IT-bedrijf niet aansprakelijk voor gevolgen ransomware

Man werkt op zijn laptop met een externe harde schijf op de voorgrond

ICT-bedrijf PS Logic uit Berkel en Rodenrijs is niet aansprakelijk voor de gevolgen van de ransomware-aanval die Stichting Zabawas vorig jaar trof. De advocaat van de stichting vond het zinloos om een deskundigenonderzoek te laten uitvoeren, omdat zijn cliënt niet langer werkt met de toenmalige ICT-omgeving. Zodoende kan de rechter niet vaststellen of het PS Logic tekort is geschoten in deze zaak.

Dat blijkt uit het definitieve vonnis van de rechtbank in Rotterdam.

Alleen oude back-up beschikbaar

Stichting Zabawas sloot in 2013 een ‘all-inclusive ICT-beheer’ contract af met PS Logic. Daarin was afgesproken dat het ICT-bedrijf zich zou inzetten voor “proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, back-ups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers”. De werkovereenkomst betrof vier computers, een server en een printer. Voor deze diensten betaalde de stichting maandelijks een bedrag van 130 euro (exclusief BTW).

In april 2018 werd één van de systemen van Zabawas geïnfecteerd met ransomware: gijzelsoftware waarmee hackers alle digitale bestanden als het ware achter slot en grendel plaatsen. Door de besmetting kwam de bedrijfsvoering tijdelijk stil te liggen. Bij de herstelwerkzaamheden bleek dat er enkel een back-up van juli 2017 beschikbaar was. De stichting was zodoende veel data kwijt.

‘Kwetsbaarheden komen voort uit beginnersfouten’

Na het voorval liet de stichting haar ICT-omgeving onderzoeken. Beveiligingsspecialisten van Baaten Security concludeerde dat er veel beginnersfouten waren gemaakt. “Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een ‘normaal en redelijk handelend’ ICT-leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken.”

De ransomware is volgens beveiligingsonderzoekers waarschijnlijk via TeamViewer geïnstalleerd. Maar door beperkte logging informatie was dat niet met zekerheid vast te stellen. Het bureau zei dat het “gezien de huidige staat van de ICT-omgeving” een kwestie van tijd was dat de stichting werd aangevallen. “Het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau”, aldus Baaten Security.

Rechtbank vraagt om onderzoek door onafhankelijke deskundige

Een week na de aanval stelde de Stichting Zabawas de ICT-dienstverlener uit Berkel en Rodenrijs aansprakelijk voor de gevolgen van de ransomware-aanval. Laatstgenoemde partij weigerde de aansprakelijkheid te erkennen. Daarop stapte de stichting naar de rechter en eiste een schadevergoeding van ruim 20.000 euro.

De rechtbank in Rotterdam zei vorig jaar augustus in een tussenvonnis dat het geen antwoord kon geven op de vraag of PS Logic nalatig was geweest. De rechter stelde voor om een onafhankelijke deskundige aan te stellen om de omstandigheden van de dienstverlening ten tijde van de ransomware-aanval in kaart te brengen.

Rechtbank stelt stichting in het ongelijk en moet proceskosten betalen

Stichting Zabawas vond dit geen goed idee. In de eerste plaats omdat de stichting niet langer met de oude ICT-omgeving werkte, waardoor het onderzoek van de deskundige niets zou opleveren. Ten tweede vond de stichting dat al was aangetoond dat het ICT-bedrijf zijn contractuele verplichtingen niet was nagekomen.

De rechtbank respecteert de zienswijze van de stichting. Door het onderzoek door een onafhankelijke deskundige af te wijzen, kan de rechter niet anders dan de vordering van ruim 20.000 euro af te wijzen. “Waar Zabawas stelt dat zij ervan uitgaat dat de vraagstelling wordt gewijzigd als de rechtbank ‘ondanks het voorgaande’ toch behoefte aan deskundigenvoorlichting zou hebben, miskent Zabawas dat het niet om een al dan niet bij de rechtbank bestaande behoefte aan voorlichting gaat, maar de mogelijkheid van het laten uitbrengen van een deskundigenbericht een bewijsmiddel is waarvan Zabawas al dan niet gebruik kan maken”, schrijft de rechter in het vonnis.

De rechtbank wil dat de stichting de gemaakte juridische kosten vergoedt. Deze bedragen 4.244 euro.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen