Wie is er verantwoordelijk en aansprakelijk voor de schade bij een aanval van ransomware? De IT-dienstverlener of de klant? Deze vraag komt aan de orde in een vonnis van de rechtbank Amsterdam.

Opdracht IT-bedrijf

In 2009 vraagt een administratiekantoor een IT-bedrijf (eenmanszaak) om een plan op te stellen voor de (her)inrichting van de IT-infrastructuur van het administratiekantoor. Het IT-bedrijf krijgt de opdracht en installeert een nieuw netwerk. Daarna voert het IT-bedrijf met regelmaat beheer- en onderhoudswerkzaamheden uit.

De afspraken tussen partijen zijn niet op papier gezet. Het IT-bedrijf bracht maandelijks € 380,- in rekening bij het administratiekantoor. Als er producten werden aangeschaft of installatie- of implementatiewerkzaamheden werden verricht, werden deze apart in rekening gebracht.

Ransomware-aanval

Begin 2017 is het administratiekantoor het slachtoffer van een aanval met ‘ransomware’. Hackers dringen door tot het netwerk van het administratiekantoor en versleutelen alle bestanden. Ook de back-upbestanden. Tegen betaling van drie bitcoins á € 963,61 verkrijgt het administratiekantoor weer toegang tot haar bestanden.

Onderzoek expert

Een door het administratiekantoor ingeschakelde expert stelt dat de digitale aanval met eenvoudige maatregelen voorkomen had kunnen worden. Het administratiekantoor krijgt de volgende adviezen:

  • wijzigen van de wachtwoorden;
  • technische maatregelen (VPN-toegang);
  • verbeteren back-upvoorziening.

Vordering

Het administratiekantoor stelt het IT-bedrijf aansprakelijk voor de geleden schade als gevolg van de de ransomware-aanval en vordert een schadevergoeding voor de door haar geleden schade.

Het administratiekantoor stelt dat zij het IT-bedrijf opdracht heeft gegeven om een nieuwe en volledige IT-infrastructuur aan te leggen, te beheren en te onderhouden. Hieronder valt ook de beveiliging van het netwerk. Op dit onderdeel is het IT-bedrijf toerekenbaar tekortgeschoten. De ransomware-aanval heeft kunnen plaatsvinden, omdat de beveiliging niet in orde was.

Het IT-bedrijf brengt hier tegenin dat hij wel beveiligingsmaatregelen heeft voorgesteld, maar dat zijn voorstellen door het administratiekantoor van de hand werden gewezen. In het oorspronkelijke voorstel stond onder meer de aanleg van een firewall, maar deze is niet overgenomen in het uiteindelijke ontwerp, omdat het administratiekantoor dat te duur vond. Omdat hij geen toestemming kreeg van zijn klant, heeft het IT-bedrijf bepaalde beveiligingsmaatregelen achterwege gelaten.

Rechtbank

De rechter oordeelt dat het IT-bedrijf zijn opdracht niet naar behoren heeft uitgevoerd, omdat het niet heeft gezorgd voor afdoende beveiliging. Het feit dat het administratiekantoor de voorgestelde maatregelen heeft afgewezen, maakt dat niet anders. Het IT-bedrijf had de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven aan moeten dragen of op zijn minst indringend en herhaaldelijk moeten waarschuwen voor de risico’s die het ontbreken van voldoende beveiligingsmaatregelen met zich meebracht. Het IT-bedrijf mocht niet volstaan met een enkele waarschuwing.

Eigen schuld opdrachtgever

Naast het ontbreken van een firewall en een externe back-upstructuur heeft echter ook het gebruik van makkelijke wachtwoorden bijgedragen aan de kwetsbaarheid voor een ransomware-aanval. Het IT-bedrijf heeft aanvankelijk complexe wachtwoorden ingesteld. Op uitdrukkelijk verzoek van het administratiekantoor zijn deze vereenvoudigd. Deze omstandigheid komt voor rekening van het administratiekantoor.

Oordeel

De rechtbank oordeel dat het IT-bedrijf aansprakelijk is voor de schade die is ontstaan doordat zij de overeenkomst tot het aanleggen van een nieuwe IT-infrastructuur inclusief de vereiste beveiliging niet is nagekomen. Het administratiekantoor is echter medeschuldig aan het ontstaan van het lek in de beveiliging. Daarom verdeelt de rechtbank de schade over partijen. Het IT-bedrijf krijgt twee derde deel van de schade voor haar rekening, het administratiekantoor een derde deel.

Zorgplicht opdrachtnemer

De garantie dat de ransomware-aanval niet zou hebben plaatsgevonden als de beveiliging wel op orde zou zijn geweest, is niet te geven. Maar de kans dat de aanval zou zijn geslaagd was wel een heel stuk kleiner geweest. Met deze uitspraak is de zorgplicht van de IT-dienstverlener verder ingevuld. En ik heb al enkele IT-dienstverleners gesproken die hier behoorlijk van schrokken.

Nou kan ik me voorstellen dat dit administratiekantoor blij is dat zij het gelijk grotendeels aan hun kant hebben gekregen en een vergoeding van een deel van hun schade hebben gekregen. Maar eigenlijk denk ik (hoop ik) dat ze zichzelf vooral verwijten dat ze oorspronkelijk voor die onbenullige kostenbesparing hebben gekozen. Ik ga ervan uit dat ieder serieus bedrijf zich liever bezighoudt met zijn core business dan met gelijk krijgen bij de rechter. Ook hier blijkt “goedkoop is duurkoop”. Een goede back-upvoorziening is onbetaalbaar.

Meer weten over hoe je goede afspraken kunt maken met je zakelijke partners? Laten we dan een kop koffie drinken. mijke@sandersja.nl of 06-206409650

De back-up, wie is er verantwoordelijk?