Advocaten en notariaat in Leiden en Den Haag
Menu
Overzicht Delen
IT, IE & Privacy

Gijzelsoftware en aansprakelijkheid van IT-leveranciers

Jeroen van Helden

16 mei 2021 - 3 minuten leestijd

Sinds 2012 neemt wereldwijd het aantal aanvallen met gijzelsoftware toe. Alleen al in de afgelopen weken haalden meerdere incidenten het nieuws, met als meest geruchtmakende voorbeeld de hack bij Colonial Pipeline waardoor de olietoevoer aan de Amerikaanse oostkust in gevaar kwam. Nadat het incident is afgehandeld, al dan niet na betaling van losgeld of het terugzetten van een back-up, rijst onherroepelijk steeds dezelfde vraag: wie is aansprakelijk voor de schade? In dit blog ga ik nader in op de aansprakelijkheid van IT-leveranciers.

Gijzelsoftware

Bij een aanval met gijzelsoftware worden de bestanden van het slachtoffer versleuteld en krijgt deze pas toegang tot de bestanden na het betalen van losgeld. Eventueel wordt ook gedreigd met het publiceren van buitgemaakte data. Bij een goed uitgevoerde aanval heeft het slachtoffer feitelijk de keuze uit drie opties: i) betalen, ii) een back-up terugzetten of iii) de data als verloren beschouwen. Optie ii is uiteraard alleen mogelijk als een recente back-up aanwezig is en deze niet ook is versleuteld door de aanvallers.

Bloemlezing jurisprudentie

Nu aanvallen met gijzelsoftware in Nederland steeds vaker voorkomen, dringen geschillen over de nasleep daarvan ook vaker door tot de rechtspraak. Hieronder volgt een bloemlezing van relevante uitspraken.

Rb Amsterdam 2018

Volgens de rechtbank mag een klant verwachten dat bij een opdracht tot levering van een ‘totaalpakket’ – bestaand uit de aanleg en het beheer en onderhoud van een bedrijfsnetwerk – het aanleggen van een adequate beveiliging is inbegrepen. Door het netwerk aan te leggen zonder firewall en externe back-ups had de IT-leverancier deze opdracht niet naar behoren uitgevoerd. Dat de klant de voorgestelde beveiligingsmaatregelen van de hand had gewezen maakte dit niet anders. In dat geval had de IT-leverancier volgens de rechtbank de opdracht wegens onuitvoerbaarheid moeten weigeren, alternatieven moeten aandragen, of indringend en herhaaldelijk moeten waarschuwen over de risico’s.

Hof Arnhem-Leeuwarden 2019

Uiteindelijk kan ieder computersysteem worden gehackt, zodat een klant in principe geen volledig ‘hackvrij’ systeem mag verwachten.

Rb Overijssel 2019

Gelet op de bewoordingen van de gesloten SLA mag de klant redelijkerwijs geen storingsvrije beschikbaarheid verwachten. Op de leverancier rust een inspanningsverplichting tot het leveren van een adequaat functionerende digitale werkomgeving waarbij de leverancier ingeval van storingen adequaat, conform de overeengekomen servicelevels, moet reageren op meldingen. De storingen als gevolg van de aanvallen met gijzelsoftware liggen buiten de invloedssfeer van de leverancier, zodat deze niet aansprakelijk is.

Hof Arnhem-Leeuwarden 2019

Een verhuurder van serverruimte is niet verplicht om een hosting provider te beschermen tegen DDoS-aanvallen noch om de klant te waarschuwen voor de gevaren daarvan. Van de hosting provider mag ter zake meer dan gemiddelde kennis en kunde worden verwacht.

Hof Amsterdam 2021

Gelet op de bewoordingen van de SLA was de IT-leverancier ervoor verantwoordelijk dat ten tijde van de beëindiging van de SLA een volledige en recente back-up aanwezig was (vgl. ECLI:NL:GHAMS:2015:1635). Nu dit niet het geval was, is de leverancier tekortgeschoten in zijn verplichtingen op grond van de SLA. Het betaalde losgeld kwalificeert als schade.

Praktische lessen

Wat moet een IT-leverancier leren uit deze uitspraken? Hoewel de uitkomst in ieder van deze zaken sterk afhing van de concrete feiten en omstandigheden, moet een IT-leverancier daaruit in ieder geval de volgende drie lessen trekken.

  • Beperkende maatregelen. Een passend informatiebeveiligingsbeleid bestaat niet alleen uit maatregelen om aanvallers buiten de deur te houden, maar ook uit maatregelen om de gevolgen van een hack te beperken. Een goede firewall en tijdig patchen van systemen alleen is dus niet voldoende. Besteed ook aandacht aan adequate netwerksegmentatie, monitoring van netwerkverkeer en back-up en restore maatregelen. De aansprakelijkheid van de IT-leverancier wordt vaak gekoppeld aan deze laatste aspecten en niet zozeer aan het point-of-entry.
  • Schriftelijke afspraken. Maak schriftelijke afspraken waarin duidelijk is vastgelegd wie waarvoor verantwoordelijk is. Indien een totaaloplossing wordt aangeboden en er wordt niets afgesproken over beveiliging, dan mag een klant verwachten dat adequate beveiliging is inbegrepen. Is een klant verantwoordelijk voor bepaalde securityaspecten? Zorg er dan voor dat dit duidelijk in de overeenkomst wordt vastgelegd.
  • Zorgplicht, zorgplicht, zorgplicht. Wij kunnen het niet genoeg herhalen. De overeenkomst op basis waarvan IT-diensten worden verleend kwalificeert veelal als een overeenkomst van opdracht zodat de IT-dienstverlener de zorg van een goed opdrachtnemer in acht moet nemen. De IT-dienstverlener moet zich met andere woorden als een redelijk bekwaam en redelijk handelend vakgenoot gedragen. Deze norm brengt – kort samengevat – met zich mee dat de leverancier de belangen van de klant voorop moet stellen, proactief moet handelen, de klant nadrukkelijk moet waarschuwen voor (beveiligings)risico’s en onder omstandigheden zelfs een opdracht moet weigeren of neerleggen. Zorg ervoor dat je als leverancier aantoonbaar aan deze zorgplichten voldoet. Een waarschuwing aan de klant doe je dus schriftelijk en niet (alleen) mondeling.

Wilt u meer weten over aansprakelijkheid voor schade bij hacks en andere incidenten? Neem gerust contact op met ons team.

Jeroen van Helden, advocaat IT, IE & Privacy

Ook interessant?