IT-leverancier aansprakelijk na hack

Rechtbank Overijssel deed hier een uitspraak over 15 april 2022

Een groothandel werd eind 2020 gehackt. Een deel van de bedrijfsdata (product- en sfeerfoto’s) van de groothandel werd ontoegankelijk door encryptie als gevolg van ransomware. De groothandel stelt haar IT-leverancier hiervoor aansprakelijk. Welke lessen vallen onder andere uit deze uitspraak te trekken?

De bedrijfsdata van de groothandel was geplaatst op een FTP-server van een door haar IT-leverancier ingeschakeld hostingbedrijf. Er bleek geen back-up van de FTP-server aanwezig en de bedrijfsdata moest grotendeels als verloren worden beschouwd. De groothandel stelt haar IT-leverancier hiervoor aansprakelijk en kreeg recent (deels) gelijk.

De rechtbank Overijssel oordeelde dat bij het aanbieden van een totaalpakket voor IT-infrastructuur op de IT-leverancier de verantwoordelijkheid rust tegenover de groothandel om ofwel (adequate) beveiliging onderdeel te maken van het totaalpakket, of anders met de groothandel uitdrukkelijk te bespreken dat daarvoor niet wordt gezorgd. In het laatste geval zou de groothandel immers zelf deze beveiligingsmaatregelen kunnen treffen of bewust het risico kunnen aanvaarden.

Het door de IT-leverancier ingeschakelde hostingbedrijf wordt door de rechtbank als hulppersoon aangemerkt. Dit betekent dat de IT-leverancier voor de gedragingen van het hostingbedrijf op gelijke wijze aansprakelijk is als voor eigen gedragingen. De stelling van de IT-leverancier dat het hostingbedrijf de back-ups niet op orde had (twee weken oud en geen data van de FTP-server), komt dan ook jegens de groothandel voor rekening en risico van de IT-leverancier. Daarbij stelt de rechtbank tevens vast dat tussen de IT-leverancier en het hostingbedrijf geen afspraken waren gemaakt over de back-up van de FTP-server, terwijl het de IT-leverancier bekend was dat de groothandel veel waarde hechtte aan het behoud en de beveiliging van de product- en sfeerfoto’s op de FTP-server. De groothandel ging daarmee af op een onjuist advies van de IT-leverancier om de product- en sfeerfoto’s (tijdelijk) op te slaan op de aangeboden FTP-server. Gelukkig voor de IT-leverancier viel de toegekende schadevergoeding van € 7.000,- aanzienlijk lager uit dan gevorderd.

Conclusie

Welke lessen vallen onder andere uit deze uitspraak te trekken? Leg goed vast welke beveiligingsmaatregelen u als IT-leveranciers aanbiedt en wees voorzichtig met termen als ‘totaaloplossing’ of ‘totaalpakket’.

De uitspraak kan worden geraadpleegd via https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBOVE:2022:717