Automatiseerders wacht stortvloed aan claims om schade door hackers

Het FD kopte deze week: ‘Automatiseerders wacht stortvloed aan claims om schade door hackers’. Naar aanleiding van dit artikel zijn wij overladen met vragen over het al dan niet aansprakelijk zijn voor schade door gijzelsoftware. 

Dit alles naar aanleiding van een uitspraak van de Rechtbank Amsterdam uit 2018 welke afgelopen week is gepubliceerd. De rechter oordeelde dat een IT-leverancier de schade van haar klant dient te vergoeden die zij heeft geleden naar aanleiding van ransomware. De klant diende enkele duizenden euro’s in bitcoins te betalen om weer toegang tot de bestanden te krijgen. Een door de klant ingeschakelde deskundige stelde vast dat dit heeft kunnen gebeuren doordat de beveiliging van het bedrijfsnetwerk tekortschoot. 

Wat in deze specifieke situatie van belang is, is ten eerste dat partijen schriftelijk niets hebben vastgelegd. Er ligt geen overeenkomst, er zijn geen algemene voorwaarden van toepassing verklaard en er is dus ook niets afgesproken ten aanzien van aansprakelijkheid, waardoor er geen enkele beperking op een eventuele aansprakelijkheid van de IT-leverancier ligt. Wat verder erg belangrijk is, is dat de IT-leverancier in kwestie de klant alleen mondeling heeft gewaarschuwd dat de beveiliging niet juist of optimaal zou zijn. 

Als IT-leverancier heeft u als professional en deskundige op IT-gebied zijnde naast een zorgplicht richting uw klant, óók een waarschuwingsplicht. Dat betekent dat u uw klant dient te waarschuwen voor de risico’s en gevolgen van haar keuze. De mate waarin een IT-leverancier dient te waarschuwen, wordt alleen maar groter wanneer de klant een leek is op het gebied van IT. De rechtbank geeft in deze uitspraak heel duidelijk aan dat de IT-leverancier niet voldoende heeft gewaarschuwd voor de gevolgen van het achterwege laten van een optimale beveiliging. De IT-leverancier had explicieter moeten waarschuwen of zelfs de opdracht terug moeten geven. 

Tijdens ieder gesprek met een deelnemer, masterclass of seminar kan ik niet genoeg benadrukken hoe belangrijk het is om gemaakte afspraken op schrift te stellen. Vertrouwen hebben is goed, maar vastleggen is beter. Want hoe weet u of de klant uw boodschap ook als zodanig heeft begrepen of het over een bepaalde periode überhaupt nog weet? 

Betekent dit dat u als IT-leverancier zonder meer aansprakelijk bent wanneer een klant in problemen komt door een onvoldoende beveiligd systeem? 

Nee, niet zonder meer. Wel is van belang dat u uw klant heel duidelijk schriftelijk waarschuwt voor de gevolgen en risico’s van haar keuze rondom beveiliging. Mocht u ooit met een dergelijke situatie geconfronteerd worden, dan dient u uw klant dus schriftelijk te informeren en te waarschuwen. Neem ook zeker in overweging om de opdracht terug te geven of niet aan te nemen wanneer de risico’s te groot zijn. Wanneer een klant er heel bewust voor kiest om bepaalde diensten niet af te nemen, raad ik aan om onderling overeen te komen om aansprakelijkheid ten aanzien daarvan uit te sluiten. 

In onze Algemene Voorwaarden is een beperking van aansprakelijkheid opgenomen. De Algemene Voorwaarden dienen echter wel juist van toepassing te worden verklaard én ter hand gesteld. Maar dan nog geldt de waarschuwingsplicht die voor iedere klant weer anders is en dus niet te standaardiseren.  

Sinds kort bieden wij de contract scan aan. Wij controleren of uw contract voldoende dekkend is en of de Algemene Voorwaarden op een juiste manier van toepassing worden verklaard. Ook doen wij suggesties ter verbetering. 

Wilt u graag dat wij uw contract scannen? Of wilt u een specifieke situatie bespreken? Neem dan contact met ons op om de kwestie te bespreken. Wij helpen u graag verder. 

Vul onderstaand formulier in zodat wij contact met u op kunnen nemen