Bijna alle aspecten van een onderneming – zoals boekhouding, communicatie en dienstverlening – zijn tegenwoordig afhankelijk van software. Het is daarom essentieel dat de gebruikte software voldoet aan de verwachtingen. Door storingen kunnen ondernemingen onder andere omzet mislopen en reputatieschade lijden. De omstandigheden, maar ook de contractuele afspraken, bepalen of de onderneming deze schade kan verhalen op de IT-leverancier die verantwoordelijk is voor de softwarediensten.
Onzorgvuldigheid kan consequenties hebben
IT-leveranciers moeten door de grote afhankelijkheid van klanten secuur te werk gaan tijdens het ontwikkelen en onderhouden van hun diensten. Doen zij dat niet, dan kan dit behoorlijke consequenties hebben. Zo is in een recente rechtszaak bepaald dat de IT-leverancier het losgeld moest vergoeden aan de IT-afnemer toen deze werd gegijzeld. Door een fout van de IT-leverancier kon de ransomware-aanval namelijk niet eenvoudig ongedaan worden gemaakt. Met de groeiende omvang van ransomware-aanvallen in het achterhoofd lijkt deze uitspraak tot ingrijpende gevolgen te kunnen leiden voor IT-leveranciers; de schade is immers mede afhankelijk geworden van de gretigheid van cybercriminelen en misschien ook wel van de angst van IT-afnemers. Wij zullen deze zaak daarom onder het vergrootglas leggen.
Wat is ransomware?
‘Ransomware’ is programmatuur dat het computersysteem van het slachtoffer vergrendelt. De gijzelnemers eisen vervolgens losgeld om de vergrendeling op te heffen. Ransomware kan op allerlei wijzen binnendringen: via e-maillinks, afbeeldingen, .pdf-bestanden, kwaadaardige websites, etc. Als de ransomware succesvol een centraal deel van het computernetwerk – zoals het intranet of hoofdserver – binnendringt, dan gaan ook alle computers die verbonden zijn aan dat netwerk op slot. Een getroffen bedrijf kan dan niet meer functioneren.
Een back-up kan een ransomware-aanval effectief herstellen, mits niet ook de back-up is geïnfecteerd. Het hele systeem – inclusief het gijzelprogramma – wordt daarbij verwijderd en vervolgens vervangen door een oudere, maar ‘gezonde’ back-up. Slechts een relatief kleine hoeveelheid gegevens raakt in dit geval verloren. De mogelijkheid tot een back-up is afhankelijk van de inrichting van het computersysteem en de afspraken die partijen hebben gemaakt.
Geen back-ups gemaakt
Een onderneming werd in deze zaak getroffen door ransomware. De gijzelnemers eisten ongeveer 2,5 bitcoins losgeld. Ten tijde van de ransomwareaanval had dat nog een waarde van ongeveer € 1.400, maar ten tijde van het schrijven deze blog is dat maar liefst € 97.000! In de serviceovereenkomst (SLA) met de IT-leverancier was afgesproken dat de leverancier regelmatig back-ups zou maken van het computersysteem. Dit heeft de leverancier echter niet met regelmaat gedaan. Er was dus geen recente back-up voorhanden waarmee de ransomwareaanval ongedaan kon worden gemaakt. De onderneming van de afnemer lag vervolgens drie dagen stil en de afnemer besloot op het laatste moment, tegen het advies van de politie in, het losgeld te betalen. De afnemer stelde vervolgens de IT-leverancier aansprakelijk voor onder meer het betaalde losgeld.
De contractuele verplichting van de IT-leverancier
De IT-leverancier stelde dat de SLA met de afnemer was geëindigd, dat zij niet meer in beeld was ten tijde van de aanval en dat zij dus niet aansprakelijk kon zijn jegens de afnemer. Het hof was het daar niet mee eens. De leverancier had immers zijn contractuele verplichting om regelmatig back-ups te maken geschonden toen de overeenkomst nog van kracht was. Het Hof heeft er vervolgens weinig woorden voor nodig om het betaalde losgeld als schadevergoeding toe te kennen.
Is een back-up de heilige graal?
Voor het toekennen van een schadevergoeding door een tekortkoming, moet de vraag worden beantwoord of de schade ook was opgetreden als de tekortkoming zich niet had voorgedaan, het zogenoemde causaal verband. Die vraag komt niet aan de orde in de uitspraak. Dat is vreemd, want de hamvraag in deze zaak is eigenlijk: als er een recente back-up was geweest, was die dan ook geïnfecteerd geraakt? Er zijn immers genoeg gevallen waar een back-up geen effect had, omdat de ransomware te diep geworteld zat.
Als ook de back-up was besmet, dan had er geen causaal verband bestaan tussen het betaalde losgeld en de tekortkoming (want dan had ook de recente back-up geen uitkomst geboden) en had de IT-leverancier het betaalde losgeld niet hoeven vergoeden.
Wij adviseren IT-leveranciers daarom om gedetailleerd en voorzien van technische specificaties uit te leggen hoe een back-up wordt gemaakt, zodat later makkelijker kan worden nagegaan of een infectie van de back-up had kunnen worden voorkomen. Verder adviseren wij IT-leveranciers af te spreken dat hun verplichting enkel luidt dát een back-up wordt gemaakt (een inspanningsverbintenis) en niet dat deze vrij is van besmettingen (een resultaatsverbintenis).
Concluderend
Deze zaak lijkt te duiden op een makkelijkere aansprakelijkheid voor de IT-dienstverlener. Maar de tekst van de Service Level Agreement heeft de uitkomst van deze zaak in grote mate bepaald. Zowel IT-leveranciers als afnemers kunnen hieruit opmaken dat contractuele afspraken de beste vorm van zekerheid zijn.
Ons team bestaat uit vakkundige specialisten die niet alleen over de nodige juridische kennis beschikken, maar ook de achterliggende systemen begrijpen. Zo zorgen we er samen voor dat uw IT-project goed is vastgelegd.