IT-leverancier aansprakelijk voor schade van zijn klant na ransomware

Jun 14 2020 -
Communiceer, informeer, ga in discussie en begrijp dat jij als IT-leverancier dé professional bent.

Afgelopen week is er een uitspraak gepubliceerd over een conflict tussen het Hilversumse administratiekantoor O'CLIANCE en een IT-leverancier. Wat was er precies aan de hand? Het administratiekantoor schakelde in 2009 een IT-leverancier in om de IT-infrastructuur opnieuw in te richten. De IT-leverancier heeft vervolgens nog herhaaldelijk beheer- en onderhoudswerkzaamheden verricht. In 2017 wordt het administratiekantoor slachtoffer van een zogenaamde aanval met ransomware. De hackers hebben alle (back-up)bestanden versleuteld die op de server van het administratiekantoor stonden. Dat is natuurlijk behoorlijk problematisch voor een administratiekantoor, en dus betaalden ze drie bitcoins losgeld ter waarde van € 963,61 per stuk, om weer toegang te krijgen tot de bestanden. Achteraf gezien bleek dat het netwerk een stuk veiliger had kunnen worden ingericht, er zwakke wachtwoorden werden gebruikt, en een back-up veel van de ontstane problemen had kunnen voorkomen. De IT-leverancier heeft nog enkele herstelwerkzaamheden verricht na de aanval, en bracht hiervoor een bedrag van €6.854,12 in rekening. Deze factuur bleef onbetaald.


De zorgplicht van de IT-leverancier

De juridische relatie tussen het administratiekantoor en de IT-leverancier betrof hier een zogenaamde overeenkomst van opdracht (art. 7:400 e.v. BW). Omdat er echter niets op papier was gezet, zal eerst de vraag moeten worden beantwoord of de beveiliging van het netwerk ook onderdeel uitmaakte van de opdracht. Volgens het administratiekantoor was dit zonder twijfel het geval, nu het kantoor zijn volledige IT-infrastructuur in handen van de IT-leverancier heeft gelegd. Het stukje “beveiliging” maakt daar dan ook onlosmakelijk onderdeel van uit. De IT-leverancier verweert zich en geeft aan dat hij noodgedwongen beveiligingsmaatregelen achterwege heeft moeten laten, aangezien het administratiekantoor geen akkoord gaf op de voorgestelde maatregelen (want dat zou 'te veel gedoe geven, en vooral ook te duur zijn'). De rechter gaat niet mee in het verweer van de leverancier, en laat doorschemeren dat het moeilijk voor te stellen is dat een totaalpakket niet ook de aanleg van de beveiliging zou inhouden. Het argument dat de klant koning is bij de leverancier, kon hem niet redden. Het had

"dan op de weg van [gedaagde] gelegen de opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten. Dat [betrokkene] wellicht zelf kennis van zaken op het gebied van IT had, ontsloeg [gedaagde] niet van deze verantwoordelijkheid."


Beide partijen zijn “schuldig”

De rechter stelt een schadevergoedingsplicht vast voor de IT-leverancier van twee derde van het geheel. Het administratiekantoor mag het overige deel zelf dragen, omdat het medeschuldig is aan het ontstane beveiligingslek, doordat het - tegen het advies van de IT-leverancier in - wel erg simpele wachtwoorden wilde gebruiken. Het bedrag dat de IT-leverancier uiteindelijk moet betalen? Zo’n vijftienduizend euro. Wees als IT-leverancier dus gewaarschuwd (of beter gezegd, waarschuw je klant)!


Welke lessen kan de IT-leverancier leren uit deze uitspraak?

  • Maak schriftelijke afspraken! Als er heel duidelijk op papier had gestaan dat het zogenaamde “totaalpakket” van de IT-leverancier toch echt geen beveiligingsmaatregelen inhield, had deze uitspraak zomaar een andere wending kunnen hebben genomen. Ook een beperking van de schade in algemene voorwaarden, had de IT-leverancier mogelijk kunnen helpen.
  • Indien de opdracht bestaat uit het treffen van beveiligingsmaatregelen, zal de IT-leverancier zorg moeten dragen voor externe back-ups en een firewall, om zo dergelijke (ransomware) aanvallen te voorkomen.
  • Als IT-leverancier heb je een zorgplicht (dit staat overigens “gewoon” in de wet: artikel 7:401 BW). Communiceer, informeer, ga in discussie en begrijp dat jij als IT-leverancier de professional bent. Is de klant het, om welke reden dan ook, niet eens met een voorgestelde beveiligingsmaatregel? Wijs de klant dan expliciet op de gevaren. Laat de klant desnoods iets ondertekenen, waarin staat dat “de klant begrijpt dat het achterwege laten van maatregel X de volgende beveiligingsrisico’s met zich meebrengt”. Kortom: de klant mag dan wel altijd koning zijn, maar je zal uitgebreid moeten waarschuwen over de risico’s (of de opdracht wellicht zelfs moeten weigeren), indien een koppige klant perse 123456 als wachtwoord wil gebruiken.

Vragen? Neem gerust contact met ons op. Onze ict-juristen helpen je graag verder.