Wie is aansprakelijk bij een ransomaanval?

13 sep 2021

Wanneer na een ransomwareaanval schade ontstaat is de ICT-dienstverlener daar dan aansprakelijk voor? Bijvoorbeeld wanneer backupbestanden ontbreken of er een lek zit in de beveiliging. Wie heeft welke verantwoordelijkheid op het gebied van veiligheid?

Door de hoeveelheid aan aanvallen op ICT-systemen, waarbij bestanden (soms met persoonsgegevens) worden gekopieerd of versleuteld, en de schade die daardoor ontstaat, neemt het aantal juridische procedures hierover ook toe. Zoals de zaak waarbij de klant de ICT-dienstverlener verwijt dat deze niet voor voldoende veiligheid van het ICT-systeem heeft zorggedragen. Als gevolg hiervan heeft de ransomware het systeem binnen kunnen dringen. Daarbij is ook software van een softwareleverancier verdwenen. De klant heeft een adviseur een rapport laten opstellen waarin de adviseur concludeert dat ‘een ernstige verstoring zoals de ransomwareaanval, slechts een kwestie van tijd was, gezien de staat van de ICT-omgeving’.

Wie is waarvoor aansprakelijk?

De rechtbank overweegt in deze uitspraak [1]dat de vraag ‘wat tussen partijen is overeengekomen afhankelijk (is) van hetgeen partijen over en weer hebben verklaard en uit elkaars verklaringen hebben afgeleid en in de gegeven omstandigheden redelijkerwijs mochten afleiden’. Op basis van de uitleg van de overeenkomst en hetgeen partijen daar over hebben verklaard, overweegt de rechtbank dat de overeenkomst tussen partijen inhield dat ook in de nieuwe situatie de ICT-dienstverlener verantwoordelijk was voor de “24/7 monitoring van servers, backups en netwerk” binnen de ICT-omgeving van de klant.

De klant kon niks met de gemaakte backups. De vraag was wie daarvoor verantwoordelijk was. De rechtbank komt hier zelf niet uit. De rechtbank benoemt daarom een deskundige die ‘de oorzaak moet onderzoeken van de omstandigheid dat ten tijde van de ransomaanval, dus in het voorjaar van 2018, bepaalde onderdelen binnen de ICT-omgeving van de klant niet binnen de (periodieke) back-ups vielen en de vraag beantwoorden of de ICT-dienstverlener op grond van communicatie met softwareleverancier ervan mocht uitgaan dat de map SQLBackup door deze werd gevuld’.

Veiligheid

De klant verwijt de ICT-dienstverlener verder dat zij niet voor voldoende veiligheid van het ICT-systeem heeft zorggedragen. Als gevolg hiervan heeft de ransomware het systeem binnen kunnen dringen, aldus de klant. De ICT-dienstverlener betwist dat zij niet voor voldoende veiligheid binnen het ICT-systeem van de klant heeft zorggedragen. Het ICT-systeem van de klant was bijvoorbeeld voorzien van firewalls. De ransomware besmetting was het gevolg van een menselijke fout van een medewerker van de klant en had niets te maken met het niveau van beveiliging. Een medewerker kan op een e-mail met bijlage hebben geklikt en die bijlage blijkt nadien een virus te bevatten dat zich in het systeem nestelt, aldus de ICT-dienstverlener. Dit kan zelfs de beste beveiliging niet tegenhouden, aldus de ICT-dienstverlener.

Ook hier komt de rechtbank zelf niet uit. De rechtbank wil ook hier een deskundige voor gaan benoemen en hem de volgende vragen laten beantwoorden:

  1. Wat is de oorzaak van het niet aanwezig zijn van de door de softwareontwikkelaar gemaakte software en andere data op de vanaf juli 2017 tot 12 april 2018 gemaakte (periodieke) back-ups? Als het antwoord op die vraag luidt dat de oorzaak is dat de map SQLBackups niet periodiek werd gevuld met actuele data/nieuwe software, kan worden vastgesteld of de ICT-dienstverlener hiervoor verantwoordelijkheid droeg?
  2. Wat is de oorzaak van de ransomwarebesmetting?
  3. Welke rol speelt de beveiliging van het ICT-systeem door de ICT-dienstverlener hierbij?

