Een hack na een datalek: afweging tussen bescherming en eigen schuld

Eerder schreven we een artikel over een hack bij de gemeente Hof van Twente. Die gemeente was gehackt en had daardoor ruim 4 miljoen euro schade geleden. De gemeente probeerde dat te verhalen op de IT-leverancier, maar kreeg ongelijk van de rechter omdat de gemeente zelf voor een groot deel schuld had aan de eigen schade. In een recente zaak was iets vergelijkbaars aan de hand, maar oordeelde de rechter anders. Wat is het verschil tussen deze twee zaken en wat leren we ervan?

Wat was er aan de hand

Een persoon (‘X’) had een account bij een platform waarop personen cryptovaluta kunnen kopen en verkopen. Het platform wordt beheerd door Coin Meester. X had ervoor gekozen om voor het inloggen op het platform alleen gebruik te maken van een e-mailadres en een wachtwoord, ondanks dat hem ook de optie werd geboden om gebruik te maken van multifactor-authenticatie als extra beveiligingsmaatregel. Na het aanmaken van het account kreeg X meermaals een e-mail van Coin Meester waarin hem aangeraden werd om gebruik te maken van multifactor-authenticatie. In die mails stond ook expliciet dat een kwaadwillende, die toegang had tot de e-mail van X, toegang kon krijgen tot diens account bij Coin Meester. Ondanks deze waarschuwingen besloot X geen gebruik te maken van extra authenticatie. U kunt al raden wat er gebeurde. Het e-mailaccount van X werd overgenomen door hackers, nadat het wachtwoord van de e-mail van X openbaar was geworden door meerdere datalekken bij andere partijen. Vervolgens hebben de hackers zich voorgedaan als X, Coin Meester gevraagd het wachtwoord te wijzigen en Coin Meester de opdracht gegeven om cryptovaluta met een waarde van ruim € 4000 euro over te dragen naar een andere rekening. X gaf Coin Meester de schuld. Die had namelijk verzaakt in de verplichting om een veilig platform aan te bieden. Coin Meester had particuliere beleggers moeten beschermen tegen de eigen lichtvaardigheid en een gebrek aan kennis, en daarmee heeft Coin Meester een bijzondere zorgplicht geschonden. Coin Meester is het hier niet mee eens en zegt dat er sprake is van eigen schuld van X. Die had namelijk zijn e-mailaccount beter moeten beveiligen, nu zijn accountgegevens bij zes datalekken gelekt waren en X daarom moest weten dat de kans groot was dat hij gehackt zou worden. Ook heeft X, zelfs na meerdere waarschuwingen, geen gebruik gemaakt van de optie om multifactor-authenticatie te gebruiken. Het gebruik van multifactor-authenticatie had dit voorval kunnen voorkomen.

Wat oordeelt de rechter?

De rechter oordeelt eerst dat er sprake is van een tekortkoming in de nakoming door Coin Meester. Coin Meester was namelijk verplicht om crypto’s voor X te bewaren en alleen te verkopen als zij daarvoor van X de opdracht had gekregen, en dat is nooit gebeurd. Coin Meester heeft namelijk in opdracht van de hackers de crypto’s verkocht. Deze tekortkoming is ook aan Coin Meester toe te rekenen, volgens de rechter. Coin Meester had namelijk in meerdere mails gesteld dat in geval van een datalek hackers zich toegang tot het account op het cryptoplatform konden verschaffen. Daarmee heeft Coin Meester het risico laten bestaan dat zij door onbevoegden zou kunnen worden bewogen om de crypto’s van X over te dragen. Coin Meester wist van het risico en heeft die risico’s niet geminimaliseerd. Daar komt bij dat Coin Meester gezien wordt als deskundige partij. Coin Meester heeft in die hoedanigheid de verplichting om haar klanten te beschermen tegen frauderisico’s. Het ligt op haar weg om ervoor te zorgen dat crypto’s veilig bewaard en verkocht kunnen worden. De eigen verantwoordelijkheid van X speelt daarin een ondergeschikte rol. In feite betekent dit dat Coin Meester beschermingsmaatregelen had moeten treffen tegen de lichtvaardigheid van gebruikers. Toch is de rechtbank van oordeel dat X niet helemaal zonder schuld is. Vanwege de onvoorzichtigheid van X komt de schade, die uiteindelijk zo’n €4000 euro bedroeg, voor 10% van rekening van X zelf.

Wat leren we van deze uitspraak?

Twee belangrijke lessen kunnen getrokken worden uit deze uitspraak. Voor de consument geldt: wees alert op cyberrisico’s. Maak gebruik van multifactor-authenticatie als die optie aangeboden wordt. Negeer ook signalen van datalekken niet. Veel grote datalekken komen in het nieuws, en in sommige gevallen moet de consument ook ingelicht worden als zijn gegevens gelekt zijn bij een datalek. Daarnaast bestaan er allerlei online tools waarmee gecontroleerd kan worden of uw persoonsgegevens betrokken zijn geweest bij een datalek en welke, zoals via haveibeenpwned. Voor aanbieders van diensten aan consument geldt dat zij een bijzondere zorgplicht hebben tegenover de consument vanwege het verschil in kennis en kunde. Als bedrijf kan je er niet vanuit gaan dat een consument zich heel bewust is van cyberrisico’s. In deze zaak was Coin Meester zich wel bewust van die cyberrisico’s, getuige het feit dat Coin Meester meerdere keren gewaarschuwd heeft dat het veiliger was om gebruik te maken van multifactor-authenticatie. Coin Meester had daarom meer maatregelen moeten treffen om het account te beschermen. Daarmee gaat de bijzondere zorgplicht heel erg ver. Een eigen schuld-verweer zal dan niet snel kans van slagen hebben. Wanneer de klant een professionele partij is, zal de bijzondere zorgplicht iets minder ver reiken en zal er meer waarde gehecht worden aan de afspraken tussen partijen, zoals het geval was in de zaak bij het Hof van Twente. Al met al gaat de zorgplicht van een platformaanbieder tegenover een consument vrij ver. Zelfs als de consument erg onvoorzichtig is geweest, kan een bedrijf aangesproken worden op de schade die de consument geleden heeft. Meer weten over datalekken, bescherming van (persoons)gegevens of zorgplichten? Neem gerust contact op.