Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Slachtoffer van een cyberaanval? Opgelet, misschien ben je zelf wel aansprakelijk!

29.07.2019 Leesduur: 6 minuten

Wanneer we denken aan een cyberaanval, dan wordt er in de eerste plaats gedacht aan cybercriminelen die zich toegang hebben kunnen verschaffen tot jouw systemen en vervolgens onrechtmatig gebruik hebben gemaakt van jouw data. Als organisatie ben je op dat moment ook in de eerste plaats slachtoffer van een strafrechtelijk misdrijf.

 

Maar betekent dit dat je dan zelf geen enkele verantwoordelijkheid draagt? Uiteraard niet. De implementatie van de regelgeving rond databescherming van persoonsgegevens maakte reeds duidelijk dat je als organisatie verantwoordelijk bent voor de data die je verwerkt. Deze evolutie wordt inmiddels bevestigd door de publicatie van de Cybersecuritywet (NIS-wet). Eens je als digitale dienstverlener (of aanbieder van essentiële diensten in de sectoren Energie, Transport, Financiering of Gezondheid) onder de toepassing van deze wet valt, dan moet je rekening houden met heel wat verplichtingen.

De bescherming, de beveiliging en de betrouwbaarheid van de netwerk- en informatie systemen van aanbieders van essentiële diensten en van sommige digitale dienstverleners zijn voortaan overwegingen van algemeen belang voor de bescherming van de bevolking en de ondernemingen. De beveiligingsvoorschriften voor hun netwerk- en informatiesystemen vallen bijgevolg onder de openbare orde en veiligheid in ruime zin. En wat in het kader van de openbare orde beschermd wordt, wordt strafrechtelijk beteugeld en gecontroleerd.

 

Ben ik een digitale dienstverlener?

De eerste categorie, nl. aanbieders van essentiële diensten worden in deze bijdrage buiten beschouwing gelaten. De tweede categorie treft veel meer organisaties en het is belangrijk om na te gaan of je al dan niet onder het toepassingsgebied van de wet valt.

Volgens de Cybersecuritywet is een digitale dienstverlener ‘een rechtspersoon die een digitale dienst verleent’. Een digitale dienst is ‘elke dienst van de informatiemaatschappij, dat wil zeggen elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, die op afstand en op individueel verzoek van een afnemer van diensten wordt verricht’. Indien we enkel deze definitie zouden hanteren, dan zouden heel wat organisaties onder de verplichtingen van de Cybersecuritywet vallen. Om die reden wordt een beperking voorzien met aangeduide categorieën die terug te vinden zijn in de bijlage van de wet.

Het gaat momenteel om:

  • onlinemarktplaats: een digitale dienst die het consumenten mogelijk maakt online verkoop- of dienstenovereenkomsten met ondernemingen te sluiten op haar website of op de website van een onderneming die gebruikmaakt van door de onlinemarktplaats aangeboden informaticadiensten;
  • onlinezoekmachine: een digitale dienst die het gebruikers mogelijk maakt zoekacties uit te voeren op in principe alle websites of websites in een bepaalde taal op basis van een zoekvraag over om het even welk onderwerp in de vorm van een trefwoord, een zin of andere input; het resultaat zijn hyperlinks naar informatie over de opgevraagde inhoud;
  • cloudcomputerdienst: een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit.

 

Wat zijn mijn verplichtingen?

Als digitale dienstverlener heb je volgende verplichtingen:

  • Beveiligingsplicht: het identificeren van de risico’s voor de beveiliging van je netwerk- en informatiesystemen én passende en evenredige technische en organisatorische maatregelen nemen om die risico’s te beheersen. Deze maatregelen zorgen, rekening houdend met de stand van de technische kennis, voor een niveau van beveiliging van netwerk- en informatiesystemen dat is afgestemd op de risico’s die zich voordoen, en houden rekening met de volgende aspecten:

          a) de beveiliging van systemen en voorzieningen;
          b) de behandeling van incidenten;
          c) het beheer van de bedrijfscontinuïteit
          d) toezicht, controle en testen;
          e) de inachtneming van de internationale normen.

Verder moet je ook maatregelen nemen om incidenten te voorkomen en te minimaliseren, teneinde de continuïteit van deze diensten te waarborgen.

