De casus
De IT-leverancier verrichtte diensten op het gebied van IT en automatisering voor een administratiekantoor. Een schriftelijke overeenkomst hadden deze partijen niet.
In 2009 heeft de IT-leverancier op verzoek van het administratiekantoor de IT-infrastructuur opnieuw ingericht en nadien beheer- en onderhoudswerkzaamheden verricht. Bij het aanleggen van de nieuwe infrastructuur heeft de IT-leverancier verschillende suggesties gedaan voor beveiliging, bijvoorbeeld het aanleggen van een firewall en het werken met roulerende externe schijven als back-up.
Deze suggesties werden door het administratiekantoor afgeslagen vanwege de kosten en het gedoe. De IT-leverancier heeft deze maatregelen dus achterwege gelaten. Het administratiekantoor was geen leek op computergebied en wist volgens de IT-leverancier dus welke risico’s aan deze keuze kleefden.
Jaren later, in 2017, werd het administratiekantoor getroffen door ransomware. Het systeem kon niet worden teruggezet met een back-up. Ter verkrijging van de sleutel tot de bestanden op de server heeft het administratiekantoor uiteindelijk drie bitcoins van ruim € 950,- per stuk betaald.
Uit het onderzoek dat het administratiekantoor vervolgens heeft laten uitvoeren, bleek dat de ransomware is ontstaan door een combinatie van zwakke wachtwoorden en een gemakkelijke toegang. Volgens het onderzoeksbureau had deze aanval met relatief eenvoudige maatregelen voorkomen kunnen worden, namelijk het gebruik van sterkere wachtwoorden, een VPN-verbinding en een betere back-upvoorziening. Het betalen van losgeld had voorkomen kunnen worden met een op de juiste manier ingeregelde back-up.
De IT-leverancier heeft na de aanval herstelwerkzaamheden verricht voor het administratiekantoor en deze werkzaamheden in rekening gebracht. Het administratiekantoor weigert echter om deze facturen te betalen, omdat de IT-leverancier in haar ogen toerekenbaar tekort is geschoten.
De standpunten
Het administratiekantoor heeft de IT-leverancier aansprakelijk gesteld. Volgens het administratiekantoor was met de IT-leverancier afgesproken dat deze een volledige IT-infrastructuur zou aanleggen en dus ‘totaalpakket’ zou leveren. Onderdeel van dit totaalpakket is de adequate beveiliging van het netwerk, zo stelt het administratiekantoor. De IT-leverancier was er immers van op de hoogte dat een adequate beveiliging van groot belang was, omdat zij met gevoelige gegevens werkt.
De IT-leverancier stelt daar tegenover dat hij wel beveiligingsmaatregelen heeft voorgesteld, maar dat het administratiekantoor deze telkens van de hand had gewezen. Dit terwijl het administratiekantoor geen leek was en dus ook zelf goed kon inschatten wat daarvan de risico’s zouden zijn.
Daarnaast stelt de IT-leverancier dat een ransomware-aanval nooit kan worden uitgesloten. Daarmee betwist de IT-leverancier dus het causaal verband tussen een eventuele tekortkoming van zijn kant en het plaatsvinden van de aanval (en daarmee het ontstaan van de schade).
Het oordeel
Inhoud overeenkomst: beveiligingsmaatregelen zijn onderdeel van het aanleggen IT-infrastructuur
De rechtbank gaat niet mee in dit verweer van de IT-leverancier. Het administratiekantoor is er terecht van uitgegaan dat de IT-leverancier bij het vervullen van de opdracht om een volledige IT-infrastructuur aan te leggen, tevens zorg zou dragen voor een adequate beveiliging. Volgens de rechter is het moeilijk voorstelbaar dat onder een ‘totaalpakket’ niet ook de aanleg van de daarbij behorende beveiliging zou zijn inbegrepen.
