cases

Met de toenemende digitalisering en automatisering van de maatschappij neemt het belang van cyberveiligheid evenredig toe. Dat de logistieke sector geen uitzondering regel is op deze regel, bleek wel toen vorig jaar rederij Maersk en de containerterminals van dochteronderneming APMT werden gehackt. In de Rotterdamse haven lagen de containerterminals anderhalve week plat als gevolg van de cyberaanval.

Onlangs maakte Maersk tijdens het World Economic Forum in het Zwitserse Davos bekend dat 4000 nieuwe servers, 45.000 nieuwe pc's en 2500 applicaties geherinstalleerd moesten worden. De totale kosten zijn geschat op 300 miljoen dollar, vooral veroorzaakt doordat er geen boekingen konden worden aangenomen voor het containervervoer.

Het volledig uitsluiten of voorkomen van cybercrime en andere IT-gerelateerde problemen is volgens velen problematisch. De constante behoefte aan nieuwe functies en updates zorgt ervoor dat ondanks het regelmatig dichten van veiligheidslekken altijd wel weer een nieuwe kwetsbaarheid kan ontstaan.

Het moeten waarborgen van cyberveiligheid is een ontwikkeling die voorlopig dus niet verdwijnt. Het is daarom ook belangrijk om stil te staan bij de juridische risico’s en plichten die kunnen ontstaan door een veiligheidslek.

Een bedrijf waarvan de bedrijfsvoering is platgelegd door een cybercrimineel kan contracten met klanten mogelijk niet nakomen. Dat leidt tot omzetverlies, maar ook tot schadeclaims. Het gaat in dat geval om een schadevordering onder het contract van toepassing tussen de klant en het bedrijf dat tekortschiet in de nakoming van het contract.

In veel gevallen zal het getroffen bedrijf in het contract hebben opgenomen dat ongestoorde dienstverlening niet is gegarandeerd, al neemt dit in de regel niet weg dat wel actie moet worden ondernomen om de dienstverlening zo snel mogelijk voort te zetten. Ook is denkbaar dat het bedrijf zich kan beroepen op overmacht mits zij kan aantonen dat voldoende is gedaan om cyberaanvallen te voorkomen. Ten slotte kan een bedrijf de schade als gevolg van een wanprestatie (gedeeltelijk) contractueel uitsluiten.

Als een cyberaanval leidt tot een datalek kan er sprake zijn van verlies van privacygevoelige gegevens. Op grond van de Wet bescherming persoonsgegevens (Wbp) moeten bedrijven direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben ontdekt. In bepaalde gevallen moet het datalek ook gemeld worden aan de betrokkenen. Slachtoffers van privacyschending kunnen aanspraak maken op schadevergoeding, al is de precieze schade vaak moeilijk in cijfers uit te drukken.

Verder trad op 1 oktober 2017 de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) gedeeltelijk in werking. De Wgmc legt taken van het Nationaal Cyber Security Centrum (NCSC) en de bevoegdheid om ten behoeve daarvan persoonsgegevens te verwerken vast, en regelt de vertrouwelijkheid ten aanzien van bij het NCSC berustende gegevens betreffende aanbieders.

De in de Wgmc opgenomen meldplicht en de daarmee samenhangende bepalingen traden op 1 januari 2018 in werking. De meldplicht geldt voor organisaties waarbij ernstige digitale veiligheidsincidenten de samenleving zouden kunnen ontwrichten. Daaronder vallen bijvoorbeeld de Divisie Havenmeester van het Havenbedrijf Rotterdam N.V., Royal Schiphol Group N.V., Luchtverkeersleiding Nederland, Aircraft Fuel Supply B.V. en de Koninklijke marechaussee. Het is niet uitgesloten dat meer organisaties aan deze lijst worden toegevoegd.

Niet voldoen aan bovengenoemde meldplichten kan tot aanzienlijke sancties leiden.

De meldplicht die voortvloeit uit de Wbp biedt de Autoriteit Persoonsgegevens sinds 1 januari 2016 de mogelijkheid een rechtspersoon hoge boetes op te leggen, maar kan deze ook opleggen aan bestuurders persoonlijk. Dit ligt met name voor de hand als blijkt dat een bestuurder opdracht heeft gegeven de meldplicht te negeren en een datalek geheim te houden.

Ook als de boete op naam van de rechtspersoon staat, kan een bestuurder in het kader van onbehoorlijk bestuur intern worden aangesproken als duidelijk is dat de bestuurder bekend was met de ernst van een datalek en nalatig was in het treffen van de juiste maatregelen.

Het is duidelijk dat de wetgever de afgelopen jaren niet heeft stilgezeten. Cyberveiligheid wordt een steeds belangrijker onderdeel van het maatschappelijk verkeer. Dat een cyberaanval op een bedrijf tot enorme schade kan leiden zal voor niemand verrassend zijn. Naast de schade aan het bedrijf zelf, kunnen juridische gevolgen als aansprakelijkheden en sancties de kosten nog veel verder laten oplopen.