Netwerkbeheerder aansprakelijk voor schade als gevolg van cyberaanval

In de desbetreffende procedure vorderde een onderneming in de olie- en brandstoffensector, dat slachtoffer was geworden van een ransomware-aanval, schadevergoeding van zijn netwerkbeheerder. Deze vordering werd door de rechtbank toegewezen: de netwerkbeheerder was aansprakelijk voor de schade. De uitspraak is vooral interessant voor de vraag onder welke omstandigheden, en op welke wijze, een IT-leverancier moet waarschuwen voor beveiligingsrisico’s. De uitspraak onderstreept in ieder geval de volgende twee punten voor de praktijk:

• Onduidelijkheid over het point-of-entry (hoe hebben de aanvallers nu precies toegang gekregen tot het netwerk) hoeft niet in de weg te staan aan het vestigen van aansprakelijkheid van de netwerkbeheerder. Als duidelijk is dat de schade voorkomen had kunnen worden met behulp van netwerksegmentatie, een beter wachtwoordbeleid of een deugdelijk afgescheiden back-upvoorziening, kan dat voldoende zijn om aansprakelijkheid vast te stellen.
• De inhoud van de overeenkomst bepaalt mede de reikwijdte van de zorgplicht van een netwerkbeheerder. Over het algemeen wordt van een netwerkbeheerder verwacht dat hij proactief handelt en de klant nadrukkelijk waarschuwt voor beveiligingsrisico’s. Deze waarschuwingsplicht mag niet lichtvaardig worden opgevat. Een netwerkbeheerder moet de klant indringend en herhaaldelijk, en in duidelijke bewoordingen, wijzen op beveiligingsrisico’s. Een enkele zin in een e-mail of het feit dat een offerte is uitgebracht waarin extra beveiligingsmaatregelen zijn aangeboden, is doorgaans niet voldoende.

Neem voor vragen contact op met Jeroen van Helden, advocaat IT, Privacy & Cybersecurity.

Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Schrijf u dan in voor onze nieuwsbrief!