Roeland Lembrechts

Nadat ik afstudeerde als criminoloog aan de KU Leuven, besloot ik om aansluitend rechten te studeren aan de Universiteit Antwerpen. Met die intellectuele bagage startte ik mijn carrière als advocaat aan de Mechelse balie om ongeveer 10 jaar later partner te worden in het fantastische project van Sirius Legal.

Roeland_Lembrechts_Sirius_Legal
Connecteer:

Over Roeland

Ik begon als advocaat met een ruime blik op het recht, maar al snel werden mijn interessegebieden heel duidelijk. Het inschatten en bepalen van aansprakelijkheden en de juridische technieken om risico’s te beperken boeit me enorm. Neem daarbij de digitale evolutie, gekenmerkt door innovatie en gebruiksgemak, maar waarvan velen de juridische en maatschappelijk complexe verhoudingen onderschatten, dan begrijp je meteen mijn permanente drijfveer om het juridisch landschap op de voet te volgen.

Daarbij gaat mijn aandacht vooral naar aansprakelijkheid en rechtsbescherming bij IT-ontwikkeling, cybercriminaliteit en cyberveiligheid. Een perfecte cocktail voor een advocaat met een criminologische achtergrond.

Tussendoor geniet ik in mijn vrije tijd graag van de kleine dingen: afspreken met vrienden, op avontuur trekken met mijn 2 zoontjes en als het even kan, wat sporten.

Eens kennismaken? Maak hier een vrijblijvende afspraak. 

Roeland Blogt

Recente bijdragen van Roeland

04.05.2021 Roeland Lembrechts

Verdien jij als Belgische ondernemer de titel van Mr. Stupid?

Uit het Cyber Readiness Report 2021, gepubliceerd door de Hiscox Group, blijkt dat ondernemingen in België het afgelopen jaar koploper zijn geweest in een aparte discipline. Maar liefst 42% van de Belgische ondernemingen zou het afgelopen jaar het slachtoffer zijn geweest van een cyberaanval. Belgische ondernemingen die deelnamen aan het onderzoek, worden blijkbaar vaker getroffen dan ondernemingen in de buurlanden.  

Wanneer het gaat over cyberrisico’s voor bedrijven, dan kan je online ettelijke rapporten en statistieken vinden die je vertellen dat je je onderneming moet wapenen tegen onder meer phishing & ransomware-aanvallen. Die statistieken en privé-onderzoeken kunnen met een korrel zout genomen. Het is uiteindelijk een onderdeel van het businessmodel ‘fear sells, so sell fear’. Maar dat neemt niet weg dat er een belangrijke bron van waarheid in vervat zit.  Nationale en internationale instanties zetten momenteel een heuse cyber security strategie in Europa op poten. En in die strategie speelt de KMO steeds een belangrijke rol.

 

Mr. Stupid?

Veel ondernemingen zijn zich wel min of meer bewust van mogelijke cyberaanvallen en de kwetsbaarheid van hun bedrijf. Per slot van rekening is bijna elke onderneming online verbonden met de rest van de wereld. En die verbondenheid houdt inderdaad risico’s in. Maar de onwetendheid of de beperkte interesse in deze risico’s, zorgt voor een overschatting van je eigen digitale veiligheid.
We zullen wel zien als het probleem zich voordoet’, ‘we hebben een firewall en antivirus’, ‘we gebruiken een VPN-verbinding’… en de kous is af.

Deze vaak voorkomende struisvogelpolitiek is wat men in de academische wereld ook wel het Dunning-krugereffect noemt. Dit is een psychologisch verschijnsel dat optreedt bij incompetente of onwetende mensen die door hun incompetentie/onwetendheid niet inzien dat hun keuzes en conclusies soms verkeerd zijn. Bestuurders van ondernemingen lopen zo het risico om te blijven hangen op de ‘peak of Mr. Stupid’. En daar maken cybercriminelen graag gebruik van.

KMO_Cybersecurity_Dunning-krugereffect

 

Or Mr. Smart, Trustworthy and Resilient?

Nochtans zijn er voor ondernemingen, ook voor kleinere met beperkte budgetten, oplossingen om je bedrijf ook digitaal te beschermen als een goede huisvader (of in moderne termen: ‘een redelijk en voorzichtig persoon’). Via de Vlaio verbetertrajecten voor cyber security zorg je ervoor dat je onderneming digitaal gewapend is voor de toekomst en onderscheid je je van de domme leerlingen van je klas. Sirius Legal en BA NV hebben een juridisch/technisch gecombineerd programma dat jouw cyberveiligheid op verschillende vlakken zal optimaliseren, aangepast aan de noden en mogelijkheden van je onderneming.

Zorg er dus voor dat je niet bij de 42% cyberslachtoffers belandt, maar dat je handig gebruik maakt van de 45% subsidies die Vlaio voor je klaar heeft staan. Meer info over dit traject kan je hier vinden.

