Het is belangrijk om zich te verdiepen in de mate waarin u moet voldoen en voldoet aan dat wat van u verwacht wordt op ICT gebied. Daar kunt u natuurlijk hulp bij krijgen door bijvoorbeeld een onafhankelijke IT audit uit te laten voeren. Het is niet zo dat u automatisch “ingedekt” bent door goede ICT producten en/of een goede ICT dienstverlener in te schakelen.

Naast de vraag naar goede functionaliteit, groeien de vragen naar veiligheid en juridische aansprakelijkheid meer en meer. De vraag of dat wat men heeft veilig genoeg is voor uw praktijk en in juridische zin, is een lastige om snel te kunnen beantwoorden.

Als iemand een product verkoopt, zoals een broodrooster, dan moet dat broodrooster voldoen aan de eisen die daar redelijkerwijze aan gesteld zouden mogen worden. Bijvoorbeeld dat het brood inderdaad bruin wordt (het doet wat je verwacht), dat de zekeringen niet doorbranden wanneer het apparaat in het stopcontact wordt gestoken, het apparaat een bepaalde tijd mee gaat en dat het apparaat niet onder stroom komt te staan tijdens normaal gebruik (de veiligheid dus is gegarandeerd).

Dit basis uitgangspunt geldt voor alles wat te koop wordt aangeboden en als een product daar niet aan voldoet dan heeft de koper het recht op gratis herstel of vervanging. Overigens kan dit uitgangspunt niet worden weerlegd met een garantie (garanties zijn meestal beperkingen in aansprakelijkheid). Je mag dus terug gaan met een computer naar de winkel als de voeding na 1 jaar en 2 maand de geest geeft, terwijl de garantie een jaar na aanschaf stopt. Immers, tijdens de koop mocht je verwachten dat de voeding langer als een jaar mee zou gaan.

Koop je echter een product als een firewall of router, dan kom je als koper in een grijs gebied terecht. Natuurlijk, als de voeding van de firewall er mee stopt, geldt hetzelfde als voor een computer, maar wat als na zes maanden blijkt dat hackers via de firewall het netwerk binnen konden dringen?

De vraag die daarbij gesteld moet worden is deze: voldoet het apparaat aan de eisen die daar redelijkerwijs aan gesteld zouden mogen worden? En is het redelijk om van een firewall te verwachten dat hij alle hackers buiten houdt? Vanuit de ogen van de koper is het misschien heel redelijk om dit te verwachten van een half jaar oude firewall, maar is dit wel terecht?

Wie naar de ICT markt kijkt, moet met ons concluderen dat deze nog niet in staat is om 100% veilige en goed werkende apparaten te maken. Gekscherend wordt wel eens gesteld dat het grootste deel van de ICT industrie geld verdient met dat wat ze nooit goed werkend voor elkaar heeft gekregen. Omdat iedereen weet dat ICT niet ‘waterdicht’ is, mag dat dus ook redelijkerwijs niet verwacht worden.

Heeft een ICT bedrijf er alles aan gedaan wat redelijkerwijs verwacht mag worden om het apparaat goed te laten functioneren, dan is het in dat geval meestal dus niet meer mogelijk om een beroep te doen op de herstel of vervangingsregel. Voor veel IT auditors geldt in dergelijke gevallen dat wat als marktconform wordt beschouwd, dat is wat redelijkerwijs verwacht mag worden.

Kortom, als een firewall wordt opgeleverd volgens de richtlijnen van de fabrikant en als deze firewall wordt onderhouden zoals dat voorgeschreven is (en dus verwacht mag worden met regelmatig updates, etc.), dan hoeft een falen na een halfjaar door op dat moment gebleken slechte veiligheid niet noodzakelijkerwijs te leiden tot vergoeding, herstel of vervanging.

Specialisten kunnen zich in een dergelijk geval nog buigen over de vraag of de leverancier die updates voor het apparaat uitvoert, nalatig is gebleken of dat de partij die de updates moet installeren, in gebreke is gebleken. Men gaat dan op zoek naar de reden waarom het probleem heeft kunnen ontstaan. En de vraag die daarbij gesteld wordt, is de vraag of redelijkerwijs verwacht had mogen worden dat die reden er niet was geweest.

Stel dat men een nieuwe manier van hacken heeft ontdekt door een bepaalde poort binnen een firewall te misbruiken. Als dit probleem bekend is geworden, dan is het zaak dat de organisaties die updates voor firewalls maken deze binnen een bepaalde tijd in hun updates hebben verwerkt. De organisaties die verantwoordelijk zijn voor het uitvoeren van deze updates moeten dit weer binnen een bepaalde tijd hebben doorgevoerd. Heeft een van deze partijen dat niet gedaan, dan voldoen ze niet aan dat wat redelijkerwijs van hen verwacht had mogen worden en daar mag men hen wel degelijk op aanspreken.

