EN

Cybercrime: zo zit het qua verzekering en aansprakelijkheid

Er zijn verschillende vormen van cybercrime, gaande van cyberterrorisme tot WhatsApp-fraude. De schade is vaak groot en de daders blijven maar al te vaak onbekend. Slachtoffers trachten daarom anderen, zoals de bank of het bedrijf waar het lek plaatsvond, aansprakelijk te stellen. Het zijn allemaal redenen waarom een goede cyberverzekering aan te raden is.

Inhoudsopgave

    Aansprakelijkheid bij cybercriminaliteit

    In het aansprakelijkheidsrecht is er een algemene en toch wel eenvoudige regel: wie een fout maakt en daarbij schade berokkent, is aansprakelijk. Derhalve zal de cybercrimineel steeds aansprakelijk zijn voor de schade die hij met zijn criminele activiteiten berokkent. In de praktijk is het echter lang niet zo eenvoudig om cybercriminelen voor de rechtbank te dagen. Het zijn vaak meesters in het verbergen van hun identiteit en ze opereren dan ook nog eens vanuit landen waar de jurisdictie niet meteen een hulp is. Bovendien zitten er soms buitenlandse mogendheden achter. Noord-Korea heeft bijvoorbeeld een leger hackers, een onderdeel van het militaire regime, die geld ophalen voor de overheid. En probeer dan Kim Jong-un maar eens voor de rechtbank te dagen.

    Omwille van al deze praktische problemen, is het niet altijd realistisch om de echte daders aan te spreken. Daarom wordt er wel vaker nagegaan of een ander aansprakelijk kan zijn voor de cybercriminaliteit. Dit houdt risico's in voor iedereen die met persoonsgegevens werkt.

    Aansprakelijkheid bij cyberdiefstal

    Vrijwel altijd wordt gekeken in de richting van de data-aansprakelijkheid. Zeker van bedrijven die met persoonsgegevens werken, mag er nu eenmaal worden verwacht dat ze hun systemen voldoende beveiligen. Niet alleen tegen hackers, maar ook bijvoorbeeld tegen ex-medewerkers die wraak willen nemen. Een eigenaar van een computersysteem dat zijn digitale veiligheidsdeuren wagenwijd open laat staan, kan op zijn minst van onachtzaamheid beticht worden. Zeker als de Autoriteit Persoonsgegevens een boete oplegt, wat eigenlijk een bewijs is dat er een fout is gemaakt, zal het voor slachtoffers mogelijk zijn om een schadevergoeding te vorderen.

    Dezelfde redenering geldt ook bij andere vormen van cyberdiefstal, zoals wanneer er gevoelige gegevens van klanten worden gestolen. Ook dan kan de klant trachten om de IT-beheerder aansprakelijk te stellen omwille van onvoldoende beveiliging. Hoe dan ook zullen slachtoffers steeds moeten aantonen dat de IT-beheerder onvoldoende beveiligingsmaatregelen heeft getroffen.

    Oorzakelijk verband tussen schade en datalek

    Een praktisch probleem is het bewijzen dat de schade is ontstaan ten gevolge van een onzorgvuldigheid. Het is namelijk niet eenvoudig om aan te tonen dat gegevens bij deze welbepaalde hack zijn verworven, maar onmogelijk is het zeker niet.

    Zo was er in 2020 een datalek bij Allekabels, waarbij privégegevens van ruim 3,6 miljoen mensen zijn gelekt. Een aantal gebruikers hadden speciaal voor hun bestelling bij Allekabels een uniek mailadres aangemaakt, waarop ze vervolgens zijn benaderd. Als zij vervolgens zouden worden opgelicht, kunnen zij duidelijk aantonen dat het datalek bij Allekabels aan de basis ligt. Dit wil natuurlijk nog niet zeggen dat Allekabels automatisch aansprakelijk is. Er kan namelijk niet automatisch worden verwacht dat gegevens 100% veilig zijn, maar de gegevensverwerker moet wel voldoende beveiliging bieden. Onder andere de grootte van de database en de gevoeligheid van de persoonsgegevens zijn bepalend voor de inspanningen die men moet verrichten. Aan de beveiligingssystemen van een bankomgeving mogen we dus hogere eisen stellen dan aan de beveiliging van een webshop als Allekabels.

