Update ransomware en aansprakelijkheid IT-leverancier

De gemeente Hof van Twente werd op 1 december 2020 getroffen door ransomware waarbij de systemen van de gemeente, inclusief back-ups, werden versleuteld en ontoegankelijk werden gemaakt. Omdat de gemeente weigerde losgeld te betalen moest zij haar systemen helemaal opnieuw opbouwen. De kosten hiervan bedroegen enkele miljoenen euro’s.

De gemeente trachtte deze kosten vervolgens te verhalen op haar IT-leverancier, die volgens de gemeente had verzuimd adequate beveiligingsmaatregelen te treffen. De rechtbank wijst de vorderingen echter af. De rechtbank begint de uitspraak met een tot de verbeelding sprekende samenvatting:

In de beeldspraak van de gemeente: [bedrijf 1] diende haar kasteel (netwerk) te voorzien van een slotgracht, muren en bewakers zodat het niet kon worden binnengevallen en heeft verzuimd dat te doen. De rechtbank is van oordeel dat [bedrijf 1], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen.

Cruciaal voor het oordeel van de rechtbank is de inhoud van de overeenkomst. Uit de overeenkomst in kwestie bleek namelijk dat de IT-leverancier wel verantwoordelijk was voor de functionele monitoring van het netwerk, maar niet voor de security monitoring. Ook bleek daaruit dat de segmentatie van het netwerk niet tot de verantwoordelijkheden van de desbetreffende leverancier behoorde en dat de gemeente de leverancier feitelijk had geïnstrueerd om de back-up weliswaar off-site te plaatsen (op een andere locatie), maar niet ook offline (de back-up was met andere woorden nog steeds via het internet benaderbaar, en moest dit conform de contractuele afspraken ook zijn).

Interessant is verder dat in de overeenkomst een bepaling was opgenomen met als strekking dat de informatiebeveiliging moest voldoen aan het informatiebeveiligingsbeleid van de gemeente, waaraan was toegevoegd dat dit beleid was “gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)”. Deze laatste toevoeging leidde er volgens de rechtbank niet toe dat daarmee de BIO en/of de BIG onderdeel waren gaan uitmaken van de overeenkomst.

Ten slotte was de gemeente zelf verantwoordelijk voor het opstellen van het wachtwoordbeleid. Ook had een medewerker van de gemeente zelf een regel in de firewall gewijzigd waardoor een RDP-poort was opengezet en had een medewerker van de gemeente met beheerderrechten zelf een zwak wachtwoord ingesteld (‘Welkom2020’), welk wachtwoord overigens voldeed aan het door de gemeente opgestelde wachtwoordbeleid.

Gelet op deze feiten en omstandigheden, oordeelt de rechtbank dat de IT-leverancier geen wanprestatie heeft gepleegd.

In het blog uit 2021 drukte ik IT-leveranciers nog op het hart niet te licht te denken over de zorgplicht die zij hebben als professioneel opdrachtnemer. Dit naar aanleiding van enkele uitspraken waarin relatief zwaar werd getild aan deze zorgplicht. De uitspraak in de kwestie van het Hof van Twente kan worden gelezen als een nuancering van die rechtspraak.

Interessant is de overweging van de rechtbank dat er mogelijk zeer beperkt ruimte bestaat om toepassing te geven aan het leerstuk van de zorgplicht wanneer een leverancier is geselecteerd op basis van een Europese aanbesteding. In dat geval dient de opdrachtgever immers te voldoen aan het transparantiebeginsel (artikel 1.9 AW). Het transparantiebeginsel vereist dat alle toepasselijke voorwaarden op duidelijke, precieze en ondubbelzinnige wijze worden geformuleerd. Het leerstuk van de zorgplicht impliceert echter dat er verplichtingen rusten op de IT-leverancier die niet uitdrukkelijk in het contract zijn opgenomen. In die zin zijn deze verplichtingen mogelijk dus niet transparant te noemen. In deze uitspraak signaleert de rechtbank dit aspect vooral als vraag, zonder daarop een definitief antwoord te geven.

Overigens zou deze redenering ook gevolgen kunnen hebben voor overheidsopdrachten die onder de drempel voor Europees aanbesteden vallen. Het transparantiebeginsel is door de nationale wetgever namelijk niet alleen geïmplementeerd voor Europese aanbestedingen, maar is ook van toepassing verklaard op nationale aanbestedingen (artikel 1.12 lid 2 AW).

Al met al onderstreept de uitspraak het belang van het maken van goede contractuele afspraken over cybersecurity. Juist bij een onderwerp als cybersecurity is dit belangrijk, omdat voor een passende informatiebeveiliging zoals vereist door onder meer de AVG en NIS2 nu eenmaal veel moet worden geregeld. Het gaat om firewalls, netwerksegmentatie, wachtwoordbeleid, patchmanagement, netwerkmonitoring, back-ups, et cetera, et cetera. En de verantwoordelijkheden voor al deze aspecten liggen zelden allemaal bij een en dezelfde partij. Het devies is dus om voldoende tijd te nemen voor het uitwerken van een duidelijke en afgewogen contractuele regeling.

Wilt u meer weten over contracteren over cybersecurity of over aansprakelijkheid voor schade bij hacks en andere securityincidenten? Neem gerust contact op met ons team. Jeroen van Helden, advocaat IT, Privacy & Cybersecurity