28 jun '22
Op 9 maart 2022 heeft de Rechtbank Overijssel uitspraak gedaan in een zaak tussen een Cottoncounts, een bedrijf dat handelt in huismeubilair, en CCG Retail, een softwarebedrijf. De server van Cottoncounts was gehackt, waarna alle bedrijfsdata door middel van ransomware werd versleuteld en duizenden product- en sfeerfoto’s van artikelen uit het assortiment verloren zijn gegaan. Cottoncounts heeft CCG Retail hiervoor aansprakelijk gesteld, omdat zij de IT-infrastructuur heeft aangelegd (althans laten aanleggen) en deze onvoldoende heeft beveiligd (althans laten beveiligen). Het ging om een claim van € 29.246,94 . Tussen Cottoncounts en CCG Retail is een ‘koop- en dienstverleningsovereenkomst’ gesloten, op grond waarvan een ‘totaalpakket’ was overeengekomen met betrekking tot de software.
De rechtbank oordeelt eerst over de vraag of de beveiliging van het netwerk door CCG Retail ook onderdeel uitmaakte van de koop- en dienstverleningsovereenkomst. In de overeenkomst is hierover niets bepaald, zodat de rechter moet deze vraag daarom beantwoorden aan de hand van feiten en omstandigheden.
De rechtbank oordeelt dat het moeilijk voorstelbaar is dat een totaalpakket is afgesproken waarbij de beveiliging niet is inbegrepen. CCG Retail had de verantwoordelijkheid tegenover Cottoncounts om beveiliging onderdeel te maken van het totaalpakket of anders uitdrukkelijk met Cottoncounts te bespreken dat beveiliging juist geen onderdeel van het pakket zou zijn. In het laatste geval had Cottoncounts dan op een andere manier kunnen zorgen voor de beveiliging. Het feit dat CCG Retail de hosting van de server aan een ander bedrijf heeft uitbesteed, ontslaat CCG Retail niet van de verantwoordelijkheid om zorg te dragen voor een adequate beveiliging van de gegevens van Cottoncounts.
Vervolgens oordeelt de rechtbank dat CCG Retail bij één van de servers wel tekort is geschoten en bij de andere server niet. Bij de ene server werden tweewekelijkse back-ups gemaakt, wat niet ongebruikelijk is in de ICT-branche. Deze back-ups hebben er voor gezorgd dat het verlies van bedrijfsgegevens uiteindelijk beperkt is gebleven. Bij de andere server was hier geen sprake van. Op deze server waren product- en sfeerfoto’s van het meubelbedrijf opgeslagen. Volgens de rechter wist of behoorde CCG Retail te weten dat het behouden van de product- en sfeerfoto’s van groot belang is voor het meubelbedrijf.
Daarna gaat de rechter in op de schadeclaim van Cottoncounts. CCG Retail is in beginsel aansprakelijk voor de schade van Cottoncounts. Cottoncounts vordert verschillende schadeposten. De rechter wijst uiteindelijk een bedrag van € 7.000,- toe als vergoeding voor het verlies van product- en sfeerfoto’s. Ook wordt een bedrag van € 272,25 toegewezen als vergoeding voor de uitgevoerde herstelwerkzaamheden aan één van der servers.
Als een softwarebedrijf een ‘totaalpakket’ met de klant afspreekt zonder dat daarbij expliciete afspraken zijn gemaakt over de beveiliging, kan het softwarebedrijf zich er niet achter verschuilen dat er geen afspraken over de beveiliging zijn gemaakt. Als softwareleveranciers die verantwoordelijkheid niet willen nemen, moeten zij dat dus uitdrukkelijk aangeven en duidelijk zijn naar de klant toe over wat zij op dat punt dus wel én niet leveren. Het uitbesteden van deze diensten aan een derde zorgt er niet voor dat softwareleveranciers ontslagen worden van de verantwoordelijkheid voor adequate beveiliging van gegevens. Gaat het mis, dan kan het gebeuren dat het softwarebedrijf voor een deel van de schade moet opdraaien.
Heeft u vragen over wat deze uitspraak voor uw bedrijf of organisatie kan gaan betekenen? Neem dan contact op met ons.
Contact
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.