by B Nieuwesteeg — In de tweede plaats is er het buitencontractuele aansprakelijkheidsrecht (aansprakelijkheid uit onrechtmatige daad) dat ertoe leidt dat

43 KB – 32 Pages

PAGE – 1 ============
1Studie:Aansprakelijkheid voor digitale onveiligheid in b2b-relaties Bernold Nieuwesteeg 1Michael Faure 2Louis Visscher 31 Mr. dr. ir. Bernold Nieuwesteeg is directeur van het Centre for the Law and Economics of Cyber Security aan de Erasmus Universiteit Rotterdam. 2 Prof. dr. Michael Faure is hoogleraar rechtseconomie aan de Erasmus universiteit Rotterdam en Maastricht University en is haiwaimingshi (bijzonder buitenlands hoogleraar) aan het Centre for Law and Economics van de China University of Political Science and Law. 3 Prof. dr. Louis Visscher is bijzonder hoogleraar rechtseconomie aan de Erasmus Universiteit Rotterdam 2020

PAGE – 2 ============
Dit onderzoek is in opdracht van het Ministerie van Economische Zaken en Klimaat verricht door Bernold Nieuwesteeg, Michael Faure en Louis Visscher van de Erasmus Universiteit Rotterdam, Centre for the Law and Economics of Cyber Security (CLECS). De auteurs bedanken Ghyslaine Krebbekx, Nelly Ghaoui, Maartje Beltman, Anne Marie Na˜inovi˜ en Matthijs Balder voor hun waardevolle feedback op eerdere conceptversies. Ook danken de auteurs de gesproken experts voor hun waardevolle inzichten en opmerkingen.

PAGE – 3 ============
3Management- samenvatting In deze studie is onderzocht of het Nederlandse aansprakelijkheidsrecht voldoende mogelijkheden biedt om in een b2b-relatie cybersecurityschade te verhalen. Voorbeeld hiervan is een bedrijf dat gehackt wordt omdat het gebruik maakt van onveilige software van een leverancier en daardoor schade lijdt. Onze conclusie is dat de juridische en economische barrières vaak te groot zijn om verhaal praktisch mogelijk te maken. Deze barrières zijn: Ł De zorgplicht. Schade kan alleen worden verhaald als er een schending is van een ‚norm™. In het geval van aansprakelijkheid voor cybersecurity zijn dit minimumvereisten voor cybersecurity. Deze vereisten zijn bijvoorbeeld in het contract vastgelegd of komen door de aard van de b2b-relatie tot uitdrukking Ł Schade. Uiteraard moet er schade zijn om een mogelijkheid te hebben om deze te verhalen Ł Causaliteit. Er dient een causaal verband te zijn tussen de geschonden norm, in casu de cyberonveiligheid van de leverende partij, en de geleden schade van de afnemende partij. Ł Bewijslast. De bewijslast ligt in beginsel bij de partij die de schade wil verhalen tenzij anders overeengekomen. Dit beginsel bemoeilijkt de mogelijkheid om schade te verhalen enorm omdat de afnemende partij niet in de IT-systemen van de leverende partij kan kijken en dus ook niet kan identi˜ceren of de zorgplicht is geschonden en er een causaal verband is tussen de geschonden zorgplicht en de geleden schade. Ł Onderhandelingsmacht. Grote partijen sluiten in het algemeen aansprakelijkheid volledig uit en beperken ook hun zorgplicht. Hier valt, in ieder geval in de perceptie van MKB partijen, niet of nauwelijks over te onderhandelen. Ł Toegang tot de rechter als de juridische kosten hoog zijn en de succesverwachting laag, bijvoorbeeld in het geval van het halen van verhaal bij een Amerikaanse leverancier. Ł Faillissement. De waarde van een claim wordt gemaximeerd door een eventueel faillissement van de leverende partij. Er zijn daarom ook voor zover wij weten geen rechtszaken rondom dit thema. Kan beleid deze juridische en economische barrières deels wegnemen? Een bijkomende uitdaging: de beleidsopties dienen de contractvrijheid zo veel mogelijk in stand te laten, want contractvrijheid zorgt in de meeste gevallen voor welvaart. In dit onderzoek doen wij enkele suggesties voor verder onderzoek naar beleidsopties. Deze strekken ertoe:Ł Afspraken over cybersecurity te verduide -lijken zodat ook duidelijker wordt wanneer een leverancier zich niet aan de afspraken met betrekking tot cybersecurity houdt. (de zogenaamde ‚zorgplicht™). Ł De bewijslast te vereenvoudigen door het eenvoudiger te maken de zowel schade als het verband tussen de schade en de gebrekkige cybersecurity te bewijzen.

