Juridische aspecten van ransomware aanvallen

 in IT-Aanbestedingsrecht, IT-recht

Afgelopen vrijdag is wereldwijd op grote schaal een ransomware-aanval gepleegd, waarbij de gegevens van duizenden bedrijven die gebruik maken van de Kaseya tool, waaronder in Nederland, zijn gegijzeld. Kaseya is een Amerikaans bedrijf dat software levert waarmee IT-leveranciers in staat zijn om beheersdiensten op afstand uit te voeren. Maandag werd bekend dat de groep achter de ransomware aanval (waarschijnlijk de aan Rusland gelieerde REvil-groep) 70 miljoen dollar aan bitcoins eist voor een universele decryptie sleutel waarmee de gegijzelde bestanden kunnen worden ontsleuteld.

Ransomware aanvallen zijn de laatste tijd steeds vaker in het nieuws. Zo is in de Verenigde Staten recentelijk het grootste oliepijpleidingbedrijf slachtoffer geworden van een cyberaanval. Maar ook in Nederland zijn slachtoffers gevallen. Het kaasverpakkingsbedrijf Bakker heeft het kort geleden nog moeten ontgelden. In het jaarlijkse Cybersecuritybeeld Nederland dat eind vorige maand is gepubliceerd en is opgesteld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Nationaal Cyber Security Centrum zijn ransomware aanvallen zelfs als een risico voor de nationale veiligheid van Nederland aangemerkt.

In onze praktijk zien wij ook cliënten die geconfronteerd worden ransomware aanvallen. Wij staan steeds vaker partijen bij die betrokken zijn in een geschil over aansprakelijkheid voor schade als gevolg van ransomware aanvallen. De belangrijkste vraag hierbij is: had de aanval voorkomen kunnen worden en, zo ja, wie was daar verantwoordelijk voor? In een procedure die ons kantoor voor de IT-leverancier heeft gewonnen, heeft het Hof van Arnhem hierover in 2018 al geoordeeld dat ieder computersysteem uiteindelijk kan worden gehackt, zodat er geen volledig hackfree systeem mag worden verwacht. Maar wat mag je dan wel verwachten?

Bij de beantwoording van deze vraag spelen de bepalingen in het contract tussen partijen een belangrijke rol. Zo heeft de rechtbank van Amsterdam  in 2018 geconcludeerd dat, ondanks dat het niet mogelijk is om een ransomware aanval met technische maatregelen volledig te voorkomen, de IT-leverancier aansprakelijk was voor een deel van de schade als gevolg daarvan. De betreffende IT-leverancier zou niet hebben voldaan aan de opdracht om adequate beveiliging aan te leggen, omdat een firewall en een externe back-up structuur ontbrak. De zorgplicht van de IT-leverancier speelt ook een grote rol.  Aan de hand van de omstandigheden van het geval, waaronder de contractuele afspraken over de inhoud van de opdracht, wordt bepaald hoe zwaar de zorgplicht van de IT-leverancier is en welke verplichting als gevolg daarvan op hem rusten. In het vonnis van de rechtbank van Amsterdam wordt door de rechtbank geoordeeld dat de IT-leverancier de opdracht uiteindelijk had moeten weigeren, alternatieven voor de beveiliging had moeten opdragen en meerdere keren had moeten waarschuwen voor de risico’s van de beveiligingssituatie, ondanks dat de opdrachtgever meerdere voorstellen van de IT-leverancier voor het inbouwen van een adequate beveiliging had afgeslagen. Dit is dus een vergaande verplichting voor de IT-leverancier. Belangrijk in deze zaak is wel dat de IT-leverancier en de opdrachtgever geen schriftelijke overeenkomst hadden gesloten en de rechtbank mede daarom tot de conclusie kwam dat de opdracht om adequate beveiliging te verzorgen onderdeel van de dienstverlening was.

Bovenstaande laat zien dat het belangrijk is om in het contract tussen de IT-leverancier en de opdrachtgever duidelijk op te schrijven wat de verantwoordelijkheden en aansprakelijkheden met betrekking tot de IT-(beheers)dienstverlening zijn en meer in het bijzonder met betrekking tot de beveiliging van de beheerde IT-omgeving.

Bij vragen over dit onderwerp, neem dan gerust contact op met Veerle Cordemeyer en Wouter Huisman.

Onder andere hier kunt u meer lezen over wat u op technisch gebied kunt doen om ransomware aanvallen te voorkomen.

Recente berichten
  • 14 september 2022

    Krappe arbeidsmarkt? Wees scherp op uw concurrentiebeding!

    Mirjam Scheper
    In de huidige krappe arbeidsmarkt wordt een concurrentiebeding steeds breder ingezet, veelal in de vorm van een standaardclausule. In de praktijk zie ik dat gebruik van een concurrentiebeding – mede hierdoor – vaak zijn doel voorbij schiet. Dat kan leiden tot onnodige discussies, procedures en kosten.
    Lees verder
  • 14 september 2022

    Actualiteiten arbeidsrecht voor HR-professionals en bedrijfsjuristen donderdag 3 november 2022

    Marion Hagenaars
    Mirjam Scheper
    Krapte op de arbeidsmarkt, Wet transparante en voorspelbare arbeidsvoorwaarden, hybride werken. De arbeidsmarkt is volop in beweging. Wat zijn de gevolgen? Hoe beweegt de arbeidsmarkt zich en hoe beweegt u daarin mee als HR-professional of bedrijfsjurist? Blijf aangehaakt bij het dynamische rechtsgebied dat het arbeidsrecht nu eenmaal is!
    Lees verder
  • 4 juli 2022

    Wet transparante en voorspelbare arbeidsvoorwaarden

    Mirjam Scheper
    De Eerste Kamer heeft op 21 juni 2022 het wetsvoorstel Wet transparante en voorspelbare arbeidsvoorwaarden aanvaard. Het wetsvoorstel implementeert de gelijknamige EU-richtlijn en treedt 1 augustus 2022 in werking. De richtlijn heeft als doel de inhoud van het werk vooraf transparanter en beter voorspelbaar te maken. De belangrijkste wijzigingen – die ik hieronder op hoofdlijnen
    Lees verder

Plaats een reactie

Top