De rechtbank Overijssel heeft in mei 2023 [1] het zwaar­we­gen­de belang van de juis­te con­trac­tu­e­le cyber­se­cu­ri­ty-afspra­ken in IT-over­een­kom­sten weder­om beves­tigd. Men neemt vaak aan dat het ver­klei­nen van cybersecurityrisico’s een tech­ni­sche aan­ge­le­gen­heid is, maar in wer­ke­lijk­heid is het juis­te con­tract een uiterst belang­rijk pre­ven­tie­mid­del. Het belang van de waar­schu­wings­plicht van een IT-leve­ran­cier speelt een belang­rij­ke rol: een juis­te uit­voe­ring daar­van beïn­vloedt diens ver­ant­woor­de­lijk­heid bij gere­a­li­seer­de cybersecurityrisico’s.

 

In decem­ber 2020 kreeg de gemeen­te Hof van Twen­te te maken met een cyber­aan­val: sys­te­men inclu­sief de back-up wer­den ver­sleu­teld en daar­door ontoe­gan­ke­lijk gemaakt. Ook wer­den veel van de vir­tu­e­le ser­vers ver­wij­derd. Op het moment van de cyber­aan­val had het Hof van Twen­te een lopen­de over­een­komst met een IT-leve­ran­cier voor het beheer van de IT-sys­te­men. Deze over­een­komst was tot stand geko­men na een Euro­pe­se uit­be­ste­ding, waar­mee het aan­be­ste­dings­rech­te­lij­ke trans­pa­ran­tie­be­gin­sel ook van toe­pas­sing is. Het Hof van Twen­te was onder meer van mening dat de IT-leve­ran­cier diens con­trac­tu­e­le ver­plich­tin­gen en de zorg­plicht had geschon­den nu een cyber­aan­val had kun­nen gebeu­ren. Daar­voor gebruik­te het Hof van Twen­te bij­zon­de­re beeld­spraak: “de IT-leve­ran­cier dien­de het kas­teel (net­werk) te voor­zien van een slot­gracht, muren en bewa­kers zodat het niet kon wor­den bin­nen­ge­val­len en heeft ver­zuimd dat te doen.” Dit resul­teer­de in een scha­de­ver­goe­dings­vor­de­ring van zo’n vier mil­joen euro. Sail­lant detail is dat de rech­ter op een mooie wij­ze mee­ging in deze beeld­spraak. Deze rech­ter oor­deel­de name­lijk dat de IT-leve­ran­cier wel dege­lijk een slot­gracht, muren en bewa­kers heeft geplaatst, maar dat het Hof van Twen­te zélf de door haar beheer­de ach­ter­deur met toe­gang tot haar kas­teel heeft open­ge­zet. Het Hof van Twen­te had zelf de spreek­woor­de­lij­ke brug naar bene­den gela­ten (van­we­ge het open­zet­ten van een Remo­te Desktop-poort) en een gemak­ke­lijk code (een wacht­woord) voor het ope­nen van die deur inge­steld. Hier­on­der gaan we nader in hoe de recht­bank tot diens oor­deel kwam.

 

De rech­ter is het met het Hof van Twen­te eens dat de gemaak­te con­trac­tu­e­le afspra­ken gericht waren op het detec­te­ren van moge­lij­ke risi­co­vol­le situ­a­ties bin­nen de IT-infra­struc­tuur van het Hof van Twen­te door de IT-leve­ran­cier. Het gaat daar­in ech­ter níet om het detec­te­ren van beveiligingsrisico’s (secu­ri­ty moni­to­ring) maar om risico’s voor het func­ti­o­ne­ren van de IT-infra­struc­tuur (func­ti­o­ne­le moni­to­ring). Een bevei­li­gings­ri­si­co hoeft name­lijk niet met­een te bete­ke­nen dat de ele­men­ten in een IT-infra­struc­tuur ook min­der func­ti­o­ne­ren. De over­een­ge­ko­men pro­ac­tie­ve moni­to­ring zag toe op het func­ti­o­ne­ren van net­werk­voor­zie­nin­gen, ser­vers en opslag, zoals het sig­na­le­ren van ver­min­der­de capa­ci­teit in de opslag­voor­zie­nin­gen. Een voor­beeld hier­van is een bru­te for­ce aan­val, bij dit type func­ti­o­ne­le moni­to­ring zal een mel­ding gege­ne­reerd wor­den als dit ook invloed heeft op het func­ti­o­ne­ren van het net­werk. Bij func­ti­o­ne­le moni­to­ring zal een onge­au­to­ri­seer­de inlog­po­ging dus pas voor een mel­ding zor­gen als dit de beschik­baar­heid van het net­werk nega­tief beïn­vloedt. Ook uit de aan­be­ste­dings­stuk­ken valt vol­gens de rech­ter niet af te lei­den dat er een ver­plich­ting bestaat voor de IT-leve­ran­cier om de func­ti­o­ne­le moni­to­ring zo in te rich­ten dat deze ook bevei­li­gings­in­ci­den­ten zon­der eni­ge impact op de func­ti­o­ne­le aspec­ten zou mel­den.