Verantwoordelijkheid beveiliging ligt bij IT-leverancier, óók als afnemer voorgestelde beveiligingsmaatregelen weigert
Door geen firewall aan te leggen en geen externe back-ups te verzorgen, heeft de IT-leverancier zijn opdracht niet goed uitgevoerd, zo oordeelt de rechter. Het feit dat het administratiekantoor bepaalde beveiligingsmaatregelen zelf niet wilde, maakt dat niet anders. De IT-leverancier had dan de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aandragen, of op zijn minst indringend en herhaaldelijk moeten waarschuwen voor de risico’s die het achterwege laten van een firewall en een externe back-upstructuur met zich zouden brengen.
Enkele waarschuwing is niet voldoende
Ook het argument dat het administratiekantoor geen leek was en zij deze risico’s dus ook zelf had kunnen inschatten, is volgens de rechter onvoldoende om de IT-leverancier van zijn verantwoordelijkheden te ontslaan. Gezien de professionele deskundigheid van de IT-leverancier kon hij niet met een enkele waarschuwing volstaan.
Causaal verband wordt aangenomen
De rechtbank neemt bovendien causaal verband aan, omdat de IT-leverancier heeft erkend dat het met goede beveiliging, waaronder sterke wachtwoorden, in ieder geval langer had geduurd voordat de hackers het netwerk hadden kunnen binnendringen en zij het daarom misschien wel hadden opgegeven. Daarnaast heeft de IT-leverancier erkend dat externe back-ups de betaling van losgeld mogelijk hadden kunnen voorkomen. De gevolgen van de aanval waren dan beperkt gebleven.
Eigen schuld wegens zwakke wachtwoorden
Op één punt komt de rechter de IT-leverancier tegemoet. Het administratiekantoor heeft er zelf voor gekozen om zwakke wachtwoorden te gebruiken. Dit komt voor rekening van het administratiekantoor. De rechter stelt het gedeelte eigen schuld vast op 1/3e.
Schade: omzetderving, personeelskosten, losgeld en kosten extern onderzoek
Als gevolg van de ransomware-aanval heeft het administratiekantoor een aantal weken stilgelegen. De gederfde omzet en het geleden verlies door de gemaakte personeelskosten moeten door de IT-leverancier worden vergoed. Ook de kosten voor het uitvoeren van het externe onderzoek naar de oorzaak van de ransomware komen voor vergoeding in aanmerking.
Daarnaast merkt de rechtbank de betaalde bitcoins aan als schade die voor vergoeding in aanmerking komt, zodat ook deze kosten door de IT-leverancier moeten worden vergoed.
Commentaar
Nalaten treffen beveiligingsmaatregelen schending (zorg)plicht IT-leverancier
Wat van de IT-leverancier aan inspanning mag worden verwacht, wordt in principe bepaald door de afspraken die partijen met elkaar hebben gemaakt, dus het contract en (vaak) de bijbehorende algemene voorwaarden. Daarnaast dient de IT-leverancier op grond van artikel 7:401 de zorg van een goed opdrachtnemer in acht te nemen: hij dient zich als een redelijk bekwaam en redelijk handelend vakgenoot te gedragen.
Indien een schriftelijke overeenkomst ontbreekt, is niet altijd duidelijk wat partijen precies hebben afgesproken. Het gaat er dan om wat partijen gelet op de omstandigheden van over en weer redelijkerwijs van elkaar mochten verwachten. Deze uitspraak van de rechtbank Amsterdam is daar een voorbeeld van.