Zal je in telewerktijden als Mr. Stupid naar je gegijzelde onderneming rijden of ga je vertrouwen winnen bij leveranciers en klanten met de aankondiging dat je bedrijf cyberveilig is onder het Vlaio-label en dat onder een financieel interessante deal?

Aan jou de keuze!

 

Vragen over cybersecurity? 

Boek vrijblijvend een kennismakingsgesprek in met Roeland Lembrechts via deze link.

Populair artikel datalek melden
20.04.2021 Roeland Lembrechts

Iemand nog een datalek te melden? Durf jij nog twijfelen aan de noodzaak van cyber security?

Kranten en tijdschriften melden de laatste tijd bijna dagelijkse nieuwe hacks en datalekken bij bedrijven. De voorbeelden bij sociale media-platformen de laatste weken liegen er niet om: gegevens van 533 miljoen Facebook gebruikers, 500 miljoen Linkedin gebruikers en 1,3 miljoen Clubhouse gebruikers worden online te grabbel gegooid. (Al ontkennen al deze platformen met hand en tand dat er een probleem zou zijn…)

Na het meest recente geval bij Allekabels.nl eerder deze week is het bovendien ook duidelijk dat data breaches niet enkel een probleem zijn voor de Facebooks en Linkedins van deze wereld.  Elk bedrijf, klein of groot, is een potentieel slachtoffer. Allekabels.nl is een relatief kleine Nederlandse webshop die kabels en batterijladers verkoopt, maar waar wel privégegevens, waaronder versleutelde wachtwoorden en logins, telefoonnummers en geboortedata, van zo’n 3,6 miljoen mensen gestolen werden om later te koop aangeboden te worden op een hackersforum.  Blijkbaar, althans dat suggereren de media, heeft Allekabels.nl bijzonder slecht op deze data breach gereageerd en hebben ze slechts gedeeltelijk en/of laattijdig de betrokken personen geïnformeerd. 

Laat het een les zijn: cyber security is een groeiend aandachtspunt in onze gedigitaliseerde economie en elke ondernemer zou er bewust mee aan de slag moeten gaan…

 

Cyber security is een topprioriteit voor iedereen

Iedereen kan geconfronteerd worden met een gehackt systeem of een schadelijk datalek. Ondernemingen zijn digitaal nauw met elkaar verbonden tegenwoordig.  We wisselen permanent data uit en maken daarbij gebruik van heel wat verschillende meer of minder veilige toepassingen.  Precies die digitale verbondenheid en het gebrek aan beveiligingsmaatregelen zorgt steeds meer dat je digitale hebben en houden aan behoorlijk wat risico’s wordt blootgesteld.

Studies van het World Economic Forum zeggen niet voor niets dat informatieveiligheid, data fraude en risico’s op de bedrijfscontinuïteit door bedrijfsleiders één van de grootste bezorgdheden zijn voor ondernemingen wereldwijd. Cyber security zou dus een topprioriteit moeten zijn voor elke ondernemers of manager. 

 

Struisvogelpolitiek

Eigenaardig genoeg vertaalt die politieke bezorgdheid en persaandacht voor cyberrisico’s zich nog niet in effectieve actie bij bedrijven. We hebben allemaal een brandverzekering, onze bedrijfsgebouwen zijn fysiek beveiligd tegen ongewenste bezoekers, onze bedrijfsgeheimen bewaren we in een kluis, etc.,  maar vreemd genoeg trekken bedrijven die lijn niet door naar hun databeleid.

Op het eerste zicht zijn daar wel redenen voor te vinden. De directe meerwaarde van cyber security maatregelen zijn niet onmiddellijk zichtbaar en het ontbreekt veel bedrijven aan tijd en (financiële) middelen. Zo is er ook een gebrek aan kennis over de toepasselijke normen en denken veel ondernemingen nog steeds dat dit enkel een probleem is voor de grote jongens. En probeer het maar eens georganiseerd te krijgen bovenop je eigenlijke dagdagelijkse activiteiten. Kop in het zand dan het maar… 

Nochtans zijn er héél wat quick wins te realiseren binnen bedrijven.  Heel wat winst is te halen uit simpele maatregelen als een goed data securitybeleid, up-to-date software, de juiste antivirus en firewalls, opleiding en awareness bij je personeel, een goede verzekering, thuiswerk policies, BYOD policies, een goed paswoordbeleid, een grondige GDPR compliance oefening ook, …

 

Begeleiding door Sirius Legal en BA met financiële ondersteuning door Vlaio

Er zijn voldoende redenen om net wél prioriteit te geven aan een veilige digitale omgeving. Je beperkt er uiteraard de risico’s voor je informatieveiligheid mee, maar vergroot daarnaast ook het vertrouwen van je klanten, leveranciers, aandeelhouders en anderen die in aanraking met je onderneming komen. Je kan daarbij proactief blijk geven van de nodige toewijding aan de naleving van de geldende normen (technische en juridische standaarden, privacy-vereisten) en door de juiste communicatie kan je hier daadwerkelijk een concurrentievoordeel uit putten.

