{"id":58328,"date":"2023-10-05T15:32:11","date_gmt":"2023-10-05T06:32:11","guid":{"rendered":"https:\/\/monolith.law\/da\/?p=58328"},"modified":"2024-01-25T17:11:14","modified_gmt":"2024-01-25T08:11:14","slug":"vendor-compensation","status":"publish","type":"post","link":"https:\/\/monolith.law\/da\/it\/vendor-compensation","title":{"rendered":"Skade fra cyberangreb. Hvad er systemleverand\u00f8rens erstatningsansvar? En forklaring p\u00e5 eksempler noteret i kontrakten."},"content":{"rendered":"\n<p>I de senere \u00e5r har cyberangreb mod virksomheder v\u00e6ret p\u00e5 en konstant stigning.<\/p>\n\n\n\n<p>If\u00f8lge en unders\u00f8gelse foretaget af den japanske non-profit organisation for netv\u00e6rkssikkerhed (JNSA), udgjorde uautoriseret adgang en andel p\u00e5 4,7% af alle h\u00e6ndelser med l\u00e6kage af personlige oplysninger i 2013, men dette tal er steget til 20,3% i 2018 (<a href=\"https:\/\/www.jnsa.org\/result\/incident\/2018.html\" target=\"_blank\" rel=\"noreferrer noopener\">2018-rapport om sikkerhedsh\u00e6ndelser [ja]<\/a>).<\/p>\n\n\n\n<p>I denne artikel vil vi forklare omfanget af systemleverand\u00f8rens ansvar, n\u00e5r de bliver udsat for et cyberangreb, baseret p\u00e5 tidligere retssager. Vi vil ogs\u00e5 forklare om rollerne og ansvarsomr\u00e5derne, som leverand\u00f8rer og brugere b\u00f8r aftale i kontrakten for at samarbejde om cybersikkerhed, baseret p\u00e5 en modelkontrakt.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Er_systemleverandorer_ansvarlige_for_erstatning_ved_cyberangreb\" title=\"Er systemleverand\u00f8rer ansvarlige for erstatning ved cyberangreb?\">Er systemleverand\u00f8rer ansvarlige for erstatning ved cyberangreb?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Systemleverandorens_erstatningsansvar_og_eksempler_pa_kontrakttekst\" title=\"Systemleverand\u00f8rens erstatningsansvar og eksempler p\u00e5 kontrakttekst\">Systemleverand\u00f8rens erstatningsansvar og eksempler p\u00e5 kontrakttekst<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Softwareudviklingskontrakt\" title=\"Softwareudviklingskontrakt\">Softwareudviklingskontrakt<\/a><ul class='ez-toc-list-level-4'><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Udforelseskontrakt\" title=\"Udf\u00f8relseskontrakt\">Udf\u00f8relseskontrakt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Halvdelegeringskontrakt\" title=\"Halvdelegeringskontrakt\">Halvdelegeringskontrakt<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Systemvedligeholdelses-_og_driftskontrakt\" title=\"Systemvedligeholdelses- og driftskontrakt\">Systemvedligeholdelses- og driftskontrakt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Brug_af_Cloud_Service-kontrakt\" title=\"Brug af Cloud Service-kontrakt\">Brug af Cloud Service-kontrakt<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Kriterier_for_bedommelse_af_systemleverandorens_erstatningsansvar\" title=\"Kriterier for bed\u00f8mmelse af systemleverand\u00f8rens erstatningsansvar\">Kriterier for bed\u00f8mmelse af systemleverand\u00f8rens erstatningsansvar<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Er_der_implementeret_foranstaltninger_i_overensstemmelse_med_den_teknologiske_standard_pa_udviklingstidspunktet\" title=\"Er der implementeret foranstaltninger i overensstemmelse med den teknologiske standard p\u00e5 udviklingstidspunktet?\">Er der implementeret foranstaltninger i overensstemmelse med den teknologiske standard p\u00e5 udviklingstidspunktet?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Er_der_fejl_hos_brugervirksomheden\" title=\"Er der fejl hos brugervirksomheden?\">Er der fejl hos brugervirksomheden?