We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
Bij een aanval met gijzelsoftware worden de bestanden van het slachtoffer versleuteld en krijgt deze pas toegang tot de bestanden na het betalen van losgeld. Eventueel wordt ook gedreigd met het publiceren van buitgemaakte data. Bij een goed uitgevoerde aanval heeft het slachtoffer feitelijk de keuze uit drie opties: i) betalen, ii) een back-up terugzetten of iii) de data als verloren beschouwen. Optie ii is uiteraard alleen mogelijk als een recente back-up aanwezig is en deze niet ook is versleuteld door de aanvallers.
Nu aanvallen met gijzelsoftware in Nederland steeds vaker voorkomen, dringen geschillen over de nasleep daarvan ook vaker door tot de rechtspraak. Hieronder volgt een bloemlezing van relevante uitspraken.
Volgens de rechtbank mag een klant verwachten dat bij een opdracht tot levering van een ‘totaalpakket’ – bestaand uit de aanleg en het beheer en onderhoud van een bedrijfsnetwerk – het aanleggen van een adequate beveiliging is inbegrepen. Door het netwerk aan te leggen zonder firewall en externe back-ups had de IT-leverancier deze opdracht niet naar behoren uitgevoerd. Dat de klant de voorgestelde beveiligingsmaatregelen van de hand had gewezen maakte dit niet anders. In dat geval had de IT-leverancier volgens de rechtbank de opdracht wegens onuitvoerbaarheid moeten weigeren, alternatieven moeten aandragen, of indringend en herhaaldelijk moeten waarschuwen over de risico’s.
Uiteindelijk kan ieder computersysteem worden gehackt, zodat een klant in principe geen volledig ‘hackvrij’ systeem mag verwachten.
Gelet op de bewoordingen van de gesloten SLA mag de klant redelijkerwijs geen storingsvrije beschikbaarheid verwachten. Op de leverancier rust een inspanningsverplichting tot het leveren van een adequaat functionerende digitale werkomgeving waarbij de leverancier ingeval van storingen adequaat, conform de overeengekomen servicelevels, moet reageren op meldingen. De storingen als gevolg van de aanvallen met gijzelsoftware liggen buiten de invloedssfeer van de leverancier, zodat deze niet aansprakelijk is.
Een verhuurder van serverruimte is niet verplicht om een hosting provider te beschermen tegen DDoS-aanvallen noch om de klant te waarschuwen voor de gevaren daarvan. Van de hosting provider mag ter zake meer dan gemiddelde kennis en kunde worden verwacht.
Gelet op de bewoordingen van de SLA was de IT-leverancier ervoor verantwoordelijk dat ten tijde van de beëindiging van de SLA een volledige en recente back-up aanwezig was (vgl. ECLI:NL:GHAMS:2015:1635). Nu dit niet het geval was, is de leverancier tekortgeschoten in zijn verplichtingen op grond van de SLA. Het betaalde losgeld kwalificeert als schade.
Wat moet een IT-leverancier leren uit deze uitspraken? Hoewel de uitkomst in ieder van deze zaken sterk afhing van de concrete feiten en omstandigheden, moet een IT-leverancier daaruit in ieder geval de volgende drie lessen trekken.
Wilt u meer weten over aansprakelijkheid voor schade bij hacks en andere incidenten? Neem gerust contact op met ons team.
Jeroen van Helden, advocaat IT, Privacy & Cybersecurity