    Een ander voorbeeld vinden we bij Booking.com. Hier had er een datalek bij het extranet plaatsgevonden, waardoor cybercriminelen aan de haal gingen met gegevens van meer dan 4.000 mensen. Zij werden benaderd door iemand die deed uitschijnen dat hij van het hotel was, om hen zo geld afhandig te maken. Omwille van dit aanvalsplan was het duidelijk dat deze oplichting verband hield met het datalek. Booking heeft dan ook keurig de schade vergoed zonder dat het tot een proces hoefde te komen. Desondanks legde de AP wel nog steeds een boete op.

    Aansprakelijkheid bij cyberfraude

    Het voorbeeld van Booking.com toont aan dat cyberdiefstal en cyberfraude vaak nauw met elkaar verwant zijn. Eerst tracht men persoonsgegevens te stelen om vervolgens een derde op te lichten. Door persoonsgegevens voorhanden te hebben, oogt men namelijk veel betrouwbaarder en zal het slachtoffer sneller overstag gaan. Hier geldt opnieuw hetzelfde: wie zijn IT-systemen onvoldoende beveiligt, kan aansprakelijk zijn voor de aangerichte schade.

    Hetzelfde geldt echter wanneer men niet per se een fout maakte in de beveiliging van het IT-systeem, maar wel in de afhandeling van het datalek. Zo zijn bedrijven verplicht om ontdekte datalekken meteen te melden bij de Autoriteit Persoonsgegevens. Ze moeten hierbij eventueel ook de getroffenen waarschuwen. Deze waarschuwing kan ervoor zorgen dat er geen of minder slachtoffers vallen. Als een bedrijf het datalek echter niet meldt en geheimhoudt, kan het zelfs zonder IT-beveiligingsfouten alsnog aansprakelijk zijn voor de schade die cybercriminelen hebben kunnen aanrichten.

    Whaling

    Bij whaling doet iemand zich voor als de CEO van een ander bedrijf om zo vertrouwen op te wekken. Dit gebeurde bijvoorbeeld recent bij Brabantia, waardoor bol.com voor meer dan 700.000 euro werd opgelicht. Iemand had toen ingebroken in de mailomgeving van Brabantia en aan bol.com een gewijzigd rekeningnummer doorgegeven. Bol.com had netjes de facturen betaald, maar op het rekeningnummer van de oplichters.

    Uiteindelijk kwam het tot een rechtszaak en werd de vraag gesteld of bol.com bevrijdend had betaald. De rechter oordeelde dat bol.com nalatig was geweest. De mail van de oplichter, de zogenaamde CEO, stond namelijk boordevol taalfouten en bol.com had nooit het een en ander geverifieerd. Daarom diende het de facturen alsnog aan Brabantia te betalen, hoewel die laatste eigenlijk degene was die gehackt was (ECLI:NL:RBMNE:2021:1528).

    Spoofing en WhatsApp-fraude

    Ook bij spoofing en WhatsApp-fraude is er niet altijd sprake van een datalek.

    Bij spoofing bootst een oplichter de identiteit van een bank na. Het is vervolgens bijvoorbeeld de bedoeling dat hun slachtoffers denken dat ze worden opgebeld door iemand van de bank. Het uiteindelijke doel is om de pincode en de bankrekeninggegevens te verkrijgen en de rekening te plunderen.

    Bij WhatsApp-fraude krijgt men een appje van iemand die een bekende afzender lijkt te zijn. De oplichters doen bijvoorbeeld alsof ze de zoon of dochter van het slachtoffer zijn. Ze doen alsof ze in nood verkeren en vragen om geld. Eenmaal overgemaakt, is het geld voor eeuwig verdwenen.

    Meer over geld overmaken en foutief geld overmaken


    Aansprakelijkheid van de bank

    In deze gevallen kijkt men vaak in de richting van de bank. Men haalt dan aan dat de bank onvoldoende heeft gewaarschuwd voor dergelijke risico's of geen maatregelen heeft genomen tegen de oplichters of tegen de door hen gebruikte bankrekeningen.

    Het is inderdaad zo dat op basis van artikel 7:522 BW de bank aansprakelijk is voor een niet-toegestane betalingstransactie. Wanneer een klant zelf het geld heeft overgemaakt naar een WhatsApp-fraudeur is er echter sprake van een toegestane betalingstransactie. Uit rechtspraak van het Kifid blijkt dat het slachtoffer hier zelf voor moet opdraaien en dat de bank geen verwijt kan worden gemaakt.

    Wanneer het slachtoffer de betaling niet zelf heeft uitgevoerd, kan de bank zich dan weer beroepen op de grove nalatigheid van het slachtoffer. Een slachtoffer die zelf grof nalatig is geweest en zelf zijn wachtwoorden heeft gedeeld, zal om deze reden vrijwel nooit de bank aansprakelijk kunnen stellen.