  • Meldingsplicht: onverwijld ieder incident melden dat aanzienlijke gevolgen heeft voor de verlening van je aangeboden digitale diensten. Deze melding dient te gebeuren via het meldingsplatform dat de CCB (Centrum voor Cybersecurity België) zal organiseren en coördineren. Deze taak werd zeer recent aan het CCB toebedeeld door het gepubliceerde uitvoeringsKB, maar de verdere praktische werking hiervan dient nog uitgerold te worden.

Deze meldingsplicht geldt alleen wanneer je toegang hebt tot de informatie die nodig is om de gevolgen van een incident volledig of gedeeltelijk te beoordelen.

  • Informatieplicht: de inspectiedienst van de FOD Economie binnen de gestelde termijn de informatie verstrekken die nodig is om de beveiliging van jouw netwerk- en informatiesystemen te beoordelen, met inbegrip van gedocumenteerde beleidsmaatregelen op het gebied van beveiliging. Elke niet-inachtneming van de beveiligingseisen en de eisen inzake het melden van incidenten moet je rechtzetten binnen de gestelde termijn.

 

Wat zijn de mogelijke sancties als ik hier niet aan voldoe?

Indien je aan bovenstaande verplichtingen niet voldoet, dan kan je zowel administratief als strafrechtelijk gesanctioneerd worden:

  • Beveiligingsplicht
    – Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 30.000 Euro (te vermenigvuldigen met 8)
    – Administratief: een geldboete van 500,00 tot 100.000,00 Euro
  • Meldingsplicht:
    – Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 20.000 Euro (te vermenigvuldigen met 8)
    Administratief: een geldboete van 500,00 tot 75.000,00 Euro
  • Informatieplicht:
    – Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 50.000 Euro (te vermenigvuldigen met 8) – Administratief: een geldboete van 500,00 tot 75.000,00 Euro

Verhinder of belemmer je de controle of geef je opzettelijk foutieve of onvolledige informatie, dan kan je gesanctioneerd worden met een geldboete van 26,00 tot 75.000,00 Euro (x8).

 

Koppeling met de GDPR

Naast deze verplichtingen voorziet de Cybersecuritywet ook een bijzondere regeling in aansluiting met de GDPR. Zo zullen voor de doeleinden van de wetgeving bepaalde verwerkingen mogelijk gemaakt worden en kunnen de rechten van de betrokkenen geweigerd of beperkt worden.

Van belang is te melden dat eens je als digitale dienstverlener beschouwd wordt, je automatisch verplicht bent om een DPO (functionaris voor gegevensbescherming) aan te stellen. 

 

Conclusie

Door de recente aanstelling van het CCB en de toewijzing van de bevoegdheid aan de inspectiediensten van de FOD Economie voor de toezicht en controle, worden de cybersecurity-verplichtingen van digitale dienstverleners steeds concreter. Als organisatie is het van belang dat je op een transparante en gedocumenteerde wijze kan aantonen dat je de cyberrisico’s correct hebt ingeschat. Ook je technische en organisatorische maatregelen zullen steeds up-to-date moeten zijn. Je bent dus bij een cyberaanval niet langer alleen het slachtoffer, maar mogelijks ook strafrechtelijk verantwoordelijk.

 

Vragen over de recente juridische ontwikkelingen in Cybersecurity?

Neem dan gerust contact op met Roeland via roeland@siriuslegal.be.

Over de auteur

Roeland
Lembrechts

Nadat ik afstudeerde als criminoloog aan de KU Leuven, besloot ik om aansluitend rechten te studeren aan de Universiteit Antwerpen. Met die ...


Digitale start-ups

Idealiter staat jouw start-up juridisch helemaal op punt. Kijk verder dan enkel het betere contractenwerk, maar kies een sparring partner die met je meedenkt en alle juridische valkuilen voor je afdekt. 


AI en blockchain

De digitalisering van onze economie brengt heel wat juridische uitdagingen met zich mee. Wij adviseren je graag over de juridische impact van AI, Blockchain, cryptocurrencies, Internet of Things en digitale handtekeningen.


Web & app & software development

Actief in web, app of software development? Dan zorg je maar beter dat de projecten die je oplevert juridisch helemaal op punt staan. En de relaties met je klanten zitten meestal wel goed… tot het eens fout gaat, toch? 


Cyber security

Ook jouw bedrijf kan het slachtoffer worden van cybercriminaliteit, de meldingen rond cybercrime nemen exponentieel toe. Wij helpen je bij de opzet van een performant technisch én juridisch cyber security beleid.


E-commerce

Heb je een webshop of wil je er een starten? Laat je juridisch adviseren door onze e-commerce experten. In een mum van tijd is je webshop compliant!