Verkoop van Schijnveiligheid Mag Niet

Het komt zelden voor dat een uitspraak van de rechter in it-land beroering veroorzaakt. Begin juni zagen we zo'n zeldzaam geval. Een it-leverancier werd door de rechter veroordeeld omdat hij zijn zorgplicht had verzaakt door het achterwege laten van basis beveiligingsmaatregelen voor het netwerk dat aan zijn klant werd geleverd. Die klant had weliswaar aangegeven geen behoefte te hebben aan een firewall, een backupsysteem en ingewikkelde wachtwoorden, maar de rechter vond dat geen rechtvaardiging voor het dan maar achterwege te laten van beveiliging. 

Aanleiding van de rechtszaak was een geslaagde ransomware-aanval op de klant, die vervolgens de it-leverancier aansprakelijk stelde. Met succes, want de leverancier moest een groot deel vergoeden van de geleden schade.

De consternatie die dit vonnis heeft veroorzaakt is natuurlijk niet vreemd. Want de organisaties die getroffen zijn door een digitale aanval gaan nu goed kijken of zij wellicht ook hun it-leverancier voor de schade aansprakelijk kunnen stellen. In het bovengenoemde geval valt de schade die de leverancier moest vergoeden (tienduizend euro) in absolute zin misschien nog wel mee. Wat niet meevalt zijn de soorten schade die de klant had opgevoerd en door de rechter gehonoreerd werden: het losgeld, de herstelwerkzaamheden, omzetderving, het onderzoek naar de kwestie door een cybersecurity-bedrijf en de proceskosten.

Want to read the entire blog? Click on the ''read more'' button.