Wat was er aan de hand?
Aan de orde is een kwestie tussen een ICT-leverancier en zijn klant. In 2014 heeft de betrokken ICT-leverancier soft- en hardware aan de klant geleverd, en voert hij ook het onderhoud op de geleverde daarop uit op basis van een Service Level Agreement (SLA). Tot dat beheer en onderhoud behoorde onder meer de verantwoordelijkheid van een adequaat back-up systeem. Voor het onderhoud werd maandelijks door de klant betaald.
In maart 2016 geeft de klant bij de ICT-leverancier aan dat hij de SLA wil beëindigen. Sinds dat moment is de klant de overdracht van het beheer en onderhoud van het ICT-systeem gaan voorbereiden. In april 2016 maakt de klant aan de ICT-leverancier kenbaar dat hij zal migreren naar een andere dienstverlener. Op 21 juni 2016 eindigt vervolgens de SLA. Ten behoeve van de overdracht van het beheer zijn door de ICT-leverancier toegangscodes tot het systeem verstrekt en heeft de ICT-leverancier een overdrachtsrapport opgesteld waarin het ICT-systeem was beschreven. Dat overdrachtsrapport had mede betrekking op het back-up systeem.
Een kleine maand na het eindigen van de SLA wordt de klant getroffen door een ransomware-aanval. Omdat er geen bruikbare back-ups aanwezig bleken te zijn, betaalt de klant het geëiste losgeld om zijn systemen te deblokkeren. Na tien dagen van stilstand wordt de blokkade inderdaad opgeven en heeft de klant het ICT-systeem weer opgestart. Per 1 augustus begint de nieuwe dienstverlener met het onderhoud.
Wat is de vordering van de klant?
De klant stelt zich op het standpunt dat het ICT-bedrijf is tekortgeschoten in de uitvoering van de SLA, omdat er ten tijde van de ransomware-aanval geen bruikbare back-ups beschikbaar bleken. Hierdoor kon het gegijzelde systeem niet hersteld worden. De schade wordt door de klant begroot op ongeveer € 18.000,00. De klant houdt het ICT-bedrijf daarvoor aansprakelijk.
Wat oordeelde de rechtbank in eerste aanleg?
In eerste aanleg wordt de vordering van de klant afgewezen, omdat (kort samengevat) de stelling dat de ICT-leverancier voor het laatst in juni 2013 een back-up heeft gemaakt onvoldoende is onderbouwd. De kantonrechter weegt ook mee dat de klant de overeenkomst met de ICT-leverancier heeft opgezegd tegen 21 juni 2016 en de klant er kennelijk voor heeft gekozen niet ook op 21 juni 2016 de overeenkomst met de nieuwe dienstverlener te laten ingaan. Die keuze komt voor rekening en risico van de klant. Bovendien overweegt de kantonrechter dat niet valt in te zien waarom de ICT-leverancier verantwoordelijk zou moeten blijven voor het onderhoud en beheer van het ICT-systeem, terwijl de overeenkomst met de klant al was geëindigd. De kantonrechter komt daarom tot het oordeel dat van een tekortkoming door de ICT-leverancier geen sprake is.
Maar dan in hoger beroep…
In hoger beroep strijden partijen over de vraag of de ICT-leverancier is tekortgeschoten in de nakoming van zijn verplichtingen uit hoofde van de SLA. De klant stelt dat dit het geval is, omdat het back-up systeem verkeerd was ingesteld. Hierdoor was er enkel een zeer beperkte handmatige back-up van april 2016 beschikbaar. Als het systeem goed was geconfigureerd, dan waren er tot het einde van de SLA steeds dagelijks back-ups gemaakt, en had de klant haar systeem eenvoudig uit de back-up kunnen herstellen toen hij getroffen werd door de ransomware-aanval.
