De zorgplicht van de IT-dienstverlener en hoe te handelen
11 juni 2020

Maandag 8 juni 2020 publiceerde NU.nl een nieuwsbericht over een zaak die voor de Amsterdamse rechtbank speelde in 2018 en nu pas openbaar gemaakt is. Dat een professionele opdrachtnemer zoals een IT-dienstverlener een zekere zorgplicht heeft is duidelijk en bekend, maar de uitspraak in deze zaak kan voor veel dienstverleners toch reden zijn om nog eens goed na te denken over hoe ze omgaan met die zorgplicht. Het eenvoudig accepteren van een afwijzing van voorgestelde, cruciale beveiligingsmaatregelen door een klant ontslaat de dienstverlener niet zomaar van enige verantwoordelijkheid als het toch misgaat; informeren, bij herhaling, en uitdrukkelijke acceptatie van de klant van risico’s, zijn voorwaarden om toch aan je zorgplicht te voldoen!

De rechtszaak in het kort

In de betreffende zaak speelt een geschil tussen een IT- dienstverlener (de gedaagde) en een administratiekantoor (O’Cliance), waarbij de eerste in opdracht een volledige IT-infrastructuur heeft geleverd aan het administratiekantoor en voor onderhoud en beheer zorgde. Partijen zijn het erover eens dat de afspraak inhield dat er een ‘totaalpakket’ geleverd zou worden. De vraag die wel speelt, is of beveiliging ook onderdeel zou zijn van het ‘totaalpakket’.

Die vraag is relevant geworden nu het administratiekantoor slachtoffer is geworden van ransomware en daardoor schade heeft geleden. Na onderzoek door een cybersecurity-specialist bleek ‘dat de ransomware-aanval voorkomen had kunnen worden door een combinatie van technische maatregelen (firewall) en sterkere wachtwoorden’. En dat had natuurlijk geregeld moeten worden door de IT-dienstverlener die een ‘totaalpakket’ aan IT-maatregelen zou moeten leveren, aldus het administratiekantoor. Overigens waren er ook nog eens geen back-ups geregeld, waardoor het administratiekantoor alleen kon overgaan tot het inwilligen van de eisen van de personen die achter de ransomware-aanval zaten.

Het administratiekantoor stelt dus schade te hebben geleden doordat de IT-dienstverlener de opdracht die zij had niet goed heeft uitgevoerd, in ieder geval gelet op de levering van de juiste beveiligingsmaatregelen. De schade die vervolgens door de ransomware-aanval ontstond bij het administratiekantoor zou dus door de IT-dienstverlener vergoed moeten worden.

De IT-dienstverlener heeft echter wel een op het eerste oog goed verweer, namelijk dat hij wel de juiste beveiligingsmaatregelen heeft voorgesteld (waaronder firewall, back-up en sterke wachtwoorden) maar dat de klant dit had afgewezen:

“[gedaagde] voert ter betwisting aan dat hij wel beveiligingsmaatregelen heeft voorgesteld, maar dat al zijn voorstellen door O’Cliance van de hand werden gewezen. In zijn aanvankelijke voorstel stond onder meer de aanleg van de firewall, maar dit is niet overgenomen in het uiteindelijke ontwerp omdat de [functie] en [functie] van O’Cliance, [betrokkene] (hierna: [betrokkene] ), tijdens de voorbereidende gesprekken aangaf dat hij dit te duur vond. Het voorstel van [gedaagde] om bij wijze van back-up met roulerende externe schijven te werken, gaf volgens [betrokkene] te veel gedoe. Bij gebrek aan toestemming heeft [gedaagde] noodgedwongen bepaalde beveiligingsmaatregelen achterwege gelaten en gemakkelijke wachtwoorden ingesteld. [betrokkene] was geen leek op computergebied en wist dus welke risico’s aan zijn keuzes kleefden.”

De zorgplicht van de opdrachtnemer

Op grond van artikel 7:401 BW heeft de opdrachtnemer de plicht om ‘bij zijn werkzaamheden de zorg van een goed opdrachtnemer in acht te nemen’. Deze vage (open) norm betekent in feite dat je moet handelen zoals een bekwaam vakgenoot zou doen, oftewel je moet handelen zoals ‘minimaal gewoon’ is in jouw vakgebied. Dat de klant vervolgens wil afwijken van die standaard (in dit specifieke geval de firewall, backup en sterke wachtwoorden, dat zijn immers toch wel de minimale beveiligingsmaatregelen die je wilt (moet) treffen), wil niet zeggen dat jij wegkomt met die enkele afwijzing.