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Tre_punkter_for_sikker_systemudvikling\" title=\"Tre punkter for sikker systemudvikling\">Tre punkter for sikker systemudvikling<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Forsta_cyber-risici_som_offentlige_myndigheder_papeger\" title=\"Forst\u00e5 cyber-risici, som offentlige myndigheder p\u00e5peger\">Forst\u00e5 cyber-risici, som offentlige myndigheder p\u00e5peger<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Begge_parter_forstar_nodvendigheden_af_sikkerhed\" title=\"Begge parter forst\u00e5r n\u00f8dvendigheden af sikkerhed\">Begge parter forst\u00e5r n\u00f8dvendigheden af sikkerhed<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Begge_parter_handterer_cyberangreb_sammen\" title=\"Begge parter h\u00e5ndterer cyberangreb sammen\">Begge parter h\u00e5ndterer cyberangreb sammen<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Opsummering_Konsulter_en_advokat_ved_udarbejdelse_af_systemudviklingskontrakter\" title=\"Opsummering: Konsulter en advokat ved udarbejdelse af systemudviklingskontrakter\">Opsummering: Konsulter en advokat ved udarbejdelse af systemudviklingskontrakter<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/da\/it\/vendor-compensation\/#Introduktion_til_vores_tjenester\" title=\"Introduktion til vores tjenester\">Introduktion til vores tjenester<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Er_systemleverandorer_ansvarlige_for_erstatning_ved_cyberangreb\"><\/span>Er systemleverand\u00f8rer ansvarlige for erstatning ved cyberangreb?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/02\/shutterstock_134919143.jpg\" alt=\"Er systemleverand\u00f8rer ansvarlige for erstatning ved cyberangreb?\" class=\"wp-image-58926\" \/><\/figure>\n\n\n\n<p>N\u00e5r en virksomhed p\u00e5 brugersiden lider skade som f\u00f8lge af et cyberangreb, er det f\u00f8rst og fremmest gerningsmanden bag cyberangrebet, der skal holdes ansvarlig. Men hvis der er en mulighed for, at angrebet blev lettere p\u00e5 grund af fejl i systemudvikling og -drift, kan der ogs\u00e5 v\u00e6re tilf\u00e6lde, hvor brugersiden kan kr\u00e6ve erstatning fra systemleverand\u00f8ren.<\/p>\n\n\n\n<p>Grundlaget for erstatningskrav rettet mod systemleverand\u00f8ren kan v\u00e6re f\u00f8lgende:<\/p>\n\n\n\n<ul>\n<li>Kontraktuel misligholdelsesansvar<\/li>\n\n\n\n<li>Overtr\u00e6delse af pligten til god forvaltning<\/li>\n<\/ul>\n\n\n\n<p>Men der kan ogs\u00e5 v\u00e6re tilf\u00e6lde, hvor skaden forv\u00e6rres p\u00e5 grund af brugerens fejl. I s\u00e5danne tilf\u00e6lde kan brugerens ansvar ogs\u00e5 anerkendes. I faktiske retssager er der tilf\u00e6lde, hvor dette er blevet taget i betragtning som en fejludligning, og erstatningen til systemleverand\u00f8ren er blevet begr\u00e6nset.<\/p>\n\n\n\n<p>Relateret artikel: <a href=\"https:\/\/monolith.law\/corporate\/categories-of-cyber-crime\" target=\"_blank\" rel=\"noreferrer noopener\">Hvad er de tre kategorier af cyberkriminalitet? En advokat forklarer skadeforebyggelse for hvert m\u00f8nster [ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Systemleverandorens_erstatningsansvar_og_eksempler_pa_kontrakttekst\"><\/span>Systemleverand\u00f8rens erstatningsansvar og eksempler p\u00e5 kontrakttekst<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Der er tre repr\u00e6sentative eksempler p\u00e5 IT-systemkontrakter mellem en systemleverand\u00f8r og en virksomhedsbruger:<\/p>\n\n\n\n<ol>\n<li>Softwareudviklingskontrakt<\/li>\n\n\n\n<li>Systemvedligeholdelses- og driftskontrakt<\/li>\n\n\n\n<li>Kontrakt om brug af cloud-tjenester<\/li>\n<\/ol>\n\n\n\n<p>Erstatningsansvaret bestemmes af den oprindelige kontrakt, s\u00e5 nedenfor vil vi forklare det for hver type kontrakt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Softwareudviklingskontrakt\"><\/span>Softwareudviklingskontrakt<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>En softwareudviklingskontrakt er en aftale, der indg\u00e5s, n\u00e5r en virksomhed p\u00e5 brugersiden uddelegerer udviklingen af deres eget system til en softwareleverand\u00f8r.