Volgens de ICT-leverancier zou de back-up uit april 2016 voldoende moeten zijn. Hij stelt zich daarnaast op het standpunt dat de klant al een tijdje meeliep om de overdracht naar de nieuwe dienstverlener in orde te maken. Daarbij werden wijzigingen in de digitale infrastructuur doorgevoerd, en daarmee ook vermoedelijk in de back-up routine. Bovendien had de klant een nieuwe server geïnstalleerd, waardoor back-ups geen zin meer zouden hebben.
De SLA heeft gegolden tot en met 21 juni 2016. Volgens het Hof was tot die datum de ICT-leverancier ook verplicht voor de nakoming van zijn verplichtingen uit de SLA. Dat de klant in die reeds voorbereidende exit-werkzaamheden heeft verricht, maakt dat niet anders.
De ICT-leverancier was op grond van de SLA verantwoordelijk voor het netwerk- en systeembeheer. Dit netwerk- en systeembeheer omvatte tevens het back-upsysteem. Op grond van de SLA diende de monitoring ervan zodanig te zijn dat de werking van de systemen gegarandeerd was. Dit bracht mee dat ICT-leverancier er niet alleen verantwoordelijk voor was dat het back-upsysteem zodanig was ingesteld dat dagelijks (ten minste) incrementele back-ups werden gemaakt. Ook diende de ICT-leverancier ervoor te zorgen dat bij de beëindiging van de SLA een recente volledige back-up aanwezig was, althans dat een recente volledige back-up kon worden gereconstrueerd op basis van recente incrementele back-ups, al dan niet in combinatie met een eerdere volledige back-up.
Doordat op 21 juni 2016 een volledige back-up ontbrak, is de ICT-leverancier tekortgeschoten in de nakoming van zijn verplichtingen op grond van de SLA. Daarom is hij in beginsel schadeplichtig.
Wie is voor welke schade aansprakelijk?
De klant heeft in totaal ongeveer € 17.000,00 aan schadevergoeding gevorderd. Dit bedrag is opgebouwd uit de volgende kostenposten:
- Kosten die gemaakt zijn voor het opzetten van een noodsysteem op nieuwe hardware;
- Betaling van losgeld in bitcoins;
- Schadebeperkende maatregelen, berekend in gemaakte interne uren van de klant;
- Productieverlies door het drie dagen stilliggen.
Het hof oordeelt dat alle schadeposten in beginsel in causaal verband staan met de tekortkoming door de ICT-leverancier, en zodoende ook aan de ICT-leverancier kunnen worden toegerekend. De gevorderde kosten acht het hof redelijk.
Tegelijkertijd heeft de ICT-leverancier met succes aangevoerd dat (een groot deel van) de schade het gevolg is van feiten en omstandigheden die moeten worden toegerekend aan de klant zelf. Zo is het de klant geweest die ervoor heeft gekozen het contract met de nieuwe leverancier pas in te laten gaan op 1 augustus 2016; bijna zes weken na het einde van de SLA. Toen de hack plaatsvond, was de ICT-leverancier al bijna een maand niet meer verantwoordelijk voor de beveiliging van het systeem. Tegen die achtergrond acht het hof het feit dát de klant gehackt kon worden in overwegende mate aan de klant zelf toe te rekenen. Ook indien wél een back-up van (kort vóór) 21 juni 2016 aanwezig was geweest, had de klant enige schade geleden die in dat geval geheel aan haar zou zijn toe te rekenen.
Het hof komt zodoende tot de slotsom dat 2/3e van de door de klant gelden schade het gevolg is van feiten en omstandigheden die aan haarzelf kunnen worden toegerekend.
Conclusie en commentaar
Het hof maakt in zijn arrest duidelijk onderscheid tussen enerzijds het niet adequaat kunnen acteren bij een ransomware-aanval vanwege ontbrekende back-ups, en anderzijds het kunnen ontstaan van de ransomware-aanval. Dat eerste wordt (volgens mij terecht) aan de ICT-leverancier toegerekend. Het maken van back-ups behoorde jarenlang tot zijn verplichtingen, en vast is komen te staan dat aan die verplichting niet is voldaan. Dat er op het moment van de ransomware-aanval geen overeenkomst meer tussen partijen bestond, doet daar niets aan af.