    Slechts in uitzonderlijke gevallen acht men de bank (deels) aansprakelijk. Dit was bijvoorbeeld het geval bij een 78-jarige vrouw die al meerdere malen bijna was opgelicht. Dit werd tot tweemaal toe op het nippertje vermeden. De dochter van de vrouw vroeg de bank daarom om een daglimiet in te stellen en betalingen naar onbekende rekeningen te blokkeren, maar de bank gaf aan dat dit technisch onmogelijk was. Een week later werd de 78-jarige vrouw gebeld door een zogenaamde medewerkster van een accountantskantoor. Deze medewerkster zei dat ze geld zou terugkrijgen, maar dat ze nog persoonlijke bankgegevens diende te verstrekken. De vrouw zag er geen risico's in en gaf al haar gegevens door. Ze verloor uiteindelijk 42.351 euro. De commissie oordeelde uiteindelijk dat de vrouw zelf fouten had gemaakt, maar dat de bank ook meer had moeten doen om het slachtoffer te beschermen. Zo had het veel indringender moeten waarschuwen voor de gevaren van phishing. Uiteindelijk achtte de commissie de bank voor 40% aansprakelijk en moest de bank zo'n 16.000 euro vergoeden (Kifid 5 februari 2021, nr. 2021-0108).

    Aansprakelijkheid bij cyberterrorisme

    Er bestaan verschillende vormen van cybercriminaliteit. Daarbij hebben cybercriminelen niet altijd het doel om geld afhandig te maken of om gegevens te stelen. Soms gaat het eerder om cyberterrorisme, waarbij systemen plat worden gelegd. Dit kan de werking van een onderneming danig verstoren. Deadlines worden misschien niet gehaald, leveringen vinden te laat plaats en klanten hebben niet langer toegang tot de systemen.

    Ook zij kunnen de IT-beheerder aansprakelijk stellen voor de schade, op voorwaarde dat de IT-beheerder zijn systemen onvoldoende beveiligde. Echter, ze kunnen zich ook op de contractuele relatie beroepen. Zo hebben hosts vaak uptime-garanties. Ze garanderen bijvoorbeeld dat de gehoste website 99,99% van de tijd online zal staan. Als dit vervolgens niet wordt gehaald, bijvoorbeeld door manipulaties door cybercriminelen, kunnen ze de host daarop aanspreken. Hierbij speelt ook de overmachtsleer en de inhoud van de algemene voorwaarden een rol.

    Aansprakelijkheid voor gebrekkige producten

    Ten slotte kan een IT-producent aansprakelijk zijn wanneer zijn product gebrekkig is. Het gaat dan om leveranciers van software of hardware met gebreken, waardoor cybercriminelen schade kunnen aanrichten. Er kan zowel sprake zijn van een ontwerpgebrek als van een fabricagegebrek. Een ontwerpgebrek is een gebrek in het ontwerp, zoals wanneer een medicijn bijwerkingen heeft of wanneer het softwareontwerp een deur liet openstaan voor cybercriminelen. Een fabricagegebrek is een tekortkoming die niet bij het ontwerp maar bij een individueel product hoort, met andere woorden een fout tijdens het productieproces.

    Ten aanzien van fabricagegebreken geldt een harde risicoaansprakelijkheid. We mogen namelijk verwachten dat het IT-product naar behoren werkt. Ten aanzien van ontwerpgebreken is dit anders. Het publiek mag namelijk geen 100% veiligheid verwachten. Het blijft mogelijk dat internetcriminelen beveiligingen kunnen omzeilen. Wel zal de producent tot op een acceptabel niveau beveiligingsmaatregelen moeten treffen en hier duidelijk over moeten informeren.

    Meer over productaansprakelijkheid en schade voor onveilige producten

    Het belang van een goede cyberverzekering

    Cybercriminaliteit komt in verscheidene vormen. Soms zal de IT-beheerder duidelijk aansprakelijk zijn en soms zal het slachtoffer niemand kunnen aanspreken. Er is hoe dan ook een constante: de echte daders blijven vaak onbekend en de schade is groot. Het is een van de redenen waarom een cyberverzekering zo nuttig is.

