Wie is aansprakelijk bij een ransomaanval?

13 sep 2021

Wanneer na een ransomwareaanval schade ontstaat is de ICT-dienstverlener daar dan aansprakelijk voor? Bijvoorbeeld wanneer backupbestanden ontbreken of er een lek zit in de beveiliging. Wie heeft welke verantwoordelijkheid op het gebied van veiligheid?

Door de hoeveelheid aan aanvallen op ICT-systemen, waarbij bestanden (soms met persoonsgegevens) worden gekopieerd of versleuteld, en de schade die daardoor ontstaat, neemt het aantal juridische procedures hierover ook toe. Zoals de zaak waarbij de klant de ICT-dienstverlener verwijt dat deze niet voor voldoende veiligheid van het ICT-systeem heeft zorggedragen. Als gevolg hiervan heeft de ransomware het systeem binnen kunnen dringen. Daarbij is ook software van een softwareleverancier verdwenen. De klant heeft een adviseur een rapport laten opstellen waarin de adviseur concludeert dat ‘een ernstige verstoring zoals de ransomwareaanval, slechts een kwestie van tijd was, gezien de staat van de ICT-omgeving’.

Wie is waarvoor aansprakelijk?

De rechtbank overweegt in deze uitspraak [1]dat de vraag ‘wat tussen partijen is overeengekomen afhankelijk (is) van hetgeen partijen over en weer hebben verklaard en uit elkaars verklaringen hebben afgeleid en in de gegeven omstandigheden redelijkerwijs mochten afleiden’. Op basis van de uitleg van de overeenkomst en hetgeen partijen daar over hebben verklaard, overweegt de rechtbank dat de overeenkomst tussen partijen inhield dat ook in de nieuwe situatie de ICT-dienstverlener verantwoordelijk was voor de “24/7 monitoring van servers, backups en netwerk” binnen de ICT-omgeving van de klant.

De klant kon niks met de gemaakte backups. De vraag was wie daarvoor verantwoordelijk was. De rechtbank komt hier zelf niet uit. De rechtbank benoemt daarom een deskundige die ‘de oorzaak moet onderzoeken van de omstandigheid dat ten tijde van de ransomaanval, dus in het voorjaar van 2018, bepaalde onderdelen binnen de ICT-omgeving van de klant niet binnen de (periodieke) back-ups vielen en de vraag beantwoorden of de ICT-dienstverlener op grond van communicatie met softwareleverancier ervan mocht uitgaan dat de map SQLBackup door deze werd gevuld’.

Veiligheid

De klant verwijt de ICT-dienstverlener verder dat zij niet voor voldoende veiligheid van het ICT-systeem heeft zorggedragen. Als gevolg hiervan heeft de ransomware het systeem binnen kunnen dringen, aldus de klant. De ICT-dienstverlener betwist dat zij niet voor voldoende veiligheid binnen het ICT-systeem van de klant heeft zorggedragen. Het ICT-systeem van de klant was bijvoorbeeld voorzien van firewalls. De ransomware besmetting was het gevolg van een menselijke fout van een medewerker van de klant en had niets te maken met het niveau van beveiliging. Een medewerker kan op een e-mail met bijlage hebben geklikt en die bijlage blijkt nadien een virus te bevatten dat zich in het systeem nestelt, aldus de ICT-dienstverlener. Dit kan zelfs de beste beveiliging niet tegenhouden, aldus de ICT-dienstverlener.

Ook hier komt de rechtbank zelf niet uit. De rechtbank wil ook hier een deskundige voor gaan benoemen en hem de volgende vragen laten beantwoorden:

  1. Wat is de oorzaak van het niet aanwezig zijn van de door de softwareontwikkelaar gemaakte software en andere data op de vanaf juli 2017 tot 12 april 2018 gemaakte (periodieke) back-ups? Als het antwoord op die vraag luidt dat de oorzaak is dat de map SQLBackups niet periodiek werd gevuld met actuele data/nieuwe software, kan worden vastgesteld of de ICT-dienstverlener hiervoor verantwoordelijkheid droeg?
  2. Wat is de oorzaak van de ransomwarebesmetting?
  3. Welke rol speelt de beveiliging van het ICT-systeem door de ICT-dienstverlener hierbij?

Nadat de deskundige de vragen heeft beantwoord, zal de rechtbank een eindvonnis wijzen. Daarin zal weer meer duidelijk worden over wie waarvoor aansprakelijk is en hoever die aansprakelijkheid reikt.

Over de aansprakelijkheid voor schade door een hack van persoonsgegevens, zie mijn eerder blog hierover.

BG.legal heeft een team van advocaten, juristen en data scientists die bedrijven en instellingen bijstaat wanneer zij te maken krijgen met een datalek. Wij adviseren ook de ICT bedrijven die hiervoor aansprakelijk worden gehouden. Een van de eerste vragen bij een datalek is of er mogelijk persoonsgegevens zijn gehackt en of er dus een melding bij de Autoriteit Persoonsgegevens gedaan moet worden (door de verwerkingsverantwoordelijke).

Voor vragen hierover kunt u contact opnemen met Jos van der Wijst (06-50695916 / wijst@bg.legal).

[1] Rechtbank Rotterdam 14-07-2021, ECLI:NL:RBROT:2021:8109

Jos van der Wijst