Organisaties besteden steeds vaker (een groot deel) van het onderhoud van de technische IT-omgeving uit aan een externe IT-dienstverlener.

Niet alleen vanwege de hedendaagse complexiteit van deze omgeving, maar ook omdat het onderhoud veel tijd in beslag neemt. De vraag wie aansprakelijk is voor schade in geval van een cyberaanval is daarmee echter wel veel complexer geworden. Een voorbeeld hiervan is de rechterlijke uitspraak in de zaak van de gemeente het Hof van Twente tegen IT-dienstverlener Switch IT Solutions.

De casus: Hof van Twente

Een bekende zaak over cybercrime en aansprakelijkheid is die van de gemeente Hof van Twente met een uitspraak van de rechter gedaan in mei 2023. De gemeente werd in 2020 gehackt en de systemen en back-ups werden versleuteld. De hackers eisten een bedrag van € 750.000,- om de systemen weer vrij te geven. Doordat de burgemeester weigerde te betalen leed de gemeente uiteindelijk een schade van maar liefst € 4,2 miljoen, omdat alle systemen opnieuw moesten worden opgebouwd.

Hoe waren de hackers binnen gekomen? Zij hadden software gebruikt die verschillende combinaties van inlognamen en wachtwoorden op systemen afvuurt, totdat deze uiteindelijk de juiste combinatie heeft gevonden. Dit is één van de oudste aanvalsvormen die uiteindelijk vrijwel altijd succesvol is, al duurt het soms enkele maanden tot jaren.

In dit geval had de systeembeheerder van de gemeente een gemakkelijk te achterhalen wachtwoord ingesteld (Welkom2020), waardoor het zeer eenvoudig was om binnen te komen. Daarnaast was een zelf beheerde RDP-poort naar buiten open komen te staan door een interne aanpassing in de firewall.

De gemeente stelde vervolgens haar IT-leverancier aansprakelijk met het standpunt dat zij de hack hadden moeten voorkomen. De gemeente was van mening dat de dienstverlener hen had moeten waarschuwen voor de slechte beveiliging. De rechtbank wijst de vordering van de gemeente echter af. Er is immers niet gebleken dat IT-partner Switch de contractuele verplichtingen niet is nagekomen of onzorgvuldig heeft gehandeld, zodat van onrechtmatig handelen geen sprake kan zijn.

U vindt de volledige uitspraak hier.

Het Hof van Twente legt zich niet neer bij de uitspraak en is in hoger beroep gegaan. Wanneer het hoger beroep dient is nog niet duidelijk.

Verzwaarde zorgplicht

De vraag of een IT-leverancier aansprakelijk is voor de schade van een cyberaanval, hangt af van de specifieke omstandigheden van de casus. Naast de contractuele verplichtingen heeft een IT-dienstverlener ook een zorgplicht. Dit betekent dat hij moet handelen zoals van een redelijk handelend en vakbekwaam IT-leverancier mag worden verwacht. Het gaat dan om een verzwaarde zorgplicht, blijkt uit eerdere jurisprudentie. Het maken van goede afspraken vooraf kan situaties zoals die bij het Hof van Twente echter voorkomen.

Praktische tip

Als dienstverlener bent u erbij gebaat om in het contract met de klant niet alleen de afspraken die zijn overeengekomen vast te leggen, maar ook te benoemen wat niet is afgesproken. Hierbij is het belangrijk om vast te leggen wat de bedoeling was van partijen ten tijde van het sluiten van het contract: wat waren de overwegingen destijds en wat waren de doelstellingen.

Zorg er als dienstverlener voor dat adviezen en gegeven waarschuwingen aan de klant zwart op wit staan, indien deze ervoor kiest er geen opvolging aan te geven.

Verder: zet als dienstverlener in uw algemene voorwaarden dat u niet aansprakelijk bent voor zaken als gegevensverlies en indirecte schade. De branchevereniging van de digitale sector, NLdigital, biedt algemene voorwaarden aan die uw aansprakelijkheid beperken. Leden kunnen deze gratis downloaden en niet-leden kunnen deze verwerkersovereenkomst kopen.

Geen nice-to-have, maar een must-have

Opdrachtgevers eisen steeds vaker van hun IT-dienstverlener(s) dat zij zich verzekeren tegen beroepsaansprakelijkheid. De scheidingslijn is echter dun: vloeit de aanspraak voort uit onzorgvuldige advisering of betreft het puur een cyber-incident? Omdat IT-ondernemingen veelal te maken hebben met complexe risico’s, adviseren wij te allen tijde om zowel een beroepsaansprakelijkheidsverzekering als een cyberverzekering af te sluiten bij dezelfde verzekeraar.

Wilt u de mogelijkheden bespreken van dergelijke verzekeringen voor uw IT-organisatie? Of van gedachten wisselen over onderwerpen gerelateerd aan cybercrime in combinatie met aansprakelijkheid?

Neem contact op met Kim Kooij of onze andere cyberspecialisten:
Shirvan Loetawan en Jeroen van Heteren.