<\/p>\n\n\n\n<p>Hvis en virksomhed p\u00e5 brugersiden bliver udsat for et cyberangreb, og softwarens s\u00e5rbarhed er \u00e5rsagen til skadens omfang, kan ansvaret blive lagt over p\u00e5 leverand\u00f8ren fra brugeren.<\/p>\n\n\n\n<p>Systemleverand\u00f8rens ansvar kan v\u00e6re en af de f\u00f8lgende to, afh\u00e6ngigt af typen af softwareudviklingskontrakt:<\/p>\n\n\n\n<ul>\n<li>Udf\u00f8relseskontrakt: Ansvar for kontraktuel ikke-overensstemmelse<\/li>\n\n\n\n<li>Halvdelegeringskontrakt: Overtr\u00e6delse af pligten til omhyggelig forvaltning<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Udforelseskontrakt\"><\/span>Udf\u00f8relseskontrakt<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>En udf\u00f8relseskontrakt er en aftale, hvor fuldf\u00f8relsen af systemet er lovet, og betaling gives for det f\u00e6rdige produkt.<\/p>\n\n\n\n<p>Hvis det leverede produkt &#8220;ikke overholder kontraktens form\u00e5l&#8221;, vil der opst\u00e5 et ansvar for kontraktuel ikke-overensstemmelse (<a href=\"https:\/\/elaws.e-gov.go.jp\/document?lawid=129AC0000000089\" target=\"_blank\" rel=\"noreferrer noopener\">Japansk Civillov \u00a7559, \u00a7562 [ja]<\/a>) over for udf\u00f8relsespersonen i en vis periode efter levering.<\/p>\n\n\n\n<p>Det betyder, at der er en risiko for, at brugeren kan kr\u00e6ve erstatning for kontraktuel ikke-overensstemmelse, hvis produktet er s\u00e5rbart nok til let at for\u00e5rsage systemfejl ved et cyberangreb.<\/p>\n\n\n\n<p>Om denne anmodning vil blive anerkendt afh\u00e6nger af det sikkerhedsniveau for softwaren, som parterne p\u00e5 forh\u00e5nd har aftalt.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n[Eksempel p\u00e5 ansvar for kontraktuel ikke-overensstemmelse]\n\n\n\n<p>Artikel X: Efter fuldf\u00f8relsen af inspektionen i henhold til den foreg\u00e5ende artikel, hvis der opdages en uoverensstemmelse (inklusive bugs, herefter i denne artikel ben\u00e6vnt &#8220;kontraktuel ikke-overensstemmelse&#8221;) mellem systemspecifikationerne og det leverede produkt, kan part A anmode part B om at rette denne kontraktuelle ikke-overensstemmelse (herefter i denne artikel ben\u00e6vnt &#8220;retning&#8221;). Part B skal udf\u00f8re denne retning, medmindre det p\u00e5l\u00e6gger part A en urimelig byrde, i hvilket tilf\u00e6lde part B kan udf\u00f8re retningen p\u00e5 en anden m\u00e5de end den, som part A har anmodet om.<\/p>\n\n\n\n<p>2. Uanset den foreg\u00e5ende paragraf, hvis det er muligt at opn\u00e5 form\u00e5let med den individuelle kontrakt, selv med den kontraktuelle ikke-overensstemmelse, og retningen kr\u00e6ver overdreven omkostninger, skal part B ikke v\u00e6re forpligtet til at udf\u00f8re retningen som angivet i den foreg\u00e5ende paragraf.<\/p>\n\n\n\n<p>3. Hvis part A lider skade p\u00e5 grund af den kontraktuelle ikke-overensstemmelse (begr\u00e6nset til dem, der er opst\u00e5et p\u00e5 grund af \u00e5rsager, der kan tilskrives part B), kan part A kr\u00e6ve erstatning fra part B.<\/p>\n\n\n\n<p>Kilde: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Informationssystem Model Transaktionskontrakt (2. udgave) [ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Halvdelegeringskontrakt\"><\/span>Halvdelegeringskontrakt<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>For en halvdelegeringskontrakt g\u00e6lder ansvaret for kontraktuel ikke-overensstemmelse ikke, da der ikke er nogen forpligtelse til at fuldf\u00f8re produktet. I stedet p\u00e5tager man sig &#8220;pligten til at h\u00e5ndtere de delegerede opgaver med den omhu, en god forvalter ville udvise&#8221; (pligten til omhyggelig forvaltning).