Tussen partijen ontbrak een schriftelijke overeenkomst. Enkel stond vast dat de IT-leverancier de volledige IT-infrastructuur zou aanleggen en dat vervolgens zou beheren en onderhouden. Een belangrijke conclusie die in mijn ogen uit dit vonnis van de rechtbank Amsterdam kan worden getrokken, is dat indien partijen de levering van een ‘totaalpakket’ overeenkomen, de IT-leverancier ook beveiligingsmaatregelen moet treffen. De IT-leverancier handelt in strijd met zijn verplichtingen wanneer hij dat vervolgens nalaat, omdat de klant de voorgestelde beveiligingsmaatregelen van de hand wijst. In dat geval rust op de IT-leverancier een vergaande waarschuwingsplicht: hij dient de opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn indringend en herhaaldelijk te waarschuwen voor de risico’s die het achterwege laten van beveiliging met zich brengen. Een enkele waarschuwing is dus niet voldoende
Deze waarschuwingsplicht is een onderdeel van de zorgplicht die op de IT-leverancier rust. Dat bleek ook al uit eerdere uitspraken (zie daarover dit overzichtsartikel over de bijzondere zorgplicht van de IT-leverancier van mijn kantoorgenoot Sven Wakker).
Causaal verband en back-ups
Daarnaast is deze uitspraak interessant ten aanzien van het aangenomen causaal verband. De IT-leverancier heeft aangevoerd dat een ransomware-aanval nooit kan worden uitgesloten. Dat is ook de reden dat IT-leveranciers in branchevoorwaarden veelal bepalen dat op hun slechts een inspanningsverplichting rust en dat zij hun aansprakelijkheid beperken.
Het causaal verband is altijd een lastig punt bij cyberincidenten. Hoe kan immers worden vastgesteld dat de (in dit geval) ransomware-aanval niet zou hebben plaatsgevonden indien er andere maatregelen waren getroffen? Een technische onmogelijkheid daartoe kan niet worden gerealiseerd (100% veiligheid bestaat niet). Er is hooguit sprake van een kleinere kans.
De rechtbank Amsterdam neemt dit causaal verband echter aan, doordat de IT-leverancier erkent dat de aanval mogelijk niet had plaatsgevonden indien gebruik zou zijn gemaakt van sterkere wachtwoorden en dat het losgeld niet betaald had hoeven worden indien gebruik zou zijn gemaakt van een anders ingeregelde back-ups. De doorslag van het aannemen van causaal verband lijkt daarmee te zijn gelegen in het ontbreken van (correct ingeregelde) back-ups.
Back-ups ter voorkoming van betaling losgeld bij ransomware verplichte beveiligingsmaatregel?
Uit het vonnis van de rechtbank Amsterdam zou kunnen worden afgeleid dat het inrichten van de juiste back-upstructuur, namelijk back-ups waarmee voorkomen kan worden dat er losgeld moet worden betaald, een onderdeel is van de beveiligingsmaatregelen die onder de verplichtingen van de IT-leverancier vallen. Uiteraard dient het aanbrengen van die (mate van) beveiliging dan onderdeel uit te maken van de opdracht die tussen partijen is overeengekomen (zie voor een voorbeeld waarin dat niet het geval was de uitspraak van het gerechtshof Amsterdam van 28 april 2015, ECLI:NL:GHAMS:2015:1635).
Ook op dat punt is het dus belangrijk dat partijen hierover duidelijke en specifieke afspraken maken.
Conclusie
Uit de uitspraak van de rechtbank Amsterdam volgt een aantal leerpunten:
- Het belang van duidelijke (schriftelijke) afspraken;
- Indien het treffen van adequate beveiligingsmaatregelen tot de opdracht van de IT-leverancier behoort, rust op de IT-leverancier als deskundige de (zorg)plicht om beveiligingsmaatregelen te treffen om ransomware-aanvallen te voorkomen;
- Indien de afnemer bepaalde (noodzakelijke) beveiligingsmaatregelen van de hand wijst, kan de IT-leverancier niet volstaan met een enkele waarschuwing. Hij dient dan op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s van het achterwege laten van deze beveiligingsmaatregelen, alternatieven aan te dragen of zelfs de opdracht te weigeren wegens onuitvoerbaarheid.
Vragen?
Heeft u vragen over ransomware, cybersecurity, verplichtingen van de IT-leverancier of schade en aansprakelijkheid? Neem dan contact op met mr. Nynke Brouwer of een van onze andere specialisten op het gebied van het IT-recht.