Dankzij Vlaio hoeft er ook geen drempel te zijn voor jou als ondernemer om tijdig met cyber security aan de slag te gaan.  Sirius Legal (als juridische partner) en BA NV (als technische partner) kunnen als door Vlaio erkende en gesubsidieerde dienstenleverancier op efficiënte en betaalbare wijze zorgen voor een doorgedreven cyber security audittraject binnen je onderneming:  je cyberrisico’s worden maximaal in kaart gebracht en doeltreffend aangepakt op technisch, organisatorisch én juridisch vlak. Dankzij Vlaio wordt je investering bovendien voor maar liefst 45% gesubsidieerd.

Een Vlaio-traject onder begeleiding van twee erkende partners geeft je bedrijf met andere woorden de nodige kickstart in cyberveilig ondernemen. 

 

Meer info over een cyber security verbeteringstraject van Vlaio?  

Neem een kijkje op deze pagina waar we heel het traject nader toelichten. Of neem contact op met Roeland Lembrechts via roeland@siriuslegal.be

25.03.2021 Roeland Lembrechts

Phishing: laat je niet verleiden, maar informeer je!

De titel van de Pano Reportage deze week kopte ‘Opgelicht online’, een boeiende reportage over slachtoffers van phishing. Phishing is een verzamelnaam van sociale en technische technieken die oplichters gebruiken om je via verschillende communicatiekanalen (sms, email, website, sociale media, ….)  te benaderen en je geld afhandig te maken. De reportage maakt weer pijnlijk duidelijk wat de risico’s zijn en waarom dit criminaliteitsfenomeen de nodige aandacht verdient.

 

Phishing is booming business …

Het parket gaf mee dat er in de eerste helft van 2020 al 3.438 pv’s van phishing geregistreerd werden en dat dit vermoedelijk nog maar het topje van de ijsberg was. Als je er de officiële criminaliteitsstatistieken op naleest, dan zie je dat er bijvoorbeeld in 2016 nog maar 219 feiten geregistreerd werden, terwijl er in 2019 sprake is van 2.365 (een vertienvoudiging op 4 jaar tijd). Leggen we daar de cijfers van het voorjaar 2020 naast dan liegen we niet als we stellen dat phishing een exponentiële groei kent.

De reden van die exponentiële groei is al bij al niet zo ver te zoeken. Phishing blijkt een enorm lucratieve business te zijn, waarbij cybercriminelen op korte tijd zeer veel potentiële slachtoffers kunnen bereiken. Iedereen kan slachtoffer worden, van de brave huisvader die onwetend achter zijn computer zit en een verkeerde bestelling plaatst tot de zeer voorzichtige ceo die de goeder trouw investeringen wenst te doen, maar in handen komt van een bijzonder professionele, maar criminele organisatie. Twee maanden geleden was in Het Nieuwsblad nog te lezen dat een onderzoeksrechter die reeds 15 jaar lang gespecialiseerd was in cybercrime, zelf het slachtoffer was geworden van online oplichters. Don’t need to say more… 

De pakkans is echter nog steeds bijzonder klein. Cybercriminelen genieten een grote anonimiteit en opereren internationaal, terwijl justitie ook op dit vlak moet vaststellen dat er niet voldoende middelen zijn om krachtdadig op te treden. Je moet zelfs geen hoogstaand technisch IT-profiel te hebben om met phishing te starten. Het internet biedt naast officiële marktplaatsen ook minder officiële marktplaatsen aan op het darkweb, waar je voor enkele luttele euro’s de nodige tools, diensten en lijsten van gegevens van potentiële slachtoffers kan aankopen: cybercrime-as-a-service, ter beschikking voor iedereen.

 

… maar je geld recupereren en reputatie herstellen is een complexe business

Des te sneller je je hebt laten verleiden en je geld verdwenen is, des te moeilijker is het om dit te recupereren. Indien je nog snel reageert, dan zou je de transactie nog kunnen tegenhouden, maar in de meeste gevallen beseffen slachtoffers dit te laat en/of weten ze niet hoe er gereageerd moet worden.

Buiten de anonieme daders is het ook steeds moeilijk om na te gaan wie er aansprakelijk is. Is het de onachtzaamheid van het slachtoffer zelf? Of zijn de website, e-mail, social media kanalen van de organisatie die misbruikt werd voor de phishing wel veilig genoeg? Hebben deze systemen phishing of spoofing mogelijk gemaakt door geen state-of-the-art veiligheid in te bouwen? Hadden banken verdachte transacties niet moeten opmerken en zelf preventief moeten blokkeren? Kunnen we de zogenaamde geldezels niet aanspreken (wat in zekere zin ook personen zijn die in hun context door criminelen misbruikt/misleid worden), etc. 