 

Par­tij­en waren daar­naast over­een­ge­ko­men dat het infor­ma­tie­be­vei­li­gings­be­leid ‘moest vol­doen aan het infor­ma­tie­be­vei­li­gings­be­leid van het Hof van Twen­te, dat geba­seerd is op de Base­li­ne Infor­ma­tie­be­vei­li­ging Gemeen­ten (BIG)’. De rech­ter oor­deelt dat enkel een ver­wij­zing naar het BIG in de over­een­komst, nog niet bete­kent dat de BIG en even­tu­e­le daar­uit vol­gen­de bevei­li­gings­ver­plich­tin­gen dan onder­deel uit­ma­ken van de over­een­komst en dus daar­mee daar­in opge­no­men ver­plich­tin­gen.

 

Ook de zorg­plicht van de IT-leve­ran­cier gaat niet ver­der dan de func­ti­o­ne­le moni­to­ring: “Via de ach­ter­deur van de zorg­plicht kun­nen de bepa­lin­gen van BIG en BIO (Base­li­ne Infor­ma­tie­be­vei­li­ging Over­heid) die zien op secu­ri­ty aspec­ten die bij moni­to­ring van de per­for­man­ce, capa­ci­teit en beschik­baar­heid van de ser­vers, opslag en net­werk­voor­zie­nin­gen niet aan het licht komen, niet tot ver­plich­tin­gen voor [bedrijf 1] (de IT-leve­ran­cier) wor­den gemaakt.”[2] Daar­in neemt de rech­ter een stel­li­ge posi­tie in. Mede van­we­ge het trans­pa­ran­tie­be­gin­sel uit het aan­be­ste­dings­recht, mogen er in begin­sel geen ver­plich­tin­gen zijn voor par­tij­en anders dan die zijn opge­no­men in de aan­be­ste­dings­stuk­ken en de over­een­komst. De rech­ter oor­deelt dus in deze zaak dat even­tu­e­le bevei­li­gings­ver­plich­tin­gen op basis van de zorg­plicht niet van toe­pas­sing zijn als deze niet zijn opge­no­men in de aan­be­ste­dings­stuk­ken en/of over­een­komst.

 

Daar­naast is van belang om te noe­men dat de IT-leve­ran­cier het Hof van Twen­te wél heeft gewaar­schuwd over risico’s van bepaal­de keu­zes van het Hof van Twen­te. Bij­voor­beeld waar­schu­win­gen over het door het Hof van Twen­te zelf in beheer hou­den van een eigen account (weet u nog: de brug naar de ach­ter­deur van het kas­teel) en het uit­bren­gen van een offer­te over het aan­pas­sen van de wij­ze waar­op back-ups kun­nen wor­den inge­richt om pre­cies die cyber­aan­val­len te voor­ko­men waar het Hof van Twen­te mee te maken heeft gehad. Deze waar­schu­win­gen zijn door het Hof van Twen­te niet opge­volgd. Daar­bij had het Hof van Twen­te een te gemak­ke­lijk wacht­woord geko­zen (de code van de ach­ter­deur, om bij de beeld­spraak te blij­ven). Het Hof van Twen­te heeft daar­mee de invul­ling van de zorg­plicht door de IT-leve­ran­cier ver­hin­derd, aldus de rech­ter. Dit is ook in lijn met eer­de­re juris­pru­den­tie waar­in een steeds zwaar­der gewicht wordt toe­ge­kend aan de rol van IT-leve­ran­ciers om afne­mers te waar­schu­wen over (het miti­ge­ren van) beveiligingsrisico’s.[3] Dat ont­slaat een afne­mer dan ook niet van de ver­plich­ting om zorg­vul­dig om te gaan met de infor­ma­tie die ont­van­gen wordt. Als een afne­mer ver­vol­gens de waar­schu­win­gen negeert, zal dat impact heb­ben op de kans van sla­gen van diens vor­de­ring jegens de IT-leve­ran­cier.

 

Zoals ook in onze vorige blogpost werd bena­drukt, beïn­vloedt de zorg­plicht van de IT-leve­ran­cier bestaan­de én ont­bre­ken­de con­trac­tu­e­le afspra­ken. Deze uit­spraak geeft ook mooi de gren­zen aan van de con­trac­tu­e­le impact van de zorg­plicht: als een IT-leve­ran­cier behoor­lijk heeft gewaar­schuwd én geïn­for­meerd, hoeft dit niet te bete­ke­nen dat de zorg­plicht óók aan­vul­len­de en zwaar­de­re (beveiligings)verplichtingen met zich mee­brengt. Daar­bij laat deze casus nog eens dui­de­lijk zien dat het expli­ciet maken en con­trac­te­ren van de ver­wach­tin­gen van cyber­se­cu­ri­ty van wezen­lijk belang is, voor­al in de hui­di­ge tijd waar­in ransom­wa­re voor elke onder­ne­ming een bedrei­ging vormt. Om vast te hou­den aan de beeld­spraak: een vol­le­dig con­tract is als een rots in de bran­ding in de strijd tegen cybersecurityrisico’s.

 

 

[1] Recht­bank Over­ijs­sel, 10 mei 2023, ECLI:NL:RBOVE:2023:1731

[2] Idem, r.o. 4.4.2

[3] Recht­bank Amster­dam, 14 novem­ber 2018, ECLI:NL:RBAMS:2018:10124