Rood beeldmerk van Rutten & Welling Advocaten
23 november 2021

Ransomware en de zorgplicht van het IT-bedrijf

De coronacrisis, de AVG en de risico’s van cybercriminaliteit (bijvoorbeeld ransomware) hebben nog eens extra benadrukt hoe essentieel een goede IT-infrastructuur voor het voortbestaan van ondernemingen is. Veel bedrijven blijken echter nog gebruik te maken van (bijna) antieke servers en software die (soms al lang) niet meer ondersteund wordt of niet de nodige updates heeft gehad. Eigenlijk zijn dit open uitnodigingen aan criminelen om een ongewenst en mogelijk destructief bezoekje te komen brengen. De Nederlandse overheid gaat daarom zelfs (pro-)actief bedrijven informeren over digitale bedreigingen.

Veel midden- en kleinbedrijven hebben het onderhoud van de IT-infrastructuur uitbesteed. Is die IT-dienstverlener dan aansprakelijk als een klant bijvoorbeeld slachtoffer wordt van cybercriminaliteit? Of als er data verloren gaan, bijvoorbeeld na een update?

Resultaats- of inspanningsverplichting?

Uitgangspunt is en blijft wat de klant en het IT-bedrijf met elkaar hebben afgesproken. Als dit een duidelijk bepaald doel of resultaat is (het project afronden voor een vaste datum), dan kan er sprake zijn van een resultaatsverplichting. De partij op wie deze verplichting rust (het IT-bedrijf) verplicht zich om een bepaald resultaat te behalen. Aansprakelijkheid jegens de klant is dan al aanwezig zodra het resultaat niet is zoals partijen zijn overeengekomen.

Vaak is echter niet zo duidelijk afgesproken welk resultaat partijen wensen te bereiken. Soms staat er zelfs alleen maar vermeld dat de IT-dienstverlener zijn dienstverlening op ‘zorgvuldige en professionele wijze zal uitvoeren’ of woorden van gelijke strekking. Dit wordt een inspanningsverplichting genoemd: het IT-bedrijf verplicht zich tot het zich inspannen om een bepaald resultaat te bereiken, maar een garantie daarvoor geeft het IT-bedrijf niet!

Dat brengt natuurlijk wel met zich mee dat er discussie kan ontstaan wát er dan precies van een professioneel en zorgvuldig IT-bedrijf verwacht mag worden.

Zorgplicht: de maatman

Veel IT-contracten zijn een overeenkomst van opdracht. De wet kent voor alle opdrachtnemers (dus ook voor een IT-bedrijf) een wettelijke zorgplicht:

“de opdrachtnemer zal bij de uitvoering van zijn werkzaamheden de zorg van een goed opdrachtnemer in acht moeten nemen”.

Dit is een zeer abstracte norm die in de praktijk nauwelijks toegevoegde waarde heeft. In de jurisprudentie is deze norm daarom nader geoperationaliseerd in het maatmancriterium:

als een redelijk bekwaam en redelijk handelend vakgenoot in de betreffende situatie op vergelijkbare wijze te werk zou zijn gegaan”.

Dit toetsingskader is dus gekoppeld aan het niveau van een gemiddeld vakgenoot die zijn kennis en kunde bijhoudt. Het maatmancriterium bepaalt de minimale zorgplicht en geldt voor alle opdrachtnemers, dus ook voor fotografen of belastingadviseurs. Is de zorgplicht geschonden, dan is de opdrachtnemer aansprakelijk voor (een deel van) de geleden schade van zijn klant (opdrachtgever).

Bijzondere zorgplicht

Een klant schakelt een opdrachtnemer vaak in vanwege een bepaalde deskundigheid die de klant zelf ontbeert. Je gaat naar een advocaat voor rechtsbijstand en naar een accountant voor de boekhouding. Bij deze opdrachten is er meestal sprake van een grote asymmetrie in kennis en kunde tussen klant en opdrachtnemer.

Ter compensatie daarvan is in de rechtspraak het leerstuk van de bijzondere (of verzwaarde) zorgplicht[1] ontwikkeld. Dat houdt in dat de zorgplicht van de “professionele en bij uitstek deskundige dienstverlener” verder strekt dan de normaal al in acht te nemen zorgvuldigheid op grond van de wet.

De bij uitstek deskundige opdrachtnemer dient het belang van zijn klant te allen tijde voorop te stellen en heeft bovendien diverse informatie-, onderzoeks-, en waarschuwingsplichten. Voor een aantal beroepsgroepen (banken, notarissen) is deze bijzondere zorgplicht aangenomen.

Ransomware en zorgplicht

Ook voor het IT-bedrijf wordt aangenomen dat deze een bijzondere zorgplicht heeft jegens zijn klant. Deze schakelt immers een IT-bedrijf in omdat de klant zelf de benodigde deskundigheid niet of onvoldoende in huis heeft. Maar hoe ver gaat die (bijzondere) zorgplicht?

Behoorlijk ver, zo oordeelde de rechtbank Amsterdam onlangs. Zo ver zelfs dat de klant beschermd moest worden tegen het gevaar van eigen lichtvaardigheid of gebrek aan inzicht!