Daarnaast ervaren heel wat slachtoffers schaamte en reputatieschade. Niemand wenst aan te kondigen dat hij op een eenvoudige manier opgelicht werd: de CEO wil liever niet aan de raad van bestuur of de vergadering van aandeelhouders melden dat reserves in rook zijn opgegaan, een onderneming kondigt liever niet aan bij haar klanten dat haar website of e-mail misbruikt wordt voor oplichting of dat er lijsten gelekt zijn met persoonlijke gegevens die er voor zorgen dat eigen klanten benaderd zullen worden.

 

Informeer je!

Phishing is een opkomend, maar geen nieuw fenomeen. De Europese Commissie stelde in 2017 reeds vast dat 95% van de cyberincidenten gebeuren door een of andere menselijke fout. De ENISA, het Europees Cyber Security Agentschap, publiceerde in 2018 een rapport met een overzicht en adviezen met betrekking tot gedragsaspecten van cybersecurity. Daarin wordt opnieuw duidelijk dat de mens de zwakste schakel is in de cyberveiligheid van de onderneming. Phishing is daar een sterke katalysator van het probleem, zodat elke onderneming naast de aandacht voor veilige IT, even goed deze IT in harmonie met haar personeel moet krijgen. Het trainen van kennis & vaardigheden in combinatie met een volledige herstructurering van de praktijk en het beleid, moet er voor zorgen dat jouw ‘poortwachters’ zich zo min mogelijk laten verleiden door phishing-praktijken.

Bij Sirius Legal zijn we ons bewust van het multidisciplinair karakter van zo’n oefening. Via een hele reeks juridische technieken kan het informatieveiligheidsbeleid van je onderneming verder op punt gesteld worden. Maar dat kan enkel wanneer die initiatieven in harmonie zijn met het personeelsbeleid, de afspraken met je leveranciers, de communicatie & afspraken met je klanten én je technische veiligheidsstructuur.

Wil je graag eens horen wat je allemaal kan doen? Boek dan gerust een vrijblijvend gesprek in met ons en onze technische cyber security partner BA op het digitale Infosecurity Event (31 maart en 1 pril).

PS: wil je nog een stap verder gaan in je veiligheidsbeleid? Vraag dan zeker naar onze mogelijkheden om je te begeleiden op juridische en technisch vlak via de subsidieregeling van Vlaio

Populair artikel
29.01.2021 Roeland Lembrechts

Sirius Legal en BA NV zijn trotse partner van Vlaio om jouw onderneming cyberveilig te maken

Met veel trots kunnen we jullie melden dat Sirius Legal, samen met haar technische partner BA NV, erkend dienstverlener is van Vlaio om de Vlaamse KMO bij te staan in cyber security verbeteringstrajecten. Deze trajecten helpen KMO’s op een laagdrempelige manier hun cyber security maturiteit te verbeteren.

Voor deze verbetertrajecten heeft VLAIO dit jaar een budget voorzien van maar liefst  € 4.000.000. Elk traject wordt voor 45% gesubsidieerd, dus wil je je onderneming op de kaart zetten als digitale solide partner, dan is dit het uitgelezen moment om contact op te nemen.

 

Een geïntegreerde aanpak, de technisch-juridische perfecte blend

Sirius Legal en BA NV zijn er van overtuigd dat cyberrisico’s enkel aangepakt kunnen worden door een benadering vanuit verschillende invalshoeken. Een blend van een technische aanpak met een organisatorische/juridische aanpak maakt je onderneming volwaardig cyberveilig. Met deze visie staan wij niet alleen:  de Europese Commissie en  Het Europees Agentschap voor Netwerk- en informatiebeveiliging wijzen sinds 2017/2018 reeds op het belang van de organisatorische en menselijke aspecten bij een cyber security strategie:

  • mensen zijn de zwakste schakel, 
  • 95% van de cyberincidenten vinden hun oorzaak door een menselijke tussenkomst, 
  • technische strategie moet in harmonie staan met de menselijke aspecten 
  • resultaat kan je enkel bereiken met een doelgerichte awareness, ingebed in een geherstructureerde praktijk en beleid.
  • cybersecurity binnen een onderneming is een sociale constructie waarbij een gezamenlijke houding gecreëerd wordt.

Naast een stevige technische beveiligingsstructuur is dus een geïmplementeerd veiligheidsbeleid noodzakelijk. Dat beleid moet ondersteund worden door gedragsverandering en actieve deelname. Alle betrokkenen bij je onderneming moeten de inhoud en de reden van de opgelegde beleidsregels begrijpen zodat deze ook gerespecteerd zullen worden. Een duidelijke rolverdeling, transparante procedures en afbakening van verantwoordelijkheden dragen bij tot een verhoogde cyber resilience.

 

Waarom cyber security en wat is er dan juridisch aan die strategie?