De rechtbank concludeert namelijk: Door het netwerk aan te leggen zonder firewall en zonder externe back-ups, heeft [gedaagde] deze opdracht niet naar behoren uitgevoerd. Dat, zoals [gedaagde] stelt, O’Cliance de voorgestelde beveiligingsmaatregelen van de hand zou hebben gewezen, maakt dit niet zonder meer anders. Het had dan op de weg van [gedaagde] gelegen de opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten. Dat [betrokkene] wellicht zelf kennis van zaken op het gebied van IT had, ontsloeg [gedaagde] niet van deze verantwoordelijkheid. Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van O’Cliance. Dat [gedaagde] meer heeft gedaan dan het geven van een enkele waarschuwing, is door hem niet, althans onvoldoende, gesteld. Uit de e-mail van 29 april 2010 blijkt juist het tegendeel. Dat [gedaagde] niet uitdrukkelijk heeft gewaarschuwd wordt nog eens onderstreept doordat [gedaagde] op de zitting heeft verklaard dat hij op de vraag of het systeem veilig genoeg was slechts zou hebben geantwoord: “Er moeten nog een aantal dingen bij.” [gedaagde] is hiermee toerekenbaar tekort geschoten in de uitvoering van zijn opdracht.

Hoe voorkom je nu in dit soort situaties schade als IT-dienstverlener?

De rechtbank geeft in zijn uitspraak enkele mogelijkheden, zoals het teruggeven van de opdracht, het aandragen van alternatieven of het heel indringend en herhaaldelijk waarschuwen voor de risico’s. Die eerste optie kan op basis van artikel 7:402 lid 2 BW: “De opdrachtnemer die op redelijke grond niet bereid is de opdracht volgens de hem gegeven aanwijzingen uit te voeren, kan, zo de opdrachtgever hem niettemin aan die aanwijzingen houdt, de overeenkomst opzeggen wegens gewichtige redenen.” Dit is in veel gevallen niet iets wat je wilt omdat je dan de gehele opdracht kwijtraakt.

De laatste optie, het informeren, is dus een manier om de volledige opdracht te behouden én te voldoen aan je zorgplicht. Het is daarbij wel van belang dat je indringend en herhaaldelijk waarschuwt voor de risico’s. Zorg ook dat dit niet bij eenzijdige mededelingen van jouw kant blijft maar dat hier ook een soort (actief gegeven) bevestiging van komt van de klant, in die zin dat hij de risico’s begrijpt én accepteert.

Deze werkwijze heeft de IT-dienstverlener in deze casus ook (ten dele) gevolgd, namelijk bij het vraagstukje over de wachtwoorden. Inzake die wachtwoorden is er voor de uiteindelijke uitspraak namelijk nog een belangrijk feit: de IT-dienstverlener had in eerste instantie wel sterke wachtwoorden ingesteld, maar op uitdrukkelijk verzoek van het administratiekantoor zijn ze omgezet in eenvoudige wachtwoorden.

“Met betrekking tot deze wachtwoorden staat bovendien vast dat [gedaagde] aanvankelijk complexe wachtwoorden had ingesteld, maar dat hij deze op uitdrukkelijk verzoek van O’Cliance heeft vereenvoudigd. Op de zitting heeft [betrokkene] hierover verklaard dat hij herhaaldelijk met [gedaagde] over de wachtwoorden heeft gesproken en dat hij zich ervan bewust was dat het gebruik van simpele wachtwoorden risico’s met zich bracht.”

Hieruit blijkt dus dat er 1) herhaaldelijk gesproken (geïnformeerd) is over die wachtwoorden én 2) dat de klant zich bewust was van de risico’s van simpele wachtwoorden. Dit gegeven is voor de rechter dan ook reden om niet de volledige verantwoordelijkheid voor de schade bij de IT-dienstverlener te leggen en te oordelen dat het administratiekantoor (weliswaar voor 1/3e) medeschuldig is aan de schade.

Informeer je de klant dus goed en accepteert de klant uitdrukkelijk de risico’s die spelen dan kun je als IT-dienstverlener alsnog aan je zorgplicht voldoen. Als je dit ook nog eens duidelijk op schrift hebt en documenteert heb je ook nog eens bewijs voor situaties dat er alsnog een geschil ontstaat. Deze redeneerwijze over de zorgplicht is niet verrassend (het staats zelfs als open norm in het Burgerlijk Wetboek) en sluit goed aan bij een relatie tussen een professionele partij en een (minder deskundige) afnemer. Wat wel interessant is, is de manier waarop je volgens de rechtbank moet handelen om aan die zorgplicht te voldoen!

Voor vragen over de zorgplicht van een IT-dienstverlener neem contact met ons op.

Tags

Neem contact op

Meer informatie of een afspraak maken? Bel 050-5344574 of laat hier een bericht achter via ons contactformulier.

Ook interessant om te lezen