Gehackt: wie betaalt de rekening?

Op 9 maart 2022 heeft de Rechtbank Overijssel uitspraak gedaan in een zaak tussen een Cottoncounts, een bedrijf dat handelt in huismeubilair, en CCG Retail, een softwarebedrijf. De server van Cottoncounts was gehackt, waarna alle bedrijfsdata door middel van ransomware werd versleuteld en duizenden product- en sfeerfoto’s van artikelen uit het assortiment verloren zijn gegaan. Cottoncounts heeft CCG Retail hiervoor aansprakelijk gesteld, omdat zij de IT-infrastructuur heeft aangelegd (althans laten aanleggen) en deze onvoldoende heeft beveiligd (althans laten beveiligen). Het ging om een claim van € 29.246,94 . Tussen Cottoncounts en CCG Retail is een ‘koop- en dienstverleningsovereenkomst’ gesloten, op grond waarvan een ‘totaalpakket’ was overeengekomen met betrekking tot de software.

Softwarebedrijf verantwoordelijk voor beveiliging?

De rechtbank oordeelt eerst over de vraag of de beveiliging van het netwerk door CCG Retail ook onderdeel uitmaakte van de koop- en dienstverleningsovereenkomst. In de overeenkomst is hierover niets bepaald, zodat de rechter moet deze vraag daarom beantwoorden aan de hand van feiten en omstandigheden.

De rechtbank oordeelt dat het moeilijk voorstelbaar is dat een totaalpakket is afgesproken waarbij de beveiliging niet is inbegrepen. CCG Retail had de verantwoordelijkheid tegenover Cottoncounts om beveiliging onderdeel te maken van het totaalpakket of anders uitdrukkelijk met Cottoncounts te bespreken dat beveiliging juist geen onderdeel van het pakket zou zijn. In het laatste geval had Cottoncounts dan op een andere manier kunnen zorgen voor de beveiliging. Het feit dat CCG Retail de hosting van de server aan een ander bedrijf heeft uitbesteed, ontslaat CCG Retail niet van de verantwoordelijkheid om zorg te dragen voor een adequate beveiliging van de gegevens van Cottoncounts.

Vervolgens oordeelt de rechtbank dat CCG Retail bij één van de servers wel tekort is geschoten en bij de andere server niet. Bij de ene server werden tweewekelijkse back-ups gemaakt, wat niet ongebruikelijk is in de ICT-branche. Deze back-ups hebben er voor gezorgd dat het verlies van bedrijfsgegevens uiteindelijk beperkt is gebleven. Bij de andere server was hier geen sprake van. Op deze server waren product- en sfeerfoto’s van het meubelbedrijf opgeslagen. Volgens de rechter wist of behoorde CCG Retail te weten dat het behouden van de product- en sfeerfoto’s van groot belang is voor het meubelbedrijf.

Schade

Daarna gaat de rechter in op de schadeclaim van Cottoncounts. CCG Retail is in beginsel aansprakelijk voor de schade van Cottoncounts. Cottoncounts vordert verschillende schadeposten. De rechter wijst uiteindelijk een bedrag van € 7.000,- toe als vergoeding voor het verlies van product- en sfeerfoto’s. Ook wordt een bedrag van € 272,25 toegewezen als vergoeding voor de uitgevoerde herstelwerkzaamheden aan één van der servers.

En nu?

Als een softwarebedrijf een ‘totaalpakket’ met de klant afspreekt zonder dat daarbij expliciete afspraken zijn gemaakt over de beveiliging, kan het softwarebedrijf zich er niet achter verschuilen dat er geen afspraken over de beveiliging zijn gemaakt.  Als softwareleveranciers die verantwoordelijkheid niet willen nemen, moeten zij dat dus uitdrukkelijk aangeven en duidelijk zijn naar de klant toe over wat zij op dat punt dus wel én niet leveren. Het uitbesteden van deze diensten aan een derde zorgt er niet voor dat softwareleveranciers ontslagen worden van de verantwoordelijkheid voor adequate beveiliging van gegevens. Gaat het mis, dan kan het gebeuren dat het softwarebedrijf voor een deel van de schade moet opdraaien.  

Vragen?

Heeft u vragen over wat deze uitspraak voor uw bedrijf of organisatie kan gaan betekenen? Neem dan contact op met ons.