Nadat de deskundige de vragen heeft beantwoord, zal de rechtbank een eindvonnis wijzen. Daarin zal weer meer duidelijk worden over wie waarvoor aansprakelijk is en hoever die aansprakelijkheid reikt.

Over de aansprakelijkheid voor schade door een hack van persoonsgegevens, zie mijn eerder blog hierover.

BG.legal heeft een team van advocaten, juristen en data scientists die bedrijven en instellingen bijstaat wanneer zij te maken krijgen met een datalek. Wij adviseren ook de ICT bedrijven die hiervoor aansprakelijk worden gehouden. Een van de eerste vragen bij een datalek is of er mogelijk persoonsgegevens zijn gehackt en of er dus een melding bij de Autoriteit Persoonsgegevens gedaan moet worden (door de verwerkingsverantwoordelijke).

Voor vragen hierover kunt u contact opnemen met Jos van der Wijst (06-50695916 / wijst@bg.legal).

[1] Rechtbank Rotterdam 14-07-2021, ECLI:NL:RBROT:2021:8109

Jos van der Wijst

    AVG-compliance check
    Lees meer
    Belang van een modelregistratie
    Lees meer
    AVG-startpakket
    Lees meer
    Strengere regels voor invloedrijke influencers
    Lees meer
    De strijd om de beschrijvende handelsnamen: Trainingskampen.nl en Trainingskamp.nl
    Lees meer
    Rechter roept dance-programmering van Q-music halt toe: hoe zit het?
    Lees meer
    Modelrecht op friet
    Lees meer
    Nederlandse woningcorporaties getroffen door datalek
    Lees meer
    Inschrijfformulier datalekken
    Lees meer
    Advocaat Jos van der Wijst over Mensgerichte AI
    Lees meer
    Bescherming merken in de virtuele wereld
    Lees meer
    EU en VS bereiken principeakkoord over het uitwisselen van data
    Lees meer
    Foto's van gezichten verzamelen
    Lees meer
    Wanneer is een ICT-leverancier verantwoordelijk voor adequate back-ups?
    Lees meer
    Student stagiaire Cybersecurity, Privacy en IT-recht
    Lees meer
    AI regulatory sandboxes en data
    Lees meer
    Is de vormgeving van een website auteursrechtelijk beschermd?
    Lees meer
    Juridische aspecten van Artificial Intelligence
    Lees meer
    Europese Commissie komt met voorstel nieuwe dataregels
    Lees meer
    Korting advocaatkosten voor MKB-ondernemers bij juridisch advies in 2022
    Lees meer
    Gebruik Google Analytics mogelijk in strijd met de AVG
    Lees meer
    European Data Protection Day: wat te doen bij een datalek?
    Lees meer
    Kortingsactie merk- en modelregistratie 2022
    Lees meer
    Wie heeft auteursrecht op software/vormgeving app/website?
    Lees meer
    Champagne en het intellectueel eigendomsrecht
    Lees meer
    AI: Toezicht en Toolbox
    Lees meer
    Wie is aansprakelijk voor de schade na een ransomware-aanval?
    Lees meer
    Cybersecurity en datalekken
    Lees meer
    Silhouet sinterklaas: auteursrechtinbreuk met inpakpapier
    Lees meer
    Financiële tegemoetkoming voor Juridisch advies
    Lees meer
    (Senior) Medewerker IE/IT/Privacy
    Lees meer
    Wanneer mag je software decompileren?
    Lees meer
    Keuzes bij cloud services
    Lees meer
    Er zijn al regels voor AI toepassingen
    Lees meer
    Restvoorraad bij einde distributieovereenkomst
    Lees meer
    Model moet nieuw zijn bij aanvraag modelregistratie
    Lees meer
    Inbreuk beschrijvende handelsnaam tóch mogelijk
    Lees meer
    Fake factuur na een merk- of modelregistratie, pas op!
    Lees meer
    Legal AIR
    Lees meer
    Het decoderen van producten kan onrechtmatig zijn
    Lees meer
    Wanneer een schadevergoeding na een datalek?
    Lees meer
