Zware bewijslast vereist en details doen ertoe, zoals casus Hof van Twente aantoont
Aansprakelijkheid blijft heet hangijzer
Onderkop
door Jasper Bakker, beeld Shutterstock
De kwestie van wie er verantwoordelijk is bij security-incidenten is een complexe zaak. Zeker als er niet alleen sprake is van interne partijen, zoals medewerkers, IT-afdelingen en budgetbepalers. Inzet van externe IT-dienstverleners kan extra complicaties geven. Mede door de gedachte dat beheer- en securitydiensten de klant geheel ontzorgen. De rechtszaak van gemeente Hof van Twente toont dit in de praktijk aan.
De jarenlange juridische strijd van de Overijsselse gemeente tegen dienstverlener Switch IT heeft uiteindelijk een verlies opgeleverd. Het Gerechtshof Arnhem-Leeuwarden heeft de gemeente in het ongelijk gesteld in het hoger beroep tegen haar ICT-leverancier. Inzet was het verhalen van de miljoenenschade die Hof van Twente heeft geleden door de hackaanval in december 2020.
Opnieuw opbouwen
De toenmalige infectie van gemeentelijke IT-systemen met ransomware heeft verstrekkende gevolgen gehad. De aanvallers waren diep doorgedrongen, hebben hele servers gewist en ook de back-ups weten te bereiken – en te versleutelen. Er is toen zoveel schade aangericht dat Hof van Twente genoodzaakt was om een wederopbouw te effectueren. Het herstel heeft bijna twee jaar geduurd en 4,2 miljoen euro gekost. Daarnaast zijn de structurele ICT-uitgaven van de gemeente verhoogd.
Slechts twee jaar voor de aanval had de gemeente het systeembeheer en aanverwante ICT-beheerzaken uitbesteed aan een externe dienstverlener. Dat was het Overijsselse Switch IT, dat na de aanval in december 2020 door Hof van Twente werd beticht van wanprestatie. Uit forensisch onderzoek bleek namelijk dat de hack kon plaatsvinden omdat er veel mis was gegaan.
De zorgplicht van een ICT-dienstverlener houdt geen gehele ontzorging in.
Zorgplicht
De getroffen gemeente hield het niet bij boze woorden, maar stelde dat de ICT-dienstverlener verantwoordelijk was en wilde die partij aansprakelijk stellen. Switch IT zou tekort zijn geschoten in het nakomen van de verplichtingen, zoals vastgelegd in de overeenkomst met Hof van Twente. Het woord zorgplicht speelde hierin een centrale rol.
Op grond van het geclaimde tekortschieten eiste de gemeente dat de overeenkomst ontbonden zou worden, dat betaalde bedragen terugbetaald zouden worden, en dat Switch IT schadevergoeding zou moeten betalen. Het IT-bedrijf wierp tegen dat het aan zijn zorgplicht had voldaan en dat het juist de gemeente was die fouten had gemaakt.
Het hof in het hoger beroep heeft uiteindelijk bepaald - net als de rechtbank eerder al (in mei 2023) - dat de vorderingen van de gemeente niet toewijsbaar zijn. Het is namelijk niet gebleken dat de externe dienstverlener haar contractuele verplichtingen niet is nagekomen of onzorgvuldig heeft gehandeld, aldus het oordeel dat begin februari 2025 is geveld.
Inspanning versus resultaat
Hoe dit mogelijk is? De zorgplicht van een ICT-dienstverlener houdt geen gehele ontzorging in. De klant heeft en houdt zelf altijd enige mate van verantwoordelijkheid, voor zelfzorg zogezegd. Het hof verklaart dan ook dat de dienstverlener een inspanningsverplichting had, maar géén resultaatsverplichting.
Daarnaast speelden nog enkele details: kleine zaken die wel significant zijn. Zoals in deze casus controle op logs door de IT-dienstverlener en door de klant verwachte waakzaamheid met actief ingrijpen. Voordat de ransomware-aanval werd ingezet, zouden er enkele honderdduizenden inlogpogingen zijn gedaan op de gemeentelijke servers. Uit forensisch onderzoek later bleek dat de IT-dienstverlener die zou hebben gemist.
Volgens de overeenkomst tussen klant en dienstverlener was Switch IT niet verplicht om alle logboeken te controleren. Het bedrijf moest dat wel doen voor specifieke Microsoft-servers van de gemeente, maar inlogpogingen daarop waren volgens het hof niet abnormaal genoeg om ingrijpen te vereisen.
De hackers hebben goed gebruik gemaakt van een zwak wachtwoord voor een beheerdersaccount, dat door de gemeente was ingesteld: Welkom2020
Details, die ertoe doen
Uit datzelfde onderzoek kwam naar voren dat de gemeente zelf steken had laten vallen. Zo had een medewerker van de gemeente eind oktober 2019, dus een jaar vóór de aanval, een aanpassing in de firewall gedaan. Daardoor was een RDP-poort opengezet, voor werken-op-afstand, waarlangs later de aanvallers zijn binnengekomen op het netwerk van Hof van Twente.
Verder heeft een medewerker van de gemeente aanpassingen gedaan waardoor een FTP-server toegankelijk werd voor willekeurige IP-adressen vanaf het internet. Daarmee is de aanpak van ‘whitelisting’ als het ware geschonden. Daarbij hebben de criminele hackers ook goed gebruik gemaakt van een zwak wachtwoord voor een beheerdersaccount, dat door de gemeente was ingesteld: Welkom2020. Dergelijke goed raadbare wachtwoorden worden al jaren afgeraden voor gebruik.
Grote letters in de overeenkomst
Naast bovengenoemde missers, door de gemeente zelf begaan, en kleine letters in de overeenkomst, over controle van logs, is er ook sprake van ‘grote letters’. Het gerechtshof Arnhem-Leeuwarden merkt in het oordeel op dat “Switch bij haar inschrijving uitdrukkelijk heeft vermeld dat zij de performance monitoring wel, maar de security monitoring niet op zich nam”.
In de overeenkomst staat wel vermeld (in paragraaf 2.4.3) dat de IT-dienstverlener “regelmatig een diepgaande controle zal doen” én “in dat kader regelmatig ook de logfiles controleert”. Terwijl dat wel duidt op enige controle, komt dat niet neer op beveiliging of diensten op dat gebied. “Hieraan mocht de gemeente dan ook niet de verwachting ontlenen dat Switch de logboeken van het veiligheidssysteem (de firewall) zou controleren”, aldus het hof in de hogerberoepszaak van de gemeente.
“Gesteld noch gebleken is dat de vele inlogpogingen of brute force aanvallen van (werkelijke) invloed zijn geweest op de performance waarvoor Switch wel de verantwoordelijkheid droeg.” De redenering van de gemeente dat Switch een verdergaande bewaking had moeten doen, wordt dan ook afgewezen door het hof. De gemeente beriep zich er daarbij op dat beschikbaarheid ook een veiligheidsaspect heeft. Het hof oordeelt dat die redenering niet opgaat.
Al met al toont de eindstand van deze juridische strijd tegen een ICT-dienstverlener aan dat de lat voor het kunnen claimen van aansprakelijkheid hoog ligt. De bewijslast is zwaar, verantwoordelijkheid is hoe dan ook een zaak voor de klant, en details doen ertoe; in kleine maar ook grote letters in een dienstverleningsovereenkomst.

Iets over de auteur eventueel