Belangrijke uitspraak Rechtbank Amsterdam

Een belangrijke uitspraak van de rechtbank Amsterdam haalde deze week het nieuws: van een IT-leverancier mag verwacht worden dat hij de beveiliging van het op te leveren product regelt, zelfs al wordt dat niet expliciet afgesproken. Sterker nog: als de client hier niet in meegaat zou de IT-leverancier in extreme gevallen de opdracht moeten weigeren.

IT-leverancier aansprakelijk gesteld

De casus draait om een IT-leverancier die een infrastructuur aanlegde bij een Hilversums administratiekantoor. Deze bleek onvoldoende veilig. Cybercriminelen profiteerden hiervan en wisten ransomware op de infrastructuur te installeren. Het kantoor hield de leverancier aansprakelijk. De leverancier beargumenteerde dat de beveiliging geen integraal onderdeel was van de opdracht en dat suggesties van zijn kant door de klant afgewezen werden.

Beveiliging onlosmakelijk verbonden

De rechter oordeelde daarover dat “moeilijk voorstelbaar is hoe onder de opdracht een totaalpakket te leveren, niet ook de aanleg van de daarbij behorende beveiliging kan zijn”. Een belangrijke uitspraak, omdat beveiliging in deze visie een vanzelfsprekend onderdeel van zulke dienstverlening is. Zelfs als de klant beveiligingsmaatregelen zou hebben geweigerd, had de leverancier op zijn minst moeten tegenstribbelen of de opdracht zelfs vanwege onuitvoerbaarheid moeten weigeren. De rechter stelde het administratiekantoor in deze zaak daarom grotendeels in het gelijk.

Ondernemer moet kunnen vertrouwen op IT-leverancier

Uit de zaak blijkt dat een ondernemer in grote mate op zijn IT-leverancier mag vertrouwen. Toch had het administratiekantoor er in dit geval goed aan gedaan een extra stap te zetten. Want hoewel de rekening hiervoor grotendeels bij de leverancier is neergelegd, zijn de schade voor het kantoor en de kosten van de procedure veel groter.

Inzicht in cybersecurity

Wat betekent deze uitspraak nu? IT-leveranciers moeten cybersecurity in ieder geval nog meer als een vanzelfsprekendheid zien, maar er zijn ook lessen te trekken voor hun klanten. Een belangrijke les die ondernemers uit deze casus kunnen trekken, is dat het belangrijk is inzicht te hebben in de cybersecurity van hun bedrijf.

Zelf controle en inzicht hebben is beter

Frank van der Maaten, algemeen directeur van CyberSterk-partner ArchilogiQ merkt hierover op: “Ik zou als ondernemer niet overtuigd willen zijn, maar mij laten overtuigen. Vertrouwen op de expertise van je leverancier is goed, maar zelf controle en inzicht hebben is beter.” Mede daarom is ArchilogiQ enige tijd terug begonnen met het aanbieden van CyberSterk aan ondernemers.

Bekijk de volledige uitspraak van de rechtbank Amsterdam.

Bron: https://www.sidn.nl/nieuws-en-blogs/cybersecurity-vanzelfsprekend-onderdeel-van-it-dienstverlening