Beheer

Security
hack

Géén regen aan schadevergoedingen om schade door hack

Eén zwaluw maakt geen zomer.

Veiligheid © CC0: Pixabay,  ChristophMeinersmann
22 juni 2020

Automatiseerders mogen een borst natmaken, las ik vorige week in een artikel in het FD. Want, zo stond in de titel, automatiseerders wacht een stortvloed aan claims om schade door hackers. Het zat mij eerlijk gezegd meteen al niet lekker. Mijn voorspelling: één zwaluw maakt geen zomer.

Aanleiding voor het artikel is een vonnis uit 2018, welke recent pas is gepubliceerd, waarin een eenmans-IT bedrijf aansprakelijk wordt gehouden voor schade veroorzaakt door een geslaagde ransomware-aanval bij een administratiekantoor. De advocaat van het gedupeerde administratiekantoor, Anne-Wil Duthler, stelt in het artikel meer zaken onder haar hoede te hebben en lijkt de verwachting uit te spreken dat deze zaak de opstap is naar het toekennen van meer schadevergoedingen door rechters. Mijn voorspelling: dat gaat niet gebeuren. Deze zaak is daarvoor te atypisch. Ik zal u dit uitleggen.

Partijen hebben niets op papier gezet over de IT-dienstverlening. Daar begint het dus al. Want in de meeste gevallen zullen partijen een schriftelijke overeenkomst sluiten, waarin de verplichtingen en verantwoordelijkheden over en weer juridisch worden gekwalificeerd en uitgewerkt. En, niet onbelangrijk, een dergelijke overeenkomst bevat een regime omtrent de beperking van de aansprakelijkheid van de leverancier.

In deze zaak, lijkt de rechtbank allereerst uit te gaan van een projectmatige overeenkomst - namelijk de opdracht tot het aanleggen van een netwerk, waarbij de vraag moet worden beantwoord of de beveiliging ervan op orde is. De uitkomst zal bijvoorbeeld al genuanceerder liggen als de overeenkomst kwalificeert als een dienst.

Ten tweede leunt de rechtbank sterk op specifieke erkenningen van de IT-eenmanszaak (“de gedaagde”), zo blijkt uit het vonnis. Ik noem er een paar:

  • De gedaagde betwist “niet zozeer dat de opdracht tevens de aanleg van de beveiliging inhield, maar enkel dat gedaagde hier door toedoen van de eiser niet in is geslaagd.”
  • De gedaagde heeft ter zitting verklaard dat hij, op de vraag of het systeem veilig genoeg was “slechts zou hebben geantwoord: “Er moeten nog een aantal dingen bij.”
  • De gedaagde heeft op de zitting erkend dat “het met een goede beveiliging (…) had kunnen maken dat de hackers de aanval hadden afgebroken.”
  • De gedaagde heeft erkend dat “als er externe back-ups waren gebruikt, deze buiten het bereik van de ransomware waren gebleven” en het administratiekantoor “haar activiteiten dan aanzienlijk sneller had kunnen oppakken, zonder betaling van bitcoins”.

Ten derde bevat de uitspraak een opmerkelijk aspect. Uit het vonnis blijkt namelijk dat partijen het eens zijn dat “te gemakkelijke wachtwoorden” óók hebben bijgedragen “aan de gelegenheid voor geslaagde een ransomware-aanval”. En ook valt de lezen dat deze wachtwoorden “op uitdrukkelijk verzoek” van het administratiekantoor zijn vereenvoudigd. Ook blijkt dat het administratiekantoor “zich ervan bewust was dat het gebruik van simpele wachtwoorden risico’s met zich bracht”. De rechtbank verdisconteert dit niet in de grond voor aansprakelijkheid, maar enkel in de verdeling van de schade. Ik denk hier eerlijk gezegd genuanceerder over. En dat geldt ook voor de verdeelsleutel die de rechtbank hanteert: namelijk 2/3 voor de IT'er en 1/3 voor het administratiekantoor. Naar mijn smaak had de rechter dit punt zwaarder mogen toerekenen aan het administratiekantoor, en misschien wel meer dan 50 procent. Want ‘het succes’ van een ransomware-aanval begint immers bij het kraken van de wachtwoorden om binnen te kunnen dringen.

Over de bitcoins is de rechter tenslotte kort: “tussen partijen is niet in geschil dat [gedaagde] drie bitcoins ter waarde van € 963,61 en daarmee een totaalbedrag van € 2.890,83 heeft moeten betalen om haar bestanden te ontsleutelen. Dit bedrag zal daarom worden aangemerkt als schade die voor vergoeding in aanmerking komt”. De rechtbank onderbouwt dit verder niet, en ik vraag me af hoe hard partijen hun standpunten hierover hebben bepleit. Maar ik betwijfel of hiermee nu een vaste lijn in de rechtspraak is gezet.

Kortom, deze zaak zal mogelijk een stortvloed aan claims triggeren, maar het krijgen van een grote schadevergoeding is bepaald nog geen gelopen race, is mijn take. Ook niet met deze uitspraak in de hand.

Reactie toevoegen
2
Reacties
Bop 29 juni 2020 16:49

Oei, een 'teek'!
Pas op, ziekte van Lyme.

(Nederlands graag.)

Herbert 27 juni 2020 21:03

Een ransomware aanval begint lang niet altijd met het kraken van een wachtwoord.