    Meer over de cyberverzekering

    Zakelijke cyberverzekering

    Zakelijke cyberverzekeringen dekken schade ten gevolge van cybercriminaliteit. Wat al dan niet gedekt is, verschilt per verzekeraar. Over het algemeen dekt de cyberverzekering zaken als de aansprakelijkheid voor schade bij anderen, maar ook eigen schade. Onder meer de kosten om imagoschade te herstellen of de kosten van gestolen data worden vergoed. Ook omzetverlies door cybercriminaliteit wordt vaak vergoed. De dekkingen kunnen heel ver gaan en soms zal de verzekeraar zelfs gewoon afpersers betalen. Veelvoorkomende uitsluitingen zijn schade door diefstal van bedrijfsgeheimen, schade door inbreuk op patenten en schade door opzet. Houd verder rekening met een maximale dekking per schadegeval en per jaar en een eventueel eigen risico.

    Particuliere cyberverzekering

    Ook voor particulieren bestaan er cyberverzekeringen. Deze cyberverzekeringen focussen vooral op zaken als identiteitsfraude, cyberafpersing, verlies van geld op rekening en reputatieschade. Ook zaken als computerhulp, hulp bij het herstellen van reputatieschade en onderzoekskosten naar de oorzaak en de omvang van het incident zijn gedekt. Er geldt vaak een beperkt eigen risico en de dekking per gebeurtenis en per jaar ligt vaak flink lager. Ook hier zijn er uitzonderingen bepaald. Een belangrijke uitzondering: schade ten gevolge van het ontbreken van passende beveiligingsmaatregelen. Het blijft met andere woorden nodig om bijvoorbeeld een antivirusprogramma op de computer te installeren.

    Tips om schade door cybercrime te voorkomen

    Cybercriminelen zitten niet stil. Voortdurend zijn ze op zoek naar nieuwe manieren om schade te berokkenen. Ongeacht of ze nu vooral geld willen stelen of het eerder gemunt hebben op persoonsgegevens, met een aantal preventieve tips is schade door cybercrime wel degelijk te voorkomen.

    1. Kleef een plakkertje op de webcam

    Als een laptop thuis wordt gebruikt, is het voor hackers misschien mogelijk om gevoelige beelden te verzamelen. Vooral seksuele handelingen zijn een echte hit bij cybercriminelen die veel geld verdienen aan sextortion, afpersing na het verzamelen van naaktfoto's en -video's of beelden van seksuele handelingen. Door eenvoudigweg een plakkertje op de webcam van de laptop te kleven, kan worden voorkomen dat cybercriminelen mee kunnen kijken. Zelfs als er geen naakt te zien is, is het sowieso een fijne gedachte dat anderen geen inzicht hebben in het privéleven.

    2. Gebruik verschillende (sterke) wachtwoorden

    Maak altijd gebruik van sterke wachtwoorden die niet zomaar te raden zijn en die zowel cijfers als kleine letters, hoofdletters en speciale tekens bevatten. Zorg ervoor dat wachtwoorden voldoende lang zijn en schrijf ze niet op. Gebruik daarnaast voor elke website een ander wachtwoord. Als een internetcrimineel één wachtwoord kan stelen, dan kan hij niet meteen inloggen bij alle accounts.

    3. Maak gebruik van een wachtwoordmanager

    Het is niet alleen raadzaam om verschillende wachtwoorden te gebruiken, maar ook om regelmatig de wachtwoorden te vervangen. Natuurlijk wordt het dan heel moeilijk om alle wachtwoorden bij te houden. Daarom is het gebruik van een wachtwoordmanager aan te raden. Dergelijke wachtwoordmanagers maken gebruik van een zogeheten encryptietechnologie, waardoor ze zelf goed beveiligd zijn tegen hackers.

    4. Schakel 2FA of MFA in

    Bij klassieke wachtwoorden verifiëren gebruikers hun identiteit op slechts één manier: door iets in te geven wat ze weten. Eenmaal een hacker echter het wachtwoord kent, krijgt hij toegang tot het account. Er zijn tegenwoordig ook extra authenticatiemethoden, met naast "weten" ook "hebben" en "zijn". "Hebben" is bijvoorbeeld het beschikken over de smartphone van de gebruiker, waarop een app is geïnstalleerd die wordt gebruikt bij het authenticatieproces. "Zijn" kan bijvoorbeeld een vingerafdruk zijn. Steeds meer systemen en websites ondersteunen 2FA (twee authenticatiemethoden) of MFA (meerdere authenticatiemethoden). Maak gebruik van deze mogelijkheid.

