Inleiding
Cybercrime is (steeds vaker) prominent in het nieuws. Ondernemers en organisaties lijden schade doordat hun IT-netwerk wordt gehackt. Zij betalen forse bedragen om weer toegang te krijgen tot hun netwerk en de bijbehorende gegevens. Vaak blijkt pas tijdens een hack dat de gemaakte back-ups niet toereikend zijn. Regelmatig worden IT-leveranciers hiervoor aansprakelijk gesteld, maar dit betekent niet altijd dat alle schade kan worden verhaald.
Cyberbeveiliging
Cybersecurity is door de Europese Commissie als een van de kernelementen van haar digitale strategie bestempeld. In 2019 is de Cyberbeveiligingsverordening in werking getreden die een Europees kader introduceert voor cyberbeveiligingscertificering van ICT-producten, -diensten, en -processen. De verordening wordt in Nederland uitgevoerd door middel van de Uitvoeringswet Cyberbeveiligingsverordening. Dit is op dit moment nog een wetsvoorstel. Het wetsvoorstel regelt onder meer de aanwijzing van een nationale cyberbeveiligingscertificeringsautoriteit. In Nederland zal het Agentschap Telecom de taken gaan uitvoeren. Daarnaast wordt in het wetsvoorstel de verstrekking van bepaalde Europese cyberbeveiligingscertificaten geregeld en een kader in het leven geroepen voor de handhaving en het toezicht. Certificering voor IT-leveranciers is in principe vrijwillig, maar de Europese Commissie zal voor eind 2023 aangeven of bepaalde certificeringsschema’s alsnog verplicht worden.
Dit alles zal hopelijk bijdragen aan een betere beveiliging van software. Bedrijven en instellingen zullen echter zelf ook van de beveiliging van hun netwerk een topprioriteit moeten maken. De Autoriteit Persoonsgegevens kan fikse boetes opleggen in geval van een (dreigend) datalek. Tot eind 2020 heeft de AP twaalf boetes opgelegd. De openbaar gemaakte boetes varieerden van EUR 12.000 tot EUR 830.000. Maar los daarvan kan de schade aanzienlijk zijn wanneer kostbare data verloren gaat.
Ontbrekende afspraken
Uit de rechtspraak blijkt dat het regelmatig gebeurt dat partijen geen afspraken hebben gemaakt over de beveiliging van hun IT-netwerken en ook niet over het veiligstellen van data door middel van back-ups. De gangbare opvatting in de rechtspraak is dat op een IT-leverancier geen algemene verplichting rust om een back-up te maken van alle volledige bestanden van de klant. Recentelijk zijn er wel uitspraken gepubliceerd waarin de IT-leverancier aansprakelijk werd gehouden voor de schade naar aanleiding van een ransomware-aanval. Toch bleef een deel van de schade voor rekening van de afnemer zelf.
De rechtbank Amsterdam hield een IT-leverancier verantwoordelijk voor inadequate beveiligingsmaatregelen, terwijl partijen hierover geen schriftelijke afspraken hadden gemaakt. Het geschil ging over een administratiekantoor dat aan een IT-leverancier de (mondelinge) opdracht had gegeven tot herinrichting van zijn IT-infrastructuur. Op enig moment werd het IT-netwerk van het administratiekantoor gehackt. Alle bestanden op de server werden versleuteld, waaronder de back-upbestanden. Na betaling van drie bitcoins á EUR 963,61 per stuk kreeg het administratiekantoor weer toegang tot de bestanden.
Nader onderzoek wees uit dat onder meer een firewall ontbrak, dat de back-upvoorzieningen niet goed waren ingeregeld en dat er sprake was van zwakke wachtwoorden. Het administratiekantoor stelde de IT-leverancier aansprakelijk voor de schade. De stelling van het administratiekantoor was dat hij zijn IT-infrastructuur volledig in handen had gelegd van de IT-leverancier en dat de beveiliging daar vanzelfsprekend ook bij hoorde. De IT-leverancier gaf aan dat hij wel beveiligingsmaatregelen had voorgesteld, maar dat de afnemer deze te duur vond. De rechtbank oordeelde dat de IT-leverancier had moeten zorgdragen voor een adequate beveiliging. De IT-leverancier kon zich er niet achter verschuilen dat het administratiekantoor daaraan niet wilde meewerken. De IT-leverancier werd aansprakelijk geacht voor de schade die het administratiekantoor had geleden door betaling van de bitcoins, de omzetderving en het onderzoek door de ingeschakelde IT-specialist.
Wel bleef een deel van de schade voor rekening van het administratiekantoor omdat deze alleen simpele wachtwoorden wilde gebruiken. De IT-leverancier had herhaaldelijk gewaarschuwd voor het gebruik hiervan. Om die reden bleef 1/3 van de schade voor rekening van het administratiekantoor zelf.
