Wanneer is een ICT-leverancier verantwoordelijk voor adequate back-ups?
Een goede back-up strategie is essentieel tegen ransomware-aanvallen. Veel ICT-leveranciers hebben er dan ook voor gekozen om een back-up service op te nemen in hun dienstverlening. In de praktijk wil dit echter nog wel eens fout lopen. Zo ook in een recente uitspraak van de rechtbank Overijssel.[1]
Wat ging eraan vooraf?
Cottoncounts verkoopt bad- en bedlinnen in haar webshop. Zij maakt daarbij gebruik van de IT-infrastructuur die zij heeft gekocht van CCG Retail. Aanvullend heeft Cottoncounts een dienstverleningsovereenkomst gesloten met CCG Retail voor het onderhoud van de systemen.
Op 7 september 2020 vindt er een ransomware-aanval plaats, waardoor duizenden product- en sfeerfoto’s van Cottoncounts verloren zijn gegaan. Cottoncounts stelt CCG Retail aansprakelijk voor de door haar geleden schade. CCG Retail meent echter dat zij niet tekort is geschoten in de nakoming van haar verplichtingen, omdat partijen nimmer concrete afspraken hebben gemaakt over de beveiliging van de systemen en/of het maken van back-ups.
Beoordeling van de rechtbank
Omdat partijen hun afspraken niet (volledig) op papier hebben gezet, moet er volgens de rechtbank gekeken worden naar wat partijen redelijkerwijs over de omvang van de koop- en dienstverleningsovereenkomst hebben kunnen begrijpen en wat zij over en weer van elkaar mochten verwachten.
In het onderhavige geval mocht Cottoncounts ervan uitgaan dat CCG Retail bij het aanleggen van een volledige IT-infrastructuur tevens zorg zou dragen voor een adequate beveiliging van de gegevens. Dit zou slechts anders zijn, indien CCG Retail uitdrukkelijk met Cottoncounts had besproken dat zij daar juist niet voor zou zorgen.
Het feit dat CCG Retail de hostingdiensten had uitbesteed aan een hostingprovider, doet volgens de rechtbank evenmin af aan haar eigen verantwoordelijkheid om zorg te dragen voor een adequate beveiliging. CCG Retail had bijvoorbeeld afspraken kunnen maken met de hostingprovider maken over de beveiliging van de servers. In het onderhavige geval is dat maar voor één van de servers gebeurd. De rechtbank stelt dan ook vast dat CCG Retail tekort is geschoten in de nakoming van haar verplichtingen tegenover Cottoncounts.
Tot slot merkt de rechtbank op dat CCG Retail geen beroep kan doen op de aansprakelijkheidsbeperkingen die in haar algemene voorwaarden zijn opgenomen. CCG Retail had Cottoncounts namelijk geen redelijke mogelijkheid geboden om daarvan kennis te nemen. Volgens de rechtbank komt de gevorderde schadevergoeding dan ook – tot een zeker bedrag – voor toewijzing in aanmerking.
Conclusie
Een ICT-leverancier dient de gegevens van haar klanten adequaat te beveiligen, ook wanneer partijen dit niet contractueel hebben vastgelegd. De ICT-leverancier kan deze verantwoordelijkheid echter beperken, door uitdrukkelijk met de klant te bespreken dat de beveiliging van de systemen en/of het maken van back-ups niet onder de dienstverlening valt.
Heeft u vragen of wilt u meer informatie? Neem contact op met onze sectie Tech.
[1] Rb. Overijssel 9 maart 2022, ECLI:NL:RBOVE:2022:717.