Help, mijn netwerk is gegijzeld!

Het komt niet geheel onverwachts, maar uit de laatste cijfers van het Centraal Bureau Statistieken blijkt dat er steeds minder traditionele criminaliteit plaatsvindt en steeds meer cybercrime.[1] Cybercriminelen verdienen grof geld aan onder meer de inzet van ransomware, ook wel gijzelsoftware genoemd. Dit is kwaadaardige software die bepaalde netwerken en/of bestanden op het netwerk versleutelt waardoor deze niet meer toegankelijk zijn voor de oorspronkelijke gebruiker. Om de gegijzelde software vervolgens weer te ‘bevrijden’ wordt vaak aan de gebruiker gevraagd om de betaling van een grote som geld. Een veelbesproken ransomware-aanval is de aanval eind 2019 op de Universiteit Maastricht, waarbij cybercriminelen een deel van de gegevens van de universiteit gegijzeld hielden.[2] Het zijn echter niet alleen de grote bedrijven en instellingen die worden getroffen door cyberaanvallen. Steeds vaker zijn ook kleine bedrijven het doelwit. Zo werd in 2017 een klein administratiekantoor uit Hilversum het slachtoffer van een ransomware-aanval. Hackers drongen door tot het netwerk van het kantoor en versleutelde alle (back-up)bestanden op het netwerk, met als gevolg dat het kantoor niet verder kon werken en enorme schade opliep. Na de betaling van Bitcoins ter waarde van € 2.890,83 kreeg het kantoor weer toegang tot haar bestanden. Het administratiekantoor is vervolgens een rechtszaak gestart tegen het IT-bedrijf dat verantwoordelijk was voor het aanleggen, beheren en onderhouden van de IT-infrastructuur van het kantoor. Partijen hadden de afspraak dat het IT-bedrijf een ‘totaalpakket’ zou leveren. Partijen hadden echter niets op schrift gesteld en de vraag was nu of de beveiliging van het netwerk ook deel uitmaakte van het ‘totaalpakket’. (Vergaande) verantwoordelijkheid voor IT-bedrijven? De rechtbank heeft geoordeeld dat een IT-bedrijf bij het leveren van een ‘totaalpakket’ tevens de zorg draagt voor een daarbij behorende adequate beveiliging. Het feit dat een klant voorgestelde beveiligingsmaatregelen van de hand wijst of het feit dat een klant zelf kennis van zaken heeft op het gebied van IT, ontslaat een IT-bedrijf niet van haar verantwoordelijkheid om te zorgen dat de beveiliging bij de klant op orde is. Indien een klant de voorgestelde beveiligingsmaatregelen weigert, ligt het volgens de rechtbank op de weg van het IT-bedrijf om de betreffende opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn minst herhaaldelijk en indringend te waarschuwen voor de risico’s van de inadequate beveiliging.^[3] Kortom: de rechtbank legt een (vergaande) verantwoordelijkheid voor de schade van gijzelsoftware neer bij de IT-bedrijven indien blijkt dat ze de beveiliging bij een klant niet op orde hebben. De rechtbank past in deze rechtszaak wel enige nuance toe en stelt dat het administratiekantoor medeschuldig is aan het ontstaan van het lek in de beveiliging. Het IT-bedrijf had namelijk aanvankelijk complexe wachtwoorden ingesteld, maar heeft deze op verzoek van de klant vereenvoudigd. Deze vereenvoudiging heeft ook bijgedragen aan het slagen van de ransomware-aanval. De rechtbank heeft uiteindelijk besloten de schade over beide partijen te verdelen, waarbij het IT-bedrijf verantwoordelijk wordt gehouden voor twee derde van de schade. Bovendien kent de rechtbank niet alleen directe schade toe, maar tevens de herstelkosten van de schade en de verloren omzet. Wat kan hieruit worden afgeleid?

• IT-bedrijven hebben een vergaande verantwoordelijkheid voor zowel de toepassing als de beveiliging van hun geleverde service en/of dienst. De enkele waarschuwing dat een IT-infrastructuur niet adequaat is beveiligd blijkt onvoldoende; er wordt een actieve houding verwacht van IT-leveranciers.
• Ook wordt het belang van schriftelijke afspraken nog maar eens benadrukt. Door afspraken omtrent aansprakelijkheid in geval van schade duidelijk op papier te zetten in een contract of in de algemene voorwaarden, ontstaat er op voorhand duidelijkheid. Uiteraard resteert dan nog steeds de vraag wat er gebeurt indien de aansprakelijkheid voor schade contractueel wordt uitgesloten (bijvoorbeeld via een exoneratiebeding in de algemene voorwaarden) en later blijkt dat de beveiliging niet op orde was. De vraag is dan: geldt bovenstaande uitspraak van de rechtbank? Of zal de rechter een dergelijk beding dan toch terzijde schuiven omdat het onredelijk is daar een beroep op te doen, of zal worden geoordeeld dat die uitsluiting in de hoofdovereenkomst moet staan en niet in de algemene voorwaarden? Het antwoord op deze vragen hangt in hoge mate af van de manier waarop die afspraken worden geformuleerd. Voer daarom altijd een juridische check uit op uw IT-contracten en algemene voorwaarden.

Wilt u meer weten over het voorgaande onderwerp, neemt u dan gerust contact met ons op. [1] CBS 2 maart 2020, https://www.cbs.nl/nl-nl/nieuws/2020/10/minder-traditionele-criminaliteit-meer-cybercrime [2] Zie ook: Maastricht University, Reactie Universiteit Maastricht op rapport FOX-IT, 5 februari 2020. [3] Rechtbank Amsterdam 7 juni 2020, ECLI:NL:RBAMS:2018:101024.