<\/p>\n\n\n\n<p>Hvis et system g\u00e5r ned p\u00e5 grund af et cyberangreb, kan det at have udviklet et system af den grad, selv uden at have fastlagt et sikkerhedsniveau ved kontraktindg\u00e5elsen, blive betragtet som en &#8220;overtr\u00e6delse af pligten til omhyggelig forvaltning&#8221; (<a href=\"https:\/\/elaws.e-gov.go.jp\/document?lawid=129AC0000000089\" target=\"_blank\" rel=\"noreferrer noopener\">Japansk Civillov \u00a7656, \u00a7644 [ja]<\/a>), og der kan v\u00e6re en risiko for at blive udsat for et erstatningskrav.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n[Eksempel p\u00e5 pligten til omhyggelig forvaltning]\n\n\n\n<p>Artikel X: Part B skal, efter at have indg\u00e5et den individuelle kontrakt specificeret i artikel X, levere tjenester (herefter ben\u00e6vnt &#8220;kravdefinitionssupporttjenester&#8221;) til at st\u00f8tte part A i udarbejdelsen af kravdefinitionsdokumentet baseret p\u00e5 informationssystemkonceptdokumentet, systemplanl\u00e6gningsdokumentet osv., som part A har udarbejdet som en del af denne opgave.<\/p>\n\n\n\n<p>2. Part B skal, baseret p\u00e5 specialiseret viden og erfaring inden for informationsteknologi, udf\u00f8re st\u00f8tteopgaver s\u00e5som unders\u00f8gelse, analyse, organisering, forslag og r\u00e5dgivning med den omhu, en god forvalter ville udvise, for at sikre, at part A&#8217;s arbejde udf\u00f8res gnidningsl\u00f8st og korrekt.<\/p>\n\n\n\n<p>Kilde: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Informationssystem Model Transaktionskontrakt (2. udgave) [ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Systemvedligeholdelses-_og_driftskontrakt\"><\/span>Systemvedligeholdelses- og driftskontrakt<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>En systemvedligeholdelses- og driftskontrakt er en aftale, hvor en virksomhed uddelegerer opgaver relateret til vedligeholdelse og drift af eksisterende software til en softwareleverand\u00f8r. N\u00e5r en s\u00e5dan kontrakt indg\u00e5s, er det almindeligt at inkludere det kr\u00e6vede sikkerhedsniveau i kontrakten, for eksempel i en arbejdsspecifikation.<\/p>\n\n\n\n<p>Hvis der opst\u00e5r skade som f\u00f8lge af et cyberangreb, og systemets sikkerhedsniveau er lavere end det niveau, der blev aftalt ved kontraktens indg\u00e5else, kan leverand\u00f8ren blive holdt ansvarlig for kontraktbrud p\u00e5 grundlag af en klausul om kontraktuel ikke-overholdelse.<\/p>\n\n\n\n<p>Men hvis sikkerhedsniveauet ikke er specificeret p\u00e5 forh\u00e5nd, kan vedligeholdelse og drift af et system, der er s\u00e5rbart over for cyberangreb, blive betragtet som en overtr\u00e6delse af pligten til omhyggelig forvaltning, hvilket kan f\u00f8re til ansvar.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Brug_af_Cloud_Service-kontrakt\"><\/span>Brug af Cloud Service-kontrakt<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>En kontrakt om brug af cloud-tjenester er en aftale, der indg\u00e5s, n\u00e5r man bruger tjenester, som en leverand\u00f8r tilbyder i skyen. Da det forventes, at leverand\u00f8ren leverer den samme service til mange brugere, vil det ofte v\u00e6re s\u00e5dan, at man indg\u00e5r en aftale i overensstemmelse med de brugsbetingelser, som leverand\u00f8ren har fastsat.<\/p>\n\n\n\n<p>Generelt er det i denne kontrakt p\u00e5 forh\u00e5nd angivet, hvem der har ansvaret, hvis tjenesten ikke kan leveres p\u00e5 grund af et cyberangreb.<\/p>\n\n\n\n<p>I en kontrakt om brug af cloud-tjenester fasts\u00e6ttes normalt f\u00f8lgende ved kontraktindg\u00e5elsen:<\/p>\n\n\n\n<ul>\n<li>SLA (Service Level Agreement): Garanti for kvalitet og driftsregler<\/li>\n\n\n\n<li>Ansvarsbegr\u00e6nsningsklausul: Leverand\u00f8rens ansvarsomr\u00e5de ved misligholdelse, n\u00e5r skade opst\u00e5r<\/li>\n<\/ul>\n\n\n\n<p>En SLA er en formalisering af brugerens kravniveau og leverand\u00f8rens driftsregler. Hvis den service, der er fastsat her, ikke kan leveres, kan du anmode om erstatning for delvis misligholdelse. Derudover kan der i kontrakten v\u00e6re en &#8220;ansvarsbegr\u00e6nsningsklausul&#8221;, der p\u00e5 forh\u00e5nd begr\u00e6nser de betingelser, under hvilke leverand\u00f8ren kan modtage en misligholdelseskrav, og selv n\u00e5r ansvar er anerkendt, begr\u00e6nser erstatningsbel\u00f8bet.