De toenemende digitalisering binnen de overheid brengt aanzienlijke voordelen met zich mee, maar ook nieuwe risico’s. Afgelopen jaar heeft de casus van de gemeente Hof van Twente aangetoond hoe essentieel juridische zorgvuldigheid is bij ICT-aanbestedingen, met name op het gebied van cybersecurity. De hack bij Hof van Twente, en de daaruit voortvloeiende schade, benadrukt de noodzaak voor aanbestedende partijen om vooraf goede juridische afspraken te maken, om zowel operationele als financiële risico’s te beperken.

De casus Hof van Twente

In december 2020 trof een grote cyberaanval de gemeente Hof van Twente, waarbij kritieke systemen en back-ups werden versleuteld en een groot aantal virtuele servers werd verwijderd. Deze aanval had niet alleen een directe impact op de operationele capaciteit van de gemeente, maar ook op de bescherming van gevoelige gegevens.

In reactie hierop hield de gemeente het IT-bedrijf Switch IT Solutions verantwoordelijk voor de schade, waarbij zij claimde dat het bedrijf zijn contractuele verplichtingen, zorgplicht, en daarmee samenhangende verplichtingen ten aanzien van cybersecurity had geschonden. De gemeente eiste een vergoeding voor het falen van het IT-bedrijf om de systemen adequaat te beschermen, wat leidde tot de enorme schade die bij de cyberaanval.

De gemeente krijgt volledig ongelijk

De rechtbank Overijssel oordeelde dat, ondanks de aanwezigheid van beveiligingsmaatregelen die door Switch IT Solutions waren geïmplementeerd (de “spreekwoordelijke slotgracht, muren en bewakers”), de gemeente zelf een kritieke fout had gemaakt.

Een medewerker van de gemeente had een RDP-poort naar het internet opengezet, door een regel wijziging in de firewall. Hierdoor werd de server van de gemeente via het internet bereikbaar. De wijziging aan de firewall is destijds niet gemeld aan Switch IT Solutions. Vervolgens heeft een medewerker van de gemeente enige tijd later een zwak wachtwoord (“Welkom2020”) ingesteld op een door de gemeente beheerd domeinbeheerdersaccount, dat via een brute force-aanval is geraden door hackers, wat de cyberaanval mogelijk maakte.

De rechtbank concludeerde dat de gemeente door deze nalatigheid zelf de primaire verantwoordelijkheid droeg voor de gevolgen van de aanval.

Het belang van juridische expertise bij ICT-aanbestedingen

Ondanks het feit dat de implicaties voornamelijk IT-technisch van aard lijken, was hier ook een juridische component van essentieel belang. De kern van het geschil betreft de interpretatie en naleving van contractuele verplichtingen tussen de gemeente en Switch IT Solutions. De gemeente beriep zich op de claim dat het bedrijf zijn contractuele verplichtingen niet was nagekomen, in het bijzonder de verplichting om adequate beveiligingsmaatregelen te implementeren en te onderhouden die de gemeente tegen dergelijke aanvallen zouden beschermen.

De rechtbank moest beoordelen in hoeverre het IT-bedrijf aan zijn contractuele zorgplicht had voldaan en in hoeverre de gemeente zelf verantwoordelijkheid droeg voor de veiligheidsmaatregelen en het beheer van haar IT-systemen. Het oordeel legde de nadruk op de eigen verantwoordelijkheid van de gemeente voor de beveiliging van haar systemen, door te wijzen op de specifieke acties van de gemeente die de aanval mogelijk maakten, zoals het openzetten van een RDP-poort en het instellen van een makkelijk te raden wachtwoord. De rechtbank concludeerde dat, ondanks de contractuele relatie en de verplichtingen van het IT-bedrijf, de gemeente door haar eigen handelingen de beveiligingsrisico’s had vergroot.

Zo volgde bijvoorbeeld uit de aanbestedingsstukken niet dat het IT-bedrijf de verplichting had om de monitoring zo in te richten dat beveiligingsincidenten zoals wachtwoordrestets en de aanwezigheid van malware en hackpogingen in een logging, ook zonder dat dat tot afwijkingen in het functioneren van onder meer de servers leidde, meldingen zou geven waarop, vanuit de functionele monitoring bezien, actie moest worden ondernomen.

Mitigeren van risico’s

Deze casus benadrukt het belang van juridische expertise bij het aangaan en uitvoeren van ICT-aanbestedingen. Deskundig juridisch advies kan helpen bij het:

• Vaststellen van robuuste contracten: zorgen dat alle partijen duidelijk zijn over hun verplichtingen en de consequenties van nalatigheid.
• Identificeren en mitigeren van risico’s: het vooraf bepalen van potentiële risico’s en het ontwikkelen van effectieve beheersmaatregelen.
• Zorgen voor compliance: garanderen dat alle activiteiten voldoen aan de relevante wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG).

Wat kunnen wij voor u betekenen?

Louwers IP&Tech Advocaten biedt gespecialiseerde juridische ondersteuning op het gebied van ICT-aanbestedingen voor overheidsinstanties en IT-inkoop. Onze ervaring en expertise stellen ons in staat om u te adviseren over geldende normen, zodat uw projecten niet alleen technisch, maar ook juridisch goed op orde zijn.

Voor meer informatie over hoe wij uw volgende ICT-project kunnen ondersteunen, nodigen wij u uit voor een vrijblijvend gesprek met Frank Rutgers en/of Ernst-Jan Louwers.