Zorgplicht van een ICT leverancier leidt tot aansprakelijkheid bij Ransomware

Zorgplicht en aansprakelijkheid ICT leverancier bij Ransomware


Een ICT leverancier wordt aansprakelijk gesteld. Er is schade ontstaan bij zijn klant na een uitbraak met Ransomware. De ICT leverancier wordt hiervoor gedeeltelijk aansprakelijk gesteld doordat hij te lichtzinnig is omgegaan met zijn zorgplicht. Het arrest dat ik in deze blog aanhaal toont nogmaals aan dat een leverancier een zorgplicht heeft die ver kan gaan.

Zorgplicht van een ICT leverancier leidt tot aansprakelijkheid bij Ransomware

Een leverancier heeft een wettelijke zorgplicht. Deze zorgplicht is terug te vinden in art. 7:401 BW. Dit artikel zegt: “de opdrachtnemer moet bij zijn werkzaamheden de zorg van een goed opdrachtnemer in acht nemen”. Het handelen in strijd met dit artikel kan aansprakelijkheid opleveren. Hierdoor kan een ICT leverancier (gedeeltelijk) aansprakelijk zijn voor de schade die voortkomt uit Ransomware.

Jurisprudentie over schade door Ransomware en de aansprakelijkheid

Vorige week werd een uitspraak van de Rechtbank Amsterdam gepubliceerd inzake de schade door Ransomware en de aansprakelijkheid hiervan voor de ICT leverancier. Deze uitspraak dateert al van 14 november 2018 maar is nog steeds actueel. De rechtbank kwam tot het oordeel dat de ICT leverancier de klant onvoldoende heeft geïnformeerd waardoor de ICT leverancier aansprakelijk is voor een deel van de geleden schade van de klant. 

Overeenkomst voor een nieuw netwerk en het beheren daarvan

Waarover ging het in deze zaak? De ICT leverancier heeft destijds bij de klant een nieuw netwerk geïnstalleerd. Hierbij is er op verzoek van de klant afgezien van een firewall en uitgebreide back-up. Dat was te duur en gaf teveel gedoe, zo had de klant te kennen gegeven. De klant was verder van mening dat moeilijke wachtwoorden te onhandig waren. Deze leverancier is daarna beheer- en onderhoudswerkzaamheden gaan leveren op basis van een vast bedrag per maand. De ICT leverancier leverde hierbij een totaalpakket. Wat dat “totaalpakket” inhoudt is niet vastgelegd. Het is dan ook onduidelijk of de beveiliging deel uitmaakt van dit pakket. 

Ransomware aanval leidt tot schade

In 2017 wordt de klant getroffen door Ransomware. De klant kiest ervoor om de hackers te betalen om zo weer over haar bestanden toe kunnen beschikken. De klant  laat vervolgens een cybersecuritybedrijf een onderzoek instellen naar de oorzaak. Dit cybersecuritybedrijf constateert een gebrekkige beveiliging. Voor de ICT’ers onder ons: het was mogelijk om via poort 443 een RDP-sessie op te zetten met het SBS-systeem, er werden zwakke wachtwoorden gebruikt voor de backoffice omgeving. Daarbij werd er niet met VPN toegang gewerkt, er was geen Firewall geleverd en, als klapper op de vuurpijl, was de back-up niet juist ingeregeld. 

Klant volgt adviezen ICT leverancier niet op

De ICT leverancier voert aan dat hij wel beveiligingsmaatregelen heeft voorgesteld, maar dat al zijn voorstellen door de klant zijn afgewezen. In het aanvankelijke voorstel stond de installatie van een firewall opgenomen. De klant gaf echter tijdens de voorbereidende gesprekken aan dat hij dit te duur vond. Het voorstel van de ICT leverancier om met roulerende externe schijven te werken voor de back-up, gaf volgens de klant te veel gedoe. Bij gebrek aan toestemming heeft de ICT leverancier de noodgedwongen bepaalde beveiligingsmaatregelen achterwege gelaten en gemakkelijke wachtwoorden ingesteld. De klant was geen leek op computergebied en wist dus welke risico’s aan zijn keuzes kleefden, zo verweert de ICT leverancier.

Indringend duidelijk maken of de opdracht weigeren

De rechter gaat echter niet mee in het verweer van de IT-leverancier. De rechtbank stelt: “Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van de klant”. De rechter is van mening dat de ICT leverancier de opdracht had kunnen weigeren wegens onuitvoerbaarheid. Ook had hij  alternatieven kunnen aan te dragen of op zijn minst indringend en herhaaldelijk dienen te waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-up structuur met zich meebrachten.

Wat betekent dit voor de praktijk? 

Als (ICT) leverancier heb je op grond van art. 7:401 BW een zorgplicht. Dat wil zeggen dat je de zorg van een goed opdrachtnemer in acht dient te nemen. Deze open norm is in deze uitspraak ingevuld. Als professionele aanbieder mag je niet te gemakkelijk meegaan met de wensen van de klant als dit risico’s kan opleveren. Maak deze risico’s expliciet en meermaals duidelijk. Zoek de communicatie hierover en leg dit goed vast. Uiteindelijk dien je als (ICT) leverancier de overweging te maken of je de de opdracht wel aanneemt of niet. Doe dit in een dergelijke situatie ook gemotiveerd. Kijk voor meer tips op de website van Juridict.