Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

19/06/2020

De aansprakelijkheid van IT-dienstverleners

Leesduur: 5 minuten

Door de digitale evolutie heeft zowat elke onderneming nood aan een kwalitatieve ICT-infrastructuur. Externe dienstverleners uit de IT-sector bieden daarbij graag verschillende diensten aan om ondernemingen op een geïntegreerde wijze hun economische activiteiten te verbeteren en te innoveren. Maar naast de zoektocht naar efficiëntie en verbetering dient ook steeds meer rekening gehouden te worden met de digitale veiligheid van deze ondernemingen. En ook daar speel je als externe IT-dienstverlener een belangrijke rol. 

 

Veroordeling in Nederland

De rol van de IT-dienstverlener werd door de rechtbank van Amsterdam nog eens op scherp gesteld met een vonnis van 14/11/2018 (gepubliceerd op 07/06/2020). Een Nederlands IT-bedrijf had een volledige IT-infrastructuur geplaatst bij een administratiekantoor en verzorgde vervolgens op afroep het onderhoud en beheer ervan. Deze dienstverlening kon beschouwd worden als een totaalpakket. Dit administratiekantoor werd echter het slachtoffer van een aanval met ransomware, waardoor alle data versleuteld werden, inclusief de back-ups.

Het bewuste administratiekantoor heeft uiteindelijk een vergoeding via bitcoins moeten betalen om haar data vrij te krijgen en heeft beroep moeten doen op een gespecialiseerd Cyber Security bedrijf om de oorzaak van de aanval te achterhalen. Op basis van die bevindingen besloot het administratiekantoor om het IT-bedrijf aansprakelijk te stellen en vorderde zij een schadevergoeding wegens o.a. omzetverlies, personeelskosten, betaling van de vergoeding in bitcoins voor vrijgave van de data en de kosten van het gespecialiseerd Cyber Security bedrijf om de technische oorzaak te achterhalen. De rechtbank kende die vergoeding grotendeels toe en het IT-bedrijf diende hiervan ⅔ te betalen. Dit kwam, naast de gerechtskosten, neer op een bedrag van +/- 10.000 Euro.

We zouden nog voorzichtig kunnen stellen dat deze cyberaanval een relatief beperkte impact heeft gehad, maar de overwegingen van de rechtbank zijn daarentegen wel van bijzonder belang voor elke onderneming die IT-diensten aanbiedt. Net daarom geven we hier een kort overzicht van de belangrijkste overwegingen:

  • Er was geen schriftelijke overeenkomst zodat de rechtbank heeft gekeken naar wat een klant mag verwachten bij de implementatie van een IT-infrastructuur, in dit geval wanneer het gaat over een totaalpakket. Ondanks de discussie tussen de partijen, heeft de rechtbank geoordeeld dat adequate beveiligingsmaatregelen daar ook effectief toebehoren. Het niet leveren van een firewall en externe back-ups in dit geval brengt de rechtbank tot het besluit dat de IT-dienstverlener in gebreke is gebleven.
  • Dat de IT-dienstverlener beveiligingsmaatregelen had voorgesteld, maar dat deze afgewezen werden door de klant, verandert niets aan de eigen verantwoordelijkheid van de IT-dienstverlener. Die had in dat geval de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aanbieden of op zijn minst indringend en herhaaldelijk waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten.
  • Dat het betrokken contact bij de klant zelf voldoende ICT-kennis zou hebben, doet evenmin afbreuk aan de eigen verantwoordelijk van de IT-dienstverlener.
  • Indien er gebruik was gemaakt van strengere technische beveiligingsmaatregelen samen met sterkere wachtwoorden, dan had de kans bestaan dat de ransomware-aanval geneutraliseerd kon worden. Nu dit niet het geval was, moet de fout en de oorzaak bij de IT-dienstverlener gezocht te worden. Enkel omdat de klant zelf zwakkere wachtwoorden prefereerde, is de klant gedeeltelijk medeverantwoordelijk gesteld.
  • De ICT-dienstverlener kan in dat geval de bijkomende herstelwerkzaamheden niet doorrekenen aan de klant.

