Niks stortvloed aan claims vanwege dat ene ransomware-zorgplicht-vonnis

Automatiseerders wacht stortvloed aan claims om schade door hackers, kopte het FD onlangs. Leg aansprakelijkheid bij hack vast, reageerde ICT Waarborg meteen. Allemaal vanwege dat ene vonnis over de zorgplicht als IT-bedrijf: een automatiseerder draaide op voor de schade van ransomware omdat ze de klant een lakse beveiliging had laten hebben, in strijd met haar zorgplicht. En ja, dan gaan bepaalde advocaten warmdraaien en ontstaat enige paniek in de branche, want iederéén kent klanten die alleen wachtwoorden van drie tekens accepteren en een perfecte backup eisen voor 2,50 per maand. En die zouden dan van de rechter gelijk krijgen? Eh, nee dus.

Die zaak (overigens uit 2018 en ik heb géén idee waarom hij nu pas wordt gepubliceerd) ging over een automatiseerder die de zaak niet zo goed had aangepakt. Geen duidelijk contract, geen schriftelijke afspraken en zo te zien ook weinig vastgelegd over de communicatie. Dan creëer je onduidelijkheid als dienstverlener en dan wordt het ingewikkeld als er dan iets misgaat, want de rechter zal jou als professionele partij aankijken op de rommel.

Oh wacht, misschien weet ik toch waarom de zaak recent is gepubliceerd (quote FD):

‘Ik heb nu al tientallen vergelijkbare zaken in mijn praktijk gezien’, zegt advocaat Anne-Wil Duthler van First Lawyers. Het voormalig Eerste Kamerlid stond in 2018 het gehackte administratiebureau bij en wist met de tot voor kort niet gepubliceerde uitspraak al geregeld tot een schikking voor andere bedrijven te komen.

Bedrijven met een niet-gepubliceerd vonnis bangmaken en aandringen op schikkingen, dat is natuurlijk geen fijne praktijk. Dan zal er een bedrijf zijn geweest dat even de Rechtspraak belde en vroeg om publicatie – dat kan namelijk gewoon. Want dan krijgt het aandacht zonder dat jij specifiek in de picture komt bij de bangmakers.

Het is natuurlijk zwaar overdreven dat dit vonnis een zodanig principiële rechtsregel formuleerde dat je dús altijd aansprakelijk bent als IT-er als er wat misgaat met de beveiliging. Zelfs al was dit een arrest van de Hoge Raad. Maar dat vereist enige nuance en lezen wat er precies gezegd is. Advocaat Menno Weij zegt het precies raak: één zwaluw maakt geen zomer. Dat is eigenlijk nooit zo in het recht.

Natuurlijk is het een wake-up call voor IT-ers dat je even wat beter je best moet doen om dingen te documenteren. En dat je af en toe tegen een klant moet zeggen “nee, dat gaan we niet doen anders ben ik weg”. Of je algemene voorwaarden even afstoffen of daar een goed aansprakelijkheidsbeding in staat met afkadering van je zorgplicht. Maar het is echt onzin dat je nu ineens veel grotere risico’s loopt als automatiseerder.

Arnoud

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.