Via het internet wordt meer en meer ingebroken en gegevens gestolen of gegijzeld. Er wordt regelmatig ransomware (gijzelsoftware) gebruikt door cybercriminelen. Hoewel de hoeveelheid aanvallen af lijkt te nemen, neemt de totale door slachtoffers geleden schade fors toe; de aanval op de Universiteit Maastricht is een recent voorbeeld. Ransomware is software waarmee kwaadwillenden die toegang verkrijgen tot een computer of netwerk, bepaalde bestanden kunnen vergrendelen. Ontgrendelen kan alleen nadat het slachtoffer een bepaald bedrag aan losgeld (ransom) betaalt, vaak in de vorm van bitcoins zodat de dader niet traceerbaar is. De schade bij een ransomware aanval kan hoog oplopen, doordat de vergrendelde gegevens hard nodig zijn voor de continuïteit van de organisatie. Het is voor organisaties dus zaak om de beveiliging van een netwerk goed op orde te hebben zodat aanvallen afgeweerd kunnen worden.

Maar wie is aansprakelijk voor de schade als gevolg van een ransomware aanval; de afnemer of de IT-leverancier die is ingehuurd voor het leveren en onderhouden van een IT-infrastructuur? Over deze vraag boog de rechtbank Amsterdam zich in 2018; het vonnis is pas deze zomer gepubliceerd. Het is voor het eerst dat een uitspraak wordt gepubliceerd waarin het draait om deze vraag. Spoiler alert 1: de IT-leverancier is volgens de rechtbank aansprakelijk voor een groot deel van de geleden schade. Rondom publicatie van de uitspraak waren dan ook geluiden te horen over IT-leveranciers die zich vanaf nu grote zorgen moesten maken over grote schadevergoedingen. Spoiler alert 2: dit is natuurlijk altijd afhankelijk van de omstandigheden, maar die zijn hier vrij uniek en zo’n vaart hoeft daarom niet te lopen. Ik leg uit waarom.

Lees verder:

• Zorgen over de zorgplicht bij ransomware aanvallen? door mr. I.S. Feenstra in Tijdschrift voor Internetrecht