Aansprakelijkheid bij ICT-bedrijven: wie betaalt de rekening?

8 maart 2025

Supply Chain

Cyberaanvallen, datalekken en systeemuitval zijn geen uitzondering meer, maar een harde realiteit. Steeds vaker worden ICT-dienstverleners niet alleen gezien als digitale partners, maar ook als potentiële aansprakelijke partijen bij ICT-falen. Wanneer een ransomware-aanval systemen gijzelt of cruciale data voorgoed verdwijnt, blijft één vraag hangen: wie is verantwoordelijk?

De dunne lijn tussen dienstverlening en aansprakelijkheid

ICT-dienstverleners positioneren zich graag als onmisbare schakels in de digitale infrastructuur van hun klanten. Ze beheren servers, implementeren beveiligingsoplossingen en beloven 'proactief' beheer. Maar wanneer het fout gaat - wanneer een back-up ontbreekt, een netwerk kwetsbaar blijkt of een software-update nooit is uitgevoerd - wordt die rol ineens kritisch geëvalueerd.

Dat ICT-dienstverleners steeds vaker juridisch ter verantwoording worden geroepen, blijkt uit recente rechtszaken. Een sprekend voorbeeld is de zaak van Blok Enterprise Vastgoed B.V. tegen Hallo Nederland B.V. (zaaknummer C/15/358407/KG ZA 24-634), waarin een rechter oordeelde dat de ICT-dienstverlener grof nalatig was geweest in het uitvoeren van zijn kerntaak.

De zaak tegen Hallo ICT: een wake-up call voor de sector

Hallo Nederland B.V., een grote ICT-dienstverlener, was verantwoordelijk voor het volledige ICT-beheer van Blok Enterprise Vastgoed B.V., inclusief back-ups. Op papier leek alles goed geregeld: Blok ontving kwartaalrapportages waarin werd bevestigd dat alle servers en back-ups correct functioneerden.

Maar toen op 2 oktober 2024 een server crashte, bleek de realiteit een nachtmerrie. Sinds juli 2022 was er geen enkele back-up gemaakt van de nieuwe server waarop het bedrijfskritische ERP-systeem draaide. Alle data vanaf dat moment was voorgoed verloren.

Blok stelde de dienstverlener aansprakelijk, en de rechter gaf gelijk. De kernoverwegingen van de voorzieningenrechter waren:

  • Hallo had een contractuele verplichting om back-ups te maken en deze te testen, maar verzuimde dit ruim twee jaar lang.
  • De ICT-dienstverlener had Blok misleid met rapportages die ten onrechte suggereerden dat alles op orde was.
  • De exoneratiebedingen (aansprakelijkheidsbeperkingen) in de algemene voorwaarden konden geen stand houden, omdat de fouten van Hallo te ernstig waren.

De gevolgen voor Blok waren desastreus: drie productielijnen lagen stil, het bedrijfsbureau kon geen orders verwerken en de logistiek liep volledig vast. De rechtbank kende een voorlopige schadevergoeding van € 368.861,73 toe voor de geleden schade tot 25 oktober 2024, plus een dagelijkse schadevergoedging van € 5.308 totdat de bedrijfsvoering weer op orde was. Daarnaast werd Hallo verplicht om Blok volledig te informeren over alle herstelacties en werd een dwangsom van € 10.000 per dag opgelegd voor niet-naleving, met een maximum van € 150.000.

Back-upstrategie: wie draagt de eindverantwoordelijkheid?

Deze zaak illustreert een belangrijke les: een back-upstrategie kan niet impliciet worden aangenomen, maar moet expliciet worden vastgelegd. Zowel opdrachtgevers als ICT-dienstverleners moeten zich afvragen:

  • Welke systemen worden geback-upt en hoe vaak?
  • Zijn back-ups getest op herstelbaarheid?
  • Worden back-ups beschermd tegen ransomware?
  • Wie is eindverantwoordelijk: de dienstverlener of de opdrachtgever?

De harde les: bepaal uw strategie vooraf

Het bepalen van een back-upstrategie is geen 'nice-to-have', maar een bedrijfskritische noodzaak. Het moet een expliciet onderdeel zijn van de contractuele afspraken. Dit betekent:

  • Duidelijke contractuele afspraken over de frequentie, retentie en testen van back-ups.
  • Geen blinde vlekken: controleer zelf of de back-upstrategie correct wordt uitgevoerd.
  • Geen standaard exoneratieclausules accepteren zonder juridisch advies.

ICT-dienstverleners onder vergrootglas

Met de toename van cybercriminaliteit en regelgeving zoals NIS2 en de Cyber Resilience Act, zal de juridische druk op ICT-dienstverleners alleen maar toenemen. Exonatieclausules verliezen hun kracht wanneer een rechter oordeelt dat er sprake is van grove nalatigheid.

Voor zowel opdrachtgevers als ICT-dienstverleners geldt: de tijd van vage afspraken is voorbij. Wie geen helder vastgelegde back-upstrategie heeft, speelt met vuur. En zoals de rechtzaak tegen Hallo Nederland laat zien: als het fout gaat, is de financiële impact enorm.

Over TT3P

The Trusted Third Party biedt praktisch advies voor cybersecurity en flexibele inzet van cybersecurityspecialisten. We helpen organisaties van elk type om het risico op gijzeling van bedrijfssystemen, datadiefstal en onbevoegde toegang te verkleinen en hun digitale weerbaarheid te vergroten. Neem contact op via info@tt3p.nl of 088 38 38 38 3.

Op de hoogte blijven van alle updates rondom cybersecurity? Volg dan onze LinkedIn-pagina

Vorige bericht
Volgende bericht