PAGE – 4 ============
4Binnen een b2b-relatie is de contractvrijheid niet problematisch, tenzij er bijvoorbeeld sprake is van een zodanig verschil in onderhandelingsmacht dat de sterke partij hiervan misbruik kan maken. Daartoe strekken ook een aantal aanbevelingen tot verder onderzoek, zoals onderzoek naar: Ł Het verplichten van meer pluraliteit in aan-sprakelijkheidsvormen bij grote software-aan -bieders, zodat niet alle aansprakelijkheid standaard wordt uitgesloten door die partijen. Ł Toegang tot de rechter wanneer men schade wil verhalen bij grote internationale partijen. Concluderend: het mes van het aansprakelijk -heidsregime is bot. Zelfs indien beleidsopties worden doorgevoerd blijft de balans houden tussen het stimuleren van verhaalsmogelijkheden en het in stand houden van contractsvrijheid een uitdagende opgave voor de overheid. De vraag is of het aansprakelijkheidsregime in een b2b-relatie een e˚ectief middel is om schade te verhalen en prikkels goed te leggen. Men zou ook alter -natieven voor aansprakelijkheidsstelling kunnen onderzoeken en/of stimuleren, zoals het risico afdekken door middel van bijvoorbeeld een cyber -verzekering of een risicospreidingsovereenkomst. Voor een afnemende partij kan dat een laagdrem -pelig alternatief zijn voor aansprakelijkheidsstelling van de leverancier die bemoeilijkt wordt door de grote juridische en economische barrières voor verhaal.

PAGE – 5 ============
5Inhoudsopgave1. Inleiding 61.1 Reikwijdte 71.2 Methode 81.3 Structuur van het onderzoek 92. Het belang van contractvrijheid 103. Barrières om schade te verhalen in een contractuele relatie 123.1 Vormen van aansprakelijkheid 123.2 Juridische barrière 1: de zorgplicht. 14 3.3 Juridische barrière 2: schade 173.4 Juridische barrière 3: causaliteit 173.5 Juridische barrière 4: bewijslast 183.6 Economische barrière 1: onderhandelingsmacht 183.7 Economische barrière 2: toegang tot de rechter 193.8 Economische barrière 3: faillissement 194. Omschrijving en schematische analyse van de vier scenario™s 204.1 Omschrijving van de vier scenario™s 204.2 Koppeling scenario™s aan rechtseconomische barrières voor verhaal 215. Conclusie en aanbevelingen voor verder onderzoek naar beleidsopties 24 6. Gesproken experts 27Bijlage 1 Œ Aansprakelijkheid en maatschappelijke schade 28Risico op maatschappelijke schade 28Barrières voor derden om schade te verhalen 29Literatuur 31