Deze uitspraak deed veel stof opwaaien onder IT-leveranciers. De uitspraak komt er namelijk in feite op neer dat de IT-leverancier ervoor moet zorgen dat zijn afnemers bereid zijn te investeren in beveiligingsmaatregelen. In de uitspraak hierboven speelde waarschijnlijk mee dat de IT-leverancier enkel had gesteld dat het administratiekantoor niet mee wilde werken, maar niet dat de beveiliging geen onderdeel was van de opdracht. Verder was er geen schriftelijke overeenkomst waarin doorgaans bepalingen over inspanningsverplichtingen en aansprakelijkheidsbeperkingen staan. Ook dat werkte in het nadeel van de IT-leverancier.
De afnemer werd aangerekend dat hij de adviezen van de IT-leverancier niet had opgevolgd. Daarom moest de afnemer een deel van de schade zelf dragen. Rechters hebben veel vrijheid bij het begroten van de schade en het verdelen van schade over partijen. De balans had dus ook verder richting de afnemer kunnen verschuiven.
Hack “in between SLA’s”
Dat laatste blijkt wel uit een uitspraak van het hof Amsterdam, waarin het hof bepaalde dat 2/3 van de schade voor rekening van de afnemer bleef.
Het betrof een Service Level Agreement (“SLA”) tussen een IT-leverancier en een klant. De IT-leverancier had de verantwoordelijkheid voor het instandhouden van een adequaat back-up systeem. Op een gegeven moment wilde de klant overstappen naar een andere IT-leverancier en werd de SLA beëindigd. De overeenkomst met de nieuwe IT-leverancier zou pas zes weken later ingaan. Een maand na het eindigen van de SLA met de oude IT-leverancier werd de klant getroffen door een ransomware-aanval. Deze hack vond dus plaats nadat de SLA met de oude IT-leverancier was geëindigd, maar voordat de SLA met de nieuwe IT-leverancier was ingegaan.
De aanval werd pas na het betalen van losgeld van EUR 1.371,32 in bitcoins, opgeheven. De totale schade van de klant betrof EUR 17.262,27 (opzetten noodsysteem, productieverlies, interne uren). De klant stelde de oude IT-leverancier aansprakelijk omdat de oude IT-leverancier het back-up systeem niet goed had ingesteld. De afnemer kon ten tijde van de aanval daarom niet terugvallen op de laatste door de IT-leverancier gemaakte back-up.
De rechtbank oordeelde dat de oude IT-leverancier niet aansprakelijk kon worden gehouden voor het onderhoud en beheer van het IT-systeem, terwijl de SLA al was geëindigd. In hoger beroep oordeelde het hof dat er op de einddatum van de SLA een recente volledige back-up aanwezig had moeten zijn althans dat deze had moeten kunnen worden gereconstrueerd. De klant had dan kunnen terugvallen op een (redelijk) recente back-up. Het hof gaf wel aan dat de klant ook schade had geleden als er wel een volledige back-up aanwezig was geweest op de einddatum van de SLA. De hack vond immers vier weken na die datum plaats. Om die reden liet het hof 2/3 van de door de klant geleden schade voor rekening van de klant zelf komen.
Deze uitspraak is gunstiger voor de afnemer dan een eerdere uitspraak van het hof Amsterdam. Toen oordeelde het hof nog dat uit de afspraak voor een dagelijkse back-up niet volgt dat de leverancier dagelijks een back-up van alle volledige bestanden moest maken. De klant moest bepalen van welke bestanden een back-up moest worden gemaakt.
Tips voor de praktijk
Het verschil in de twee uitspraken van het hof Amsterdam wordt mogelijk verklaard doordat de feiten in beide zaken anders waren. De uitspraken illustreren in ieder geval dat heldere afspraken over back-ups essentieel zijn. Denk er daarbij aan om concreet te bepalen hoe vaak en van welke bestanden back-ups moeten worden gemaakt en ook binnen welke termijn deze worden bewaard. Voorkom onduidelijkheid hierover. Kijk ook naar de bepalingen over de aansprakelijkheid in het contract. Vaak wordt aansprakelijkheid voor verlies van data uitgesloten. Als deze bepalingen niet onderhandelbaar blijken, zoals vaak het geval, onderstreept dat het belang van duidelijke afspraken over de verplichtingen van de IT-leverancier.
Beter voorkomen dan genezen uiteraard. Adequate beveiligingsmaatregelen hebben als doel om hackers zoveel mogelijk buiten de deur te houden. De IT-leverancier heeft op dit gebied een verzwaarde zorgplicht en zal de afnemer indringend en herhaaldelijk moeten waarschuwen wanneer deze zijn adviezen niet opvolgt. Er zal discussie blijven bestaan over de vraag hoeveel hierin kan worden verlangd van de IT-leverancier. Zoals we zagen vinden rechters dat de afnemer ook een eigen verantwoordelijkheid heeft om dit goed te (laten) regelen.
Conclusie
Hoe dan ook is en blijft cybersecurity een onderwerp dat zorgvuldige aandacht vereist. Niet alleen het tegengaan van een ransomware-aanval, maar ook het regelen en inperken van de gevolgen ervan. Van IT-leveranciers wordt verwacht dat zij hun verantwoordelijkheid nemen. Afnemers dienen op hun beurt bereid zijn hierin te investeren en alert te zijn op goede afspraken hierover.