Het is haast ondenkbaar dat je onderneming niet digitaal verbonden is met de wereld en dat maakt je onderneming spijtig genoeg ook kwetsbaar. Dat we onze bedrijfspanden beveiligen met een alarm, voorzien van een afsluiting en een toegangscontrole, een brandverzekering afsluiten voor alle mogelijke natuurrampen, etc. vinden we evident. De schade van die fysieke risico’s is zichtbaar en we stellen ons amper vragen bij deze veiligheidsmaatregelen.

Vreemd genoeg maken we die reflex niet of onvoldoende als het gaat om de digitale bescherming van onze onderneming. De reden daarvoor is eenvoudig: het risico is niet voldoende zichtbaar. Maar dat betekent niet dat het risico niet bestaat. Buiten de ettelijke commerciële statistieken die je op het internet kan terugvinden, maken ook officiële instanties zich grondig zorgen over de cyberveiligheid van de KMO’s. Grotere bedrijven die het budget en de middelen hebben om zich cyberveilig te maken, zorgen bij cybercriminelen evengoed voor een aangepaste strategie: zij gaan op zoek naar de zwakkere plekken in de gehele supply chain en komen zo bij de onbeveiligde KMO.

Die bezorgdheid is niet zonder reden:

  • Cybercriminaliteit is veel lucratiever dan klassieke criminaliteit;
  • De impact op een onderneming kan veel groter zijn aangezien een cyberaanval onmiddellijk effect kan hebben op alle klanten en leveranciers van een onderneming;
  • De continuïteit en dus productiviteit van een onderneming kan verminderd of voor (middel)lange tijd verhinderd worden;
  • Essentiële informatie van de onderneming kan verloren gaan;
  • ….

Geen enkele onderneming zal te koop lopen met het gegeven dat zij slachtoffer werd van een cyberaanval omdat haar digitale huishouding niet in orde was. Je wil op zijn minst de reputatieschade nog tot een minimum beperken en het vertrouwen van je stakeholders hoog houden. Maar dat is uiteraard geen solide cyber security strategie.

Een correcte strategie gaat steeds uit van een preventieve risicobenadering. En aan cybercriminaliteit zijn vanzelfsprekend een heleboel juridische risico’s verbonden die mits o.a. correct legal risk management tot een minimum herleid kunnen worden. Heb je je bijvoorbeeld al eens volgende vragen gesteld:

  • Ben ik met mijn onderneming zelf in orde met al mijn veiligheidsverplichtingen?
  • Hebben mijn leveranciers voldoende maatregelen genomen om hun continuïteit te waarborgen en mijn data + geleverde goederen/diensten te verzekeren?
  • Zijn er duidelijke afspraken gemaakt over de verdeling van de rollen en verantwoordelijkheden met die leveranciers? Heb ik waarborgen afgesproken om dat te kunnen controleren?
  • Wanneer er zich een incident voordoet:  weet ik dan wie ik snel kan aanspreken om mij bij te staan? Kan ik de oorzaak van dat incident snel identificeren en heb ik afspraken gemaakt om snel te kunnen reageren en na te kijken wie welk herstel en/of schade zal opvangen?
  • Ben ik voldoende verzekerd voor cyberincidenten en zo nee, welke verzekering kan mij het beste dekken, zonder dat deze overlapt met mijn lopende verzekeringen?
  • Weet ik welke autoriteiten ik moet verwittigen en op basis van welke criteria?
  • Moet ik een incident melden aan mijn klanten en zo ja op welke manier kan ik dit best doen?
  • Heb ik duidelijke afspraken met mijn werknemers, freelancers en medebestuurders over het gebruik van mailcorrespondentie, toegangen tot de verschillende systemen, gebruik van eigen computers, smartphones, applicaties, etc.? Is in heel dit beleid met het personeel nagedacht over het cyber security draagvlak binnen de onderneming?
  • Bevatten mijn diensten en/of goederen software, zijn deze gelinkt met het internet? Zo ja, zijn mijn diensten en/of goederen die ik verkoop veilig genoeg en heb ik de juiste standaarden voorzien? 

Sirius Legal neemt voor deze en vele andere vragen het juridisch gedeelte van het verbeteringstraject voor haar rekening via een eigen legal risk assessment. Sirius Legal brengt jouw onderneming juridisch volledig in kaart en zal aan de hand van prioriteiten jouw onderneming  (en in samenspraak met haar technische partner), optillen naar een solide cyberveilig niveau. Niet via een theoretische “met het vingertje wijzend aan de zijkant” – benadering, maar met een pragmatische aanpak die rekening houdt met de specifieke noden van je onderneming.

 

VLAIO opent de poort naar haalbare mogelijkheden

KMO’s hebben meestal geen tijd en middelen om écht in te zetten op cyber security. De prioritaire bezorgdheid om de productiviteit blijft doorwegen en dat is op zich niet onlogisch. Het is juist om die reden dat VLAIO met dit prachtig initiatief komt en maar liefst 45% van de kost zal subsidiëren. De opgemaakte offertes werden stevig onderhandeld met VLAIO, waarbij de prijzen gereduceerd werden naar een haalbaar niveau voor elke KMO. Zoals steeds tracht Sirius Legal in al haar offertes de juridische aspecten rond de digitalisering van de onderneming zo laagdrempelig mogelijk te houden. In de cyber security verbeteringstrajecten zal dit niet anders zijn.

