Blog

Het belang van cybersecurity in ICT-aanbestedingen door de overheid

De casus van de gemeente Hof van Twente heeft aangetoond hoe essentieel cybersecurity is bij ICT-aanbestedingen. Lees hier waarom.

De toenemende digitalisering binnen de overheid brengt aanzienlijke voordelen met zich mee, maar ook nieuwe risico’s. Afgelopen jaar heeft de casus van de gemeente Hof van Twente aangetoond hoe essentieel juridische zorgvuldigheid is bij ICT-aanbestedingen, met name op het gebied van cybersecurity. De hack bij Hof van Twente, en de daaruit voortvloeiende schade, benadrukt de noodzaak voor aanbestedende partijen om vooraf goede juridische afspraken te maken, om zowel operationele als financiële risico’s te beperken.

De casus Hof van Twente

In december 2020 trof een grote cyberaanval de gemeente Hof van Twente, waarbij kritieke systemen en back-ups werden versleuteld en een groot aantal virtuele servers werd verwijderd. Deze aanval had niet alleen een directe impact op de operationele capaciteit van de gemeente, maar ook op de bescherming van gevoelige gegevens.

In reactie hierop hield de gemeente het IT-bedrijf Switch IT Solutions verantwoordelijk voor de schade, waarbij zij claimde dat het bedrijf zijn contractuele verplichtingen, zorgplicht, en daarmee samenhangende verplichtingen ten aanzien van cybersecurity had geschonden. De gemeente eiste een vergoeding voor het falen van het IT-bedrijf om de systemen adequaat te beschermen, wat leidde tot de enorme schade die bij de cyberaanval.

De gemeente krijgt volledig ongelijk

De rechtbank Overijssel oordeelde dat, ondanks de aanwezigheid van beveiligingsmaatregelen die door Switch IT Solutions waren geïmplementeerd (de “spreekwoordelijke slotgracht, muren en bewakers”), de gemeente zelf een kritieke fout had gemaakt.

Een medewerker van de gemeente had een RDP-poort naar het internet opengezet, door een regel wijziging in de firewall. Hierdoor werd de server van de gemeente via het internet bereikbaar. De wijziging aan de firewall is destijds niet gemeld aan Switch IT Solutions. Vervolgens heeft een medewerker van de gemeente enige tijd later een zwak wachtwoord (“Welkom2020”) ingesteld op een door de gemeente beheerd domeinbeheerdersaccount, dat via een brute force-aanval is geraden door hackers, wat de cyberaanval mogelijk maakte.

De rechtbank concludeerde dat de gemeente door deze nalatigheid zelf de primaire verantwoordelijkheid droeg voor de gevolgen van de aanval.

Het belang van juridische expertise bij ICT-aanbestedingen

Ondanks het feit dat de implicaties voornamelijk IT-technisch van aard lijken, was hier ook een juridische component van essentieel belang. De kern van het geschil betreft de interpretatie en naleving van contractuele verplichtingen tussen de gemeente en Switch IT Solutions. De gemeente beriep zich op de claim dat het bedrijf zijn contractuele verplichtingen niet was nagekomen, in het bijzonder de verplichting om adequate beveiligingsmaatregelen te implementeren en te onderhouden die de gemeente tegen dergelijke aanvallen zouden beschermen.

De rechtbank moest beoordelen in hoeverre het IT-bedrijf aan zijn contractuele zorgplicht had voldaan en in hoeverre de gemeente zelf verantwoordelijkheid droeg voor de veiligheidsmaatregelen en het beheer van haar IT-systemen. Het oordeel legde de nadruk op de eigen verantwoordelijkheid van de gemeente voor de beveiliging van haar systemen, door te wijzen op de specifieke acties van de gemeente die de aanval mogelijk maakten, zoals het openzetten van een RDP-poort en het instellen van een makkelijk te raden wachtwoord. De rechtbank concludeerde dat, ondanks de contractuele relatie en de verplichtingen van het IT-bedrijf, de gemeente door haar eigen handelingen de beveiligingsrisico’s had vergroot.

Zo volgde bijvoorbeeld uit de aanbestedingsstukken niet dat het IT-bedrijf de verplichting had om de monitoring zo in te richten dat beveiligingsincidenten zoals wachtwoordrestets en de aanwezigheid van malware en hackpogingen in een logging, ook zonder dat dat tot afwijkingen in het functioneren van onder meer de servers leidde, meldingen zou geven waarop, vanuit de functionele monitoring bezien, actie moest worden ondernomen.

Mitigeren van risico’s

Deze casus benadrukt het belang van juridische expertise bij het aangaan en uitvoeren van ICT-aanbestedingen. Deskundig juridisch advies kan helpen bij het:

  • Vaststellen van robuuste contracten: zorgen dat alle partijen duidelijk zijn over hun verplichtingen en de consequenties van nalatigheid.
  • Identificeren en mitigeren van risico’s: het vooraf bepalen van potentiële risico’s en het ontwikkelen van effectieve beheersmaatregelen.
  • Zorgen voor compliance: garanderen dat alle activiteiten voldoen aan de relevante wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG).

Wat kunnen wij voor u betekenen?

Louwers IP&Tech Advocaten biedt gespecialiseerde juridische ondersteuning op het gebied van ICT-aanbestedingen voor overheidsinstanties en IT-inkoop. Onze ervaring en expertise stellen ons in staat om u te adviseren over geldende normen, zodat uw projecten niet alleen technisch, maar ook juridisch goed op orde zijn.

Voor meer informatie over hoe wij uw volgende ICT-project kunnen ondersteunen, nodigen wij u uit voor een vrijblijvend gesprek met Frank Rutgers en/of Ernst-Jan Louwers.

Auteur

Expertises

Deel dit artikel

Meer blogs

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

/LEES MEER

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

/LEES MEER

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

/LEES MEER

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.

/LEES MEER

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.