Wie is aansprakelijk te stellen voor schade door een hack, malware of ransomware?

Dit is complex. Allereerst hangt het af van de soort schade die geleden is en wat de oorzaak van die schade is. Bij evidente fouten of contractuele tekortkomingen is een en ander zeker mogelijk, maar heel eenvoudig is het niet. Mogelijke actoren zijn:

• Hacker - Degene die de aanval heeft geïnitieerd zal onrechtmatig handelen en gehouden kunnen worden de geleden schade te vergoeden. Hij is zeer waarschijnlijk ook strafbaar (computervredebreuk) het is echter vaak moeilijk om de identiteit en nationaliteit te achterhalen;
• Softwareleverancier - Deze zullen in hun gebruiksvoorwaarden aansprakelijkheid uitsluiten. Ook kan en zal software nooit 'full proof' zijn tegen elke dreigingsvorm. Er geldt wel een zorgplicht om te zorgen dat gaten worden gedicht. Als u als gebruikers echter verzuimd heeft om de (de meest recente) updates uit te voeren of op een link klikte in een niet te vertrouwen e-mail, dan is er snel sprake van eigen schuld;
• IT-leverancier die verantwoordelijk is voor beheer - Dit zal sterk afhangen wat de afspraken precies inhouden. Als de beheerder tevens al uw bedrijfsdata en applicaties host dan zal hij als bewerker verantwoordelijk zijn voor een adequate dienstverlening. De beveiligingseisen die de wet (met name de Wet bescherming persoonsgegevens) aan u opleggen, gelden ook voor uw bewerker doordat u die eisen heeft doorgezet aan hem. Niet ondenkbaar is dat de desbetreffende IT-leverancier een rechtmatig beroep toekomt op overmacht als het gaat om het 'exploit' in softwarepakket van een derde. U kunt hem hooguit aanspreken op het nakomen van zijn verplichtingen om tijdig te patchen, mits overeengekomen. Daarbij speelt ook nog mee de complexiteit dat het te snel uitvoeren van een security-patch mogelijk tot gevolg heeft dat andere delen van uw systeem buiten werking raken omdat de de patch haastwerk was en onvoldoende doorgetest is. Het zal dan vaak kiezen zijn tussen twee kwaden;
• IT-leverancier voor het maken van geen of foutieve back-ups - In veel gevallen worden door IT-leveranciers hun aansprakelijkheid voor verlies van data volledig uitgesloten. Het kan zijn dat een beroep op een dergelijke uitsluiting van aansprakelijkheid naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is en door de rechter opzij wordt gezet, maar dit gebeurt in Nederland bij hoge uitzondering;
• Werknemer die op de infectie-link klikt uit het phishing mail - Het is niet eenvoudig om als werkgever werknemers aan te spreken op fouten of onhandig handelen. Pas bij opzettelijk of bewust roekeloos handelen zal dit aan de orde kunnen komen. Van een beveiligings-expert bij een cybersecurity beveiliger zal bijvoorbeeld meer mogen worden verwacht dan van een leek op dat terrein.