WannaCry: een vingeroefening in kans op schadevergoeding

Het juridische uitgangspunt is in Nederland dat eenieder zijn eigen schade draagt, tenzij er sprake is van een rechtsgrond, die een actie tot schadevergoeding kan dragen. Dus gaan we op zoek naar een rechtsgrond. Kort door de bocht komen daarvoor in aanmerking de onrechtmatige daad (inbreuk op een recht, doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt) of de toerekenbare tekortkoming (gedraging in strijd met een overeenkomst c.q. onverenigbaar met de eisen van redelijkheid en billijkheid).

Het lijdt geen twijfel dat het schrijven en moedwillig in het verkeer brengen van malware, die als voornaamste werking heeft het blokkeren van computers om daarvoor losgeld te kunnen vangen, direct een inbreuk oplevert op het (exclusieve en ongestoorde) eigendoms- of huurrecht van degene die de computer rechtmatig gebruikt. Daarnaast wordt diens gebruiksrecht voor normaal en rechtmatig gebruik van de software (in de vorm van een licentie) tenietgedaan en de computer de facto onbruikbaar gemaakt (vernieling) en wordt de gebruiker van de computer afgeperst. Kortom, voldoende aannemelijk is dat hier sprake is van het voldoen aan de eerste voorwaarden voor het vaststellen van een onrechtmatige daad van de programmeurs en initiële verspreiders van het virus.

Maar het verhalen van de schade ($300,- per computer of de kosten van een vervangende computer en installatie daarvan) wordt natuurlijk een gebed zonder eind. Want je weet niet wie het zijn en ‘ze’ hebben zichzelf in de regel goed afgeschermd voor opsporingsactiviteiten door cybercops. Niet zelden komen ze uit landen, waarmee Nederland geen verdrag heeft gesloten, die rechtstreekse civielrechtelijke vervolging mogelijk maakt. Dus … dat is niet echt een optie. Zijn er dan andere gegadigden om aan te kunnen spreken? Hadden die inlichtingendiensten niet even aan de bel moeten trekken?

Veelal zijn inlichtingendiensten onderdeel van (al dan niet bevriende) mogendheden. Zij verzamelen informatie en zijn – afhankelijk van lokale wetgeving – erop gebrand die informatie geheim te houden. Zo blijven hun bronnen namelijk beschermd. Stel dat de NSA inderdaad al op de hoogte was van de kwetsbaarheden in de programmatuur, waar het virus zo dankbaar gebruik van maakte, had zij dan de politiek, de politie, de producent van de software of het publiek moeten waarschuwen? Voor een onrechtmatige daad zal het slachtoffer moeten stellen en bewijzen dat sprake is van een toerekenbare inbreuk op een (eigendoms-, huur- of gebruiks-) recht van het slachtoffer door de NSA. Dat lijkt al snel een brug te ver. De NSA heeft immers niet zelf de malware in het verkeer gebracht. Aan de NSA zal verder waarschijnlijk een (ruime?) beoordelingsmarge toekomen, waarbij tevoren een inschatting wordt gemaakt van mogelijke schade. Het zou interessant zijn om te zien hoe die inschatting eruit zag, maar als dat een redelijke afweging is, zal het niet doormelden van kwetsbaarheden in programmatuur niet snel onrechtmatig zijn.

Het handelen of nalaten in strijd met een wettelijke plicht ziet in beginsel alleen op wetgeving in de Nederlandse rechtsorde. De wet- en regelgeving van andere landen valt daar niet onder.

Kan het niet mededelen van kwetsbaarheden in programmatuur door een buitenlandse inlichtingendienst worden aangemerkt als strijdig met ongeschreven regels die hebben te gelden in het maatschappelijk verkeer? Het valt natuurlijk te proberen, maar ook hier geldt vonnissen van de Nederlandse rechter niet worden erkend in de VS en omgekeerd. Dan zullen de slachtoffers dus naar de VS moeten om daar hun recht te halen. Een kostbare exercitie en de vraag is welk recht de VS-rechter (en jury) zullen toepassen. Vele juridische en praktische bezwaren staan hier in de weg aan een redelijke kans op schadevergoeding.

Als de besturingssoftware legaal gebruikt wordt, zal een licentieovereenkomst van toepassing zijn, die de relatie tussen de slachtoffers van ransomware en de producent en leverancier van de besturingsprogrammatuur beheerst. Zelfs als de upgrades en updates geautomatiseerd worden geïnstalleerd, zullen er altijd hackers zijn, die gebruik kunnen maken van bepaalde programmeertechnische zwaktes in de besturingssystemen.  Besturingssystemen moeten nu eenmaal kunnen samenwerken met een scala aan applicatiesoftware, waaronder browsers en onlineapplicaties. Die verbindingsmogelijkheid kan altijd worden misbruikt.

De eerste vraag die zich opdringt is of er wel sprake is van een toerekenbare tekortkoming: heeft de producent of leverancier een bepaalde mate van beveiliging (functionaliteit) beloofd of gegarandeerd, die niet is waargemaakt. In het kader van beveiliging tegen virusaanvallen wordt de functionaliteit meestal als inspanningsplicht omschreven, maar worden – voor zover mij bekend – nooit harde garanties verstrekt. Het optreden tegen hackers en malware is een soort wapenwedloop en er zijn geen leveranciers die 100% beveiliging kunnen beloven. daarom geldt ongeveer hetzelfde voor producenten en leveranciers van anti-virusprogrammatuur en andere cybersecurity software. Ook die kunnen nooit een 100% garantie op veiligheid geven.

In de regel zal de aansprakelijkheid van de leverancier van besturingssoftware in de licentieovereenkomst volledig zijn uitgesloten voor de gevolgen van een virusaanval. Wellicht kan dit worden aangemerkt als een onredelijk bezwarend beding jegens consumenten, maar ook hier geldt weer: waar kan ik terecht voor mijn recht als slachtoffer en hoeveel kost het mij om de schade ($300,- voor deblokkeren) te verhalen? De leverancier van de besturingssoftware zal daarom veelal de dans ontspringen, mits deze zich redelijke inspanningen getroost om ten aanzien van bekende veiligheidsrisico’s tijdig patches en updates te verspreiden. Maar goed, misschien is er in een land met een massaclaimmogelijkheid en ‘punitive damages’ nog wat te halen voor een collectief van benadeelden. Wel even checken wat er in de licentievoorwaarden staat over de bevoegde rechter!

De teleurstellende conclusie is dat er momenteel vanuit juridische optiek eigenlijk geen praktisch haalbare mogelijkheden zijn om schade, veroorzaakt door dit soort malware-aanvallen, te verhalen. Iedereen kan alleen maar zijn best doen om te voorkomen dat netwerken en werkstations geïnfecteerd raken. Gelukkig bestaan daar wel bepaalde standaarden voor, maar cybercriminelen zullen zich daar niet aan houden.

Heeft u zicht op het juridische perspectief op de IT-diensten, die u verleent en afneemt? Weet u waar u mee bezig bent als het gaat om beveiliging en dekt u uw risico’s goed af? Neem vrijblijvend contact met ons op om te bekijken hoe wij – eventueel in samenwerking met andere adviseurs, waarmee wij goede ervaringen hebben – u verder kunnen helpen bij het vergroten van het maatschappelijk vertrouwen in uw organisatie.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.