Een recente uitspraak van de Rechtbank Noord-Nederland toont aan dat IT-resellers aansprakelijk gehouden kunnen worden voor schade door ransomware-aanvallen. Deze zaak werd beschreven door advocaat Jeroen van Helden van De Clercq Advocaten Notariaat.
Jeroen van Helden is advocaat en gespecialiseerd in IT, Privacy & Cybersecurity en schreef eerder over deze zaak in het tijdschrift Computerrecht.
De zaak in vogelvlucht
Een onderneming in de olie- en brandstoffensector die onder meer tankstations exploiteert, werd op 12 oktober 2019 getroffen door een ransomware-aanval. Niet alleen de werkbestanden, maar ook de back-ups werden versleuteld, waardoor de bedrijfsvoering werd lamgelegd.
Het bedrijf eiste schadevergoeding van de netwerkbeheerder, een IT-reseller uit Coevorden die sinds 2010 het netwerkbeheer verzorgde onder een contract dat liep tot eind 2019.
De contractuele afspraken
Wat was afgesproken?
De overeenkomst uit 2018 omvatte preventief onderhoud, 24×7 monitoring en remote health checks. De IT-reseller was contractueel verplicht de beveiliging van de ICT-omgeving maandelijks te controleren en bevindingen te melden.
Cruciale bepaling over security
Het contract bevatte een specifieke clausule: “Uitvoerder zal de deugdelijkheid van de security beoordelen en haar bevindingen aan Opdrachtgever mededelen.”
Waar ging het mis?
Erkende beveiligingsproblemen
De IT-reseller erkende dat verschillende cruciale beveiligingsmaatregelen ontbraken: netwerksegmentatie, whitelisting van IP-adressen en deugdelijke wachtwoordbeveiliging. Bovendien gebruikte de netwerkbeheerder hetzelfde wachtwoord voor back-ups als voor serveraccounts.
Onvoldoende waarschuwingen
Hoewel de IT-reseller beweerde de klant te hebben geadviseerd over de beveiligingsrisico’s, oordeelde de rechtbank dat dit onvoldoende was onderbouwd. Een e-mail met “Wachtwoordbeleid nakijken Done, geen eenduidig beleid” werd niet als adequate waarschuwing beschouwd.
Gebrekkige communicatie
Een offerte voor een nieuwe ICT-omgeving bevatte weliswaar veiligere oplossingen, maar communiceerde niet expliciet de urgentie van de bestaande beveiligingsrisico’s.
Het oordeel van de rechtbank
Aansprakelijkheid vastgesteld
De rechtbank oordeelde dat de IT-reseller toerekenbaar was tekortgeschoten. De netwerkbeheerder had de klant niet “in duidelijke bewoordingen” gewezen op de beveiligingsrisico’s en de urgentie daarvan.
Causaliteit bewezen
Volgens de rechtbank hadden netwerksegmentatie, beter wachtwoordbeleid en een afgescheiden back-up de schade kunnen voorkomen. Het precieze punt van binnenkomst hoefde niet te worden vastgesteld.
Schadevergoeding verschuldigd
De IT-reseller werd aansprakelijk gehouden voor de geleden schade, waaronder kosten voor forensisch onderzoek en externe hulp. Wel kon de IT-reseller een beroep doen op de exoneratieclausule in zijn algemene voorwaarden.
Belangrijke lessen voor IT-resellers
Expliciete waarschuwingen vereist
Het is niet voldoende om beveiligingsrisico’s te signaleren. IT-resellers moeten klanten expliciet, herhaaldelijk en aantoonbaar (schriftelijk) waarschuwen voor concrete risico’s en de urgentie daarvan.
Documentatie is cruciaal
Zorg voor duidelijke documentatie van alle beveiligingsadviezen en waarschuwingen. Een korte e-mail of algemene offerte volstaat niet als bewijs van adequate waarschuwing.
Contractuele verplichtingen serieus nemen
Besef dat contractuele verplichtingen om beveiliging te beoordelen en daarover te rapporteren zwaar wegen. Niet-nakoming van zulke verplichtingen kan leiden tot aansprakelijkheid voor schade bij een ransomware-aanval.
Beveiligingslagen implementeren
Het ‘ui-model’ van beveiliging wordt steeds belangrijker: ga ervan uit dat aanvallers op enig moment binnenkomen en zorg voor adequate segmentatie en gescheiden back-ups.
Praktische aanbevelingen
Voor contracten
Maak duidelijke afspraken over de verdeling van verantwoordelijkheden voor informatiebeveiliging. Beperk waar mogelijk de aansprakelijkheid door heldere exoneratieclausules.
Voor communicatie
Waarschuw niet alleen, maar leg ook uit waarom maatregelen urgent zijn. Gebruik duidelijke taal en vermijd technisch jargon dat de ernst kan verhullen.
Voor implementatie
Zorg dat eigen werkwijzen (zoals wachtwoordgebruik) geen extra risico’s introduceren. Dit ondermijnt de geloofwaardigheid en vergroot de kans op aansprakelijkheid.
Conclusie
Deze uitspraak toont dat IT-resellers niet kunnen volstaan met het oppervlakkig signaleren van beveiligingsrisico’s. De rechtbank verwacht expliciete, duidelijke en herhaalde waarschuwingen met concrete uitleg van risico’s en urgentie.
Voor netwerkbeheerders betekent dit: investeer in duidelijke communicatie over beveiligingsrisico’s, documenteer alle waarschuwingen zorgvuldig, en zorg dat contractuele afspraken realistisch en haalbaar zijn. De kosten van adequate communicatie wegen niet op tegen de potentiële schade bij aansprakelijkstelling.
Wil je meer over dit onderwerp weten of zoek je op andere IT-vlakken juridische ondersteuning, ga dan naar de website van De Clercq Advocaten.