Dat een hack vergaande gevolgen kan hebben, bleek weer eens toen enkele weken geleden de computers van een belangrijke leverancier van Albert Heijn werden gehackt. Dit had tot gevolg dat een groot deel van de vrachtwagens van de betreffende leverancier niet meer kon leveren, waardoor er dagen lang sprake was van een tekort aan kaas in de supermarkten.
Dit is zomaar een van de vele voorbeelden van hacks met ransomware, die naar verwachting de komende tijd alleen maar vaker zullen voorkomen. Zeker in de maakindustrie en de logistieke sector. Door een hack kan het gehele productieproces of het transport stil komen te liggen. Partijen in deze branches zijn derhalve voor hackers een interessant doelwit, omdat zij mogelijk sneller geneigd zijn hackers te betalen om verdergaande schade te voorkomen. Maar hoe zit het eigenlijk met de aansprakelijkheid voor schade als gevolg van een ransomware-aanval? En wie is verantwoordelijk voor een juiste beveiliging en het maken van back-ups?
Vooropgesteld: het is natuurlijk niet zo dat hacks volledig kunnen worden voorkomen. Wel kan door adequate beveiliging het risico op hacks zo klein mogelijk worden gemaakt. Dit betekent dat regelmatig een update moet plaatsvinden van de gebruikte software en dat genomen beveiligingsmaatregelen constant moeten worden gecontroleerd en aangepast: wat vandaag een voldoende beveiliging is, is dat morgen misschien niet meer. Bovendien kan het maken van goede back-ups ervoor zorgen dat hackers niet hoeven te worden betaald, omdat de toegang tot gegevens in dat geval door een hack niet volledig verloren gaat. Als achteraf komt vast te staan dat een ransomeware-aanval voorkomen had kunnen worden door de juiste beveiliging of als geen schade was ontstaan als regelmatig back-ups zouden zijn gemaakt, dan is de vraag wie voor deze schade aansprakelijk kan worden gehouden.
In veel gevallen zal een IT-leverancier zijn ingeschakeld voor het leveren van bepaalde hardware en software of de aanleg van een IT-infrastructuur. Of ook het zorgen voor de juiste beveiliging, het updaten van software en het maken van back-ups behoort tot de verantwoordelijkheid van de IT-leverancier, hangt in beginsel af van wat partijen daarover contractueel hebben afgesproken. Is aan de IT-leverancier bijvoorbeeld een enkele specifieke opdracht gegeven of is de IT-leverancier verantwoordelijk voor het gehele IT-beheer? In sommige gevallen zullen duidelijke afspraken zijn gemaakt. Als dat niet het geval is, dan moet worden beoordeeld wat partijen redelijkerwijs konden begrijpen in verband met de omvang van de opdracht en wat zij over en weer van elkaar mochten verwachten. In verband met het antwoord op de vraag wat partijen over en weer van elkaar mogen verwachten speelt ook de deskundigheid van partijen een rol.
Als een IT-leverancier is ingeschakeld om een totaalpakket te leveren, mag eerder worden aangenomen dat daarbij behorende beveiliging is inbegrepen dan wanneer een enkele opdracht aan een IT-leverancier is verstrekt voor de levering van bijvoorbeeld een specifiek onderdeel. Om discussie te voorkomen is van belang om met een IT-leverancier duidelijke afspraken te maken over de te nemen beveiligingsmaatregelen, het updaten daarvan en de verantwoordelijkheid voor het maken van back-ups, bijvoorbeeld in een Service Level Agreement (SLA). Als de IT-leverancier hiervoor niet wordt ingeschakeld, zorg dan in ieder geval voor een intern proces op grond waarvan beveiligingsmaatregelen periodiek worden gecontroleerd en regelmatig back-ups worden gemaakt. Op die manier kan schade als gevolg van ransomware-aanvallen zoveel mogelijk worden voorkomen.