Investeren in cyber security kost inderdaad geld, maar leidt ook tot economische voordelen: je beperkt informatiebeveiligingsrisico’s, je vergroot het vertrouwen van de consument, je geeft proactief blijk van compliance als moderne onderneming en je geniet hierdoor concurrentievoordeel omdat je klanten zekerheid en continuïteit kan bieden.

Laat deze unieke kans niet aan je voorbijgaan en geniet van de voordelen die Vlaio, BA en Sirius Legal je nu kunnen bieden. Meer informatie nodig? Neem dan vrijblijvend contact op met Roeland via roeland@siriuslegal.be of boek meteen een afspraak via deze link.

Populair artikel Nieuwe_B2B_wet_eerste_toepassing
20.01.2021 Roeland Lembrechts

Een 1ste toepassingsgeval uit de nieuwe B2B-wet: het misbruik van economische afhankelijkheid door een onderneming

In 2019 werden er belangrijke wetswijzigingen aangekondigd voor de ondernemingswereld. Met de wet van 4 april 2019 (de nieuwe “B2B wet”) is er een nieuw wettelijk kader ontstaan voor:

  • misbruiken van economische afhankelijkheid door ondernemingen,
  • oneerlijke marktpraktijken tussen ondernemingen en
  • onrechtmatige bedingen in overeenkomsten tussen ondernemingen.

De eerste set van regels van de nieuwe B2B wet, die gaat over misbruiken van economische afhankelijkheid door ondernemingen, is sinds 22 augustus 2020 van toepassing.

Op 28 oktober 2020 heeft de voorzitter van de ondernemingsrechtbank te Gent een eerste keer die wetgeving moeten toepassen en een stakingsbevel met dwangsom opgelegd aan een leverancier van kinderkleding. De veroordeelde onderneming weigerde namelijk haar contractspartij te beleveren. De voorzitter van de ondernemingsrechtbank oordeelde dat die weigering in dit concrete geval een misbruik van economische afhankelijkheid uitmaakte. 

Naast de bespreking van deze boeiende uitspraak verwijzen we ook naar onze handige matrix van onrechtmatige bedingen, een ander belangrijk onderdeel van de nieuwe B2B wet, die je gratis kan downloaden op onze website. In onze matrix vind je per type beding een omschrijving, het relevante wetsartikel en een concreet voorbeeld om het meteen praktijkgericht te maken. 

 

Misbruik van economische afhankelijkheid: wat is dat precies?

Op basis van die nieuwe wetgeving is het verboden om misbruik te maken van een positie van economische afhankelijkheid waarin één of meerdere ondernemingen zich bevindt, waardoor de concurrentie kan worden aangetast op de betrokken Belgische markt of op een substantieel deel daarvan.

Er moeten drie vereisten vervuld zijn voordat het verbod van toepassing is:

  • het bestaan van een positie van economische afhankelijkheid van een of meerdere ondernemingen; 
  • van die positie moet(en) de dominerende onderneming(en) misbruik maken;
  • als gevolg van dat misbruik kan de concurrentie worden aangetast op de betrokken Belgische markt of een substantieel deel ervan.

Het kan onder meer gaan over de volgende toepassingsgevallen:

  • het weigeren van een verkoop, een aankoop of van andere transactievoorwaarden;
  • het rechtstreeks of onrechtstreeks opleggen van onredelijke aan- of verkoopprijzen of van andere onredelijke contractuele voorwaarden;
  • het beperken van de productie, de afzet of de technische ontwikkeling van producten ten nadele van de verbruikers (bijvoorbeeld het weigeren om updates uit te voeren op software, terwijl dat in het verleden wel periodiek werd gedaan);
  • het toepassen van ongelijke voorwaarden bij gelijkwaardige prestaties (bijvoorbeeld het systematisch aanrekenen van hogere verkoopprijzen bij één concrete contractspartij in vergelijking met andere afnemers, voor dezelfde producten);
  • het afhankelijk stellen van het sluiten van overeenkomsten van het aanvaarden door de contractspartij van bijkomende prestaties, die geen verband houden met het onderwerp van die overeenkomsten.

 

De feiten van de zaak in het eerste toepassingsgeval van de nieuwe B2B-wet

De zaak voor de ondernemingsrechtbank te Gent had betrekking op een leverancier van onder andere kinderkleding. De onderneming verzorgde ook het ontwerp en de productie van die goederen. De leverancier weigerde plots om zijn producten verder aan een detailhandelaar te leveren, en maakte meer algemeen ook een einde aan de commerciële relatie met de detailhandelaar. De kledij maakte nochtans deel uit van de wintercollectie van de detailhandelaar.