<\/p>\n\n\n\n<p>Men da ansvarsbegr\u00e6nsningsklausuler ofte er til fordel for leverand\u00f8ren, kan de i tilf\u00e6lde af tvist v\u00e6re underlagt visse begr\u00e6nsninger i henhold til japansk pr\u00e6cedensret.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Eksempel p\u00e5 ansvarsbegr\u00e6nsningsklausul\u3011<\/p>\n\n\n\n<p>Artikel X: Hvis A og B lider skade p\u00e5 grund af en \u00e5rsag, der kan tilskrives den anden part i forbindelse med opfyldelsen af denne kontrakt og individuelle kontrakter, kan de anmode den anden part om erstatning (begr\u00e6nset til XXX skade). Dog kan denne anmodning ikke frems\u00e6ttes efter at der er g\u00e5et X m\u00e5neder fra den dato, hvor leveringen af de varer, der er fastsat i den p\u00e5g\u00e6ldende individuelle kontrakt, er afsluttet, eller fra den dato, hvor arbejdet er afsluttet.<\/p>\n\n\n\n<p>2. Det samlede bel\u00f8b for erstatning i forbindelse med opfyldelsen af denne kontrakt og individuelle kontrakter, uanset \u00e5rsagen til kravet, herunder misligholdelse (herunder ansvar for kontraktuel ikke-overensstemmelse), uretm\u00e6ssig fortjeneste, ulovlig handling osv., er begr\u00e6nset til det bel\u00f8b, der er fastsat i XXX i den individuelle kontrakt, der for\u00e5rsagede \u00e5rsagen til ansvar.<\/p>\n\n\n\n<p>3. Den foreg\u00e5ende paragraf g\u00e6lder ikke, hvis erstatningspligten er baseret p\u00e5 fors\u00e6tlig eller grov uagtsomhed.<\/p>\n\n\n\n<p>Kilde: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Informationssystem Model Transaktionskontrakt (anden udgave) [ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Kriterier_for_bedommelse_af_systemleverandorens_erstatningsansvar\"><\/span>Kriterier for bed\u00f8mmelse af systemleverand\u00f8rens erstatningsansvar<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/02\/shutterstock_646598212.jpg\" alt=\"Kriterier for bed\u00f8mmelse af systemleverand\u00f8rens erstatningsansvar\" class=\"wp-image-58928\" \/><\/figure>\n\n\n\n<p>Hvorn\u00e5r kan systemudviklerens ansvar blive p\u00e5talt, hvis en brugervirksomhed lider skade som f\u00f8lge af et cyberangreb?<\/p>\n\n\n\n<p>Nedenfor vil vi forklare dette baseret p\u00e5 faktiske retssager, hvor systemleverand\u00f8rens ansvar blev p\u00e5talt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Er_der_implementeret_foranstaltninger_i_overensstemmelse_med_den_teknologiske_standard_pa_udviklingstidspunktet\"><\/span>Er der implementeret foranstaltninger i overensstemmelse med den teknologiske standard p\u00e5 udviklingstidspunktet?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I faktiske retssager, hvor ansvar er bestridt, l\u00e6gges der v\u00e6gt p\u00e5, om systemleverand\u00f8ren har implementeret sikkerhedsforanstaltninger p\u00e5 det niveau, der er i overensstemmelse med advarsler og manualer fra offentlige myndigheder og brancheorganisationer p\u00e5 udviklingstidspunktet.