Aansprakelijkheid blijft heet hangijzer

De toenmalige infectie van gemeentelijke IT-systemen met ransomware heeft verstrekkende gevolgen gehad. De aanvallers waren diep doorgedrongen, hebben hele servers gewist en ook de back-ups weten te bereiken – en te versleutelen. Er is toen zoveel schade aangericht dat Hof van Twente genoodzaakt was om een wederopbouw te effectueren. Het herstel heeft bijna twee jaar geduurd en 4,2 miljoen euro gekost. Daarnaast zijn de structurele ICT-uitgaven van de gemeente verhoogd.

Slechts twee jaar voor de aanval had de gemeente het systeembeheer en aanverwante ICT-beheerzaken uitbesteed aan een externe dienstverlener. Dat was het Overijsselse Switch IT, dat na de aanval in december 2020 door Hof van Twente werd beticht van wanprestatie. Uit forensisch onderzoek bleek namelijk dat de hack kon plaatsvinden omdat er veel mis was gegaan.

Hoe dit mogelijk is? De zorgplicht van een ICT-dienstverlener houdt geen gehele ontzorging in. De klant heeft en houdt zelf altijd enige mate van verantwoordelijkheid, voor zelfzorg zogezegd. Het hof verklaart dan ook dat de dienstverlener een inspanningsverplichting had, maar géén resultaatsverplichting.

Daarnaast speelden nog enkele details: kleine zaken die wel significant zijn. Zoals in deze casus controle op logs door de IT-dienstverlener en door de klant verwachte waakzaamheid met actief ingrijpen. Voordat de ransomware-aanval werd ingezet, zouden er enkele honderdduizenden inlogpogingen zijn gedaan op de gemeentelijke servers. Uit forensisch onderzoek later bleek dat de IT-dienstverlener die zou hebben gemist.

Volgens de overeenkomst tussen klant en dienstverlener was Switch IT niet verplicht om alle logboeken te controleren. Het bedrijf moest dat wel doen voor specifieke Microsoft-servers van de gemeente, maar inlogpogingen daarop waren volgens het hof niet abnormaal genoeg om ingrijpen te vereisen.

Naast bovengenoemde missers, door de gemeente zelf begaan, en kleine letters in de overeenkomst, over controle van logs, is er ook sprake van ‘grote letters’. Het gerechtshof Arnhem-Leeuwarden merkt in het oordeel op dat “Switch bij haar inschrijving uitdrukkelijk heeft vermeld dat zij de performance monitoring wel, maar de security monitoring niet op zich nam”.

In de overeenkomst staat wel vermeld (in paragraaf 2.4.3) dat de IT-dienstverlener “regelmatig een diepgaande controle zal doen” én “in dat kader regelmatig ook de logfiles controleert”. Terwijl dat wel duidt op enige controle, komt dat niet neer op beveiliging of diensten op dat gebied. “Hieraan mocht de gemeente dan ook niet de verwachting ontlenen dat Switch de logboeken van het veiligheidssysteem (de firewall) zou controleren”, aldus het hof in de hogerberoepszaak van de gemeente.

“Gesteld noch gebleken is dat de vele inlogpogingen of brute force aanvallen van (werkelijke) invloed zijn geweest op de performance waarvoor Switch wel de verantwoordelijkheid droeg.” De redenering van de gemeente dat Switch een verdergaande bewaking had moeten doen, wordt dan ook afgewezen door het hof. De gemeente beriep zich er daarbij op dat beschikbaarheid ook een veiligheidsaspect heeft. Het hof oordeelt dat die redenering niet opgaat.

Al met al toont de eindstand van deze juridische strijd tegen een ICT-dienstverlener aan dat de lat voor het kunnen claimen van aansprakelijkheid hoog ligt. De bewijslast is zwaar, verantwoordelijkheid is hoe dan ook een zaak voor de klant, en details doen ertoe; in kleine maar ook grote letters in een dienstverleningsovereenkomst.