Wenst u meerdere opleidingen
te volgen bij LegalLearning?

Overweeg dan zeker ons jaarabonnement 

 

Krijg toegang tot +150 opleidingen

Live & on demand webinars

Voor uzelf en/of uw medewerkers


Ondernemingscontracten redigeren:
mogelijke valkuilen (inclusief boek)

Mr. Arie Van Hoe (Janson)
Mr. Olivier Vanden Berghe (Liedekerke)
Dhr. Dirk Deschrijver (Legal Advisor)
Dhr. Marc Taeymans (Thomas More Hogeschool)

Webinar op donderdag 2 oktober 2025


Boek 7 BW. Nieuwe regels voor
bijzondere contracten op komst

Prof. dr. Thijs Tanghe en mr. Tijl Eggers (Eubelius)

Webinar op dinsdag 21 oktober 2025


Samenwerkingsvormen in de bouw:
een praktijkgericht overzicht van diverse contracten

Mr. Jens Rediers, mr. Jef Feyaerts

en mr. Sophie De Krock (Schoups)

Webinar op dinsdag 10 juni 2025


Contracten anno 2025
Concrete vragen over samenloop tussen contractuele en buitencontractuele aansprakelijkheid en over de aansprakelijkheid van hulppersonen

Prof. dr. Ignace Claeys en prof. dr. Thijs Tanghe (Eubelius)

Webinar op donderdag 3 juli 2025


Interne onderzoeken
onder de wet private opsporing

Mr. Inger Verhelst en mr. Matthias Vandamme

(Claeys & Engels)

Webinar op donderdag 9 oktober 2025

Cyberincidenten: wat zijn de contractuele gevolgen voor u als klant? (Timelex)

, , | 14 mei 2025

Auteurs: Bernd Fiten en Wout Platteau (Timelex)

Cyberincidenten raken allang niet meer alleen de IT-afdeling. Ze kunnen ook een grote impact hebben op de contractuele relatie tussen u en uw dienstverlener. Denk bijvoorbeeld aan een datalek dat uw vertrouwelijke bedrijfsgegevens blootlegt, of een ransomware-aanval waardoor u tijdelijk niet kunt werken. Wat zijn in zo’n geval de belangrijkste contractuele aandachtspunten voor u als klant?

1. Is er sprake van contractbreuk?

Wanneer u door een cyberincident schade lijdt of uw dienstverlening wordt verstoord, wilt u weten of uw dienstverlener hiermee zijn contractuele verplichtingen schendt. Vaak verwijst het contract naar specifieke verplichtingen rond onder andere:

  • Vertrouwelijkheid
  • Bescherming (persoons)gegevens
  • Beveiliging
  • Aansprakelijkheid
  • Overmacht
  • Beëindiging

In de volgende paragrafen gaan we in op de belangrijkste clausules voor u als klant.

2. Vertrouwelijkheid van uw gegevens

In veel contracten staat dat de dienstverlener uw vertrouwelijke informatie moet beschermen. Bij een cyberincident (zoals een datalek) kan die vertrouwelijkheid in het gedrang komen. Mogelijk krijgen cybercriminelen toegang tot uw gegevens, of zijn uw gegevens ontoegankelijk gemaakt door ransomware.

Waar moet u op letten?

  • Wat valt er precies onder “vertrouwelijke informatie”? Controleer of uw bedrijfsgegevens, software, of andere specifieke data hierin zijn opgenomen.
  • Wat zijn de gevolgen van een schending? Staat er in uw contract een boete of schadevergoeding voor wanneer vertrouwelijke informatie op straat komt te liggen? Kan u deze schadevergoeding opeisen door het cyberincident?
  • Wie is verantwoordelijk? Het is niet altijd direct de schuld van de dienstverlener. Soms ligt de oorzaak bij een derde partij, of zelfs (deels) bij u als klant. Toch is het cruciaal te bepalen of de dienstverlener voldoende maatregelen nam om uw informatie vertrouwelijk te houden.
  • Root cause analysis: vaak zal worden onderzocht hoe het cyberincident kon gebeuren. Dit kan onder meer relevant zijn om te bepalen of de dienstverlener zijn vertrouwelijkheidsverplichtingen is nagekomen.
3. Beveiliging: wat mocht u verwachten?

NIS2 en hogere eisen 

Met de NIS2-richtlijn van de EU komen er strengere vereisten voor cybersecurity, vooral voor organisaties in kritieke of belangrijke sectoren. De dienstverlener moet kunnen aantonen dat hij afdoende beveiligingsmaatregelen nam (denk aan encryptie, firewalls, audits, incidentresponsplannen, enz.). Als klant kunt u controleren of deze verplichtingen zijn opgenomen in uw contract.