<\/p>\n\n\n\n<p>Der er eksempler p\u00e5 retssager, hvor systemleverand\u00f8ren blev beordret til at betale erstatning for skader for\u00e5rsaget af cyberangreb, som f\u00f8lger:<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Retssag eksempel\u3011Tokyo District Court, 23. januar 2014 (Heisei 26)<br>Bruger: X Company, en detailhandler og online s\u00e6lger af interi\u00f8rprodukter<br>Leverand\u00f8r: Y Company, der havde p\u00e5taget sig design og vedligeholdelse af et webordresystem<\/p>\n\n\n\n<p>En h\u00e6ndelse, hvor 7.000 kunders kreditkortoplysninger blev l\u00e6kket som f\u00f8lge af et cyberangreb<\/p>\n\n\n\n<p>\u25a0Dom<br>Systemleverand\u00f8ren blev beordret til at betale omkring 20 millioner yen i erstatning<br>Bel\u00f8bet oversteg udviklingsomkostningerne med omkring 2 millioner yen<br>X Company blev ogs\u00e5 fundet skyldig, og der blev foretaget en 30% fejludligning<\/p>\n\n\n\n<p>\u25a0\u00c5rsag<br>\u30fbSystemleverand\u00f8ren fors\u00f8mte at implementere sikkerhedsforanstaltninger i overensstemmelse med den teknologiske standard p\u00e5 det tidspunkt.<br>\u30fbSelvom brugervirksomheden havde modtaget en risikoforklaring fra systemleverand\u00f8ren, men fors\u00f8mte at tage foranstaltninger, blev der fundet en fejl, og en fejludligning p\u00e5 30% blev anvendt.<\/p>\n<\/div><\/div>\n\n\n\n<p>I 2014 var &#8220;SQL-injektionsangreb&#8221; den prim\u00e6re metode til cyberangreb, og Ministeriet for \u00d8konomi, Handel og Industri havde offentliggjort et dokument kaldet &#8220;<a href=\"https:\/\/www.meti.go.jp\/policy\/it_policy\/privacy\/kanki.html\" target=\"_blank\" rel=\"noreferrer noopener\">Advarsel om grundig implementering af sikkerhedsforanstaltninger for personlige data baseret p\u00e5 den japanske persondata beskyttelseslov [ja]<\/a>&#8220;, der p\u00e5pegede cyberrisici og opfordrede til styrkelse af systemer.<\/p>\n\n\n\n<p>Dommen anerkendte systemleverand\u00f8rens ansvar for ikke at have taget foranstaltninger og beordrede erstatning, men fandt ogs\u00e5, at brugervirksomheden var skyldig, og tillod en fejludligning p\u00e5 30%.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Er_der_fejl_hos_brugervirksomheden\"><\/span>Er der fejl hos brugervirksomheden?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Virksomheder, der bestiller systemudvikling, har ogs\u00e5 forpligtelser, og hvis de er fors\u00f8mmelige, kan de v\u00e6re fuldt ansvarlige.<\/p>\n\n\n\n<p>Nedenfor er et eksempel p\u00e5 en retssag, der ikke er et eksempel p\u00e5 et cyberangreb, men hvor brugervirksomhedens fulde ansvar blev anerkendt, og erstatning blev beordret.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Retssag eksempel\u3011Asahikawa District Court, 31. august 2017 (Heisei 29)<\/p>\n\n\n\n<p>Bruger: Universitetshospital<br>Leverand\u00f8r: Systemfirma, der blev bedt om at udvikle et elektronisk patientjournal system af universitetshospitalet<\/p>\n\n\n\n<p>Umiddelbart efter projektstart begyndte l\u00e6gerne p\u00e5 stedet at frems\u00e6tte yderligere krav.<br>Kravene stoppede ikke, og udviklingen blev forsinket, og universitetshospitalet meddelte oph\u00e6velse af kontrakten p\u00e5 grund af forsinkelsen.<\/p>\n\n\n\n<p>\u25a0Dom (appelret)<br>Universitetshospitalet blev beordret til at betale omkring 1,4 milliarder yen i erstatning<br>Den f\u00f8rste instans dom, der beordrede begge parter til at betale erstatning, blev annulleret<\/p>\n\n\n\n<p>\u25a0\u00c5rsag<br>\u30fbDet blev problematiseret, at hospitalet ikke lyttede til leverand\u00f8rens advarsel om, at hvis de im\u00f8dekom yderligere krav, ville de ikke kunne overholde tidsfristen.<\/p>\n<\/div><\/div>\n\n\n\n<p>Denne retssag involverede en h\u00e6ndelse, hvor brugervirksomheden meddelte oph\u00e6velse af kontrakten p\u00e5 grund af forsinkelse i systemudviklingen, og b\u00e5de brugervirksomheden og systemleverand\u00f8ren sags\u00f8gte hinanden for erstatningskrav.<\/p>\n\n\n\n<p>I dommen blev det anerkendt, at \u00e5rsagen til udviklingsforsinkelsen var, at brugervirksomheden ikke lyttede til advarsler fra systemleverand\u00f8ren, og brugervirksomheden blev fundet 100% ansvarlig, og dens krav blev afvist. Systemleverand\u00f8ren har en &#8220;projektstyringspligt&#8221; til at styre projektets fremskridt, s\u00e5 det kan overholde tidsfristen. P\u00e5 den anden side har brugervirksomheden ogs\u00e5 en &#8220;samarbejdspligt&#8221;, og hvis den fors\u00f8mmes, kan den v\u00e6re fuldt ansvarlig, og i faktiske retssager bestemmes erstatningsansvaret baseret p\u00e5 denne andel.