Wie is aansprakelijk voor de schade na een ransomware-aanval?
Afgelopen jaren is de dreiging van ransomware wereldwijd toegenomen. Ook bij veel Nederlandse bedrijven en instellingen staat dit onderwerp hoog op de agenda. De schade die een ransomware-aanval kan veroorzaken is immers groot. Bij het inventariseren van de risico’s dient men echter niet alleen te kijken naar de mogelijke schade, maar ook naar degenen die daarvoor aansprakelijk kunnen worden gesteld. In deze blog wordt dieper ingegaan op de aspecten die daarbij relevant kunnen zijn. Een en ander zal worden toegelicht aan de hand van een arrest van het hof Amsterdam, waarin een bedrijf haar (oud) IT-leverancier aansprakelijk stelde voor de schade die was ontstaan ten gevolge van een ransomware-aanval.[1]
Wat ging eraan vooraf?[2]
Een ICT-bedrijf (hierna: “SoftCompany”) heeft in 2014 soft- en hardware geleverd aan een ander bedrijf (hierna: “VanVeen”). Aanvullend is er tussen beide partijen een onderhoud- en beheerovereenkomst gesloten voor de geleverde systemen. Daarbij hebben partijen hun verplichtingen uiteengezet in een Service Level Agreement (SLA), op grond waarvan SoftCompany onder meer verantwoordelijk was voor het in stand houden van een adequaat back up-systeem.
VanVeen werd in 2015 overgenomen door een ander bedrijf (hierna: “VanDaelen”). Deze heeft de SLA met SoftCompany nog een jaar in stand gehouden, waarna zij kenbaar heeft gemaakt dat zij met een ander bedrijf in zee wilde gaan (hierna: “MegaWare”).
Op 21 juni 2016 is de SLA tussen VanDaelen en SoftCompany beëindigd. SoftCompany had voor MegaWare een overdrachtsrapport opgesteld, waarin de technische specificaties van het ICT-systeem – met inbegrip van het back-up systeem – werden beschreven. Per 1 augustus 2016 zou MegaWare de werkzaamheden overnemen.
VanDaelen werd echter op 19 juli 2016 getroffen door een ransomware-aanval. Tot overmaat van ramp bleken er ook geen bruikbare back-ups te zijn waarmee het gegijzelde systeem kon worden hersteld. Vandaar dat VanDaelen ervoor had gekozen om het losgeld te betalen.
VanDaelen meent dat SoftCompany tekort is geschoten in de nakoming van haar verplichtingen uit hoofde van de SLA en daarmee aansprakelijk gehouden kan worden voor de schade die VanDaelen heeft geleden (i.e. het betaalde losgeld, de kosten voor de aanvullende werkzaamheden van MegaWare en de kosten die VanDaelen zelf heeft moeten maken voor het vaststellen en oplossen van de problemen).
SoftCompany betoogt echter dat zij aan haar verplichtingen heeft voldaan. De laatste back-up dateert namelijk van 29 april 2016, wat volgens SoftCompany recent genoeg is. SoftCompany is bovendien van mening dat het later laten ingaan van de overeenkomst met MegaWare, voor rekening en risico van VanDaelen komt.
Beoordeling van het hof
Tekortschieten in de nakoming
Volgens het hof diende SoftCompany op grond van de SLA de systemen zodanig te monitoren, dat de werking daarvan gegarandeerd werd. Dit brengt onder meer met zich mee dat SoftCompany een recente en volledige back-up voorhanden zou moeten hebben tot aan de dag waarop de SLA zou worden beëindigd (i.e. 21 juni 2019). In het onderhavige geval vond het hof een back-up van bijna twee maanden geleden te oud.
Toerekenbaarheid
SoftCompany betwist dat er een causaal verband bestaat tussen haar tekortkoming - i.e. geen recente en volledige back-up voorhanden hebben - en de door VanDaelen aangevoerde schadeposten.
Volgens het hof bestaat er echter een causaal verband tussen het tekortschieten van SoftCompany en de verschillende schadeposten. Zo zou VanDaelen vanwege het ontbreken van een back-up ertoe gedwongen worden om het losgeld te betalen. Daarnaast acht het hof het voldoende aannemelijk dat VanDaelen in het kader van haar schadebeperkingsplicht de nodige uren heeft moeten spenderen – en dus kosten heeft moeten maken – voor het oplossen van de problemen die waren ontstaan door het ontbreken van de back-up.
Het hof is echter ook van oordeel dat (een groot deel van) de schade die VanDaelen heeft geleden het gevolg is van feiten en omstandigheden die aan VanDaelen zelf kunnen worden toegerekend. VanDaelen heeft er namelijk zelf voor gekozen om het nieuwe contract met MegaWare pas zes weken na het einde van de SLA aanvang te laten vinden. Op het moment van de hack was SoftCompany al bijna een maand niet meer verantwoordelijk voor de beveiliging van de systemen. Vandaar dat het hof meent dat het feit dát VanDaelen was gehackt, ook in overwegende mate aan haarzelf kan worden toegerekend.
Al deze punten tegen elkaar afgewogen, komt het hof tot de conclusie dat 2/3de van de schade die VanDaelen heeft geleden het gevolg is van feiten en omstandigheden die aan haarzelf zijn toe te rekenen. SoftCompany dient slechts 1/3de van de geleden schade te vergoeden.
Conclusie
Het hof bekijkt deze kwestie vanuit verschillende invalshoeken. Het hof hecht niet alleen belang aan het feit dat er geen mogelijkheid voor de gedupeerde bestond om stappen te ondernemen tegen (de nadelige gevolgen van) de ransomware-aanval, maar ook aan het feit dát er überhaupt een ransomware-aanval heeft kunnen plaatsvinden. Het laatste kan aan een gedupeerde worden toegerekend, indien deze ervoor kiest om de nieuwe onderhoud- en beheerovereenkomst niet direct in te laten gaan na de einddatum van de daaraan voorafgaande overeenkomst.
[1] Hof Amsterdam 14 april 2020, ECLI:NL:GHAMS:2020:1308 (Ransomware).
[2] Namen zijn gefingeerd.