Wat speelde er?

Administratiekantoor O’Cliance heeft een IT-leverancier ingeschakeld voor de (her)inrichting van haar IT-infrastructuur. Partijen hebben daarbij afgesproken dat de IT-leverancier een ‘totaalpakket’ levert. De IT-leverancier legt een volledige IT-infrastructuur aan en verzorgt tevens het beheer en onderhoud daarvan.

Op een gegeven moment wordt O’Cliance het slachtoffer van een ransomware-aanval. Hackers dringen door tot het netwerk van O’Cliance en versleutelen alle bestanden, inclusief de back-upbestanden. Pas na betaling van drie bitcoins (ter waarde van € 963,61 per stuk) krijgt O’Cliance weer toegang tot haar bestanden.

Uit een onderzoek dat O’Cliance laat uitvoeren, blijkt dat de aanval met eenvoudige (technische) maatregelen voorkomen had kunnen worden en dat het losgeld bovendien niet betaald had hoeven worden als de back-upvoorzieningen op de juiste manier ingeregeld waren. O’Cliance stapt daarom naar de rechter en vordert een schadevergoeding van de IT-leverancier.

Wat oordeelt de rechtbank?

De vraag die partijen verdeelt, is of de beveiliging van het netwerk deel zou moeten uitmaken van het totaalpakket dat de IT-leverancier zou leveren. Nu partijen de tussen hun geldende afspraken niet op papier hebben gezet, komt het aan op hetgeen partijen redelijkerwijs over de omvang van de opdracht hebben kunnen begrijpen en wat zij over en weer van elkaar mochten verwachten.

O’Cliance stelt dat zij haar IT-infrastructuur volledig in handen van de IT-leverancier heeft gelegd en dat adequate beveiliging daar vanzelfsprekend deel van zou moeten uitmaken. De IT-leverancier voert aan dat hij wel degelijk beveiligingsmaatregelen heeft voorgesteld, maar dat deze door O’Cliance van de hand zijn gewezen, omdat ze ‘te duur’ of ‘te veel gedoe’ waren. Volgens de rechtbank had het in dat geval op de weg van de IT-leverancier gelegen om de opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s. Een enkele waarschuwing is niet voldoende. De rechtbank komt dan ook tot de conclusie dat de IT-leverancier aansprakelijk is.

O’Cliance is volgens de rechtbank echter wel medeschuldig aan het ontstaan van het lek in de beveiliging, nu zij te gemakkelijke wachtwoorden gebruikte. De rechtbank stelt de schadevergoedingsplicht van de IT-leverancier daarom vast op 2/3 van de totale (vergoedbare) schade bestaande uit de drie als losgeld betaalde bitcoins, de kosten van het uitgevoerde onderzoek en de gederfde omzet van O’Cliance. Dit komt neer op een bedrag van €10.271,93 voor de IT-leverancier. De overige schade (inclusief de kosten voor verbeteringen aan het netwerk) blijft voor rekening van O’Cliance.

In het licht van bestaande ICT-rechtspraak verbaast deze uitspraak ons niet. In ICT-rechtspraak is al een aantal keren een (verzwaarde) zorgplicht voor ICT leveranciers aangenomen. Een voorbeeld daarvan is dat een leverancier voorafgaande aan de contractsluiting en tijdens de uitvoering van het contract klanten dient te informeren en te waarschuwen indien hun wensen niet gerealiseerd kunnen worden of grote risico’s in zich dragen, of indien nieuwe risico’s of bijkomende kosten ontstaan. De zorgplicht gaat kennelijk zelfs zover dat de IT-leverancier de opdracht dan maar terug moet geven of weigeren wegens onuitvoerbaarheid, als de klant zijn waarschuwingen niet wil opvolgen. Dat gaat in sommige gevallen wel ver.

Lees hier de volledige uitspraak van de Rechtbank Amsterdam in de zaak tussen O’Cliance en haar IT-leverancier (ECLI:NL:RBAMS:2018:10124).