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tre_punkter_for_sikker_systemudvikling\"><\/span>Tre punkter for sikker systemudvikling<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2023\/02\/shutterstock_2004030665.jpg\" alt=\"Tre punkter for sikker systemudvikling\" class=\"wp-image-58929\" \/><\/figure>\n\n\n\n<p>For at forberede sig p\u00e5 cyber-risici er det vigtigt, at b\u00e5de brugere og leverand\u00f8rer arbejder sammen om at implementere foranstaltninger.<\/p>\n\n\n\n<p>Nedenfor vil vi forklare de foranstaltninger, som leverand\u00f8rer og brugere kan tage fra deres respektive positioner.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Forsta_cyber-risici_som_offentlige_myndigheder_papeger\"><\/span>Forst\u00e5 cyber-risici, som offentlige myndigheder p\u00e5peger<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Systemleverand\u00f8rer b\u00f8r tjekke retningslinjer udstedt af specialiserede organisationer som det japanske Ministerium for \u00d8konomi, Handel og Industri og Information-Processing Promotion Agency (IPA), forst\u00e5 de nuv\u00e6rende cyber-risici og deres modforanstaltninger, og derefter g\u00e5 videre med udvikling og drift.<\/p>\n\n\n\n<p>Desuden b\u00f8r b\u00e5de leverand\u00f8rer og brugervirksomheder have en vis forst\u00e5else for indholdet og anmode om udvikling og drift i overensstemmelse med retningslinjerne, og inkludere en klausul om sikkerhedsniveauet i kontrakten.<\/p>\n\n\n\n<p>Reference: <a href=\"https:\/\/www.meti.go.jp\/policy\/netsecurity\/downloadfiles\/guide2.0.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Ministeriet for \u00d8konomi, Handel og Industri | Cybersecurity Management Guidelines Ver 2.0 [ja]<\/a><\/p>\n\n\n\n<p>Reference: <a href=\"https:\/\/www.ipa.go.jp\/security\/vuln\/websecurity.html\" target=\"_blank\" rel=\"noreferrer noopener\">Information-Processing Promotion Agency | S\u00e5dan laver du en sikker hjemmeside [ja]<\/a><\/p>\n\n\n\n<p>Is\u00e6r i finanssektoren kan lovgivning og retningslinjer kr\u00e6ve h\u00f8j sikkerhed. Vi forklarer detaljeret om sikkerhedsforanstaltninger for kryptoaktiver nedenfor.<\/p>\n\n\n\n<p>Relateret artikel: <a href=\"https:\/\/monolith.law\/corporate\/cryptoassets-security\" target=\"_blank\" rel=\"noreferrer noopener\">Hvad er sikkerhedsforanstaltninger for kryptoaktiver (virtuelle valutaer)? Forklaring med tre l\u00e6kagesager [ja]<\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Begge_parter_forstar_nodvendigheden_af_sikkerhed\"><\/span>Begge parter forst\u00e5r n\u00f8dvendigheden af sikkerhed<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I det japanske Ministerium for \u00d8konomi, Handel og Industris &#8220;<a href=\"https:\/\/www.meti.go.jp\/policy\/netsecurity\/downloadfiles\/guide2.0.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Cybersecurity Management Guidelines Ver 2.0 [ja]<\/a>&#8221; er det klart angivet, at &#8220;cybersikkerhedsforanstaltninger er et ledelsesproblem&#8221;.<\/p>\n\n\n\n<p>I stedet for at overlade sikkerhed til leverand\u00f8ren, fordi man ikke forst\u00e5r det, b\u00f8r virksomheden ogs\u00e5 betragte risikostyring som en del af ledelsen og tage ansvar for at implementere foranstaltninger.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Begge_parter_handterer_cyberangreb_sammen\"><\/span>Begge parter h\u00e5ndterer cyberangreb sammen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>N\u00e5r et cyberangreb opst\u00e5r, b\u00f8r b\u00e5de ordregiver og leverand\u00f8r arbejde sammen for at minimere skaden i stedet for at skubbe ansvaret over p\u00e5 hinanden.