Betaal jij of je IT-beheerder bij cybercrime?

Opeens versleutelt een cybercrimineel met ransomware al je bestanden en eist losgeld. Ben jij dan zelf verantwoordelijk voor de schade, of is dat je IT-beheerder? Voorkom schade en rechtszaken met deze zes tips.

Vier miljoen euro kostte een ransomware-aanval de gemeente Hof van Twente in 2020. Wie moet dat betalen? Niet wij, vindt de gemeente. Het IT-bedrijf dat Hof van Twente inhuurde heeft volgens de gemeente ‘een wanprestatie’ geleverd. Het IT-bedrijf is het daar niet mee eens: een medewerker van Hof van Twente wijzigde zelf het wachtwoord van de servers naar Welkom01. De rechter moet nu beslissen wie aansprakelijk is voor de schade.

IT-er aansprakelijk

Het is niet de eerste zaak over wie betaalt bij cybercrime. In het voorjaar van 2020 bepaalde de Amsterdamse rechtbank dat een IT-beheerder moest betalen voor een deel van de schade die zijn klant leed door ransomware: bijna tienduizend euro. Hoewel de ondernemer zelf ook fouten had gemaakt, had de IT-beheerder volgens de rechtbank geen goede beveiliging geleverd.

Eigen verantwoordelijkheid

Wat betekenen deze rechtszaken voor ondernemers? Je kunt in ieder geval niet achteroverleunen als het op veiligheid aankomt, zegt Bart Schermer. Hij is universitair hoofddocent eLaw aan de Universiteit Leiden en partner bij Considerati, een juridisch adviesbureau rondom digitale technologieën en privacy. “Interessant aan het Amsterdamse vonnis is dat de beheerder niet het hele bedrag hoeft te betalen.”

Simpele wachtwoorden

De ondernemer ging volgens de rechtbank namelijk niet helemaal vrijuit, vertelt Schermer. “De IT-beheerder had sterke wachtwoorden voorgesteld, maar had die op verzoek van de ondernemer versimpeld zodat ze beter te onthouden waren.” Die versimpeling maakte het systeem kwetsbaarder. De ondernemer is in dit geval dus deels verantwoordelijk, en moet daarom ook een deel van de schade betalen.

Veel IT-providers nemen niet genoeg maatregelen, terwijl de klant ervan uitgaat dat het goed zit.

Beveiliging belangrijk

Het is wel opvallend, zegt Schermer, dat de rechtbank met deze uitspraak veiligheid een belangrijk onderdeel noemt van IT-beheer. Daar is branchevereniging Cyberveilig Nederland blij mee, vertelt beleidsadviseur Liesbeth Holterman. “Wij zien dat veel IT-providers niet genoeg maatregelen nemen rondom cybersecurity, terwijl de klant ervan uitgaat dat het goed zit. Dat de rechter in dit geval heeft geoordeeld dat de beheerder nalatig is geweest, vinden wij winst.”

Tips tegen schade

Wil je schade en rechtszaken voorkomen? Let dan op een aantal dingen:

Werk met een goede IT-beheerder

Je beheerder moet een firewall kunnen configureren, systemen kunnen updaten en degelijke back-up faciliteiten kunnen regelen. Let daar dus op als je een samenwerking aangaat. Er bestaat een keurmerk voor securitybedrijven die bepaalde diensten leveren.

Stel je IT-beheerder vragen

Je huurt iemand in omdat je zelf de expertise niet hebt. Maar blijf kritische vragen stellen: hoe ga je met mijn data om? Waar sla je mijn data op? Wie kan erbij? Zijn mijn data versleuteld, en hoe? Als je beheerder die vragen niet kan beantwoorden, kun je beter een andere beheerder zoeken.

Volg het advies op van je IT-beheerder

Rommel als ondernemer niet met de veiligheid van je systeem, zoals in de Amsterdamse zaak gebeurde door sterke wachtwoorden te laten vervangen door simpele. Als je teveel mensen toegang geeft of onveilige wachtwoorden gebruikt, verzwak je je eigen digitale veiligheid.

Zoek een partij die bij je past

Is je digitale systeem ingewikkeld, of juist klein en simpel? Kies een IT-partner die past bij wat jij nodig hebt.

Investeer in veiligheid

Goede veiligheid kost geld en tijd. Denk niet alleen aan technische oplossingen, maar ook bijvoorbeeld aan verzekeringen tegen cybercrime. Ben je IT-beheerder en wil je klant niet betalen voor basale veiligheid? Dan is het beter om de opdracht terug te geven.

Maak duidelijke afspraken

Dat lijkt vanzelfsprekend maar dat is het niet altijd, zo bleek in april 2020 uit onderzoek van Stichting Internet Domeinregistratie Nederland. In bijna een kwart van de gevallen hebben ondernemer en IT-beheerder geen duidelijke afspraak gemaakt over security. Leg je afspraken vast in een Service Level Agreement (SLA). Hoe duidelijker de afspraken, hoe beter. Zo weet je bij een aanval of een datalek goed wie er verantwoordelijk is.

Geen trendbreuk

Moet een kleine IT-beheerder zich zorgen maken over meer rechtszaken? Dat valt wel mee, denkt Schermer: "Deze Amsterdamse uitspraak is geen grote trendbreuk met het normale aansprakelijkheidsrecht. Deze IT-beheerder heeft gezegd tegen zijn klant: ik regel je hele ict-infrastructuur. Op het moment dat die daar als beheerder een potje van maakte, kon die daarvoor aansprakelijk worden gesteld." Kleine IT-ers die hun zaken wél op orde hebben hoeven waarschijnlijk niet te vrezen voor meer rechtszaken.

Hackhelpdesk

Ben je gehackt of denk je dat je gehackt bent? Op Hackhelpdesk.nl vind je een stappenplan en praktische oplossingen waarmee je verdere schade voorkomt.