Voor de detailhandelaar betekende het niet leveren van de wintercollectie en de beëindiging van de overeenkomst zo goed als het einde van zijn onderneming, die van nature natuurlijk seizoensgebonden is. Hij voerde dan ook aan dat de houding van de leverancier een inbreuk vormde op het nieuwe verbod op misbruik van economische afhankelijkheid (naast het algemeen verbod op oneerlijke marktpraktijken uit de nieuwe B2B-wet) en stelde een stakingsvordering in. De leverancier stelde anderzijds dat de weigering gerechtvaardigd was omdat de detailhandelaar een aanzienlijke betalingsachterstand had.

 

Wat was het oordeel van de rechtbank?

De voorzitter van de ondernemingsrechtbank te Gent oordeelde om te beginnen dat er sprake was van een economische afhankelijkheid, aangezien de detailhandelaar niet in staat zou zijn geweest om op zo’n korte termijn een andere leverancier en collectie te vinden. In deze specifieke sector (de modedetailhandel) moeten bestellingen en leveringen voor een seizoenscollectie lang genoeg op voorhand worden gedaan. 

Er was volgens de voorzitter van de ondernemingsrechtbank te Gent niet enkel een economische afhankelijkheid, de leverancier maakte ook misbruik van die economische afhankelijkheid.

De leverancier wist zeer goed dat de detailhandelaar niet in staat zou zijn geweest om op zo’n korte termijn alternatieven te vinden. De leverancier had de detailhandelaar trouwens tot aan de leveringsweigering de indruk gegeven dat de leveringen zouden plaatsvinden, bijvoorbeeld door het overhandigen van promotiemateriaal met betrekking tot de wintercollectie. De voorzitter van de ondernemingsrechtbank te Gent stelde daardoor zelfs dat de leverancier te kwader trouw had gehandeld.

Het argument dat de detailhandelaar een betalingsachterstand had kon de voorzitter van de ondernemingsrechtbank te Gent ook niet overtuigen, aangezien de leverancier al lang voor de leveringsweigering op de hoogte was van de financiële situatie van de detailhandelaar.

Tot slot bleek de leverancier een achterliggende strategie te hebben om onafhankelijke detailhandelaren uit de markt te drukken, aangezien de leverancier rechtstreeks aan de consument wenste te verkopen.

Vervolgens oordeelde de voorzitter van de ondernemingsrechtbank te Gent op basis van onder meer die elementen dat de leverancier de economische afhankelijkheid van de detailhandelaar had misbruikt, en beval de staking ervan onder verbeurte van een dwangsom. De leverancier werd met andere woorden verplicht om de detailhandelaar terug te beleveren.

 

Heb je nog concrete vragen over de impact van de nieuwe B2B-wet?

Contacteer ons vrijblijvend via roeland@siriuslegal.be.

 

Heb je graag een handig overzicht van de verschillende types van onrechtmatige bedingen?

Download hier onze matrix van onrechtmatige bedingen.

Dit artikel werd geschreven door Michiel Beutels 

18.01.2021 Roeland Lembrechts

Naar dataveilige IT-contracten met deze 10 basistopics

Outsourcing van heel wat bedrijfsinformatie en -taken komt steeds meer voor. Door middel van verschillende IT-toepassingen zal je als bedrijf meer data, in vele gevallen ook vertrouwelijke data, delen met IT-dienstverleners. Daarbij dien je steeds in het achterhoofd te houden dat je in het proces van deze outsourcing een doorgedreven veiligheidsbeleid voert. 

In het geval van persoonsgegevens bestaat de duidelijke verplichting om gepaste technische en organisatorische maatregelen te nemen, maar het voorkomen van datalekken en de algemene verplichting om ervoor te zorgen dat je bedrijfsinformatie niet lekt of gecompromitteerd wordt is van essentieel belang. Een onveilig databeleid leidt immers steeds meer tot financiële en reputatieschade van je onderneming.

Net daarom dien je als ondernemer gepaste contractuele waarborgen in te bouwen met jouw IT-dienstverlener. Schenk daarbij de nodige aandacht aan beveiligingsmaatregelen voor de informatie die je toevertrouwt. Zo kan je cyberrisico’s zoals datalekken, ongeautoriseerde toegang of gebruik van de data, alsook de aansprakelijkheid van je bedrijf tot een minimum beperken. 

