Myślisz, że wdrożenie systemu IT wymaga wyłącznie dbałości o kwestie techniczne? Takie błędne przekonanie może Cię słono kosztować. Jeśli w umowie nie wprowadzisz odpowiednich zabezpieczeń związanych z cyberbezpieczeństwem, narażasz się na milionowe kary, utratę zaufania klientów i konieczność poniesienia pełnej odpowiedzialności za powstałe szkody. Właśnie dlatego tak ważne jest, by o cyberbezpieczeństwo zatroszczyć się już na etapie podpisywania umowy wdrożeniowej.
Czym ryzykujesz, podpisując umowę bez zabezpieczeń cybernetycznych?
W poprzednich artykułach dotyczących umowy wdrożeniowej skupiliśmy się na innych niezbędnych elementach takiego kontraktu, związanych m.in. z wynagrodzeniem i obowiązkami stron. Nie możemy jednak zapomnieć o cyberbezpieczeństwie.
Poprzez wprowadzenie odpowiednich postanowień do umowy możesz zadbać, by system IT, który wdrażasz, działał stabilnie, bezpiecznie i bez przerw, a dane Twojej firmy i Twoich klientów miały zapewnioną właściwą ochronę. Masz możliwość precyzyjnego uregulowania dostępu do systemu, szyfrowania danych, ustanowienia procedur awaryjnych, a nawet obowiązku przeprowadzania testów bezpieczeństwa.
Pamiętaj jednak, że cyberbezpieczeństwo to znacznie więcej niż tylko ochrona danych osobowych i zgodność z RODO. Współczesne podejście do bezpieczeństwa cybernetycznego obejmuje kompleksową ochronę wszystkich systemów informatycznych, infrastruktury IT oraz usług świadczonych za ich pomocą. To oznacza, że musisz zabezpieczyć nie tylko informacje, ale także ciągłość działania systemów, ich dostępność i integralność funkcjonalną.
Bez zastosowania takich postanowień ryzykujesz nie tylko wyciek informacji, ale także całkowity paraliż firmy. W końcu każdy dzień przestoju w działalności przełoży się na wysokie straty. Właściwe zadbanie o cyberbezpieczeństwo w umowie wdrożeniowej sprawia także, że wiesz, jakie standardy ma spełniać dostawca i czego możesz od niego wymagać w przypadku ataku.
Milionowe kary i utrata klientów – tyle może Cię kosztować brak zabezpieczeń
Brak zapisów o cyberbezpieczeństwie w umowie wdrożeniowej w najgorszym scenariuszu może doprowadzić Twoją firmę do poważnych problemów. Wyciek danych osobowych naraża Cię na kary finansowe sięgające nawet 20 milionów euro lub 4% rocznego obrotu zgodnie z RODO – w zależności od tego, która kwota jest wyższa.
To jednak nie wszystko – cyberincydenty uderzają także w reputację Twojej marki. Klienci, którzy stracą zaufanie do bezpieczeństwa Twoich usług, mogą przejść do konkurencji. Pamiętaj, że raz utracone dobre imię jest bardzo trudne do odbudowania, a skutki wizerunkowe mogą być znacznie bardziej dotkliwe niż jednorazowa kara.
Upewnij się, że Twoja umowa wdrożeniowa reguluje kwestię cyberbezpieczeństwa
Musisz nie tylko wprowadzić odpowiednie zapisy, ale też jasno wskazać, że wykonawca ma obowiązek działania z należytą starannością – postępować profesjonalnie, zgodnie z wiedzą techniczną, aktualnymi standardami i zasadami sztuki w branży IT. Przy tak precyzyjnie ustalonym zakresie obowiązków w razie potrzeby łatwiej będziesz dochodzić przysługujących Ci roszczeń.
Ważne jest również, aby wykonawca ponosił odpowiedzialność nie tylko za konkretne szkody wynikające z naruszenia bezpieczeństwa, ale także za samo niewykonanie obowiązków związanych z zapewnieniem odpowiednich zabezpieczeń. Umowa powinna przewidywać mechanizmy pozwalające zapobiec incydentom jeszcze przed ich wystąpieniem. To oznacza, że wykonawca może być zobowiązany do zapłaty kar umownych już za sam brak wdrożenia wymaganych zabezpieczeń, niezależnie od tego, czy doszło do rzeczywistego ataku lub wycieku danych.
