Het komt steeds vaker voor dat hackers software van bedrijven gijzelen met behulp van zogenoemde ‘ransomware’. De ransomware wordt vaak per ongeluk binnengehaald door te klikken op een link in een spam e-mail, of doordat hackers doelbewust weten te infiltreren in (vaak niet- geüpdatete) software. Aangezien vrijwel alle software, bestanden en data worden gegijzeld door de ransomware zijn de financiële gevolgen voor de onderneming vaak gigantisch. Om verdere schade te voorkomen wordt in veel gevallen dan ook losgeld betaald (vaak in Bitcoins), in ruil voor een de-cryptiecode om zodoende weer toegang tot de software en data te verkrijgen.
Maar wie is eigenlijk aansprakelijk voor een dergelijke aanval? Kan een ICT-leverancier aansprakelijk zijn voor de schade van haar klant ten gevolge van een ransomware-aanval? Of is het enkel de ondernemer zelf die moet opdraaien voor de gevolgen? In een kwestie die recent bij het Gerechtshof Amsterdam (ECLI:NL:GHAMS:2021:508) speelde boog het hof zich over deze vraag.
Wat was er aan de hand?
In voornoemde kwestie was er een conflict ontstaan tussen een ICT-leverancier en een (voormalig) klant die slachtoffer was geworden van een ransomware-aanval. De ICT-leverancier had voor de klant software geleverd en tegen betaling ook maandelijks beheer- en onderhoudswerkzaamheden uitgevoerd op basis van een Service Level Agreement (SLA). Onderdeel van deze SLA was dat de ICT-leverancier een adequaat back-upsysteem in stand zou houden.
In maart 2016 maakt de klant kenbaar dat hij de overeenkomst met de ICT-leverancier wil beëindigen. Vanaf maart 2016 bereidt de ICT-leverancier dan ook de overdracht van het beheer en onderhoud van de software voor. In april 2016 bericht de klant dat hij met een nieuwe partij een overeenkomst zal gaan sluiten. De SLA met de ICT-leverancier wordt vervolgens op 21 juni 2016 definitief beëindigd. Alle toegangscodes van de software worden op deze datum aan de klant verstrekt. Daarnaast stelt de ICT-leverancier ook een overdrachtsrapport op waarin onder andere het backup-systeem wordt beschreven. Hoewel de voormalig ICT-leverancier dus feitelijk op 21 juni 2016 met haar werkzaamheden is gestopt, begint de nieuwe ICT-leverancier (pas) op 1 augustus 2016 met haar werkzaamheden.
De klant wordt vervolgens op 19 juli 2016 (vlak na de overdracht dus) getroffen door een ransomware-aanval. De gijzelsoftware maakt gebruik van de software onmogelijk en de klant betaalt de hackers noodgedwongen op 26 juli 2016 € 1.371,21 aan Bitcoins om de blokkade op te heffen. De hackers geven vervolgens op 29 juli de de-cryptiecode aan de klant zodat de software kan worden vrijgegeven.
Wat vordert de klant?
In de procedure bij de kantonrechter vordert de klant betaling van ruim € 18.000,00. De klant stelt zich namelijk op het standpunt dat de ICT-leverancier is tekortgeschoten in de nakoming van de SLA en daarmee aansprakelijk is voor de schade die zij daardoor heeft geleden. De schade is met name het gevolg van het feit dat de ICT-leverancier geen adequate back-ups van de software zou hebben, waardoor de gegijzelde software niet direct hersteld kon worden. De ICT-leverancier vordert juist betaling van een factuur voor werkzaamheden die zij heeft moeten verrichten vanwege de extra werkzaamheden ten gevolge van de ransomware-aanval.
Wat oordeelt de kantonrechter?
De kantonrechter wijst de vordering van de klant af en die van de ICT-leverancier toe. De kantonrechter oordeelt namelijk dat de klant er zelf voor heeft gekozen om de nieuwe ICT-leverancier pas op 1 augustus te laten aanvangen met haar werkzaamheden. De gevolgen hiervan komen dus volledig voor rekening en risico van de klant. Daarnaast is onvoldoende onderbouwd dat er geen adequate back-ups door de ICT-leverancier zouden zijn gemaakt. De klant is het oneens met dit oordeel en gaat in hoger beroep.
Wat oordeelt het hof?
Het hof oordeelt anders en oordeelt dat het ontbreken van back-ups wel degelijk een tekortkoming oplevert in de nakoming van de SLA. Door het ontbreken van deze back-ups kon de klant namelijk niet adequaat genoeg reageren op de ransomware-aanval. Dat er feitelijk geen overeenkomst meer tussen de klant en de ICT-leverancier bestond doet daar niets aan af. Wel oordeelt het hof dat het feit dát de klant gehackt kon worden in overwegende mate aan de klant zelf kan worden toegerekend. De klant dient daarom 2/3 van de schade zelf te dragen.
Praktische tips voor de praktijk
Bedrijven zijn steeds vaker in vergaande mate afhankelijk van software voor het functioneren van hun onderneming. Het is daarom van cruciaal belang dat zij goed zijn voorbereid in het geval er een ransomware-aanval plaatsvindt. Op het moment dat u een overeenkomst gaat sluiten met een ICT-leverancier dient u daarom duidelijke afspraken te maken over het uitvoeren schadebeperkende maatregelen en het uitvoeren regelmatige back-ups. Hoe snel dient er bijvoorbeeld te worden gereageerd door de ICT-leverancier, welke concrete acties worden ondernomen en hoe vaak wordt er een back-up gemaakt? Ook dient u stil te staan bij de vraag wie er wanneer aansprakelijk is. Stapt u over van ICT-leverancier? Voorkom dat situaties dat u zonder ondersteuning zit en controleer of back-ups up-to-date zijn. Juist in deze situaties bent u kwetsbaar en is het veelal lastig om eventuele schade met succes op de voormalige ICT-leverancier te verhalen.
Heeft u vragen over het opstellen van ICT-contracten of wilt u juridisch advies in geval van een ransomware-aanval? Neem dan contact op met een van onze specialisten Valerie Lipman of Joost van Dongen.
Deze pagina is op 8 augustus 2023 voor het laatst bijgewerkt.
