Bakgrunn
Da en IT-leverandør ble utsatt for et alvorlig cyberangrep, opplevde flere av kundene deres store driftsforstyrrelser. IT-leverandøren mente angrepet var omfattende, avansert, og kom som følge av at en kundes brukernavn og passord var stjålet. IT-leverandøren mente dette i sum var en force majeure-hendelse som fritar dem fra ansvar.
Mer om force majeure kan du lese her: Krigens konsevenser for avtaler
De berørte selskapene vant i retten frem med at datainnbruddet ikke var en ekstraordinær hendelse som oppfylte vilkårene for force majeure. Saken var vunnet, men det interessante ligger i erstatningsutmålingen. Den endelige erstatningen de mottok var langt fra tilstrekkelig til å dekke det økonomiske tapet, hverken de direkte eller indirekte kostnadene. Erstatningen ble sterkt begrenset på grunn av en ansvarsfraskrivelse i avtalen med leverandøren.
Ansvarsfraskrivelser
En ansvarsfraskrivelse eller ansvarsbegrensning er når avtalen har en bestemmelse som hindrer at man blir erstatningsansvarlig eller at erstatningen begrenses til f.eks. verdien av hva kunden har betalt.
Spesielt i teknologisektoren reflekterer prisen for tjenesten som leverandøren krever kun en liten del av den potensielle risikoen ved eksempelvis tap av data. Et enkeltstående sikkerhetsbrudd kan forårsake tap som langt overgår de kostnadene man normalt har ved å drive tjenesten. For å beskytte seg mot potensielle store erstatningskrav har mange leverandører tatt i bruk ansvarsfraskrivelser i avtalene sine. Alternativet vil være å ta høyere pris for å kunne være rustet til å møte eventuelle erstatningskrav.
En ansvarsfraskrivelse mellom næringsdrivende står som oftest sterkt i en domstol da begge parter anses for å være profesjonelle, og partene har inngått avtale med åpne øyne. I norske domstoler ser man at slike klausuler derfor i stor grad aksepteres så lenge man ikke har opptrådt grovt uaktsomt eller forsettlig. Har man altså markert avveket fra det som er vanlig og forsvarlig handlemåte eller man har forårsaket skaden med vilje så vil det være urimelig om leverandøren vernes av en ansvarsfraskrivelse.
Hva bør man gjøre som kunde?
Det viktigste steget er å være klar over problemet. Les avtalen grundig for å få forståelse av hvilke vilkår som gjelder. Dersom det gjelder en ansvarsbegrensning, noe det som oftest gjør, må man vurdere veien videre. Alle virksomheter bør ha en forståelse av hva en eventuell driftsstans vil ha av konsekvenser, og hva dette vil kunne koste. Dette må man se opp mot erstatningsbegrensningen i avtalen.
Her kan man også vurdere hvilke tiltak man kan gjøre selv for å redusere risiko og konsekvenser. Dette kan være egne backup-løsninger, sikkerhetsrutiner, digitale “brannøvelser”, eller å vurdere å “pulverisere” et mulig fremtidig tap gjennom å ta hensyn til det i prissetting.
For å kunne drive med konkurransedyktige priser har nok de fleste, om ikke alle, leverandører en slik begrensning. Det betyr at løsningen for de fleste vil være å sikre seg på en annen måte. Dette kan gjøres gjennom å tegne en egen “cyberforsikring”. Slike forsikringer vil kunne gi dekning for driftsstans, gi bistand til gjenoppretting, mv.
