Vorige week, op 10 mei, oordeelde de Rechtbank Overijssel dat de gemeente Hof van Twente geen recht heeft op de geëiste schadevergoeding die verband heeft met een cyberaanval uit 2020. De aanvallers versleutelden destijds de systemen en back-ups van de gemeente en verwijderden veel virtuele servers. De gemeente had geweigerd om €750.000 losgeld te betalen aan de hackers, waarna haar hele IT-infrastructuur werd platgelegd. Vervolgens wees de gemeente met de vinger naar haar IT-dienstverlener, Switch IT, en eiste een schadevergoeding van vier miljoen euro. Dat deze eis werd afgewezen is voor veel bedrijven en instellingen onverwacht en tegelijkertijd een wake-up call. Daarom zet ik graag uiteen hoe dit in elkaar zit en wat de rol van de IT-dienstverlener is in dit soort situaties.
In de Nederlandse wet is de ‘zorgplicht’ opgenomen. Dit betekent dat een dienstverlener, zoals een IT-bedrijf, bij het uitvoeren van zijn werkzaamheden de zorg van een goede dienstverlener in acht moet nemen (art. 7:401 BW). Met andere woorden, hoe zou een competent en redelijk handelend vakgenoot in dezelfde situatie hebben gehandeld? Het is belangrijk om bij dit onderwerp stil te staan, omdat hier vaak naar wordt teruggegrepen wanneer partijen onvoldoende schriftelijk hebben vastgelegd, dit was ook het geval in de zaak Gemeente Hof van Twente/Switch IT.
Er zijn een paar belangrijke learnings uit eerdere rechtszaken over de zorgplicht van IT-dienstverleners:
Een IT-dienstverlener moet rekening houden met de belangen van derden. Een IT-dienstverlener is immers vaak een schakel in een keten naar de klanten van zijn eigen klanten. Het opzeggen van een overeenkomst kan dus niet alleen gevolgen hebben voor de directe klant, maar ook voor de rest van de keten. In de casus Pinkroccade/ Uniface heeft de Rechtbank geoordeeld dat het belang van de rest van de keten zwaarder woog dan die van de opzeggende partij (IT-dienstverlener), vooral nu het om securityrisico’s ging, daarom was het voor de IT-dienstverlener niet mogelijk om de overeenkomst op te zeggen.
Geen enkel systeem is volledig veilig (Gerechtshof Arnhem-Leeuwarden, 4-09-2018). Elke IT-infrastructuur kan potentieel gehackt worden. Een IT-dienstverlener kan je hierover dus geen garanties bieden, maar deze kan bij een hack wel verantwoordelijk of aansprakelijk zijn.
Het is niet altijd voldoende voor een IT-dienstverlener om de klant te waarschuwen voor beveiligingsrisico’s. In de O’Cliance zaak werd geoordeeld dat de IT-dienstverlener haar zorgplicht had geschonden omdat ze niet voldoende beveiligingsmaatregelen had genomen. De Rechtbank oordeelde dat er van het ‘totaalpakket’ dat verkocht was redelijkerwijs verwacht mocht worden dat deze ook de aanbevolen beveiligingsmaatregelen bevatte. Het weigeren van een offerte voor aanbevolen securitymaatregelen ontslaat een dienstverlener die een ‘totaalpakket’ verkoopt niet van zijn zorgplicht.
In de zaak van de gemeente Hof van Twente en Switch IT, oordeelde de rechter dat de zorgplicht van Switch IT, zowel op basis van de Europese aanbesteding als via een aparte zorgplicht niet was geschonden. Dit kwam door een aantal belangrijke factoren:
De gemeente stelde dat er tienduizenden inlogpogingen zijn gedaan op de servers van de gemeente die niet werden opgemerkt door de IT-dienstverlener. Partijen waren monitoring overeengekomen op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een bruteforceaanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk. Dat dat hier het geval is geweest, had de gemeente wel gesteld, maar niet onderbouwd, aldus de Rechtbank. De gemeente heeft via de Baseline Informatiebeveiliging Overheid (BIO) en de voorganger van die Baseline, de BIG, geprobeerd om de eisen van security monitoring via de zorgplicht op te leggen aan de IT-dienstverlener. Maar daar ging de Rechtbank niet in mee. De overeenkomst ging immers over functionele monitoring en het is niet zo dat securitymonitoring daar dan ook maar gratis onder moet vallen via de zorgplicht.
De gemeente had zelf een account met de hoogste beheerrechten en 24/7 toegang tot haar back-up via een internetverbinding die zij zelf beheerde. Switch IT had gewaarschuwd voor de risico’s hiervan en had een veiligere back-up oplossing aangeboden, maar de gemeente had dit afgewezen vanwege de kosten. Daarover oordeelde de Rechtbank dat de gemeente de zorgplicht van de IT-dienstverlener had gehinderd.
De gemeente had zelf een aantal onzorgvuldigheden begaan die de cyberaanval mogelijk hadden gemaakt, zoals het openzetten van een RDP-poort in de firewall en het instellen van een zwak wachtwoord. Bovendien had de gemeente deze wijzigingen niet gemeld aan Switch IT.
Security is complex en tegenwoordig zijn er veel verschillende securitydiensten op de markt beschikbaar. Het is lastig om de innovaties bij te houden en te bepalen waar je goed aan doet. Deze zaak leert ons dat het ontbreken van (basis)beveiligingsmaatregelen en het niet melden van beveiligingsrisico’s niet automatisch betekent dat de IT-dienstverlener zijn zorgplicht heeft geschonden.
Een gewaarschuwd mens telt voor twee. Pak dus de huidige IT-overeenkomst erbij en controleer wat precies de afspraken zijn. Laat je goed adviseren en zorg er bij gedeeltelijk beheer voor dat je afspraken maakt over de communicatie bij wijzigingen. Wij helpen je hier graag bij.
Safety is in the details!
Rene BlokhuisLegal Counsel