 

En wat in België?

Dezelfde overwegingen zoals in het Nederlandse vonnis zijn terug te vinden in de Belgische rechtspraak. Zo werd reeds geoordeeld dat bij het ontbreken van een schriftelijke overeenkomst het vermoeden geldt dat IT geleverd wordt cfr. de concrete behoeften van de klant. Beveiligingsmaatregelen kunnen daar dus bij horen. 

Op de IT-dienstverlener rust ook een zware informatieverplichting, gelet op het gespecialiseerde karakter van zijn dienstverlening. Schending van die informatieverplichting zou zelfs kunnen leiden tot nietigheid van de overeenkomst door dwaling bij de klant. Informeren over de nodige beveiligingsmaatregelen en de eventuele risico’s is dus een absolute must.

Weigert de klant adequate beveiligingsmaatregelen te aanvaarden, dan heeft de IT-dienstverlener hetzij de verplichting om de opdracht te weigeren, hetzij de verplichting om de klant schriftelijk te informeren over de risico’s van het ontbreken van adequate veiligheidsmaatregelen. Het is aangeraden om in dit geval de klant te laten aftekenen dat de IT-dienstverlener niet aangesproken kan worden.

Tot slot zal bij de vaststelling dat de IT-dienstverlener aansprakelijk is, de schade ook begroot kunnen worden aan de gederfde winsten en alle opgelopen kosten, inclusief de kosten van een eenzijdig IT-forensisch onderzoek, voor zover dit als noodzakelijk kon beschouwd worden.

 

Even samengevat

Je kan besluiten dat de verantwoordelijkheid van de IT-dienstverlener bij een cyberaanval niet min is. Zeker indien de impact voor de klant nog groter is. Een bedrijf dat een aantal weken haar economische activiteiten niet kan uitoefenen, wordt al snel geconfronteerd met een enorm omzetverlies en personeelskost. Ook de ‘losgelden’ om snel data vrij te krijgen kunnen een pak hoger liggen. Hetzelfde geldt voor de herstelwerkzaamheden die nadien moeten gebeuren om het bedrijf digitaal weer up and running te krijgen.

Om die reden is het voor elke IT-dienstverlener van het grootste belang om bij elke opdracht een schriftelijke overeenkomst te voorzien, de klant zeer goed en aantoonbaar te informeren en zo mogelijk een verzekering beroepsaansprakelijkheid te sluiten.

Mocht je meer vragen hebben over je aansprakelijkheid als IT-dienstverlener en wat je kan doen om dit zo goed mogelijk in te dekken, contacteer dan gerust Roeland via roeland@siriuslegal.be.

Over de auteur

Roeland
Lembrechts

Nadat ik afstudeerde als criminoloog aan de KU Leuven, besloot ik om aansluitend rechten te studeren aan de Universiteit Antwerpen. Met die ...


Digitale start-ups

Idealiter staat jouw start-up juridisch helemaal op punt. Kijk verder dan enkel het betere contractenwerk, maar kies een sparring partner die met je meedenkt en alle juridische valkuilen voor je afdekt. 


AI en blockchain

De digitalisering van onze economie brengt heel wat juridische uitdagingen met zich mee. Wij adviseren je graag over de juridische impact van AI, Blockchain, cryptocurrencies, Internet of Things en digitale handtekeningen.


Web & app & software development

Actief in web, app of software development? Dan zorg je maar beter dat de projecten die je oplevert juridisch helemaal op punt staan. En de relaties met je klanten zitten meestal wel goed… tot het eens fout gaat, toch? 


Cyber security

Ook jouw bedrijf kan het slachtoffer worden van cybercriminaliteit, de meldingen rond cybercrime nemen exponentieel toe. Wij helpen je bij de opzet van een performant technisch én juridisch cyber security beleid.


E-commerce

Heb je een webshop of wil je er een starten? Laat je juridisch adviseren door onze e-commerce experten. In een mum van tijd is je webshop compliant!