De vraag wie aansprakelijk is bij een cyberincident is actueler dan ooit. Steeds meer IT-resellers leveren beveiligingsoplossingen. Maar wat gebeurt er als die beveiliging faalt? Kijkt de klant dan naar jou als reseller? In deze blog van Maarten van Beek, Legal Consultant bij ICTWaarborg, lees je hoe het juridisch zit met de aansprakelijkheid van resellers, wat klanten verwachten, en hoe je jezelf op een professionele manier kunt beschermen tegen onnodige risico’s.
Wanneer ben je als reseller aansprakelijk?
Als er een beveiligingsincident plaatsvindt, wordt vaak als eerste naar de leverancier gekeken. In veel gevallen ben jij als reseller dat aanspreekpunt. Zeker wanneer de klant geen directe relatie heeft met de oorspronkelijke leverancier van de software of dienst.
Je bent in elk geval aansprakelijk wanneer het incident te wijten is aan jouw eigen fouten of nalatigheden. Denk bijvoorbeeld aan:
- een onjuiste installatie.
- het niet uitvoeren van een noodzakelijke update.
- onvolledige of foutieve informatie richting de klant.
- het niet naleven van gemaakte afspraken.
Ook wanneer je feitelijk alleen een oplossing hebt “door” geleverd, kan de klant je aanspreken. Dat maakt het belangrijk om vooraf duidelijke grenzen te stellen aan je verantwoordelijkheid.
Kun je verwijzen naar de voorwaarden van de leverancier?
Het klinkt logisch om in geval van problemen simpelweg door te verwijzen naar de leverancier. Toch is dat juridisch gezien niet vanzelfsprekend.
De klant heeft immers een overeenkomst met jou als reseller, niet met de externe leverancier. Als je niets hebt geregeld, ben jij juridisch verantwoordelijk.
Wil je voorkomen dat je aansprakelijk wordt gehouden voor fouten in software of diensten van derden? Zorg dan voor:
- een heldere beschrijving van je rol als wederverkoper of tussenpersoon.
- een duidelijke vermelding dat jij niet verantwoordelijk bent voor de technische werking van het product.
- het van toepassing verklaren van de voorwaarden van de leverancier op jouw contract met de klant.
Let daarbij op dat je je eigen verantwoordelijkheden voor installatie, configuratie en communicatie goed blijft afbakenen.
Wat verwachten klanten van hun reseller?
Veel eindklanten zien de reseller als hun vaste aanspreekpunt voor alle IT-gerelateerde zaken, inclusief beveiliging. Dat betekent dat zij bij incidenten ook automatisch naar jou kijken, ongeacht waar het probleem exact is ontstaan.
Zorg dus voor duidelijke communicatie en goede afspraken over wat jij wel doet en wat niet. Bespreek ook wat de klant zélf moet doen om risico’s te beperken, zoals:
- regelmatig wijzigen van wachtwoorden.
- controleren van gebruikersrechten.
- opvolgen van meldingen en adviezen.
Door verwachtingen goed te managen voorkom je frustratie, discussie en aansprakelijkheidsclaims.
Hoe kun je je aansprakelijkheid beperken in contracten?
Juridisch kun je jouw aansprakelijkheid als reseller beperken, zolang je dit op een duidelijke en redelijke manier doet. Denk aan de volgende maatregelen:
Omschrijf je rol zorgvuldig
Maak onderscheid tussen levering, advies, installatie en beheer. Benoem welke onderdelen wel en niet onder jouw verantwoordelijkheid vallen.
Gebruik een inspanningsverplichting
Geef aan dat je je maximaal zult inspannen voor een veilige dienstverlening, maar dat volledige veiligheid niet kan worden gegarandeerd.
Beperk de aansprakelijkheid tot een maximumbedrag
Bijvoorbeeld tot het bedrag dat de klant in het afgelopen jaar aan jou heeft betaald. Dit voorkomt dat je wordt aangesproken voor disproportionele schade.
Sluit gevolgschade uit
Neem op dat je niet aansprakelijk bent voor indirecte schade, zoals omzetverlies of reputatieschade.
Verwijs naar derden
Als je afhankelijk bent van software of diensten van een andere partij, geef dan aan dat fouten in die systemen buiten jouw invloed liggen. Leg daarbij ook uit wat je in zulke situaties wel doet, zoals het coördineren van een melding bij de leverancier.
Hoe communiceer je risico’s en verantwoordelijkheden richting de klant?
Naast een goed contract is heldere communicatie essentieel. Klanten moeten weten wat zij mogen verwachten, en waar hun eigen verantwoordelijkheden liggen.
Een paar praktische adviezen:
Bespreek beveiligingsrisico’s vooraf
Geef aan dat geen enkele oplossing volledige bescherming biedt. Licht toe welke dreigingen actueel zijn en welke maatregelen jij wel neemt.
Werk met een serviceovereenkomst
Een Service Level Agreement geeft duidelijkheid over reactietijden, onderhoud en bereikbaarheid bij incidenten.
Leg alles schriftelijk vast
Van installatieverslagen tot afspraken over monitoring en updates. Zo voorkom je discussies achteraf.
Geef periodiek advies
Verzamel risico’s en updates in eenvoudige klantinformatie. Herhaling is belangrijk bij beveiliging.
Conclusie
Als reseller van cybersecurity-oplossingen ben je vaak het eerste aanspreekpunt voor de klant. Daarmee komt ook een deel van de juridische verantwoordelijkheid op jouw bord te liggen. Zelfs wanneer de software van een derde partij afkomstig is.
Door duidelijke afspraken te maken, je rol goed af te bakenen en helder te communiceren met je klant, kun je jouw juridische risico’s aanzienlijk verkleinen. Zorg dat je contracten en voorwaarden meegroeien met je dienstverlening en de toenemende verwachtingen vanuit de markt.
Heb je twijfels over jouw positie of wil je je contracten eens laten beoordelen? Dan is het verstandig om een specialist mee te laten kijken. Zo voorkom je verrassingen en kun je je blijven richten op waar jij goed in bent: het leveren van veilige en betrouwbare IT-oplossingen.
Maarten van Beek is Legal Consultant bij ICTWaarborg