Woensdag 5 april 2017 – Nederlandse bedrijven doen al dan niet bewust te weinig aan digitale veiligheid, terwijl dit wel verplicht is, zo stelt de Cyber Security Raad (CSR). Volgens de huidige wet- en regelgeving hebben bedrijven de plicht om te zorgen voor een adequate digitale beveiliging. Mocht zich toch een incident voordoen, dan hebben zij de plicht de gevolgen ervan te beperken en verdere incidenten te voorkomen.
Bedrijven onvoldoende op de hoogte
In de praktijk blijkt dat bedrijven hier onvoldoende van op de hoogte zijn. Dat kan er bijvoorbeeld toe leiden dat bedrijven hun systemen onvoldoende beveiligen en er producten op de markt worden gebracht die onvoldoende tegen aanvallen zijn beveiligd. De CSR heeft het Kabinet geadviseerd zelfregulering ten aanzien van ‘zorgplichten’ te stimuleren, het voortouw te nemen in een discussie hierover, en de wetgeving van Europese lidstaten op elkaar af te stemmen.
Risico op aansprakelijkheid
Het negeren van deze ‘zorgplichten’ brengt het risico mee dat ze aansprakelijk gesteld worden. “Indien een bedrijf software, mobiele telefoons, of andere producten of diensten met een ict-toepassing verwerkt, dienen deze adequaat beveiligd te zijn tegen hacken”, aldus de CSR. De Raad stelt dat dit alleen kan als digitale veiligheid al in het ontwikkelstadium van deze producten en diensten wordt meegenomen.
Veel bedrijven zijn zich volgens de CSR onvoldoende bewust van deze verplichtingen. Daarnaast zijn er bedrijven die hun verantwoordelijkheid bewust negeren en vervolgens aansprakelijkheid trachten te ontlopen via ontsnappingsclausules in contracten. “Dit is niet toegestaan onder het consumentenrecht, en ook onder het ondernemingsrecht valt niet alle verantwoordelijkheid uit te sluiten”, stel de Raad.
Bestuur en directie verantwoordelijk voor digitale veiligheid
Het bestuur of de directie van een bedrijf is er verantwoordelijk voor dat het bedrijf inzicht heeft in de digitale veiligheidsrisico’s en daartegen adequate maatregelen neemt. Gebeurt dit niet, dan kunnen zij aansprakelijk zijn voor de schade die consumenten en andere bedrijven lijden. Door nieuwe ontwikkelingen, zoals het Internet of Things en eHealth, neemt het risico op digitale en fysieke schade toe. De CSR verwacht dan ook dat schade in de toekomst steeds vaker verhaald zal worden.
De Cyber Security Raad is onafhankelijk
De Cyber Security Raad is het onafhankelijke en strategische adviesorgaan van het Kabinet als het gaat om digitale veiligheid in Nederland. De Raad is toekomstgericht en adviseert onder andere over nieuwe cybersecurity ontwikkelingen en dreigingen die op Nederland afkomen. De leden van de Raad zijn vertegenwoordigers uit de publieke, private en wetenschappelijke sector.
Bron: security.nl