 

10 topics om mee te nemen in je veiligheidsbeleid

Waar moet je dan op letten wanneer je in de overeenkomst met je IT-dienstverlener je databeveiliging onderhandelt? Welke zaken kan je best opnemen om je veiligheidsbeleid stevig in de steigers te zetten?  We geven je graag 10 basistopics mee: 

  1. Kijk bij een onderhandeling in de eerste plaats naar je eigen situatie. Hoe gevoelig is je bedrijfsinformatie en welke impact heeft dit op je onderneming wanneer er zich een incident voordoet? Zijn de aangeboden beveiligingsmaatregelen daar toereikend genoeg voor? Wat is de bereidheid van de IT-dienstverlener om zich aan te passen aan jouw beveiligingseisen? Kijk na in hoeverre de dienstverlening conform je eigen veiligheidsbeleid en -procedures is.
  2. Kijk steeds na of er wettelijke vereisten en procedures op jouw bedrijf van toepassing zijn en in welke mate de contracterende dienstverlener daar een ondersteunende rol in speelt. We denken daarbij aan de talrijke transparantie-, meldings-, notificatie- en medewerkingsverplichtingen die op je onderneming van toepassing kunnen zijn, afhankelijk van de soort data die je verwerkt, de sector waarin je werkzaam bent of de hoedanigheid van je onderneming.
  3. Definieer welke personen geautoriseerd worden om je bedrijfsinformatie te ontsluiten en probeer dit te beperken tot enkel de personen die noodzakelijk toegang moeten hebben tot deze gegevens. Stipuleer naast de interne bevoegdheden bij je contractspartij ook welke derde partijen, zoals onderaannemers, toegang zullen hebben.
  4. Bepaal de inhoudelijke veiligheidsverplichtingen met je IT-dienstverlener met betrekking tot de vertrouwelijke behandeling van je data, de voorwaarden voor de ontsluiting ervan, en de aansprakelijkheid voor de schending van deze voorwaarden, inclusief de schending van de geautoriseerde personen en derden.
  5. Kijk na of je IT-dienstverlener handelt conform internationale, Europese en nationale wetgeving en laat in je clausules de IT-dienstverlener bevestigen dat hij conform handelt. Eventueel kan je specifieker nagaan conform welke internationale standaarden je IT-dienstverlener werkzaam is en in het positieve geval welke certificaten de IT-dienstverlener bezit. Belangrijk hierbij is om goed na te kijken op wat deze certificaten concreet betrekking hebben en voor welke bedrijfsactiviteiten er effectief certificaten behaald zijn. Hebben deze voldoende betrekking op de verwerking van jouw bedrijfsinformatie? Ben je zelf voldoende technisch aangelegd, dan kan je zelf een reeks technische beveiligingsmaatregelen opnemen in de overeenkomst die de IT-dienstverlener dient te respecteren.
  6. Leg procedures vast in het geval er zich een beveiligingsincident zou voordoen, waarbij er voor de IT-dienstverlener duidelijk wordt omschreven wat zijn detectieplichten, waarschuwingsplichten, medewerkingsplichten, etc. zijn. Stel in het kader van de opstelling van een incident response team vast welke coördinerende rol de IT-dienstverlener kan opnemen. Voeg daaraan toe welke communicatie de IT-dienstverlener wel, maar vooral niet kan voeren en zorg ervoor dat je deze crisiscommunicatie zelf in handen houdt.
  7. Maak goede afspraken over verplichtingen rond herstel en verbeteringen van de systemen van de IT-dienstverlener na een eventueel incident. Maak daarbij afspraken over de gemaakte kosten, de aansprakelijkheid van de IT-dienstverlener en zijn verplichtingen tot vrijwaring in geval van schadeclaims, boetes en overige vervolgingen waar je je aan zou kunnen blootstellen. 
  8. Ter controle van alle voorgaande verplichtingen kan je ook de mogelijkheid opnemen om gerichte audits en controles uit te oefenen bij de IT-dienstverlener. Deze controle kan je zelf doen of laten doen door derden-specialisten.
  9. Neem in de overeenkomst eventueel op dat een schending van de voorgaande verplichtingen een schending is van een essentiële contractuele verplichting die je toelaat om eenzijdig en kosteloos het contract te beëindigen.
  10. Tot slot, voorzie steeds de mogelijkheid om van de IT-dienstverlener te eisen dat bij eerste verzoek alle informatie kan overgedragen of vernietigd kan worden, zowel tijdens de overeenkomst als bij afloop. Kijk daarbij steeds na welke informatie kan vernietigd worden en/of welke informatie de IT-dienstverlener dient bij te houden binnen het kader van zijn wettelijke verplichtingen.

 

Een geïntegreerde aanpak voor dataveilige IT-contracten

Het implementeren van bepalingen rond de beveiliging van je data vraagt steeds om een geïntegreerde aanpak binnen de gehele overeenkomst en grondig nazicht van de toepasselijke wetgeving. Dit kan soms leiden tot complexe vraagstukken, waarbij er in vele gevallen een evenwicht dient gezocht te worden tussen de mogelijkheden en de bereidheid van de IT-dienstverlener en anderzijds de minimale beveiligingsvoorwaarden die je moet of kan opleggen als afnemer van deze diensten.

Wens je begeleiding of ondersteuning bij de opmaak van je IT-contract of het opzetten van deze specifieke clausules, neem dan gerust contact op met Roeland via roeland@siriuslegal.be