Het feit dat de ransomware-aanval überhaupt kon ontstaan, wordt in overwegende mate aan de klant toegerekend. Het hof komt tot dat oordeel omdat de hack heeft plaatsgevonden toen de ICT-leverancier reeds enkele weken niet meer verantwoordelijk was voor de beveiliging van het systeem. Aan dat oordeel wijdt het hof weinig woorden, terwijl dat oordeel ertoe leidt dat de klant 2/3e deel van zijn geleden schade moet dragen. Best ingrijpend dus.
Zonder de meer inhoudelijke omstandigheden over de aanleiding van de ransomware-aanval te kennen, roept dit oordeel wel vragen op. In een eerder blog schreven wij al dat (het vaststellen van) causaal verband bij cyberincidenten best ingewikkeld is.
In dit arrest blijft (helaas) onduidelijk om wat voor type ransomware het gaat, en in hoeverre een actieve beveiliging van de ICT-leverancier (of zijn opvolger) de aanval had kunnen voorkomen. Ransomware kent immers uiteenlopende verschijningsvormen, en het zou best zo kunnen zijn dat de ICT-leverancier reeds bij de implementatie of configuratie van de geleverde software steken had laten vallen (en zodoende mogelijk aansprakelijk gehouden kan worden voor de aanval). Of dat zelfs mét actieve beveiliging door de ICT-leverancier (of zijn opvolger) de aanval had plaatsgevonden, door nalaten van de klant (waardoor de aanval wellicht in zijn totaliteit aan de klant kan worden toegerekend).
In het arrest komt ook de (bijzondere) zorgplicht van de ICT-leverancier niet aan bod. Mogelijk is daarop in de procedure door de klant niet gewezen. Dat had echter een extra argument kunnen vormen voor aansprakelijkheid van de ICT-leverancier. De ICT-leverancier was er kennelijk van op de hoogte dat de klant ten behoeve van de exit allerlei wijzigingen in het systeem aanbracht en een nieuwe server installeerde. Ook droeg de ICT-leverancier (als deskundige) het systeem over aan de klant (als leek), in de ogenschijnlijke wetenschap dat er nog geen nieuwe ICT-leverancier direct paraat stond om het deskundig onderhoud over te nemen. Onder die omstandigheden had kunnen worden aangevoerd dat de ICT-leverancier op basis van zijn (bijzondere) zorgplicht gehouden was om de klant te waarschuwen voor potentiële risico’s daarvan, bijvoorbeeld die van het niet actief beveiligd blijven van het systeem door een deskundige. In een eerder vonnis van de rechtbank Amsterdam (dat in de rechtspraktijk best wat stof heeft doen opwaaien) legt de schending van de verplichting te waarschuwen bij het achterwege laten van beveiligingsmaatregelen veel gewicht in de schaal bij het oordeel dat de gevolgen van een ransomware-aanval voor rekening van betreffende ICT-leverancier kwamen.
Desalniettemin is dit arrest voor de praktijk bruikbaar door de beperkte jurisprudentie tot dusver over aansprakelijkheid bij ransomware. Dit arrest maakt eens te meer het belang van goede back-ups duidelijk en brengt evenwicht aan in de verantwoordelijkheid van klant en dienstverlener bij een ransomware-aanval. Daarnaast onderstreept dit arrest het belang van heldere afspraken, ook bij de beëindiging van een overeenkomst.
Vragen
Heeft u vragen over ransomware, cybersecurity, verplichtingen van de IT-leverancier of schade en aansprakelijkheid? Neem dan contact met op met Nynke Brouwer of Sven Wakker, het Dirkzwager Cybersecurity Team of een van onze andere specialisten op het gebied van het IT-recht.