PAGE – 6 ============
61. InleidingHet ministerie van Economische Zaken en Klimaat wil cybersecurity in Nederland versterken. Aan -sprakelijkheid voor schade die voortkomt uit cyberonveiligheid is in dat kader een belangrijk thema. 1 Het civiele aansprakelijkheidsrecht biedt juridische mogelijkheden om verhaal te zoeken voor geleden schade. Desondanks is er door het ministerie van Economische Zaken en Klimaat geconstateerd dat er vanuit het werkveld beginnende geluiden zijn dat aansprakelijkheden op het gebied van cybersecu -rity beter geregeld moeten worden. 2 Het lijkt er op dat in Nederland in de huidige praktijk de geleden schade niet systematisch wordt verhaald. 31. Zie bijvoorbeeld de Roadmap Digitaal Veilige Hard- en Software. 2. Opdrachtomschrijving Ministerie van Economische Zaken en Klimaat. 3. Opdrachtomschrijving Ministerie van Economische Zaken en Klimaat. 4. Er zijn verschillende redenen te geven waarom vergoeding van schade door de schadeveroorzaker wenselijk wordt geacht, bijvoorbeeld preventie, rechtvaardigheid, kostenallocatie, handhaving van rechten of vergoeding van geleden nadeel. Zie o.a. Priest (1988); Blomquist (1988) voor een discussie over de verschillende doelen van het aansprakelijkheidsrecht. Dit verkennende onderzoek gaat verder niet in op deze onderliggende redenen van de verschillende aspecten van het aansprakelijkheidsrecht. Zie ook Lindenbergh (2014). 5. Dat wordt dan omschreven als het punt waar de marginale kosten (van investeringen in cybersecurity) gelijk zijn aan de marginale opbrengsten (in verbetering van de veiligheid van het systeem), zie ook Nieuwesteeg (2018). Aansprakelijkheid voor cybersecurity kan twee primaire doelstellingen dienen: 1. Ten eerste kan aansprakelijkheid voor cybersecurity compensatie bieden voor een partij die schade lijdt op basis van de gemaakte contractuele afspraken tussen partijen. Als er schade ontstaat, kan het maatschappelijk wenselijk zijn dat de schade wordt gecompenseerd door de partij die de schade heeft veroorzaakt. 42. Ten tweede kan een aansprakelijkheidsregime maatschappelijk nuttige prikkels voor optimale cybersecurityniveaus geven.5 Compensatie kan tevens tot een maatschappelijk gewenste prikkel leiden bij de leverende partij om te investeren in optimale cybersecurity. Dat is bijvoorbeeld het geval wanneer deze leverancier zich er contractueel toe verbonden heeft dat hij eventuele schade als gevolg van zijn eigen suboptimale cybersecurityniveaus zal vergoeden. Als partijen gemakkelijker verhaal kunnen halen bij een leverancier, kan dit leiden tot verhoogde prikkels om voor afdoende cyberveiligheid te zorgen bij de leverancier. De studie richt zich primair op de vraag of het eerste doel via het huidige aansprakelijkheidsre -gime en de toepassing daarvan in Nederland in voldoende mate kan worden bereikt. De studie onderzoekt de mogelijkheden die een organisatie heeft in een business to businessrelatie (hierna: b2b-relatie) om het privaatrecht in te zetten wanneer zij schade lijdt door digitale onveilig-heid, alsmede haar motivaties voor het wel of niet inzetten van dit middel. De studie is een verkennend onderzoek en poogt een bijdrage te leveren aan het dichten van de kloof die bestaat tussen enerzijds het technische werkveld van cybersecurity en anderzijds de

