakelijkheid van de dienstverlener (bv. een plafondbedrag of uitsluiting van bepaalde schadecategorieën). Controleer je contract met de klant om na te gaan of er dergelijke limieten van toepassing zijn.
• Bewijs van nalatigheid: als er onvoldoende beveiligingsmaatregelen waren genomen, kan de klant een rechtsgrond hebben voor schadevergoeding.
• Verzekering: bekijk of je (cyber)verzekering de schade of kosten dekt. En welke uitsluitingen gelden (bijv. grove nalatigheid)? Om te weten of bepaalde uitsluitingen van toepassing kunnen zijn, is de root cause analysis vaak onontbeerlijk.

5. Clausules inzake overmacht

Cyberincident als overmacht? 

Soms kun je als dienstverlener een beroep doen op overmacht als je door een ransomware-aanval tijdelijk geen diensten kan verstrekken. Maar let op:

• Criteria voor overmacht: onvoorzienbaarheid, onoverkomelijkheid en ontoerekenbaarheid. Bij ernstige nalatigheid (bijv. totaal gebrek aan basisbeveiliging) is de kans klein dat je als dienstverlener met succes een beroep op overmacht kunt doen.
• Contractuele definitie: sommige contracten sommen een cyberincident expliciet op als voorbeeld van overmacht. Zo niet, dan moet je als dienstverlener bewijzen dat je écht niets had kunnen doen om de schade te voorkomen. Ga als dienstverlener na wat het contract hierover stipuleert.

6. Clausules inzake beëindiging

Een klant kan het contract soms ontbinden of opzeggen als je door een cyberincident niet meer kunt voldoen aan je verplichtingen of als je ernstig tekortschiet in je beveiliging. Belangrijke vragen:

• Kosteloze beëindiging? Staat er in het contract dat de klant bij een “ernstig beveiligingsincident” of “significant datalek” het contract onmiddellijk mag beëindigen zonder kosten? Zo ja, bereid je hier dan als dienstverlener op voor en vermijd dat je belangrijkste klanten gebruik zullen maken van deze mogelijkheid. Dat kan je bewerkstellingen door het cyberincident en de nasleep ervan professioneel aan te pakken en transparant te communiceren met je (belangrijkste) klanten.
• Gerelateerde contracten: heeft beëindiging van de hoofdovereenkomst gevolgen voor andere overeenkomsten (zoals licenties of onderhoudscontracten)? Houd hier dan ook rekening mee.
• Herstelbaarheid en vertrouwen: kun je als dienstverlener de problemen snel oplossen, of schaadt het cyberincident het vertrouwen van de klant zodanig dat die vroegtijdig wil vertrekken?

7. Verlies van vertrouwen

Een cyberincident kan meer kapotmaken dan IT-systemen: het schaadt ook vaak het vertrouwen van de klant in jouw diensten. Dat kan leiden tot:

• Verscherpte eisen in nieuwe of lopende contracten (o.a. strengere security-eisen, frequente audits).
• Reputatieschade (negatieve publiciteit, wantrouwen bij andere klanten).
• Preventieve maatregelen: transparante en tijdige communicatie over het incident én de genomen verbeteringen helpt het vertrouwen te herstellen of te behouden.

Soms bepaalt het contract niet uitdrukkelijk dat de klant het contract onmiddellijk kan beëindigen bij een “ernstig beveiligingsincident” of “significant datalek”, maar bepaalt het contract wel dat dit mogelijk is bij een onherstelbaar verlies van vertrouwen. Houd er als dienstverlener rekening mee dat een cyberincident zo’n onherstelbaar verlies van vertrouwen kan betekenen als je het cyberincident en de nasleep ervan niet professioneel aanpakt.

Conclusie

Voor jou als dienstverlener is het essentieel om contractueel goed vast te leggen welke beveiligingsniveaus je hanteert, hoe je cyberincidenten meldt en hoe aansprakelijkheid is geregeld. NIS2 versterkt deze noodzaak, vooral waar het gaat om toeleveringsketens en het aantoonbaar nemen van doeltreffende maatregelen.

Maak duidelijke afspraken met je klanten en zorg ervoor dat je deze afspraken goed kent als er zich een cyberincident voordoet.

Bron: Timelex