A co dzieje się, jeśli w kontrakcie pominiesz aspekty związane z cyberbezpieczeństwem? W takiej sytuacji jeśli dojdzie do włamania czy awarii, a w umowie nie ma nic o tym, że wykonawca ponosi odpowiedzialność, wszystkie konsekwencje prawne i finansowe spadają na Twoją firmę.
Jakie standardy bezpieczeństwa musi spełniać Twój wykonawca?
Dobrze napisana umowa wdrożeniowa powinna jasno określać, jakie normy i standardy bezpieczeństwa musi bezwzględnie spełniać system.
Mogą to być wytyczne OWASP (zbiór najlepszych praktyk i standardów bezpieczeństwa aplikacji internetowych), które chronią przed typowymi zagrożeniami używanymi przez cyberprzestępców.
Ważne są także procedury reagowania na incydenty – wykonawca powinien mieć prawny obowiązek natychmiastowego informowania Cię o problemie i podjęcia działań naprawczych w określonym czasie, np. do 24 godzin.
Zadbaj także, by w umowie zawrzeć postanowienia dotyczące obowiązku przeprowadzania regularnych aktualizacji. W umowie musisz wskazać, kto za nie odpowiada i w jakim terminie.
RODO w umowie wdrożeniowej – jak właściwie uregulować kwestie ochrony danych?
Wdrożenie nowego systemu IT nieodłącznie wiąże się z przetwarzaniem danych osobowych, dlatego umowa musi szczegółowo regulować wszystkie aspekty zgodności z RODO. W praktyce oznacza to, że umowa powinna zawierać precyzyjne postanowienia dotyczące:
- Wzajemnego udostępniania danych osobowych przedstawicieli obu stron – w zakresie niezbędnym do realizacji umowy, z jasnym wskazaniem podstawy prawnej takiego przetwarzania (zazwyczaj prawnie uzasadniony interes administratora).
- Obowiązków informacyjnych – każda ze stron musi dopełnić obowiązku poinformowania swoich pracowników o zasadach przetwarzania ich danych przez drugą stronę.
- Określenia ról w przetwarzaniu danych –umowa powinna jednoznacznie wskazać, która strona występuje jako administrator danych osobowych w konkretnych sytuacjach, a kiedy zachodzi konieczność zawarcia odrębnej umowy powierzenia przetwarzania danych.
- Załączników informacyjnych – trzeba zadbać o dołączenie do umowy szczegółowych informacji o zasadach przetwarzania danych przez każdą ze stron oraz przysługujących osobom fizycznym prawach.
Pamiętaj, że jeśli wykonawca będzie przetwarzał dane osobowe w Twoim imieniu, konieczne będzie zawarcie odrębnej umowy powierzenia przetwarzania danych osobowych. Taka umowa powinna stanowić integralną część głównego kontraktu wdrożeniowego.
Dlaczego prawnik to Twoja najlepsza inwestycja w cyberbezpieczeństwo?
Inne potrzeby ma sklep internetowy, a inne bank czy firma logistyczna – dlatego gotowe szablony z internetu nie spełnią tych wymagań. Zamiast tego znacznie lepiej skorzystać z pomocy doświadczonego radcy prawnego. Taki prawnik:
- analizuje wszystkie ryzyka, jakie mogą pojawić się przy wdrożeniu systemu IT, i dopasowuje zapisy umowy do specyfiki Twojego biznesu.
- wskazuje, jakie zabezpieczenia są absolutnie niezbędne w Twojej branży,
- dba o skonstruowanie umowy w taki sposób, by chroniła przed stratami finansowymi, karami za naruszenia z zakresu RODO czy konsekwencjami przerwy w działaniu systemu.
- wspiera Cię w negocjacjach z wykonawcą, zapewniając zgodność z Twoimi celami oraz zgodność umowy z obowiązującym prawem.
Jeśli chcesz mieć pewność, że żadna z tych kwestii nie została pominięta, skorzystaj z pomocy kancelarii specjalizujących się w umowach IT oraz cyberbezpieczeństwie. Z pomocą takiego prawnika wdrożysz w swoim przedsiębiorstwie nowe technologie bez narażania biznesu na katastrofalne konsekwencje cyberataków.
