Helemaal mee eens. Ik denk echter dat wij een andere scope hebben voor wat betreft de beveiliging. Ik zie beveiliging als meer dan alleen een firewall en software die het netwerk moet beschermen. Beveiliging is voor mij het hele pakket aan maatregelen die de data integriteit van de onderneming moet bewaken. Daaronder valt ook toegangsbeveiliging, password beleid, updaten van software, bewust maken van medewerkers, etc. Alleen wanneer het gehele pakket op orde is kun je spreken van een goed beveiligd systeem.
Gezien deze brede scope kun je als consultant m.i. niet meer doen dan je best. Wanneer er door een fout van de consultant schade ontstaat kan inderdaad een beroepsaansprakelijkheid verzekering de schade dekken. Wanneer er echter buiten de schuld om van de consultant schade ontstaat, b.v. door eigen personeel of anderen , ben je als consultant daar niet verantwoordelijk voor (en kun je ook niet zijn) mits je de juiste procedures voor de klant hebt opgesteld en medegedeeld.
Concreet, b.v. om te voorkomen dat de schoonmaker er vandoor gaat met concurrentiegevoelige gegevens (social engineering)* kun je als consultant niet meer doen dan het opstellen van procedures. Verantwoordelijkheid kun je hiervoor niet nemen. Beveiliging is ook opvoeden van de klant en medewerkers. Daar heb je wat mij betreft alleen een inspanningsverplichting, geen verantwoordelijkheid.
Er lijkt mij niets mee mis om duidelijk de grens tussen inspanning en verantwoordelijkheid te scheiden. Als de klant hier niet aan mee wil werken moet je je af vragen of je wel met deze klant in zee wilt gezien de risico's. De clausule zoals Rene die schetst vind ik eigenlijk wel een hele mooie. Die legt precies de grens tussen inspanningsverplichting en verantwoordelijkheid.
* zie ook:
http://en.wikipedia.org/wiki/Social_...%28security%29 en
http://en.wikipedia.org/wiki/Kevin_Mitnick.