Eigen schuld, contractuele verplichtingen en zorgplicht bij een cyberincident

Op 10 mei 2023 heeft de rechtbank Overijssel een interessante uitspraak gedaan. In december 2020 is er een cyberaanval geweest bij de gemeente Hof van Twente, waarbij netwerksystemen en de back-up zijn versleuteld en ontoegankelijk zijn gemaakt en virtuele servers verwijderd zijn. De gemeente geeft de schuld aan haar IT-leverancier, maar de rechter oordeelt dat de IT-leverancier niet tekort geschoten is in de nakoming van haar verplichtingen en ook niet onrechtmatig gehandeld heeft. In deze blog lichten wij deze uitspraak kort toe.

Verplichtingen van de IT-leverancier

De IT-leverancier heeft meerdere verplichtingen die voortvloeien uit de (verwerkers)overeenkomsten tussen de IT-leverancier en de gemeente en de (bijzondere) zorgplicht die op de IT-leverancier rust. De zorgplicht brengt extra verplichtingen met zich mee voor de IT-leverancier vanwege de kennis en kunde van de IT-leverancier en vanwege het gebrek aan kennis en kunde bij de afnemer. De IT-leverancier heeft bijvoorbeeld een informatieplicht en waarschuwingsplicht tegenover de afnemer om hem te informeren of te waarschuwen over bepaalde beslissingen en processen. Meer informatie over de zorgplicht kan gevonden worden in het volgende artikel.

Wat speelde er in deze zaak?

De gemeente had een overeenkomst met een bedrijf voor de uitbesteding van het systeembeheer en aanverwante ICT-beheerdienstverlening. In de overeenkomst waren een aantal dingen vastgelegd:

• Het bedrijf was verantwoordelijk voor het proactief monitoren van het functioneren van de servers, opslag en netwerk-voorzieningen;
• Het bedrijf moest zorgen voor een adequate back-up en restore van data, adequate anti-virus maatregelen en een adequate firewall inrichting;
• De gemeente had de mogelijkheid om kleine veranderingen uit te voeren in de firewall en de netwerk-configuratie;
• De gemeente had een eigen account met de hoogste beheerrechten. Bovendien was de gemeente verantwoordelijk voor het wachtwoordenbeleid.

De IT-leverancier heeft bovenop deze afspraken nog een voorstel gedaan tot back-up hardening, een methode om back-ups te beschermen tegen cyberaanvallen waardoor informatie niet verloren gaat. De gemeente heeft dit voorstel – uit kostenoverwegingen – afgewezen. Hierdoor was de back-up vrij beschikbaar via het netwerk van de gemeente. De gemeente heeft op een gegeven moment gebruik gemaakt van haar ‘vrijheden’ en enkele kleine wijzigingen aangebracht. Een medewerker van de gemeente had een regel in de firewall aangepast, waardoor een RDP-poort werd opengezet naar het internet. Via RDP (Remote Desktop Protocol) kan op afstand ingelogd worden op een systeem. Door het openzetten van de RDP-poort kon op afstand toegang verkregen worden tot de systemen van de gemeente. Verder had een andere medewerker van de gemeente had ook een zwak nieuw wachtwoord ingesteld voor het account met de hoogste beheerrechten: ‘Welkom2020’, die overigens wel voldeed aan het wachtwoordenbeleid. Deze wijzigingen zetten uiteindelijk de deur open naar de cyberaanval. De gemeente verwijt de IT-leverancier dat zij niet actief gemonitord heeft op beveiligingsrisico’s, die zich ook voordeden, zoals een reset van een wachtwoord, aanpassing van de firewall en ongeautoriseerde inlogpogingen.

Beoordeling van de rechtbank

Wat volgt is een uitvoerig gemotiveerd vonnis onderverdeeld in verschillende onderdelen, en op geen van de onderdelen krijgt de gemeente gelijk. Allereerst had de gemeente gevorderd dat de IT-leverancier tekort was geschoten in de verplichting actief te monitoren op beveiligingsrisico’s en -incidenten. De rechter gaat hier niet in mee, omdat slechts afgesproken was dat de IT-leverancier zou monitoren op het functioneren van de servers, opslag en de netwerkvoorzieningen. Security monitoring was niet overeengekomen en kon ook niet aangenomen worden op basis van de zorgplicht. Verder had de gemeente zelf een groot aandeel in het veroorzaken van de cyberaanval. Had zij de firewall niet aangepast, een veilig wachtwoord gekozen en de aangeraden beveiligingsmaatregelen voor de back-up laten installeren, dan had de cyberaanval niet plaatsgevonden of kleiner in omvang geweest. De aanpassing van de firewall en het wachtwoord hebben bovendien niet geleid tot een verstoring in het functioneren van de IT-omgeving, én de gemeente had het bedrijf over de wijzigingen niet ingelicht. Hierdoor bestond voor de IT-leverancier geen verplichting om te monitoren op die wijzigingen. De rechtbank wijst uiteindelijk de vordering van de gemeente af.

Conclusie

Uit deze uitspraak blijkt nog maar eens hoe belangrijk het is vanaf het begin duidelijk en schriftelijk vast te leggen bij welke partij verschillende verantwoordelijkheden en verplichtingen liggen. Zo kunnen misverstanden worden voorkomen en scheelt het veel zorgen voor beide partijen. Bovendien toont deze uitspraak ook maar eens aan hoe groot het belang is van voldoende beveiligingsmaatregelen. Onveilige wachtwoorden, slecht geregelde back-ups en te brede toegangsrechten behoren tot de grootste oorzaken van grote datalekken en andere beveiligingsincidenten. Besteed hier daarom voldoende aandacht aan! Met dank aan student-stagiaire Danique Dubach