Ict-leveranciers zijn verantwoordelijk voor de netwerkbeveiliging bij klanten en dragen bij onvoldoende beveiliging zelfs aansprakelijkheid voor schade door ransomware. Dat oordeelt de Rechtbank Amsterdam. Ict-bedrijven hebben een zorgplicht en zouden niet moeten opleveren zonder adequate beveiliging. Juridisch-adviesorganisatie ICTWaarborg is het daarmee niet eens. 'Als een klant er bewust voor kiest om bepaalde diensten niet af te nemen, moet je de aansprakelijkheid ten aanzien daarvan uitsluiten.’
Eerder deze week publiceerde de rechtbank een vonnis uit november 2018, merkte het Financieele Dagblad op. Het betreft een geschil tussen een Hilversums administratiekantoor en een niet nader genoemd ict-bedrijf dat bij zijn klant het ict-netwerk in 2009 vernieuwde en in beheer nam. Het kantoor was begin 2017 doelwit van een ransomware-aanval en stelt de ict-leverancier aansprakelijk voor de geleden schade.
Deel van totaalpakket?
De ict-dienstverlener meent dat netwerkbeveiliging geen deel uitmaakte van het afgenomen totaalpakket, terwijl de klant vindt dat beveiliging erbij hoort. Afspraken hierover waren echter nergens schriftelijk vastgelegd. Uiteindelijk werd het netwerk opgeleverd zonder firewall en externe back-up. Een firewall zou voor de klant te duur zijn en back-up te veel gedoe geven, stelt het ict-bedrijf. Deze voerde na de aanval herstelwerk uit, maar de klant weigerde de factuur daarvan te betalen.
De rechter rekent het de dienstverlener aan dat er geen afspraken over de netwerkbeveiliging op schrift zijn gezet. Ook staan eerdere waarschuwingen over het ontbreken van beveiliging niet expliciet op papier. ‘Door het netwerk aan te leggen zonder firewall en zonder externe back-ups, heeft [gedaagde] deze opdracht niet naar behoren uitgevoerd.’ Volgens de rechter had het ict-bedrijf de opdracht kunnen weigeren als de klant dergelijke beveiligingsmaatregelen van de hand wijst.
Niet zonder meer aansprakelijk
ICTWaarborg, een organisatie die ict-bedrijven informeert over juridische zaken, kan zich niet vinden in de uitspraak van de rechter. Marloes Wijnholds, hoofd van de juridische afdeling van ICTWaarborg, legt uit waarom niet. ‘De rechter zegt dat de ict-leverancier in feite altijd aansprakelijk is en dat het bedrijf in kwestie niet voldoende heeft gewaarschuwd voor de gevolgen. Ik vind zeker niet dat een ict-leverancier zonder meer aansprakelijk is, maar dat deze uitspraak des te meer onderstreept dat je als leverancier heel goed moet waarschuwen voor de gevolgen van de keuzes van de klant.’
‘Het is van belang dat u uw klant heel duidelijk schriftelijk waarschuwt voor de gevolgen en risico’s van zijn keuze rondom beveiliging’, schrijft de organisatie in een aanvullend bericht. ‘Mocht u ooit met een dergelijke situatie geconfronteerd worden, dan dient u uw klant dus schriftelijk te informeren en te waarschuwen (…) Wanneer een klant er heel bewust voor kiest om bepaalde diensten niet af te nemen, [raden wij] aan om onderling overeen te komen om aansprakelijkheid ten aanzien daarvan uit te sluiten.’
Ook het teruggeven van de opdracht is een overweging wanneer de risico’s te groot zijn, aldus ICTWaarborg.
Fiets zonder slot
Jurist Inge Bremmer van branchevereniging NLdigital is ook kritisch op de uitspraak. In het FD vergelijkt ze de zaak met de verkoop van een fiets zonder slot. ‘Een fietsenmaker zal je altijd adviseren te investeren in een deugdelijk slot. Maar de rechter zegt hier als het ware: als die klant dan nee zegt, moet je eigenlijk ook de fiets niet verkopen. Dat gaat wel erg ver.’
In het vonnis staat dat de ict-dienstverlener twee derde van de geleden schade moet vergoeden. Een derde is voor rekening van het administratiekantoor, dat volgens de rechter medeschuldig is door het gebruik van gemakkelijke wachtwoorden. De totale schade bedraagt 15.400 euro. Dit is inclusief het onderzoek dat een extern bureau uitvoerde.
UPDATE (19 juni, 21.30u): aan dit artikel hebben we een nuancering door het hoofd van de juridische afdeling van ICTWaarborg toegevoegd.