Zoeken
Sluit dit zoekvak.
Foto van mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

IT-leverancier aansprakelijk voor schade van zijn klant na ransomware

Afgelopen week is er een uitspraak gepubliceerd over een conflict tussen het Hilversumse administratiekantoor O’CLIANCE en een IT-leverancier. Wat was er precies aan de hand? Het administratiekantoor schakelde in 2009 een IT-leverancier in om de IT-infrastructuur opnieuw in te richten. De IT-leverancier heeft vervolgens nog herhaaldelijk beheer- en onderhoudswerkzaamheden verricht. In 2017 wordt het administratiekantoor slachtoffer van een zogenaamde aanval met ransomware. De hackers hebben alle (back-up)bestanden versleuteld die op de server van het administratiekantoor stonden. Dat is natuurlijk behoorlijk problematisch voor een administratiekantoor, en dus betaalden ze drie bitcoins losgeld ter waarde van € 963,61 per stuk, om weer toegang te krijgen tot de bestanden. Achteraf gezien bleek dat het netwerk een stuk veiliger had kunnen worden ingericht, er zwakke wachtwoorden werden gebruikt, en een back-up veel van de ontstane problemen had kunnen voorkomen. De IT-leverancier heeft nog enkele herstelwerkzaamheden verricht na de aanval, en bracht hiervoor een bedrag van €6.854,12 in rekening. Deze factuur bleef onbetaald.


De zorgplicht van de IT-leverancier

De juridische relatie tussen het administratiekantoor en de IT-leverancier betrof hier een zogenaamde overeenkomst van opdracht (art. 7:400 e.v. BW). Omdat er echter niets op papier was gezet, zal eerst de vraag moeten worden beantwoord of de beveiliging van het netwerk ook onderdeel uitmaakte van de opdracht. Volgens het administratiekantoor was dit zonder twijfel het geval, nu het kantoor zijn volledige IT-infrastructuur in handen van de IT-leverancier heeft gelegd. Het stukje “beveiliging” maakt daar dan ook onlosmakelijk onderdeel van uit. De IT-leverancier verweert zich en geeft aan dat hij noodgedwongen beveiligingsmaatregelen achterwege heeft moeten laten, aangezien het administratiekantoor geen akkoord gaf op de voorgestelde maatregelen (want dat zou ’te veel gedoe geven, en vooral ook te duur zijn’). De rechter gaat niet mee in het verweer van de leverancier, en laat doorschemeren dat het moeilijk voor te stellen is dat een totaalpakket niet ook de aanleg van de beveiliging zou inhouden. Het argument dat de klant koning is bij de leverancier, kon hem niet redden. Het had

“dan op de weg van [gedaagde] gelegen de opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten. Dat [betrokkene] wellicht zelf kennis van zaken op het gebied van IT had, ontsloeg [gedaagde] niet van deze verantwoordelijkheid.”


Beide partijen zijn “schuldig”

De rechter stelt een schadevergoedingsplicht vast voor de IT-leverancier van twee derde van het geheel. Het administratiekantoor mag het overige deel zelf dragen, omdat het medeschuldig is aan het ontstane beveiligingslek, doordat het – tegen het advies van de IT-leverancier in – wel erg simpele wachtwoorden wilde gebruiken. Het bedrag dat de IT-leverancier uiteindelijk moet betalen? Zo’n vijftienduizend euro. Wees als IT-leverancier dus gewaarschuwd (of beter gezegd, waarschuw je klant)!


Welke lessen kan de IT-leverancier leren uit deze uitspraak?

  • Maak schriftelijke afspraken! Als er heel duidelijk op papier had gestaan dat het zogenaamde “totaalpakket” van de IT-leverancier toch echt geen beveiligingsmaatregelen inhield, had deze uitspraak zomaar een andere wending kunnen hebben genomen. Ook een beperking van de schade in algemene voorwaarden, had de IT-leverancier mogelijk kunnen helpen.
  • Indien de opdracht bestaat uit het treffen van beveiligingsmaatregelen, zal de IT-leverancier zorg moeten dragen voor externe back-ups en een firewall, om zo dergelijke (ransomware) aanvallen te voorkomen.
  • Als IT-leverancier heb je een zorgplicht (dit staat overigens “gewoon” in de wet: artikel 7:401 BW). Communiceer, informeer, ga in discussie en begrijp dat jij als IT-leverancier de professional bent. Is de klant het, om welke reden dan ook, niet eens met een voorgestelde beveiligingsmaatregel? Wijs de klant dan expliciet op de gevaren. Laat de klant desnoods iets ondertekenen, waarin staat dat “de klant begrijpt dat het achterwege laten van maatregel X de volgende beveiligingsrisico’s met zich meebrengt”. Kortom: de klant mag dan wel altijd koning zijn, maar je zal uitgebreid moeten waarschuwen over de risico’s (of de opdracht wellicht zelfs moeten weigeren), indien een koppige klant perse 123456 als wachtwoord wil gebruiken.

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).