PAGE – 8 ============
8cloudleverancier voor dataopslag en rekenkracht. Veel clausules in contracten worden na opstelling ervan niet ingeroepen. Deze contracten regelen immers veel zaken die vaak niet misgaan, zoals de consequenties bij wanprestatie (bijvoorbeeld een niet tijdige levering), een concurrentiebeding en het intellectueel eigendom van het product of dienst. De vergoeding van de schade die voortvloeit uit onvoldoende cybersecurity vanuit de leverende partij valt ook onder de categorie clausules die, wanneer er zich geen cyberse-curityincidenten voordoen, niet zal worden ingeroepen. 9Uit het bovenstaande blijkt dat er minstens vier verschillende partijen bij digitale onveiligheid betrokken kunnen zijn: A: de leverancier van de cybersecurity; B: de afnemer van producten of diensten met een cybersecuritycomponent die schade kan lijden; C: een derde die schade kan lijden en D: een derde die intentioneel schade veroorzaakt (de hacker). In dit rapport staat de (contractuele) relatie tussen A en B centraal. We zullen in bijlage 1 de mogelijkheid voor derden (C) om A (met wie ze geen contractuele relatie hebben) aansprakelijk te stellen op basis van onrechtmatige daad bespreken, daar dit buiten de reikwijdte van het rapport valt. 10 We gaan ervanuit dat D (de kwade genius die een zwakheid in het cybersecuritysysteem heeft ontdekt) onvindbaar, dan wel onvermogend is, en dat tegen D derhalve geen verhaal kan worden uitgeoefend. In sommige gevallen kan de leverancier A ook zelf digitale onveiligheid veroorzaken, bijvoorbeeld doordat hij schade aanricht door een penetratie -9. Dit beeld komt ook naar voren uit de interviews met Erik Rutkens en Maarten Wegdam. 10. In bijlage 1 doen wij ook een korte aanzet of het privaatrecht kan worden ingezet om maatschappelijk nuttige prikkels voor optimale cybersecurityniveaus aan alle partijen te geven. Het is belangrijk aan te stippen dat binnen het privaatrecht twee verschillende instrumenten ter beschikking staan om schade op een leverancier te verhalen. In de eerste plaats is dat het contractenrecht dat van toepassing zal zijn in de contractuele relatie tussen de leverancier en de afnemer en dat bij wanprestatie door de leverancier tot compensatie zou kunnen leiden. Het contractenrecht vormt de kern van onze analyse. In de tweede plaats is er het buitencontractuele aansprakelijkheidsrecht (aansprakelijkheid uit onrechtmatige daad) dat ertoe leidt dat leveranciers (of anderen) aansprakelijk kunnen worden gesteld voor de door hen veroorzaakte schade, ook als er geen contractuele relatie bestaat. 11. Dat wordt dan omschreven als het punt waar de marginale kosten (i.c. dus de kosten van extra investeringen in cybersecurity) gelijk zijn aan de marginale opbrengsten daarvan (dus de resulterende verbetering van de veiligheid van het systeem), zie ook Nieuwesteeg (2018).test uit te voeren op reeds operationele systemen. In dat geval is er geen sprake van een hacker en kan de leverancier A direct worden aangesproken. 1.2 MethodeVoor dit onderzoek wordt voornamelijk gebruik gemaakt van deskresearch binnen de rechtseco -nomie van cybersecurity. Daartoe zal gebruik worden gemaakt van de rechtseconomische methode met aandacht voor de invloed van ver-schillende ˜nanciële en andere prikkels op het gedrag van partijen. De rechtseconomie kan aangeven of en in welke mate een aansprakelijk -stelling van de leverancier diezelfde leverancier prikkels kan geven tot het bevorderen van optimale cybersecurity. Een voorbeeld: een grote kans op aansprakelijkheid bij slechte cybersecu -rity van de leverancier kan bijvoorbeeld leiden tot meer investeringen in cybersecurity door de leverancier terwijl een kleine kans op aansprake -lijkheid minder reden geeft voor een leverancier om goede cybersecurity in zijn producten in te bouwen. Ook kan de rechtseconomie door de economische blik op het juridische, praktische barrières voor verhaal analyseren, iets dat we in dit onderzoek ook zullen doen. Binnen de rechtseconomie wordt ook veel aandacht besteed aan kosten-batenanalyses. Vandaar dat voor een rechtseconoom het verwerven van optimale cybersecurity het maatschappelijk doel is, hetgeen geen maximale cybersecurity (als dat al mogelijk zou zijn) hoeft te betekenen. 11 Naast deskresearch naar rechtseconomische bronnen wordt ook gebruik gemaakt van een analyse van jurisprudentie. Bedoeling is niet een uitgebreide analyse van het Nederlands privaatrecht en de toepasselijke regels te geven, maar om aan de

PAGE – 9 ============
9hand van de beperkte jurisprudentie op terrein van cybersecurity te analyseren hoe de verhaals -mogelijkheden van verschillende scenario™s van digitale onveiligheid in de praktijk uitwerken. Ten slotte zal ook van een empirische component gebruik worden gemaakt teneinde te veri˜ëren in welke mate binnen b2b-relaties van beperking of uitsluiting van aansprakelijkheid gebruik wordt gemaakt en in welke mate leveranciers van cyber -security in Nederland daadwerkelijk met aanspra -kelijkstellingen worden geconfronteerd. Daartoe zal binnen de reikwijdte van het onderzoek met een beperkt aantal stakeholders explorerend worden gesproken ter kleuring van de scenario™s en de praktijk van cybersecurity. Dit laat een ‚reality check™ van het veeleer theoretisch rechts -economische perspectief toe. Sectie 6 biedt een overzicht van de geraadpleegde respondenten. 1.3 Structuur van het onderzoekHet onderzoek is als volgt gestructureerd. Allereerst bestuderen we de doelen van het aan -sprakelijkheidsregime voor cybersecurity in een b2b-relatie (2). Vervolgens zullen we de belem -meringen die het privaatrecht biedt om schade ten gevolge van digitale onveiligheid te verhalen, bespreken (3). Daarna zullen we enkele scenario™s schetsen en deze scenario™s koppelen aan de doelen van een aansprakelijkheidsregime en de handvatten die het aansprakelijkheidsrecht op dit moment biedt (4). In deze sectie komen ook de interviews aan bod die dienen ter kleuring van de praktijk van de civiele aansprakelijkheid. Tenslotte zullen we concluderen en richtingen aangeven voor de identi˜catie van beleidsinstrumenten (5).

