Is een MSP aansprakelijk bij een hack?

Hans ten Hove, Director Sales Northern Europe bij Datto

Is een MSP aansprakelijk bij een hack?

Joost Schmaal, Kennedy van der Laan, Partner, Advocaat

30-03-2021 | door: Witold Kepinski

Is een MSP aansprakelijk bij een hack?

Hackers hebben een nieuwe manier gevonden om snel meerdere slachtoffers te maken. Ze richten hun pijlen steeds vaker op IT-leveranciers en MSP’s, omdat ze op deze manier toegang kunnen krijgen tot soms wel duizenden eindklanten. Dit blijkt ook uit onderzoek van Datto: maar liefst 95% van de MSP’s geeft aan dat hun eigen bedrijven meer risico lopen.

Dit betekent niet alleen dat MSP’s ook zichzelf goed moeten beschermen, maar ook dat hackers nóg een route naar de data van eindklanten hebben gevonden. Dit leidt ons naar een nieuw vraagstuk: wie is er aansprakelijk als een eindklant wordt gehackt? De klant of de MSP? Twee experts op dit gebied – Hans ten Hove (foto), Director Sales Northern Europe bij Datto en Joost Schmaal, partner bij advocatenkantoor Kennedy van de Laan en expert in IT-gerelateerde geschillen – duiken dieper in dit vraagstuk.

Het antwoord op deze vraag hangt voor een belangrijk deel af van de gemaakte afspraken, met name op het gebied van beveiliging en continuïteit. Vroeger namen MSP’s beveiliging natuurlijk ook serieus, maar er werden niet altijd duidelijke afspraken op papier gezet. Dat is nu wezenlijk anders. Het is belangrijker dan ooit dat partijen weten wat ze van elkaar kunnen verwachten in het kader van beveiliging en continuïteit. “Dat heeft verschillende oorzaken”, vertelt Joost Schmaal. “Er zijn natuurlijk steeds meer en grotere cyberrisico’s. Daarnaast is de AVG in werking getreden waarbij de meldplicht datalekken komt kijken, en zijn er mogelijke boetes als gevolg.” Ondanks deze ontwikkelingen ontstaan er toch regelmatig situaties waarbij een bedrijf slachtoffer wordt van ransomware, en er vervolgens discussie ontstaat over aansprakelijkheid. Hans ten Hove legt uit: “Als een eindklant slachtoffer wordt van een cyberaanval, wordt er regelmatig naar de MSP gewezen als de schuldvraag wordt gesteld. De MSP wordt immers ingehuurd om het bedrijf te ontzorgen op IT-gebied, óók op het gebied van security en back-up. Maar zo eenvoudig is de situatie vaak niet. Welke afspraken zijn er gemaakt? Heeft de MSP geadviseerd om security en BCDR-oplossingen af te nemen? En heeft de klant het advies opgevolgd?”

Naast onduidelijkheid over de schuldvraag, is een gebrek aan kennis en bewustwording ook een probleem. “Het is van belang dat MSP’s klanten informeren over de risico’s die zij lopen”, vervolgt Hans. “Er is een grote kloof tussen MSP’s en het mkb als het gaat om het bewustzijn van het gevaar dat dreigt. Uit ons recente onderzoek naar ransomware in het kanaal blijkt dat de meeste MSP’s zeer bezorgd zijn over malware-dreigingen (89%), terwijl maar 19% van de mkb’ers dat gevoel heeft. Dit brengt het risico met zich mee dat mkb’ers ervoor kiezen om niet, of niet voldoende, te investeren in security en business continuity-oplossingen. Ze denken namelijk dat het de investering niet waard is, omdat ze geloven dat ze waarschijnlijk geen slachtoffer zullen worden. Als ze vervolgens toch worden gehackt, maar geen BCDR-oplossing hebben, dan kan er een vervelende situatie ontstaan.” Om als MSP vervolgens niet in een discussie terecht te komen over de schuldvraag en aansprakelijkheid, is het volgens Joost verstandig om als MSP voorafgaand duidelijk te zijn over wat je wél, maar ook vooral wat je niét levert. “Maak geen beloftes die je niet waar kunt maken. Zet bijvoorbeeld niet in de salesdocumentatie dat alle data bij jullie veilig is, als je vervolgens niet een compleet pakket met oplossingen levert dat daarvoor zorgt. Bespreek alle mogelijkheden en de consequenties met de klant, zodat de klant een geïnformeerde beslissing kan maken. Specificeer de afspraken vervolgens in de overeenkomst. Oók als een BCDR-oplossing is geadviseerd, maar bewust door de klant niet wordt afgenomen. We zien ook steeds vaker dat een klant in zo’n geval wordt gevraagd om een waiver te tekenen waarin de gevolgen van deze keuze bij de klant worden gelegd. Gelet op de ontwikkelingen in de rechtspraak over de soms vergaande zorgplicht van leveranciers, is dit een logische en goede ontwikkeling voor MSPs. Zo voorkom je onduidelijkheid en is er geen reden tot discussie op het moment dat het toch misgaat.”

Terug naar nieuws overzicht