Aansprakelijkheid VAN IT-leveranciers na hack
Artikel door - 29 augustus 2023
Steeds meer organisaties worden slachtoffer van een cyberaanval op hun IT-systemen. Zij richten dan al snel hun blik op hun IT-leverancier om de schade als gevolg daarvan te verhalen. Op dat moment ontstaan er vaak complexe vragen, zoals of de IT-leverancier aansprakelijk kan worden gehouden voor de schade en hoe de aard van de schade zich verhoudt tot de afgesloten verzekeringen. In dit artikel wordt aan de hand van recente rechtspraak en onze praktijkervaring op deze vragen en complexiteiten ingegaan.
Een bekende zaak die veel media-aandacht heeft gekregen is die van Hof van Twente. Begin 2020 ontving de gemeente Hof van Twente de boodschap: ‘Hello, need data back? Contact us fast.’ De gemeente bleek gehackt te zijn, waarbij de systemen en de back-up van de gemeente versleuteld en ontoegankelijk zijn gemaakt en een groot aantal virtual machines is verwijderd. De hackers waren bereid de systemen voor 750.000 euro vrij te geven. De burgemeester weigerde echter te betalen. Het gevolg: alle gemeentelijke systemen moesten opnieuw worden opgebouwd, met een schade van (inmiddels) 4,2 miljoen euro tot gevolg.