Aansprakelijkheid IT-leverancier afgewezen in hoger beroep Hof van Twente
De gemeente Hof van Twente heeft opnieuw bakzeil gehaald bij de rechter met zijn schadeclaim voor de geruchtmakende hackaanval van eind 2020. Het Gerechtshof Arnhem-Leeuwarden heeft de gemeente in het ongelijk gesteld in het hoger beroep tegen haar ICT-leverancier. De gemeente stelde de leverancier verantwoordelijk voor de gevolgen van een ransomware-aanval in december 2020, maar het oordeel blijft staan dat er geen sprake was toerekenbare tekortkoming of onzorgvuldig handelen door Switch.
- Lees ook: Beperk je aansprakelijkheidsrisico’s
rechtershamer op laptoptoetsenbord
Shutterstock
De cyberaanval legde destijds het volledige netwerk van de gemeente plat, waarbij systemen en back-ups werden versleuteld en servers werden verwijderd. Hof van Twente stelde dat Switch tekort was geschoten in de uitvoering van de ICT-beheerdiensten en eiste schadevergoeding en ontbinding van het contract.
Slechts inspanningsverplichting
Het gerechtshof kwam echter tot de conclusie dat Switch geen resultaatsverplichting had, maar slechts een inspanningsverplichting. Daarnaast was de leverancier niet verplicht om firewall-logboeken actief te controleren. Hoewel Switch wel de logboeken van specifieke Microsoft-servers moest controleren, vond het hof onvoldoende onderbouwing dat de inlogpogingen zo abnormaal waren dat de leverancier had moeten ingrijpen.
Een ander belangrijk punt in de uitspraak was dat de back-upvoorziening niet onjuist was ingericht, maar dat hackers toegang kregen via het hoogste domeinadministrator-account van de gemeente. Daardoor konden zij ook de back-ups verwijderen. Dit lag buiten de verantwoordelijkheid van Switch, aldus het hof.
Geen schadevergoeding
De uitspraak betekent dat Hof van Twente geen schadevergoeding ontvangt en dat Switch juridisch niet verantwoordelijk wordt gehouden voor de gevolgen van de aanval. Deze zaak benadrukt de risico’s van cybercriminaliteit voor overheidsinstanties en het belang van strikte interne beveiligingsmaatregelen.
Dit artikel is eerder gepubliceerd op Binnenlands Bestuur, zustertitel van AG Connect.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeRecent is onderzoek naar double-extortion ransomware verdedigd.
Op https://utwente.yuja.com/V/Watch?v=851703&node=4538188 is een video te vinden van de verdediging en de promotie.
Op de link https://tinyurl.com/mr29stz4 kun je software downloaden waarmee je conform de NL Universiteitsstandaard sterke quantum passwords kunt genereren en informatie kunt beveiligen.
Op beveiligde informatie conform deze standaard zijn deze double-extortion ransomware aanvallen onmogelijk.