<\/p>\n\n\n\n<p>Imidlertid har ordregiveren ofte en st\u00e6rkere position i systemudvikling, og systemudvikling har en tendens til at blive drevet med fokus p\u00e5 omkostninger og leveringstid. Leverand\u00f8ren f\u00e5r muligvis ikke nok tid eller penge, og selvom de foresl\u00e5r sikkerhedsforanstaltninger, bliver de muligvis ikke accepteret.<\/p>\n\n\n\n<p>Men i retningslinjerne p\u00e5peges det, at brugervirksomheder b\u00f8r betragte implementeringen af sikkerhedsforanstaltninger ikke som en &#8220;omkostning&#8221;, men som en n\u00f8dvendig investering for fremtidige forretningsaktiviteter og v\u00e6kst.<\/p>\n\n\n\n<p>I systemudvikling er det vigtigt, at leverand\u00f8rer og brugere h\u00e5ndterer cyberangreb sammen p\u00e5 lige vilk\u00e5r.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Opsummering_Konsulter_en_advokat_ved_udarbejdelse_af_systemudviklingskontrakter\"><\/span>Opsummering: Konsulter en advokat ved udarbejdelse af systemudviklingskontrakter<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Hvis en virksomhed lider skade som f\u00f8lge af et cyberangreb, kan leverand\u00f8ren, der var involveret i systemudviklingen, blive holdt ansvarlig af brugervirksomheden for ikke at have taget passende forholdsregler mod cyberrisici.<\/p>\n\n\n\n<p>Men brugervirksomheden har ogs\u00e5 et ansvar, hvis den har fors\u00f8mt sin pligt til at samarbejde med leverand\u00f8ren.<\/p>\n\n\n\n<p>For at minimere skaderne fra et cyberangreb, er det n\u00f8dvendigt at fastl\u00e6gge systemstandarder og ansvarsomr\u00e5der i kontrakten.<\/p>\n\n\n\n<p>Ved udarbejdelse af kontrakter for systemudvikling og lignende, b\u00f8r du konsultere en advokat med avanceret ekspertise, der forst\u00e5r indholdet af retningslinjerne og den aktuelle cyberrisiko.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Introduktion_til_vores_tjenester\"><\/span>Introduktion til vores tjenester<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Monolith Advokatfirma er et advokatfirma med h\u00f8j ekspertise inden for IT, is\u00e6r internettet og lovgivning. Ved systemudviklingskontrakter er det n\u00f8dvendigt at oprette en kontrakt. Vores firma h\u00e5ndterer oprettelse og gennemgang af kontrakter for forskellige sager, fra virksomheder noteret p\u00e5 Tokyo-b\u00f8rsen til opstartsvirksomheder. Hvis du har problemer med kontrakter, kan du henvise til artiklen nedenfor.<\/p>\n\n\n\n<p>Monolith Advokatfirmas omr\u00e5der: <a href=\"https:\/\/monolith.law\/systemdevelopment\" target=\"_blank\" rel=\"noreferrer noopener\">Systemudviklingsrelateret juridisk arbejde [ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>I de senere \u00e5r har cyberangreb mod virksomheder v\u00e6ret p\u00e5 en konstant stigning. If\u00f8lge en unders\u00f8gelse foretaget af den japanske non-profit organisation for netv\u00e6rkssikkerhed (JNSA), udgjorde uautorise [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":60069,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[35,19],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/posts\/58328"}],"collection":[{"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/comments?post=58328"}],"version-history":[{"count":1,"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/posts\/58328\/revisions"}],"predecessor-version":[{"id":60071,"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/posts\/58328\/revisions\/60071"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/media\/60069"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/media?parent=58328"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/categories?post=58328"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/da\/wp-json\/wp\/v2\/tags?post=58328"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}