In deze kwestie werd een klant getroffen door ransomware. De klant ziet geen andere mogelijkheid dan de hackers te betalen om zo weer toegang te krijgen tot zijn bestanden. Onderzoek naderhand wijst uit dat een gebrekkige beveiliging heeft bijgedragen aan de mogelijkheid van een ransomware-aanval en van de schade die daardoor is ontstaan. Drie tekortkomingen werden geconstateerd:

  • het ontbreken van een firewall;
  • het ontbreken van een externe back-upstructuur; en
  • het gebruik van zwakke wachtwoorden.

De rechtbank overweegt dat partijen hadden afgesproken dat het IT-bedrijf een “volledige IT-infrastructuur” aan zou leggen. Wat dat precies inhoudt, hebben partijen dan weer niet vastgelegd. De rechtbank vult dit daarom in en is van mening dat dit ook de aanleg van de daarbij behorende beveiliging inhoudt.

Dit was duidelijk niet gebeurd, waardoor de aanval mogelijk werd. Naar het oordeel van de rechtbank duidt het ontbreken van een firewall en van een externe back-upstructuur aan, dat het IT-bedrijf op dit punt te weinig inspanning heeft geleverd. Het ontbreken van deze twee veiligheidsmaatregelen komt daarom voor rekening van het IT-bedrijf.

Eigen schuld

Anders zit dat met de zwakke wachtwoorden. De rechtbank vindt dat de klant wat dit betreft het een en ander te verwijten valt. Juridische wordt dit “eigen schuld (art. 6:101 BW)” genoemd.

De werknemers van de klant vonden de door het IT-bedrijf voorgestelde wachtwoorden veel te lastig. Daarom is – tegen het advies van het IT-bedrijf in – gebruik gemaakt van (zeer?) zwakke wachtwoorden. Het IT-bedrijf had hier herhaaldelijk met de klant over gesproken. Een medewerker van de klant had dit ter zitting verklaard. De klant was zich bewust van de risico’s of had dit moeten zijn. Dit rekent de rechtbank de klant dan ook aan. De rechtbank houdt daarom een derde deel van de totale schade voor het risico van de klant.

Schade

De schade van de klant door de ransomware-aanval omvat (onder andere):

  1. het bedrag dat de klant aan losgeld heeft betaald;
  2. de winstderving doordat de onderneming van de klant enige tijd stil heeft gelegen; en
  3. de kosten van het onderzoek naar de oorzaken van de hack.

De kosten van het verbeteren van de beveiliging (firewall en externe back-up) vormen geen schade. Dit is ook logisch. Vóór de aanval was de beveiliging immers al niet op orde. De klant had daarom sowieso al verbeterkosten moeten maken om de aanval te voorkomen en zal dat nadien nog moeten doen. Kosten ter verbetering van bestaande beveiligingsgebreken zijn dus geen gevolg van de aanval en daarom ook geen schade van de klant.

Waarschuwingsplicht en dossieropbouw

Deze procedure had mogelijk beter kunnen aflopen voor het IT-bedrijf.

Hier wreekt zich dat de opdracht aan het IT-bedrijf (de aanleg van een “volledige IT-infrastructuur”) weinig specifiek was. De zorgplicht van het IT-bedrijf is bij een opdracht met vage afspraken hoger dan bij een duidelijk afgebakende opdracht, zeker als het een duurzame relatie betreft. Het is dus van groot belang een goede beschrijving van de opdracht te maken!

Wellicht had het IT-bedrijf zijn aansprakelijkheid verder kunnen beperken door goede dossieropbouw. Kijk naar de overweging met betrekking tot de zwakke wachtwoorden. Het IT-bedrijf had deze waarschuwingen zelf niet in correspondentie vastgelegd maar werd “gered” door de verklaringen van de medewerker van de klant dat het IT-bedrijf had gewaarschuwd. Idealiter zorg je er als IT-bedrijf voor dat je dit soort waarschuwingen aan klanten schriftelijk vastlegt!

Misschien had het IT-bedrijf ook wel uitgebreid gewaarschuwd voor het ontbreken van de firewall en/of de externe back-upstructuur, maar kon zij dit niet bewijzen omdat het niet was vastgelegd tussen partijen.

Uit het vonnis blijkt wel dat het IT-bedrijf een enkele waarschuwing had gegeven, maar de rechtbank vond dat een IT-bedrijf niet kan volstaan met een enkele waarschuwing aan de klant en verder berusten in de keuze(s) van de klant.  Van een IT-bedrijf wordt proactief en doortastend handelen verwacht: de bijzondere zorgplicht!

Heeft u vragen over IT-recht? Neemt u contact met mij op per mail: s.blommendaal@ruttenwelling.nl of per telefoon:  045 – 574 14 88 of 06 -139 37 903

mr. Serge Blommendaal

[1]. De term “verzwaarde” zorgplicht komt ook voor. Bij notarissen wordt vaak de term de “zwaarwegende” zorgplicht gebruikt. Dit duidt op het feit dat niet alleen het belang van de opdrachtgever(s) van de notaris moet worden beschermd maar ook “het vertrouwen dat de deelnemers aan het rechtsverkeer moeten kunnen stellen in een notariële akte” HR 28 september 1990, NJ 1991, 473 (Cezet)