Gehackt: wie betaalt de rekening?

Op 9 maart 2022 heeft de Rechtbank Overijssel uitspraak gedaan in een zaak tussen een Cottoncounts, een bedrijf dat handelt in huismeubilair, en CCG Retail, een softwarebedrijf. De server van Cottoncounts was gehackt, waarna alle bedrijfsdata door middel van ransomware werd versleuteld en duizenden product- en sfeerfoto’s van artikelen uit het assortiment verloren zijn gegaan. Cottoncounts heeft CCG Retail hiervoor aansprakelijk gesteld, omdat zij de IT-infrastructuur heeft aangelegd (althans laten aanleggen) en deze onvoldoende heeft beveiligd (althans laten beveiligen). Het ging om een claim van € 29.246,94 . Tussen Cottoncounts en CCG Retail is een ‘koop- en dienstverleningsovereenkomst’ gesloten, op grond waarvan een ‘totaalpakket’ was overeengekomen met betrekking tot de software.

Softwarebedrijf verantwoordelijk voor beveiliging?

De rechtbank oordeelt eerst over de vraag of de beveiliging van het netwerk door CCG Retail ook onderdeel uitmaakte van de koop- en dienstverleningsovereenkomst. In de overeenkomst is hierover niets bepaald, zodat de rechter moet deze vraag daarom beantwoorden aan de hand van feiten en omstandigheden.

De rechtbank oordeelt dat het moeilijk voorstelbaar is dat een totaalpakket is afgesproken waarbij de beveiliging niet is inbegrepen. CCG Retail had de verantwoordelijkheid tegenover Cottoncounts om beveiliging onderdeel te maken van het totaalpakket of anders uitdrukkelijk met Cottoncounts te bespreken dat beveiliging juist geen onderdeel van het pakket zou zijn. In het laatste geval had Cottoncounts dan op een andere manier kunnen zorgen voor de beveiliging. Het feit dat CCG Retail de hosting van de server aan een ander bedrijf heeft uitbesteed, ontslaat CCG Retail niet van de verantwoordelijkheid om zorg te dragen voor een adequate beveiliging van de gegevens van Cottoncounts.

Vervolgens oordeelt de rechtbank dat CCG Retail bij één van de servers wel tekort is geschoten en bij de andere server niet. Bij de ene server werden tweewekelijkse back-ups gemaakt, wat niet ongebruikelijk is in de ICT-branche. Deze back-ups hebben er voor gezorgd dat het verlies van bedrijfsgegevens uiteindelijk beperkt is gebleven. Bij de andere server was hier geen sprake van. Op deze server waren product- en sfeerfoto’s van het meubelbedrijf opgeslagen. Volgens de rechter wist of behoorde CCG Retail te weten dat het behouden van de product- en sfeerfoto’s van groot belang is voor het meubelbedrijf.

Schade

Daarna gaat de rechter in op de schadeclaim van Cottoncounts. CCG Retail is in beginsel aansprakelijk voor de schade van Cottoncounts. Cottoncounts vordert verschillende schadeposten. De rechter wijst uiteindelijk een bedrag van € 7.000,- toe als vergoeding voor het verlies van product- en sfeerfoto’s. Ook wordt een bedrag van € 272,25 toegewezen als vergoeding voor de uitgevoerde herstelwerkzaamheden aan één van der servers.

En nu?

Als een softwarebedrijf een ‘totaalpakket’ met de klant afspreekt zonder dat daarbij expliciete afspraken zijn gemaakt over de beveiliging, kan het softwarebedrijf zich er niet achter verschuilen dat er geen afspraken over de beveiliging zijn gemaakt.  Als softwareleveranciers die verantwoordelijkheid niet willen nemen, moeten zij dat dus uitdrukkelijk aangeven en duidelijk zijn naar de klant toe over wat zij op dat punt dus wel én niet leveren. Het uitbesteden van deze diensten aan een derde zorgt er niet voor dat softwareleveranciers ontslagen worden van de verantwoordelijkheid voor adequate beveiliging van gegevens. Gaat het mis, dan kan het gebeuren dat het softwarebedrijf voor een deel van de schade moet opdraaien.  

Vragen?

Heeft u vragen over wat deze uitspraak voor uw bedrijf of organisatie kan gaan betekenen? Neem dan contact op met ons.  

Contact

Advocaat, Partner

Dorine ten Brink

Expertises:  Contractenrecht ,Arbitrage,Privacyrecht,IT-recht, Transport en logistiek, Commerciële contracten,Brexit,Corona (COVID-19) juridische Helpdesk,E-commerce,

Advocaat

Matthijs Gardien

Expertises:  Privacyrecht,IT-recht,Contractenrecht ,Litigation, Start-up en Scale-up,Commerciële contracten,E-commerce,

Advocaat

Bine Schoenmaker

Expertises:  IT-recht,Privacyrecht,Contractenrecht , Technologie, media en telecom, Commerciële contracten,

Deel dit artikel

Reageer op dit artikel

Wilt u reageren op dit artikel? Inloggen of maak een Mijn Ploum account aan om uw reactie te plaatsen


Blijf op de hoogte

Voeg deze interesses toe aan Mijn Ploum.

Stel direct een vraag

Inschrijven nieuwsbrief

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoonlijke gegevens gebruiken, kunt u lezen in ons Privacy statement. U kunt uw voorkeuren altijd wijzigen via de link ‘Wijzig uw gegevens' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses
  • Snel inschrijven voor kennisevents en Ploum Academy
  • Vraag en antwoord mogelijkheden gebruiken bij artikelen

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

Snel inschrijven voor kennisevents en Ploum Academy

Reacties op artikelen plaatsen


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.