ICT leverancier aansprakelijk na cyberincident klant

In 2019 werd een klant van een ICT-bedrijf uit Coevorden getroffen door een ransomware-aanval. De klant stelde het bedrijf verantwoordelijk voor de schade, omdat zij vonden dat het bedrijf niet voldoende beveiligingsmaatregelen had getroffen. Zo werden er slechte wachtwoorden gebruikt, bleven kwetsbare poorten openstaan en was het netwerk niet goed gesegmenteerd. Hierdoor konden de aanvallers niet alleen werkbestanden maar ook back-ups versleutelen. De klant claimde één miljoen euro aan schade, maar de rechter beperkte dit tot vijftigduizend euro. De rechter baseerde zich daarbij op contractuele afspraken tussen het ICT-bedrijf en de klant, waarin de aansprakelijkheid werd gemaximeerd.

De bepalingen in een contract of SLA doen ertoe

Hoewel de klant probeerde aan te tonen dat het ICT-bedrijf ook verantwoordelijk was voor de indirecte schade, zoals verlies van omzet, wees de rechter dit af. Volgens de rechtbank was er sprake van een contractuele beperking die dergelijke kosten uitsloot. Het oordeel maakt duidelijk dat ICT-bedrijven zorgvuldig moeten omgaan met beveiligingsmaatregelen en afspraken over aansprakelijkheid in hun contracten.

Door deze uitspraak is het belang van heldere contractuele afspraken en adequate beveiligingsmaatregelen in de ICT-sector onderstreept. Bedrijven moeten niet alleen technische maatregelen treffen, maar ook zorgen dat hun klanten zich bewust zijn van de risico's van cyberaanvallen en de beperkingen van hun dienstverlening.

Lees het volledige artikel hier.

Leveranciers blijken een potentiële zwakke schakel te zijn bij cyberincidenten en datalekken. Als u met uw organisatie waardevolle bedrijfsgegevens in handen geeft bij een leverancier (en dat gebeurt heel regelmatig) wilt u natuurlijk ook weten dat deze uw bedrijfsinformatie goed beveiligt. Hoe kunt u dit verifiëren? Lees meer over de TT3P Supply Chain Security Check.