ICT-bedrijven vrezen een stortvloed aan claims rond ransomwareaanvallen van hun klanten. Dat stelt ICTWaarborg na een stroom van vragen naar aanleiding van een artikel in het FD over de aansprakelijkheid van ICT-bedrijven bij aanvallen met gijzelsoftware bij hun klanten.
Aanleiding was een uitspraak van de Rechtbank Amsterdam. Hoewel die stamt uit 2018 is het afgelopen week pas gepubliceerd. De rechter oordeelt in de uitspraak dat een IT-leverancier de schade naar aanleiding van van een ransomwareaanval aan de klant moet vergoeden.
Duizenden euro’s
De klant uit deze zaak moest bij zo’n aanval enkele duizenden euro’s in bitcoins betalen om de toegang tot de bestanden terug te krijgen. Deze klant schakelde een deskundige in die oordeelde dat de beveiliging van het bedrijfsnetwerk tekortschoot.
Belangenbehartiger ICTWaarborg is het overigens niet eens met de uitspraak van de rechter. Volgens hen was het in deze zaak zo dat dat partijen van tevoren schriftelijk niets hadden vastgelegd over ransomwareaanvallen. En dus ook niets hadden afgesproken over aansprakelijkheid bij een ransomwareaanval. Er zou dus ook geen aansprakelijkheid zijn van de leverancier bij een eventuele cyberaanval.
” Wat verder erg belangrijk is, is dat de IT-leverancier in kwestie de klant alleen mondeling heeft gewaarschuwd dat de beveiliging niet juist of optimaal zou zijn,”schrijft ICTWaarborg in een commentaar.
De rechter stelt echter: ” Als IT-leverancier heeft u als professional en deskundige op IT-gebied zijnde naast een zorgplicht richting uw klant, óók een waarschuwingsplicht. Dat betekent dat u uw klant dient te waarschuwen voor de risico’s en gevolgen van haar keuze. De mate waarin een IT-leverancier dient te waarschuwen, wordt alleen maar groter wanneer de klant een leek is op het gebied van IT.”
Niet zonder meer
ICTWaarborg vindt dat een ICT-leverancier niet zonder meer aansprakelijk is. Wel is dan van belang dat de klant een duidelijke schriftelijke waarschuwing krijgt voor de gevolgen en risico’s van de keuze om niet te beveiligen. “Neem ook zeker in overweging om de opdracht terug te geven of niet aan te nemen wanneer de risico’s te groot zijn,” zo luidt de reactie.
Op de site van de belangenbehartiger staan intussen een voorbeeld- algemene voorwaarden waarmee je een dergelijk risico schriftelijk kunt uitsluiten. Wel blijft de waarschuwingsplicht van kracht en is er een nieuwe contractscan.
