Een klant van een Nederlands autobedrijf kon worden opgelicht omdat de onderneming het eigen e-mailaccount niet goed had beveiligd, waardoor een crimineel het kon gebruiken voor het versturen van een frauduleuze factuur. Dat meldde Security.nl gisteren. In een tussenuitspraak oordeelde het Hof Arnhem dat de gebrekkige beveiliging (ja, artikel 32 AVG) maakte dat het bedrijf aansprakelijk is voor schade die klanten daardoor lijden.
Zoals ik in 2024 blogde, is de zaak in de kern als volgt:
[Koper] heeft een auto van [het autobedrijf] gekocht. Na een betaalinstructie vanuit het e-mailadres van [het autobedrijf] stelt [de koper] het grootste deel van de koopprijs te hebben betaald op een Duitse bankrekening. Achteraf bleek dat een derde via het e-mailaccount van [het autobedrijf] een valse betaalinstructie had gestuurd.De koper stelde het autobedrijf aansprakelijk voor het gehele bedrag (26.900 euro), met het argument dat de gebrekkige beveiliging van persoonsgegevens de AVG schond. De nepmail naar de klant – die dus echt van het bedrijf af kwam, door een snel geraden wachtwoord – is dan de onrechtmatige verwerking van persoonsgegevens.
Het autobedrijf kreeg de opdracht te bewijzen dat er wél adequaat was beveiligd. Zij kwam daarom met een ‘AVG nalevingsrapport’, wat ik kort door de bocht en tendentieus samenvat als “we zijn maar klein dus we doen ons best en we leunen op onze ISO 27001 gecertificeerde ict-leverancier, maar het gaat om weinig risicovolle verwerkingen”.
Het Hof ziet dat anders, zoals juristen dat zo fijntjes formuleren:
De gedachte achter de beveiligingsverplichtingen die de AVG oplegt, is dat bij de beoordeling daarvan aandacht wordt besteed aan de risico’s die kunnen leiden tot lichamelijke, materiële of immateriële schade voor betrokkenen. Een mogelijk risico is identiteitsfraude.Ook als het “alleen maar” een verkoopadministratie betreft, kunnen dergelijke risico’s zich prima voordoen. Niet alleen het zeldzame geval van hier, maar ook zaken als nepaankopen op basis van de gevonden klantgegevens of fraude zoals je voordoen als de autoverzekeraar met alle autogegevens bij de hand.
Ik word dan vrolijk om te lezen dat een vaak voorkomende ergernis van mij zich ook hier manifesteert én wordt afgestraft:
In de hierboven weergegeven e-mail van [de ict-leverancier] en het rapport wordt weliswaar geschreven dát [de ict-leverancier] controlemechanismen heeft ingebouwd en ongeoorloofde toegang tot het e-mailaccount van [het autobedrijf] detecteert, maar hoe zij dat doet en welke maatregelen zij dan treft om ongeoorloofde toegang te voorkomen, is niet toegelicht en dat is precies wat het hof mist.Als ik een euro had voor iedere privacyverklaring of securitypolicy die wel zegt dát men adequate beveiliging hanteert maar niet hóe, dan hoefde ik niet meer te werken. Een passend kader is niet een mooie serie riedels (al dan niet uit ChatGPT) en is ook niet een bulletlijst met van her den der overgetypte maatregelen:
Ook stelt [het autobedrijf] dat zij het beleid voert om ‘niet (langer) ter zake doende e-mails’ direct te verwijderen, maar een toelichting waarom dat een passende maatregel is om de persoonsgegevens op haar e-mailaccount te beveiligen, ontbreekt.Eén specifiek punt licht het Hof er terecht uit als een zeer relevant issue:
[De ict-leverancier] en de onderzoeker geven geen toelichting op de vraag waarom het passend is dat [de ict-leverancier] bekend was met het wachtwoord van het e-mailaccount van [het autobedrijf] (). Ook is niet toegelicht welke medewerkers van [de ict-leverancier] toegang hadden tot dat wachtwoord en hoe [de ict-leverancier] heeft geregeld dat haar medewerkers daar vertrouwelijk mee om gingen. Het is bovendien niet duidelijk hoe de genoemde maatregelen zich verhouden tot de ISO 27001-certificering van [de ict-leverancier].Het helpt ook niet mee dat het rapport niet uitwerkt hoe ondanks de “adequate maatregelen” de inlog van buitenaf op de mailacount van het autobedrijf mogelijk was geworden. Of hoe het kon dat dit wel werd gelogd maar niemand wat deed met de logs.
De kern: jij als afnemer van ict-diensten moet borgen én onderbouwen dat de beveiliging adequaat is. Doe je dat niet en het gaat mis, dan krijg jij de rekening. Ik hoop dat je het kunt verhalen op je ict-leverancier, maar dat hangt vrijwel 100% af van gemaakte afspraken over beperking van aansprakelijkheid en vrijwaring van schadeclaims.
