Ransomware in de rechtspraak
De media berichtte er onlangs veelvuldig over: bedrijven zijn steeds vaker slachtoffer van ransomware (zie ook deze eerdere blog). De schade als gevolg van ransomware kan zo groot zijn, dat zelfs faillissement van het getroffen bedrijf in beeld kan komen.
Hoewel het verspreiden van ransomware al geruime tijd veelvuldig voorkomt, is de rechtspraak op dat gebied nog schaars. In deze blog bespreek ik twee uitspraken van de rechtbank Rotterdam: een in het strafrecht en een in het civiele recht.
Strafrecht: verspreiden ransomware is strafbaar
Het verspreiden van ransomware is een vorm van computercriminaliteit en is zodoende strafbaar (artikel 138ab Sr, computervredebreuk; artikel 350 Sr, hacking; artikel 317 Sr, afpersing).
In juli 2018 heeft de rechtbank Rotterdam voor het eerst twee personen veroordeeld voor het verspreiden van ransomware (Rb. Rotterdam 26-07-2018, ECLI:NL:RBROT:2018:6153, zie ook de annotatie van J.J. Oerlemans in Computerrecht 2018/210). De rechtbank stelt het door middel van ransomware ontoegankelijk maken van bestanden gelijk aan het begrip ‘geweld’ zoals bedoeld in het artikel voor afpersing ex 317 Sr. De verdachten kregen de maximale taakstraf van 240 uur opgelegd en een voorwaardelijke gevangenisstraf van 2 jaar.
Daarnaast moesten de verdachten een schadevergoeding betalen aan de benadeelden. De schade bestond uit het betaalde losgeld, eigen werk van personeel, het decrypten/encrypten van bestanden en het terugzetten van data. Tevens werd een (zeer beperkte) som aan immateriële schade toegewezen.
Een van de manieren om de door ransomware veroorzaakte schade (deels) te verhalen, is dus door u te als benadeelde partij te voegen in de strafzaak. Indien u te maken krijgt met ransomware, is het daarom ook belangrijk dat u aangifte doet bij de politie.
Privaatrecht: binnenhalen ransomware onrechtmatig?
In het civiele recht is ransomware eenmaal – op enigszins indirecte wijze – onderwerp van geschil geweest, wederom bij de rechtbank Rotterdam (26 juni 2018, ECLI:NL:RBROT:2018:4956).
Het ging daarin om een uitzendkracht die per ongeluk ransomware had binnengehaald bij het inlenende bedrijf. De inlener had daardoor stilgelegen en schade geleden. De inlener weigerde vervolgens de kosten voor de uitzendkracht aan het uitzendbureau te voldoen, waarop een conflict over de betaling van facturen ontstond. De inlener beriep zich daarbij onder andere op verrekening van de factuurbedragen met de schade die zij had geleden als gevolg van bewuste roekeloosheid van de uitzendkracht (6:170 BW). Uiteindelijk doet de rechtbank de zaak af op een exoneratieclausule, maar laat zich wel op interessante wijze uit over ransomware:
“Infraprocessing heeft echter verweer gevoerd en gesteld dat dit bedrag dient te worden verrekend met de door haar geleden schade als gevolg van de fout van [uitzendkracht]. Voor aansprakelijkheid op de voet van artikel 6:170 BW is nodig dat de kans op de fout van de ondergeschikte door de opdracht tot het verrichten van zijn taak is vergroot en degene in wiens dienst de ondergeschikte stond, uit hoofde van hun desbetreffende rechtsbetrekking zeggenschap had over de gedragingen waarin de fout was gelegen. Op de bewuste dag heeft [uitzendkracht] op de bedrijfscomputer van Infraprocessing ransomware binnengehaald nadat hij per ongeluk een update voor de browser Chrome had aangeklikt. Uit de toelichting die is gegeven valt op te maken dat de cybercriminelen de gebruiker doen geloven dat dit noodzakelijk is. Volgens Infraprocessing heeft [uitzendkracht] een waarschuwing van Chrome gekregen die hij heeft genegeerd, terwijl [uitzendkracht] betwist een dergelijke waarschuwing te hebben gehad. Hoe dit zij, duidelijk is dat [uitzendkracht] een fout heeft gemaakt en dat dit plaatsvond tijdens zijn werkzaamheden voor Infraprocessing. Infraprocessing stelt door deze fout schade te hebben geleden en spreekt daarvoor Rvaring aan. Strikt genomen is dat terecht. In het onderhavige geval moet namelijk geoordeeld worden dat de uitlener (Rvaring) zeggenschap had over haar ondergeschikte ([uitzendkracht]), al was de feitelijke zeggenschap uitbesteed aan Infraprocessing. Voldoende voor het aannemen van zeggenschap is namelijk dat Rvaring [uitzendkracht] voor Infraprocessing heeft geworven en geselecteerd en aan haar (voor 20 uur in de week) heeft uitgeleend om als medewerker schadeopname werkzaamheden te verrichten. De Hoge Raad geeft in zijn uitspraak van 14 juli 2017 (ECLI:NL:HR:2017:1345) een zeer ruime uitleg aan het begrip zeggenschap en het is voor een uitzendorganisatie niet gemakkelijk om aan aansprakelijkheid voor fouten van aan derden uitgeleende uitzendkrachten te ontkomen. Rvaring heeft in haar algemene voorwaarden aansprakelijkheid voor fouten van haar ondergeschikten uitgesloten. Alleen als Rvaring zelf het ernstige verwijt kan worden gemaakt dat zij een onbekwaam persoon aan Infraprocessing heeft uitgeleend kan aan de werking van de exoneratie worden ontkomen, maar dit is gesteld noch gebleken. En dat het naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn aansprakelijkheid uit te sluiten wordt niet aangenomen.”
Hoewel de uiteindelijke beoordeling anders is, oordeelt de rechtbank Rotterdam wel degelijk dat het binnenhalen van ransomware ‘een fout’ is. Bovendien staat die ‘fout’ in de sleutel van artikel 6:170 BW. Dat suggereert dat zelfs sprake is van een onrechtmatige daad. Ook al is dit dus maar een klein zinnetje in een uitspraak, met deze overweging wordt bevestigd dat de werkgever ook op digitaal gebied een verantwoordelijkheid heeft voor het handelen van haar ondergeschikten.
Dit brengt mee dat werkgevers zich moeten inspannen om hun ondergeschikten te informeren over ‘cyberhygiëne’: technische en organisatorische maatregelen om schade - zowel binnen de eigen organisatie als bij derden die de werkgever van de veroorzaker zouden kunnen aanspreken - zoveel mogelijk te voorkomen en te beperken. Denk daarbij aan het informeren van het personeel over hoe om te gaan met persoonsgegevens, het instellen van sterke wachtwoorden, adequaat toegangsbeleid (two-factor authentication), bevorderen van bekendheid met het datalekprotocol (incident response plan), bekendheid met het privacybeleid, kennis over phishing en social engineering, huisregels over het gebruik van gegevensdragers zoals usb-sticks en het gebruik van persoonlijke e-mailaccounts.
Meer weten?
Wilt u meer weten over de juridische aspecten van cyberrisico’s? Neem dan contact op met onze specialist mr. Nynke Brouwer of met een van de andere leden van het Dirkzwager Privacy- en Cybersecurity Team.