Belangrijke vragen 

  • Welke beveiligingsmaatregelen garandeert de dienstverlener contractueel? Vaak gaat het om specifieke normen (ISO 27001, NIST-framework, enz.).
  • Voldoen die maatregelen aan de actuele standaarden en best practices? Cyberdreigingen evolueren continu; het kan zijn dat wat gisteren voldoende was, vandaag achterhaald is.
  • Krijgt u als klant inzage in audits of pentestresultaten? Zo kunt u nagaan of de dienstverlener de beloofde maatregelen echt test en bijwerkt.
  • Verantwoordelijkheid bij een incident: in hoeverre had de dienstverlener het incident kunnen voorkomen, en welke beveiligingsinspanningen heeft hij nagelaten?
4. Persoonsgegevens: de rol van een verwerkers- of data-delings¬overeenkomst

Bij een cyberincident kan het ook gaan om persoonsgegevens (bijv. van uw klanten of personeel). In dat geval spelen uw afspraken rond gegevensbescherming AVG een grote rol.

  • Heeft u een verwerkersovereenkomst met de dienstverlener? Als de dienstverlener optreedt als verwerker en uw (persoons)gegevens of die van uw klanten verwerkt, moet er normaliter een verwerkersovereenkomst zijn.
  • Meldplicht: soms is contractueel bepaald binnen welke termijn een cyberincident moet worden gemeld, of dat zelfs een vermoeden van een incident al moet worden doorgegeven. Ga na of de dienstverlener aan deze contractuele meldplicht correct en tijdig heeft voldaan.
  • Melden van een datalek als verwerkingsverantwoordelijke: als u als klant verwerkingsverantwoordelijke bent, moet u ook rekening houden met de verplichtingen die u heeft op basis van de AVG. Als het cyberincident ook een lek van persoonsgegevens is, moet u als verwerkingsverantwoordelijke immers analyseren of u het datalek moet melden aan de toezichthoudende autoriteit. Het niet of laattijdig melden van een datalek, kan leiden tot een aanzienlijke administratieve geld. Daarbij is het nuttig om te weten dat een correct gemeld datalek niet noodzakelijk tot zo’n geldboete zal leiden.
  • Auditrecht: in sommige contracten staat dat u als klant na een incident recht hebt op een audit bij de dienstverlener, al dan niet op diens kosten. Ga na wat uw rechten zijn en beoordeel of het opportuun is om een audit bij de dienstverlener te laten uitvoeren, bijvoorbeeld om na te gaan of de dienstverlener de nodige maatregelen heeft genomen zodat het cyberincident zich niet opnieuw kan voordoen.
  • Beëindiging: kan of mag u de overeenkomst stopzetten als er een datalek is ontstaan? Als u het vertrouwen in de dienstverlener bent verloren, kan het een mogelijkheid zijn om van deze beëindigingsmogelijkheid gebruik te maken.
5. Aansprakelijkheid: wie draait op voor de schade?

Welke schade kan zich voordoen? 

  • Directe kosten: denk aan IT-forensic experts, herstel van systemen, eventueel losgeld bij ransomware.
  • Service credits: als er bijvoorbeeld een SLA is die door het incident niet wordt gehaald.
  • Downtime: uw processen liggen misschien stil door het cyberincident, wat zou kunnen leiden tot productiviteitsverlies.
  • Reputatieschade: als vertrouwelijke data uitlekt of uw bedrijfsprocessen lang platliggen, kan uw imago daaronder lijden. Als klant probeer je het cyberincident vaak uit de publieke media te houden.

Contractuele vragen

  • Heeft u recht op een (contractuele) schadevergoeding? En is die schadevergoeding begrensd door een beperking van aansprakelijkheid? Dient u de dienstverlener in gebreke te stellen?
  • Is er een verzekering? Sommige dienstverleners of u zelf hebben mogelijk een cyberverzekering afgesloten die de kosten (deels) dekt.
  • Moest u de dienstverlener waarschuwen? Als u al eerder twijfelde aan zijn beveiliging, dan kan dit meespelen in een discussie over aansprakelijkheid. Stel dat u reeds wist dat de dienstverlener de beveiliging van uw gegevens niet serieus nam en u heeft de dienstverlener daar nooit schriftelijk op gewezen, dan kan dat in uw nadeel spelen als klant.
6. Overmacht: kan uw dienstverlener daarmee wegkomen?

Overmacht (force majeure) betekent in het recht dat een partij zich kan bevrijden van aansprakelijkheid als een onvoorziene en onvermijdbare gebeurtenis de prestatie onmogelijk maakt.

