Blog over recht en ICT

      rechtenict@juridict.nl

Voorkomen is beter dan aansprakelijk stellen

In verschillende media hebben we kortgeleden kunnen lezen wat ransomware kan aanrichten. In het geval dat ransomware toeslaat wordt er vaak teruggevallen op de backup. Ervan uitgaande dat er een goede en recente backup aanwezig is, wordt de overlast veelal beperkt tot een dag aan dataverlies. Daarnaast kan reputatieschade ontstaan wanneer je bijvoorbeeld een datalek aan je relaties moet gaan melden. Een dag dataverlies kan, evenals reputatieschade, behoorlijke kosten met zich meebrengen. De vraag die dan al snel opkomt is of je iemand aansprakelijk kunt stellen voor deze schade?

Even een stukje theorie vooraf:

In dit kader, van schade door ransomware, kom je al snel uit op het terrein van aansprakelijkheid uit onrechtmatige daad. Artikel 6:162 van het Burgerlijk Wetboek (BW) zegt hierover het volgende:

Lid 1: Hij die tegen een ander een onrechtmatige daad pleegt, welke hem kan worden toegerekend, is verplicht de schade die de ander dientengevolge lijdt, te vergoeden.

Lid 2: Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond.

Lid 3: Een onrechtmatige daad kan aan de dader worden toegerekend, indien zij te wijten is aan zijn schuld of aan een oorzaak welke krachtens de wet of de in het verkeer geldende opvattingen voor zijn rekening komt.

Wil er sprake zijn van aansprakelijkheid op grond van art. 6:162BW dan zijn er vijf voorwaarden waaraan voldaan dient te worden:

  • er dient sprake te zijn van een onrechtmatige gedraging;

  • er is toerekenbaarheid van de daad aan de dader;

  • er is sprake van schade;

  • er is een causaal verband tussen de daad en de schade;

  • er is sprake van relativiteit.

Terug naar de ransomware. Wie kunnen we voor de schade die is ontstaan door een uitbraak (waarschijnlijk schade door dataverlies) aansprakelijk gaan stellen? Ik kan me een aantal partijen voorstellen zoals degene die de ransomware heeft gemaakt en verstuurd, maar ook de fabrikant van het besturingssysteem dat wellicht “gaten” heeft in de software, of de medewerker die het ransomware heeft geactiveerd door op een link in de e-mail te klikken of wellicht de ICT leverancier die het beheer uitvoert? Ik loop ze hieronder even langs.

De persoon of personen die de ransomware hebben gemaakt en verstuurd, zullen in dit kader onrechtmatig handelen en hiermee gehouden kunnen worden de geleden schade te vergoeden (het strafrechtelijke laat ik hier even buiten beschouwing). Stel, je kunt deze personen al herleiden, dan kom je terecht in allerlei, wellicht internationaal, privaatrechtelijke vraagstukken, zoals in complexe causaliteitsvraagstukken (wat is het directe verband tussen de ransomware en de geleden schade). Andersoortige schades zoals reputatieschade, bijvoorbeeld doordat je een datalek moet melden, is lastig te kwantificeren. Het meest lastig blijft wellicht nog om de makers te traceren.

Is het dan eenvoudiger om de fabrikant van het besturingssysteem aansprakelijk te houden voor gaten of andere omissies in de software waardoor de ransomware zijn gang kon gaan? Over het algemeen is in de gebruikersvoorwaarden een algehele uitsluiting voor aansprakelijkheid opgenomen. Desondanks hebben fabrikanten veelal een zorgplicht om te zorgen dat “fouten” in de software worden opgelost. Hierbij geldt overigens ook een verantwoordelijkheid voor de gebruiker van de software: loop je achter met updates dan kan er al snel sprake zijn van eigen schuld. Daarbij komt dat het procederen tegen grote internationale softwarefabrikanten niet direct evident is.

Zullen we dan de desbetreffende werknemer, die de ransomware vanuit het mailbericht heeft geactiveerd, aansprakelijk stellen? Hiervoor is het, kort gezegd, nodig dat je kunt aantonen dat er van opzettelijk- of bewust roekeloos handelen sprake is. Dit zal niet snel en eenvoudig aangetoond kunnen worden. 

Dan maar de ICT leverancier aanpakken die verantwoordelijk is voor het beheer? Of dit een kans van slagen heeft hangt uiteraard af van de afspraken die zijn gemaakt: wat omvat de Service Level Agreement (SLA)? Afhankelijk van de omvang van het beheer kan de leverancier op grond van de Wbp (binnenkort vervangen door de AVG) verantwoordelijk zijn voor een adequate dienstverlening. Hiermee gelden er wettelijke beveiligingseisen die ook gelden voor de bewerker mits er een bewerkersovereenkomst is gesloten. Het meest steekhoudende argument in deze is waarschijnlijk dat je de leverancier aanspreekt op het nakomen van zijn verplichtingen om tijdig beveiligingsupdates en -patches uit te voeren, mits dit is overeengekomen. Een valide argument van de leverancier zal zijn dat je niet zomaar tal van updates en patches kunt doorvoeren voordat dit voldoende is getest. Hierbij komt dat het in het zakelijke verkeer doen gebruikelijk is dat aansprakelijkheid in zijn geheel of anders toch wel grotendeels in algemene voorwaarden wordt uitgesloten. Het komt voor dat de rechter bepalingen in algemene voorwaarden opzij zet wanneer ze onaanvaardbaar zijn op grond van redelijkheid en billijkheid, dit is echter zeldzaam.

Voorkomen is beter dan aansprakelijk stellen!

Zoals ik hiervoor kort heb geschetst wordt het lastig om een partij aansprakelijk te stellen voor de geleden schade door toedoen van ransomware. Beter is het om je energie te steken in het voorkomen van een besmetting met ransomware. Een paar tips:

  • instrueren van de gebruikers. Open niet zomaar mailbijlagen van onbekende afzenders en betrek in geval van twijfel, ook bij bekende afzenders, de ICT afdeling voordat je wat opent;

  • laat de beveiligingsinstellingen van alle systemen regelmatig controleren en beperk gebruikersrechten;

  • installeer een goede virusscanner in combinatie met anti-ransomware software zoals bijvoorbeeld van Sophos;maak tenminste dagelijks een backup en controleer de kwaliteit van de backup regelmatig middels een restore test;

  • laat je informeren door je ICT leverancier over te nemen maatregelen.