    Uber-chauffeurs nu ook werknemers
    Lees meer
    Merken op verzenddozen: mag dat wel?
    Lees meer
    Kortingsperiode op merk- en modelregistraties verlengd
    Lees meer
    Nieuwsbrief voor datascience ondernemingen
    Lees meer
    Kun je een auteursrecht krijgen op een algoritme?
    Lees meer
    Financiële mogelijkheden voor groei van een onderneming
    Lees meer
    Paralympier aangereden door zelfrijdende bus
    Lees meer
    Wapenen tegen copycats? Registreer je merk!
    Lees meer
    Recept en foto’s gekopieerd door Sonja Bakker: plagiaat of auteursrechtinbreuk?
    Lees meer
    Inwerkingtreding van EU Open Data richtlijn
    Lees meer
    Risico check voor AI toepassingen
    Lees meer
    AI-systeem als uitvinder?
    Lees meer
    Een AI-systeem als baas?
    Lees meer
    IE in de holding
    Lees meer
    Ook het verwerken van voertuigdata is begrensd
    Lees meer
    Online oplichting en zakelijke identiteitsfraude: wat te doen?
    Lees meer
    Succesvol webinar Fashion & Law deel 2
    Lees meer
    Gebruik van cookies in jouw webshop: Aan welke regels moet ik mij houden?
    Lees meer
    EK-gekte losgebarsten: KNVB vs. Jumbo
    Lees meer
    Belangrijke wijzigingen auteursrecht: makers en exploitanten
    Lees meer
    Jouw eigen gezicht als merkregistratie: kan dat?
    Lees meer
    Legal Department as-a-Service
    Lees meer
    Misleidende duurzaamheidsclaims in de modebranche: Waar moet ik op letten?
    Lees meer
    Nieuwe gezondheidsclaim: wetenschappelijk bewijs vereist
    Lees meer
    Er is ruimte voor onderhandeling bij Arbitvoorwaarden
    Lees meer
    Succesvol webinar legal voor AI startups/scale-ups
    Lees meer
    Schadevergoeding na hack persoonsgegevens?
    Lees meer
    Software as a Service: grip op data
    Lees meer
    Succesvol webinar Praktijkvoorbeelden van AI, E-Health en contractering in de zorg
    Lees meer
    Nieuwe Europese regels voor artificial intelligence
    Lees meer
    Successful webinar NDA, secrecy and cooperation
    Lees meer
    Het delen van data en vertrouwelijkheid
    Lees meer
    Nooit geschoten is altijd mis: Tommy Hilfiger vs. Facebook uiteengezet
    Lees meer
    Intellectueel eigendom en Tech: waar moet je op letten?
    Lees meer
    Reclame maken voor corona zelftesten
    Lees meer
    Wilt u weten of uw merk nog vrij is?
    Lees meer
    Later als ik groot ben..
    Lees meer
    Het gebruik van (framed) hyperlinks vs. het auteursrecht
    Lees meer
    Nieuwsgierig en creatief meedenken, Jos van der Wijst
    Lees meer
    Succesvol webinar beschermingsmogelijkheden van AI
    Lees meer
    Exclusiviteitsafspraak in een samenwerkingsovereenkomst
    Lees meer
    Succesvol webinar Fashion & Law deel 1
    Lees meer
    Een geschil/discussie kan ook snel en voor redelijke kosten worden opgelost
    Lees meer
    SyRI wetgeving in strijd met EVRM
    Lees meer
    Google verwijdert (onterechte?) negatieve recensie niet
    Lees meer
    Succesvol webinar AI in de Zorg
    Lees meer
    Hoezo kan ik geen eigenaar zijn van (zorg)data?
    Lees meer
    Functie van cosmetische producten verplicht op verpakking
    Lees meer
    Modelrecht en auteursrecht op inwerpzuil
    Lees meer
    Merkonderzoek: Hoe voorkom je merkinbreuk?
    Lees meer
    Doorhaling van een merkregistratie
    Lees meer
    Een webshop: mag alles zomaar of gelden er regels?
    Lees meer
    Een merk moet ook daadwerkelijk gebruikt worden
    Lees meer
    Mag je foto's van werknemers gebruiken?
    Lees meer
    Sinterklaas is toch gewoon sinterklaas?