  • Is een cyberaanval overmacht? Een dienstverlener kan proberen aan te voeren dat bijvoorbeeld een zeer geavanceerde ransomware-aanval niet te voorzien of te voorkomen was.
  • Tegenargument voor u als klant: cyberincidenten zijn tegenwoordig voorspelbare risico’s, zeker voor organisaties die beroepshalve met data werken. Met goede ‘disaster recovery’-plannen en beveiligingsmaatregelen kan veel leed worden voorkomen.
  • Wat bepaalt uw contract? Sommige contracten beschouwen cyberincidenten expliciet als overmacht, andere niet. Ga na wat er in uw contract met de dienstverlener staat.
7. Beëindiging: kunt u kosteloos stoppen na een incident?

Het recht om de samenwerking stop te zetten is een belangrijk middel dat u als klant in uw voordeel zou kunnen gebruiken. Of u kosteloos kunt opzeggen, hangt af van de bepalingen in uw contract en de ernst van het incident.

  • Staat er een beëindigingsclausule voor cyberincidenten? Zo ja, onder welke voorwaarden en met welke opzegtermijn? Moet u als klant dan een opzeggingsvergoeding betalen?
  • Impact op andere overeenkomsten: als u meerdere contracten met dezelfde dienstverlener hebt, kan een stopzetting gevolgen hebben voor al die contracten (denk aan een onderhoudscontract).
  • Hoe zit het met uw data? Na beëindiging moet uw data meestal worden terugbezorgd of vernietigd. Let erop dat dit goed geregeld is. Zorg dat u de data van de dienstverlener terugkrijgt op een manier en in een formaat die u toelaten om verder te blijven werken.
  • Denk goed na voor u uw contract beëindigt! Het beëindigen van een contract kan verstrekkende operationele gevolgen hebben als het gaat om een kritische dienstverlener. Beëindig het contract met zo’n dienstverlener niet lichtzinnig en weeg de voor- en nadelen tegen elkaar af. Soms is het beter om het contract met de dienstverlener niet te beëindigen, maar wel om bijkomende afspraken te maken voor de verdere samenwerking.
8. Verlies van vertrouwen: meer dan alleen een juridische kwestie

Een cyberincident kan het vertrouwen tussen u en uw dienstverlener ernstig aantasten. U kunt twijfels krijgen over zijn professionaliteit of beveiligingsniveau. Dit kan uw latere contractonderhandelingen (bijvoorbeeld over een contractverlenging) bemoeilijken of leiden tot strengere eisen, zoals extra auditrechten of flexibelere beëindigingsopties. Zelfs als u niet meteen van dienstverlener wilt veranderen, kan het verstandig zijn om de contractuele afspraken te herbekijken en nieuwe beveiligingsnormen vast te leggen.

Conclusie

Cyberincidenten kunnen voor u als klant grote contractuele gevolgen hebben. U loopt het risico op schade, verlies van bedrijfscontinuïteit, reputatieschade en mogelijke conflicten over aansprakelijkheid. Het is daarom cruciaal om goede contractuele afspraken te maken én te controleren of uw dienstverlener zich hieraan houdt:

  1. Check de beveiligings- en vertrouwelijkheidsclausules: zijn die duidelijk en sluiten ze aan bij hedendaagse cyberdreigingen en bij NIS2-eisen?
  2. Bekijk de aansprakelijkheidsregeling: weet u precies welke schade (en tot welk bedrag) gedekt is?
  3. Let op overmacht en beëindigingsrechten: laat niet zomaar toe dat uw dienstverlener zich beroept op overmacht bij een cyberaanval. En weet welke opties u heeft om te (laten) beëindigen.
  4. Wees alert bij de verwerking van persoonsgegevens: is de meldplicht duidelijk geregeld en moet u zelf maatregelen treffen als verwerkingsverantwoordelijke voor het melden van het datalek aan de toezichthoudende autoriteit?

Bron: Timelex

» Bekijk alle artikels: IT & IP, Privacy & Gegevensbescherming, Verbintenissen & Goederen


Buitencontractuele aansprakelijkheid: het nieuwe boek 6 is een feit

Webinar on demand

Het nieuwe verbintenissenrecht:
de impact voor de bouw- en vastgoedsector

Webinar on demand

Contracten anno 2025: een praktijkgerichte blik na de inwerkingtreding van boek 6 BW

Webinar on demand
Alle opleidingen

Legal Counsel

Gent

Advocaat privaat bouw- en verzekeringsrecht

Antwerpen

Advocaat vastgoed- en omgevingsrecht

Antwerpen

Junior Lawyer EU and Competition Law and Foreign Investment

Brussel
Alle vacatures

Boeken in de kijker: