Cybersecurity is een vanzelfsprekend onderdeel van ICT-opdrachten. Dat is volgens SIDN de les uit een uitspraak van de Rechtbank Amsterdam. De IT-leverancier moet de schade vergoeden na een ransomware-aanval. Van een leverancier mag verwacht worden dat hij de beveiliging van het op te leveren product regelt, zelfs al wordt dat niet expliciet afgesproken. Sterker nog: als de client hier niet in meegaat zou de IT-leverancier in extreme gevallen de opdracht moeten weigeren.
De zaak draaide om een ICT-bedrijf dat een bedrijfsnetwerk installeerde bij een administratiekantoor in Hilversum. Cybercriminelen slaagden er in om ransomware naar binnen te krijgen en het bedrijf te gijzelen. Deze klant heeft zijn leverancier aansprakelijk gesteld.
De leverancier beargumenteerde dat de beveiliging geen integraal onderdeel was van de opdracht, maar de rechtbank ging daar niet in mee. De rechter oordeelde daarover dat “moeilijk voorstelbaar is hoe onder de opdracht een totaalpakket te leveren, niet ook de aanleg van de daarbij behorende beveiliging kan zijn”.
SIDN stelt wel dat deze klant er verstandig aan had gedaan om veiligheid wel te bespreken en advies in te winnen bij zijn leverancier(s). De uitspraak is van 14 november 2018, maar pas kort geleden gepubliceerd.