    Lees meer
    Aanbevelingen aansprakelijkheid bij AI
    Lees meer
    Het nieuwe algoritmeregister van de gemeente Amsterdam
    Lees meer
    Algoritme via Detachering
    Lees meer
    Algoritme als Software
    Lees meer
    Mensgerichte Artificiële Intelligentie sessie van NL AI coalitie
    Lees meer
    Auteursrechten & Artificial Intelligence
    Lees meer
    Is nieuwe wet- of regelgeving nodig voor AI?
    Lees meer
    Positiemerk: kan je dat beschermen?
    Lees meer
    Algoritme als een Dienst
    Lees meer
    Van wie is het model?
    Lees meer
    Beperkingen in licentieovereenkomst door mededingingsrecht
    Lees meer
    Is een registratiedossier beschermd door auteursrecht?
    Lees meer
    Wees de copycats voor!
    Lees meer
    Wie is verantwoordelijk voor de analyse door een algoritme?
    Lees meer
    Hoe om te gaan met de inkoopvoorwaarden AI van gemeenten?
    Lees meer
    Mag ik een zelftest voor corona verkopen?
    Lees meer
    Inspiratie in de fashion industrie: wat zijn de grenzen?
    Lees meer
    Gaia-X biedt Europese landen oplossing voor beheer en gebruik van data
    Lees meer
    Er komt een nieuwe rechtsvorm: de maatschappelijke BV
    Lees meer
    Hulp bij verwijderen van vervelende YouTube video’s: een stappenplan
    Lees meer
    Agentuur- en bemiddelingsovereenkomst, wat is het verschil?
    Lees meer
    Merkgebruik bij import producten en doorverkoop
    Lees meer
    BG.legal ontvangt subsidie voor AI kennisplatform
    Lees meer
    Bescherming merkrecht: hoe ver gaat dat?
    Lees meer
    Vernietiging van een ingeschreven merk: hoe dan?
    Lees meer
    Nieuwsbrief Tech - meld je aan
    Lees meer
    NL Digital voorwaarden 2020: verbetering positie IT leverancier
    Lees meer
    Een kritische blik op de Corona-apps van de overheid
    Lees meer
    De roep om het vrijgeven van voertuigdata
    Lees meer
    Domeinnamen
    Lees meer
    Voorbeeld tijdelijke licentie voor productie hulpmiddelen tijdens Corona crisis
    Lees meer
    Nieuwsbrief BG Tech: de uitdagingen voor IP en Technologie & gratis webinar corona
    Lees meer
    Tekort materialen corona bestrijding. Is 3D printing of dwanglicentie oplossing?
    Lees meer
    Wanneer kan een IT overeenkomst worden ontbonden?
    Lees meer
    De octrooigemachtigde en het faillissement (deel 3)
    Lees meer
    Wie heeft recht op de domeinnaam?
    Lees meer
    De octrooigemachtigde en het faillissement (Deel 2)
    Lees meer
    Geslaagde bijeenkomst Blockchain & Food tijdens Den Bosch Data Week
    Lees meer
    Seminar 19 november: Investeren en financieren 2.0
    Lees meer
    De octrooigemachtigde en het faillissement (deel 1)
    Lees meer
    Kartelverbod ook bij (Tech-)licenties en samenwerkingscontracten aanwezig
    Lees meer
    Den Bosch Data Week: Practical experiences Blockchain and Food
    Lees meer
    Productomschrijving op een website. Auteursrecht mogelijk?
    Lees meer
    Nieuw Intellectueel Eigendomsrecht/ IT recht advocatenkantoor in Eindhoven
    Lees meer
    Tips voor het verkrijgen van auteursrechten
    Lees meer
    Auteursrecht op website(teksten)
    Lees meer
    Het beëindigen van de onderneming bij een inbreuk op IE-rechten
    Lees meer
    Is de vormgeving van een industrieel product beschermd?
    Lees meer
    Doordacht samenwerken geeft meer macht
    Lees meer
    BG.legal participeert in onderzoek naar gebruik van big data en AI door zorginstellingen
    Lees meer
    BG.tech
    Lees meer
    Vacatures
    Lees meer