PAGE – 10 ============
102. Het belang van contractvrijheidAls een partij die diensten met een cybersecuritycomponent afneemt een risico waarneemt op mogelijke schade ten gevolge van digitale onveiligheid, dan zal deze partij een afweging willen maken hoe deze met dat risico wil omgaan. Die afweging zal afhankelijk zijn van de risicobereidheid, het type opdracht, de eigen solvabiliteit; kortom met de omstandigheden van het geval die maken dat elke actor in het economische systeem eigen voorkeuren heeft. De afnemende partij heeft in een vrije markt ver -schillende alternatieven, zoals: 1. pogen het risico op schade en de gevolgen daarvan contractueel geheel bij de leverende partij te leggen, 2. het risico op schade (deels) zelf dragen en een lagere prijs bedingen, 3. het risico op schade (deels) zelf dragen, een lagere prijs bedingen en dit risico (deels) verzekeren. Een van de basisprincipes binnen een markteco -nomie is dat partijen verschillende voorkeuren hebben en dat de vrijheid om naar die voorkeuren te (onder)handelen de maatschappelijke welvaart vergroot. Daarom is contractvrijheid een wenselijk uitgangspunt. Immers, als de overheid via het privaatrecht of anderszins een verplichting zou inbouwen om bijvoorbeeld het risico bij de leverende partij te leggen, met een relatief hogere prijs tot gevolg, dan verhoogt het recht de prijs van het product voor iedereen, ook voor de partijen die het risico beter zelf hadden kunnen dragen of verzekeren, met economisch verlies als resultaat. Juist omdat de preferenties van partijen verschillen, zullen bepaalde partijen met een dergelijk overheidsingrijpen in de markt niet gediend zijn en zal een vermindering van de keuzevrijheid de maatschappelijke welvaart reduceren. De ene partij zal bijvoorbeeld alle risico™s op cybersecurityschade zelf willen dragen en een lagere prijs willen bedingen, terwijl een andere partij alle risico™s bij de leverende partij wil houden. De redenen voor die onderscheiden keuzes kunnen met verschillende elementen samenhangen zoals: Ł de houding ten aanzien van risico van beide partijen;Ł het eigen vermogen van de afnemer en diens mogelijkheden om het risico eventueel zelf te dragen;Ł informatie en de mogelijkheden van beide partijen om het risico correct in te schatten en Ł de mogelijkheid om het cybersecurityrisico te dekken ofwel via een aansprakelijkheids -verzekering (voor de leverancier) dan wel een zogenaamde ˜rst party verzekering (voor de afnemer). We benadrukken dat in de contractuele sfeer de vrijheid om risico™s te verdelen in deze b2b-relatie doorgaans niet problematisch is, tenzij er bij -voorbeeld sprake is van een zodanig verschil in onderhandelingsmacht dat de sterke partij hiervan

PAGE – 11 ============
11misbruik kan maken. Wel kan een probleem rijzen wanneer derden ook schade lijden en die trachten te verhalen op de leverende partij. Precies die door derden geleden schade kan ook maatschap -pelijke schade vormen. Dit fenomeen bespreken we kort in bijlage 1. Zoals in sectie 3 verder zal worden uitgewerkt zijn er zowel juridische als economische barrières die een aansprakelijkheids -stelling kunnen bemoeilijken.

43 KB – 32 Pages