    5. Klik niet zomaar op linkjes of open niet zomaar bijlagen

    Er zijn verschillende manieren waarop cybercriminelen trachten toe te slaan. Soms maken ze een website na en hopen ze dat het slachtoffer zelf gegevens achterlaat, zoals zijn wachtwoord of zijn bankgegevens. Andere keren sturen ze per mail een bijlage die op het eerste gezicht onschuldig lijkt, maar waarbij er meteen malware wordt geïnstalleerd. Het is belangrijk om niet zomaar op linkjes te klikken of bijlagen te openen. Door even met de muis boven het linkje te zweven, zonder te klikken, wordt de URL zichtbaar. Controleer of dit wel de echte URL is. Gebruik bij voorkeur ook altijd de officiële link. Als de bank een mail lijkt te verzenden, is het een goed idee om zelf naar de website van de bank te surfen en om via de officiële website in te loggen in plaats van de inloglink in de mail te gebruiken.

    6. Investeer in veiligheid en bewustzijn

    Er zijn verschillende manieren om computers en laptops te beschermen, maar een antivirusprogramma kan in ieder geval niet ontbreken. Een antivirusprogramma helpt dreigingen op afstand te houden. Het vergt een kleine investering, maar zo'n investering kan zich snel terugverdienen. Investeer niet alleen in goede software, maar ook in bewustzijn. Zorg dat huisgenoten, personeelsleden of andere IT-gebruikers goed op de hoogte zijn van de gevaren van het internet, ook wat de aansprakelijkheid op het internet betreft. Internetwijsheid helpt nu eenmaal veel problemen te voorkomen.

    Veelgestelde vragen over cyberverzekeringen

    Heb ik als mkb'er een cyberverzekering nodig?

    Wanneer een mkb'er persoonsgegevens verwerkt of sterk afhankelijk is van IT-systemen, is een cyberverzekering aan te raden. Hackers maken namelijk geen onderscheid tussen grote en kleine bedrijven en ook mkb'ers kunnen het slachtoffer worden van cybercrime. Meer zelfs: omdat kleine bedrijven vaak minder goed beveiligd zijn, zijn ze een geliefd doelwit bij cybercriminelen. Voor een kleine onderneming ligt de premie natuurlijk wel lager dan voor een grote onderneming.

    Ik gebruik een antivirusprogramma en data-encryptie. Is dit niet voldoende?

    Nee, want zelfs de beste beveiligingssystemen en de beste IT-experts kunnen geen 100% veiligheid garanderen. Er is ook geen enkel antivirusprogramma dat het tegendeel beweert. Bovendien zijn meer dan 40% van de claims te herleiden tot menselijke fouten. Daarom zijn cyberbeveiliging en cyberverzekeringen complementair.

    Ik heb al een aansprakelijkheidsverzekering. Dekt dit de aansprakelijkheid voor cyberincidenten?

    Dit is natuurlijk afhankelijk van de inhoud van de polis, maar vaak niet. Meestal is het cyberrisico nadrukkelijk uitgesloten in de voorwaarden van een traditionele aansprakelijkheidsverzekering. Er zijn echter een aantal aansprakelijkheidsverzekeringen die dit wel gewoon dekken, maar de premie ligt dan natuurlijk ook hoger.

    Heeft het ontbreken van een cyberverzekering invloed op de bestuurdersaansprakelijkheid?

    Dit kan. Van een bestuurder mag er namelijk worden verwacht dat hij de organisatie deugdelijk bestuurt. Sinds de invoering van de AVG kunnen cyberrisico's de onderneming nog dieper in hun portemonnee raken en mag er van een bestuurder worden verwacht dat hij de onderneming hiervan behoedt. Ook de externe bestuurdersaansprakelijkheid komt in het gedrang wanneer slachtoffers geen schadevergoeding kunnen krijgen. Naast een cyberverzekering afsluiten is ook een bestuurdersaansprakelijkheidsverzekering afsluiten een goed idee.

    Wat houdt de cyberverzekeringsdekking voor PR-kosten in?

    Grote datalekken halen vaak het landelijke maar ook het internationale nieuws. Deze reputatieschade kan een flinke weerslag hebben op de omzet. Daarom dekken cyberverzekeringen vaak de kosten om deze schade te beperken of te herstellen. Wat al dan niet gedekt is, verschilt per verzekeraar. Soms gaat het niet verder dan de kosten om communicatie-experts in te huren en advies in te winnen. Bij andere cyberverzekeringen zijn ook de kosten voor het uitvoeren van dit advies gedekt, bijvoorbeeld voor het inkopen van advertenties. Vaak is er dan een maximale dekking aan verbonden.