De afgelopen jaren is het aantal ransomware aanvallen schrikbarend toegenomen en er worden soms miljoenen aan losgeld geëist. Bekende voorbeelden zijn Maersk in 2017 en een wereldwijd vleesverwerkingsbedrijf in 2021. In datzelfde jaar zijn 1500 bedrijven getroffen door een massale cyberaanval, waarbij er 70 miljoen aan losgeld is geëist.
Verwijzend naar ons eerste blog in de serie kan er een bijzondere zorgplicht rusten op de (professionele) ICT-leverancier. In deze blog wordt ingegaan op de zorgplicht bij tariefsverhogingen
Ransomware is een vorm van malware die gegevens versleutelt, met als doel om deze later te ontsleutelen in ruil voor losgeld. In extreme gevallen blokkeert de ransomware de toegang tot het ICT-systeem door ook systeembestanden te versleutelen.
Bij een ransomware aanval bestaat ook het risico dat de getroffen gegevens openbaar worden gemaakt of worden verkocht op het darkweb.
De partij die getroffen wordt door een ransomware heeft vaak drie opties:
- Het betalen van het geëiste losgeld, waarbij het niet zeker is dat de aanvaller zich aan de afspraken zal houden;
- Een niet getroffen back-up van het systeem (her)installeren. Dat werkt alleen als de back-up niet óók getroffen is door de ransomware;
- De getroffen data verloren laten gaan en/of openbaar laten worden met alle mogelijke negatieve gevolgen van dien.
Vermoedelijk leiden alle opties tot schade voor de gebruiker. De vraag is of de schade verhaald kan worden op de ICT-leverancier.
Rechtspraak
Er bestaat weinig rechtspraak over specifiek ransomware aanvallen. Wel zijn er diverse uitspraken die meer algemeen zien op de zorgplicht van de ICT-leverancier ten aanzien van de beveiliging van ICT-systemen. Deze uitspraken zouden relevant kunnen zijn voor zaken die zien op aansprakelijkheid van ICT-leveranciers bij ransomware aanvallen. Die beginnen immers doorgaans met een doorbreking van de beveiliging.
Het gerechtshof Arnhem-Leeuwarden heeft al eens geoordeeld dat een afnemer – tegen de achtergrond van de in die zaak gesloten overeenkomsten – in ieder geval geen ‘hackfree’ systeem mocht verwachten.
Volgens de rechtbank Amsterdam mocht een afnemer wél verwachten dat de ICT-leverancier – die een volledige IT-infrastructuur had aangelegd en, op afroep, het beheer en onderhoud daarvan verzorgde – zorg zou dragen voor een adequate beveiliging. Door het netwerk aan te leggen zonder firewall en zonder externe back-ups was de leverancier tekortgeschoten in de nakoming van zijn zorgplicht. Dat de ICT-leverancier deze maatregelen voorstelde en dat de afnemer deze van de hand had gewezen maakte dat volgens de rechtbank niet anders. De ICT-leverancier had volgens de rechtbank alternatieven moeten voorstellen, indringend moeten waarschuwen en desnoods de opdracht moeten weigeren.
Volgens het gerechtshof Amsterdam bracht een in een servicelevel agreement (SLA) opgenomen verantwoordelijkheid voor het netwerk- en systeembeheer een verplichting met zich mee om dagelijks een geautomatiseerde volledige back-up te maken en om te zorgen dat er op de einddatum van de SLA een recente volledige back-up aanwezig was, ook al was dat niet met zoveel woorden in de SLA opgenomen. Daarnaast moest de ICT-leverancier het systeem monitoren zodat de werking daarvan gegarandeerd was.
Het belang van goede contracten
De hiervoor aangehaalde uitspraken laten zien hoe belangrijk het is om de afspraken tussen partijen voldoende gedetailleerd vast te leggen. De contractuele afspraken kunnen dan invulling geven aan de zorgplicht van de ICT-leverancier, waardoor partijen op voorhand weten waar ze aan toe zijn. Als deze afspraken ontbreken staat het de rechter vrij om te bepalen wat wel en niet verwacht mag worden van een ICT-leverancier. Dat is casuïstisch en daarmee onvoorspelbaar.