Nieuws
Eigen schuld, contractuele verplichtingen en zorgplicht bij een cyberincident
Gepubliceerd op 9 jun 2023
Onze mensen

Op 10 mei 2023 heeft de rechtbank Overijssel een interessante uitspraak gedaan. In december 2020 is er een cyberaanval geweest bij de gemeente Hof van Twente, waarbij netwerksystemen en de back-up zijn versleuteld en ontoegankelijk zijn gemaakt en virtuele servers verwijderd zijn. De gemeente geeft de schuld aan haar IT-leverancier, maar de rechter oordeelt dat de IT-leverancier niet tekort geschoten is in de nakoming van haar verplichtingen en ook niet onrechtmatig gehandeld heeft. In deze blog lichten wij deze uitspraak kort toe.
Verplichtingen van de IT-leverancier
De IT-leverancier heeft meerdere verplichtingen die voortvloeien uit de (verwerkers)overeenkomsten tussen de IT-leverancier en de gemeente en de (bijzondere) zorgplicht die op de IT-leverancier rust. De zorgplicht brengt extra verplichtingen met zich mee voor de IT-leverancier vanwege de kennis en kunde van de IT-leverancier en vanwege het gebrek aan kennis en kunde bij de afnemer. De IT-leverancier heeft bijvoorbeeld een informatieplicht en waarschuwingsplicht tegenover de afnemer om hem te informeren of te waarschuwen over bepaalde beslissingen en processen. Meer informatie over de zorgplicht kan gevonden worden in het volgende artikel.Wat speelde er in deze zaak?
De gemeente had een overeenkomst met een bedrijf voor de uitbesteding van het systeembeheer en aanverwante ICT-beheerdienstverlening. In de overeenkomst waren een aantal dingen vastgelegd:- Het bedrijf was verantwoordelijk voor het proactief monitoren van het functioneren van de servers, opslag en netwerk-voorzieningen;
- Het bedrijf moest zorgen voor een adequate back-up en restore van data, adequate anti-virus maatregelen en een adequate firewall inrichting;
- De gemeente had de mogelijkheid om kleine veranderingen uit te voeren in de firewall en de netwerk-configuratie;
- De gemeente had een eigen account met de hoogste beheerrechten. Bovendien was de gemeente verantwoordelijk voor het wachtwoordenbeleid.
Beoordeling van de rechtbank
Wat volgt is een uitvoerig gemotiveerd vonnis onderverdeeld in verschillende onderdelen, en op geen van de onderdelen krijgt de gemeente gelijk. Allereerst had de gemeente gevorderd dat de IT-leverancier tekort was geschoten in de verplichting actief te monitoren op beveiligingsrisico’s en -incidenten. De rechter gaat hier niet in mee, omdat slechts afgesproken was dat de IT-leverancier zou monitoren op het functioneren van de servers, opslag en de netwerkvoorzieningen. Security monitoring was niet overeengekomen en kon ook niet aangenomen worden op basis van de zorgplicht. Verder had de gemeente zelf een groot aandeel in het veroorzaken van de cyberaanval. Had zij de firewall niet aangepast, een veilig wachtwoord gekozen en de aangeraden beveiligingsmaatregelen voor de back-up laten installeren, dan had de cyberaanval niet plaatsgevonden of kleiner in omvang geweest. De aanpassing van de firewall en het wachtwoord hebben bovendien niet geleid tot een verstoring in het functioneren van de IT-omgeving, én de gemeente had het bedrijf over de wijzigingen niet ingelicht. Hierdoor bestond voor de IT-leverancier geen verplichting om te monitoren op die wijzigingen. De rechtbank wijst uiteindelijk de vordering van de gemeente af.Conclusie
Uit deze uitspraak blijkt nog maar eens hoe belangrijk het is vanaf het begin duidelijk en schriftelijk vast te leggen bij welke partij verschillende verantwoordelijkheden en verplichtingen liggen. Zo kunnen misverstanden worden voorkomen en scheelt het veel zorgen voor beide partijen. Bovendien toont deze uitspraak ook maar eens aan hoe groot het belang is van voldoende beveiligingsmaatregelen. Onveilige wachtwoorden, slecht geregelde back-ups en te brede toegangsrechten behoren tot de grootste oorzaken van grote datalekken en andere beveiligingsincidenten. Besteed hier daarom voldoende aandacht aan! Met dank aan student-stagiaire Danique DubachOnze mensen
Heeft u vragen of wilt u een afspraak maken?

Meld je aan voor onze nieuwsbrief
Geen juridische updates missen? Maak dan een selectie uit de diverse expertises van Holla legal & tax.