En daar zijn we weer bij de #ictzorgplicht: als professionele dienstverlener moet je dus niet slaafs varen op beveiliging die jouw leveranciers (zeg Microsoft) hanteren. Of je klanten enkel melden dat het goed zit omdat je ISO 27001 bent. Documenteer concreet wat je doet tegen bekende risico’s en waarom dat adequaat is.
Wel moet nog bepaald worden wat de schade is en of daar een deel af moet vanwege “eigen schuld”. Maar toch: de AVG heeft meer tanden dan je denkt.
Arnoud
Ik begrijp niet goed hoe de AVG hier relevant is. In dit geval lijkt het me vooral de vraag of je als consument ervan uit mag gaan dat je een factuur en/of betaalinstructie die je ontvangt van het bedrijf juist is.
bij B2B zou je als verweer kunnen hebben dat er een gedeelde schuld is, voor de verkoper vanwege klaarblijkelijk niet adequate beveiliging. Even los van “makkelijk te raden wachtwoord”, “wachtwoord bekend bij meerdere personen”, had logging, alerting en opvolging schade kunnen beperken of voorkomen. Als dit binnen een dag was ontdekt, had de bank (een deel van) de betaling kunnen terugdraaien (been there, done that).
Als de koper een bedrijf is, mag je verwachten dat deze bij nieuwe of gewijzigde leveranciersgegevens een process heeft om te valideren of de betaalgegevens correct zijn, via een ander communicatiemiddel. Veel meer dan dat kan je als koper niet doen.
Van een consument kan je dit mijns inziens niet verlangen, en zou deze van de verkoper mogen verlangen dat maatregelen zijn getroffen om een dergelijk scenario te voorkomen. Zeker wanneer de koper het product bekijkt en/of opgehaalt bij de verkoper.
Om de praktische kant te belichten:
Je schrijft: “Als ik een euro had voor iedere privacyverklaring of securitypolicy die wel zegt dát men adequate beveiliging hanteert maar niet hóe, dan hoefde ik niet meer te werken.”
Een privacyverklaring staat meestal op een website. Deze is uiteraard eveneens toegankelijk voor hackers. In hoeverre is het dan verstandig om uiteen te zetten hoe je adequate beveiliging hanteert in zo’n privacyverklaring/securitypolicy? Of volstaat het om deze in een interne policy te hebben, waarin de hoe wel staat omschreven?
Bij het kopen van mijn eerste huis heb ik de notaris gebeld om het bankrekeningnummer waar ik de waarborgsom naartoe mocht storten te verifiëren. Vonden ze maar een rare vraag, want stond toch duidelijk in de mail die ik net van ze had ontvangen?
De volgende keer bel ik gewoon weer. En gebaseerd op dit verhaal zou ik dat iedereen adviseren.
Exact hetzelfde gedaan toen ik laatst een auto in Duitsland kocht. Met dank aan dit blog. Daar volgt een gedragsregel uit bij overboekingen: Is het bedrag groot genoeg om pijn te doen (risk based), zorg voor een tweede informatiekanaal om je informatie te verifiëren. Gebruik je telefoon als tweede kanaal? Let er wel op dat je het telefoonnummer ook separaat verifieert.
Van een afstandje is dit trouwens niet heel anders dan hoe de bigcorp waar ik werk dit heeft ingericht. De verwerking en controle op een factuur zelf, het opnemen van de leverancier in de set toegestane leveranciers, het controleren en onderhouden van de leveranciersgegevens – allemaal separate processen. Als je met zijn allen accepteert dat spoedbetalingen ONMOGELIJK zijn (risk based een goed gebruik), dan ben je relatief veilig van allerlei soorten fraude.
Nog een vraag: Met de aanstaande nieuwe Europese wetgeving, zou deze zaak dan nog iets makkelijker worden voor de gedupeerde? De verwijzing naar AVG voelt als wat gezocht. Ik snap dat AVG informatiebeveiligiging vereist en die is hier niet aangetoond. Maar informatiebeveiliging is breder dan persoonsgegevens. Iedere entiteit moet zijn digitale zaken op orde hebben, waaronder persoonsgegevens, maar ook verkoop- en facturatieprocessen.
Ik vraag me ook wel een beetje af waar hun ICT-leverancier mee bezig is moet ik zeggen.
Door gebruik van MFA voor alle useraccounts en het disablen van shared mailboxen zodat er niet op ingelogd kan worden, had je het de hacker al een heel stuk moeilijker gemaakt. Waarschijnlijk zoveel moeilijker dat die een ander doelwit was gaan zoeken.
Als het wachtwoord al in de wachtwoord manager (van de browser) stond, dan is er al helemaal geen reden om een simpel wachtwoord te gebruiken. Dat is het bedrijf zelf zeker aan te rekenen. Alleen is er zoveel onkunde op dit gebied…
Eens, en in die situatie zou je zeker MFA af moeten dwingen.