Aansprakelijkheid ransomware

Inleiding: 

In haar uitspraak van 7 juni 2020 oordeelt de rechtbank Amsterdam dat een IT-leverancier voor twee derde deel aansprakelijk is voor de schade die zijn afnemer heeft geleden door een aanval met ransomware. Wat is er hier misgegaan en welke stappen kunt u ondernemen om aansprakelijkheid voor schade zoveel mogelijk te beperken?

Casus

Een administratiekantoor heeft in 2009 een totaalpakket bij een IT-leverancier afgenomen, waarbij zij mondelinge afspraken hebben gemaakt. Het administratiekantoor heeft er tijdens de overeenkomst voor gekozen om de door de IT-leverancier voorgestelde beveiligingsmaatregelen niet over te nemen. Deze zouden volgens het administratiekantoor te duur zijn geweest en te veel ‘gedoe’ opleveren. De IT-leverancier heeft daarom bepaalde beveiligingsmaatregelen achterwege gelaten. In 2017 wordt het administratiekantoor echter getroffen door een aanval met ransomware.

Het administratiekantoor houdt de IT-leverancier aansprakelijk voor de geleden schade. De IT -leverancier betwist dat zij aansprakelijk is en er volgt een procedure voor de rechtbank Amsterdam.

In geschil is dan of de beveiliging onder het takenpakket van de IT-leverancier valt of dat de IT-leverancier ervan mocht uitgaan dat door de afwijzing van het administratiekantoor voor deze (dure) oplossing de IT-leverancier werd gevrijwaard. Van belang is daarbij dat door het administratiekantoor een totaalpakket werd afgenomen. Naar het oordeel van de ingehuurde IT-specialist heeft deze aanval kunnen plaatsvinden door een gebrekkige beveiliging en had een adequate beveiliging in het totaalpakket inbegrepen moeten zijn.

Doordat partijen hun afspraken niet op papier hebben gezet, moet het antwoord op deze vraag afgeleid worden uit de feiten en omstandigheden. Volgens de rechtbank is het moeilijk voor te stellen dat onder de opdracht om een totaalpakket te leveren, niet ook de aanleg van de daarbij behorende beveiliging valt. De rechtbank oordeelt daarom dat een adequate beveiliging van het netwerk onder het takenpakket van de IT-leverancier valt.

Zorgplicht bij de IT-leverancier

Aangezien er vanuit mag worden gegaan dat een IT-leverancier beschikt over professionele deskundigheid, oordeelt de rechtbank dat de verantwoordelijkheid voor de schade bij de
IT-leverancier ligt. Het geven van een enkele waarschuwing is niet voldoende om de IT-leverancier te ontslaan van haar zorgplicht. Het argument dat het administratiekantoor geen leek is en zij de risico’s van een gebrekkig beveiligingssysteem zelf had kunnen inschatten, gaat volgens de rechter ook niet op.

Voor het aannemen van een onrechtmatige daad* is causaal verband vereist tussen de verrichte handeling en de ontstane schade. Deze schade zou beperkt zijn gebleven als de beveiliging beter was geweest. Dit alles leidt er – volgens de rechtbank – toe dat de IT-leverancier aansprakelijk is voor de ontstane schade en daarom een bedrag van ruim € 10.000 dient te vergoeden. De rechter komt de IT-leverancier op één punt tegemoet.  De leverancier heeft geen schuld aan het honoreren van het verzoek van het administratiekantoor om de wachtwoorden te versoepelen. Het administratiekantoor moet daarom ook een derde van de schade zelf dragen.

Aansprakelijkheid voorkomen

In deze zaak had de IT-leverancier de schade kunnen beperken door allereerst afspraken duidelijk op schrift te stellen inclusief welke rechten en welke plichten wederzijds gelden. Ook in algemene voorwaarden kunt u veel zaken regelen zoals de omvang van de opdracht, maar ook wie waarvoor aansprakelijk is en in welke mate.

Bovendien heeft een IT leverancier altijd de mogelijkheid om een opdracht te weigeren als de klant eisen stelt die de IT leverancier niet of niet tegen de aangeboden prijs kan leveren. Hoewel het uiteraard dan een verloren opdracht is, is de schade nog groter als er aansprakelijkheid voortkomt als u als IT leverancier toch de opdracht uitvoert.

Het is raadzaam om uw algemene voorwaarden en contracten te laten beoordelen door een jurist die gespecialiseerd is in het contractenrecht. De juristen bij de Raadgevers hebben ruime ervaring in dit rechtsgebied. U kunt vrijblijvend contact met ons opnemen. Wij helpen u graag verder!

De uitspraak kunt u vinden via http://ECLI:NL:RBAMS:2018:10124