Als geen ICT bedrijf bent en gevoelige informatie op uw systemen heeft staan dan kunt u er toch verantwoordelijk voor worden gehouden wanneer deze informatie op onjuiste wijze of door niet gewenste personen digitaal wordt gebruikt. In feite geldt voor u hetzelfde als voor de ICT bedrijven: u moet er alles aan doen wat redelijkerwijs van u verwacht mag worden om deze data te beschermen. Dat van u redelijkerwijs minder verwacht mag worden dan van een ICT bedrijf, moge duidelijk zijn, maar vergist u zich hier niet in. U zult al snel beschikken over bijvoorbeeld gevoelige persoonsgegevens, patiëntendossier of andere privacy gevoelige data. In dat geval wordt verwacht dat u zich nog meer heeft ingespannen dan ‘normaal’.

Is het dan voldoende om een goede ICT organisatie in te schakelen? Nee, dat kan men niet zo maar stellen. Immers ook hier geldt dat eerst zal worden vastgesteld, ten tijde van een probleem, hoe het probleem zich heeft kunnen voordoen. Het ICT bedrijf dat u ingehuurd heeft, heeft misschien aanbevolen om een nieuwe router aan te schaffen en heeft daarbij vermeld dat dit nodig was omdat de huidige router verouderd is en dus niet meer van deze tijd. Als u besloten heeft daar nog even mee te wachten i.v.m. de liquiditeit, kan het zijn dat u dat wordt aangerekend. Vergelijk dit met het laten rondrijden van uw medewerkers in auto’s waar te weinig profiel op de banden zit. Nieuwe banden kosten geld, maar dat mag toch niet de overweging zijn om er daarom maar mee door te blijven rijden.

Ook kunnen onduidelijke formele afspraken tussen u en uw ICT dienstverlener u aangerekend worden. Heeft u bijvoorbeeld geen goede afspraken gemaakt over de back-up procedure, dan mag u misschien nog wel verwachten dat uw ICT dienstverlener u daarover adviseert en een bepaalde procedure voor u opzet die vaak (marktconform) wordt toegepast, maar wordt u er later op aangesproken dat u met uw klanten heeft afgesproken dat orders van drie jaar geleden digitaal beschikbaar blijven en wordt de back-up slechts een maand bewaard, dan mag tijdens een calamiteit waarbij deze orders verdwenen zijn, redelijkerwijs niet van de dienstverlener worden verwacht dat hij van uw afspraak met uw klanten wist en hij is er dan ook niet aansprakelijk voor.

In praktijk zijn deze zaken vaak niet zo evident als de hierboven beschreven voorbeelden. Een dienstverlener die eens per maand updates draait en daarvoor een laag bedrag vraagt, kan moeilijk verweten worden dat hij dat vaker had moeten doen, op het moment dat er een calamiteit plaatsvindt. Maar mag van de inhurende partij verwacht worden dat hij weet dat eens per maand te weinig zou zijn?

Belangrijk hierbij is te beseffen dat men in het algemeen stelt dat de aanbieder (de ICT dienstverlener in dit geval) de kennishebber is (het is ‘zijn vak’), en de inhurende partij niet (deze zou over te weinig ICT kennis beschikken). De ICT dienstverlener moet dus een goed advies geven en kan in een aantal gevallen er op worden aangesproken als hij dat niet doet of helemaal geen advies gegeven heeft. De inhurende partij moet dat advies dan natuurlijk wel opvolgen. Doet hij dat niet, dan heeft de ICT dienstverlener vanzelfsprekend het recht zich van de consequenties te distantiëren.

In een aantal gevallen kan de ICT dienstverlener zich overigens niet blijven distantiëren van het niet opvolgen van het gegeven advies. Hij mag in dergelijke gevallen geen medewerking verlenen aan dat waarvan hij zelf heeft aangegeven dat dit echt onverstandig is of niet kan. Doet hij dat wel, dan kan hij alsnog als mede verantwoordelijk worden beschouwd aan de gevolgen hiervan.

Het kan een goed idee zijn om door een derde partij een objectieve IT audit uit te laten voeren. Zaken die dan de revue zouden moeten passeren zijn allemaal terug te voeren op de kernvraag: voldoen wij aan dat wat redelijkerwijs van ons verwacht zou mogen worden? Er wordt dan niet alleen gekeken naar de gebruikte techniek, maar bijvoorbeeld ook naar de vastgelegde procedures en afspraken. Dat kan wanneer u een ICT dienstverlener heeft ingehuurd, maar natuurlijk ook wanneer u over een eigen ICT afdeling beschikt. E