Datalek en Diefstal

Inbreuk op de beveiliging van tokens leidt niet tot aansprakelijkheid


Een leverancier van security-tokens is niet aansprakelijk gesteld voor de schade die is ontstaan nadat zich een computerhack heeft voorgedaan in het onderliggende security systeem.

Security-tokens

In 2003 heeft de politie een SecurID systeem met bijhorende tokens aangeschaft bij een wederverkoper van RSA Security Ireland Ltd (RSA). Dit systeem verzorgt een beveiligde verbinding door middel van een persoonlijke pincode in combinatie met een door een token gegenereerde code. Door middel van dit systeem kunnen medewerkers van de politie op een veilige manier afstand inloggen op haar computersystemen. Voor het gebruik van het systeem heeft de politie een licentieovereenkomst gesloten met RSA. Daarop volgend heeft de politie enige tijd later een overeenkomst gesloten met Motiv voor het leveren van tokens en software uitbreidingen.

Kosten vanwege een hack

In 2011 heeft er een computerhack plaatsgevonden bij RSA. Hierbij zijn er waarschijnlijk zogenaamde “seeds” buitgemaakt. Hierdoor ontstaat de mogelijkheid dat buitenstaanders de door de tokens gegenereerde cijfercodes zouden kunnen reproduceren. Als reactie hierop heeft de Politie de tokens vervangen. Hiermee waren aanzienlijke kosten gemoeid. 

Security-tokens voldoen niet meer

Motiv was, zo heeft de politie betoogd, tekortgeschoten in de nakoming van haar verplichtingen. Zij stelde dat de door Motiv geleverde tokens niet meer voldeden aan wat de politie daarvan mocht verwachten. De politie vordert vervolgens een verklaring van recht en schadevergoeding van Motiv. De rechtbank in eerste aanleg heeft deze vordering afgewezen. In hoger beroep behandelt het Gerechtshof Arnhem-Leeuwarden deze zaak opnieuw.

Behandeling in hoger beroep

Op 4 september jl. heeft het Gerechtshof Arnhem-Leeuwarden uitspraak gedaan in deze zaak in hoger beroep. Vast staat dat de door Motiv geleverde tokens op het moment van levering de eigenschappen hadden die de politie ervan mocht verwachten. De politie stelt dat door de hack bij RSA het veiligheidsniveau van het systeem is afgenomen. De vraag die centraal staat is of het bij deze verandering gaat om een gebrek van de tokens.

Het hof stelt vast dat er aan de tokens zelf door de hack niets is veranderd. Deze tokens functioneerden voordien naar behoren, en zijn dat sindsdien blijven doen. Door de hack van het onderliggende systeem zijn de tokens zelf niet gebrekkig geworden. Dit systeem heeft de politie direct bij de fabrikant (RSA) aangeschaft al enige tijd voordat zij de overeenkomst met Motiv had gesloten. Motiv is bij de keuze en de aanschaf van het systeem niet betrokken geweest maar heeft de aanvullende en vervangende tokens en software-updates geleverd. Als er sprake zou zijn van een later opgetreden gebrek in het systeem, zo beredeneert het Hof, zou Motiv daarvoor dus niet aansprakelijk zijn.

Het Hof stelt zich vervolgens de vraag of dit anders zou zijn wanneer moeten worden aangenomen dat de hack ertoe heeft geleid dat de tokens niet langer aan de overeenkomst beantwoordden. Dan moet worden beoordeeld of Motiv daarvoor aansprakelijk kan worden gehouden. Hierbij is van belang, zo stelt het Hof, dat de politie het bewuste beveiligingssysteem zelf, zonder bemoeienis of advies van Motiv heeft uitgekozen en dat de tokens ten tijde van de levering in ieder geval wel aan de overeenkomst beantwoordden. Dat er later een gebrek in de tokens is ontstaan, is toe te schrijven aan omstandigheden die zich geheel in de risicosfeer van RSA bevonden en die Motiv niet kon beïnvloeden of voorkomen. Daar komt dan nog bij, zo voert het Hof aan, dat ieder computersysteem uiteindelijk kan worden gehackt, zodat de politie ook geen volledig hackfree systeem mocht verwachten. Deze bijzondere omstandigheden brengen mee dat Motiv niet behoeft in te staan voor de gevolgen van de later opgetreden gebreken. De uitkomst is dat de vordering van de politie niet wordt toegewezen.