IT-bedrijf moet opdraaien voor cyberaanval bij klant

Een Nederlands IT-bedrijf is veroordeeld tot een schadevergoeding van meer dan 10.000 EUR aan haar klant ten gevolge van een ransomware-aanval. Mr. Franklin maakt een analyse en geeft ook enkele tips om dergelijk doemscenario te vermijden.

De IT-onderneming in kwestie had deze situatie kunnen vermijden door zich juridisch beter in te dekken. Het hoofdprobleem was dat de klant weigerde om de voorgestelde veiligheidsmaatregelen te gebruiken, namelijk een firewall, complexe wachtwoorden en het gebruik van externe back-upschijven. Volgens de Nederlandse rechter moest de IT-onderneming ofwel de verdere dienstverlening weigeren, ofwel moest ze alternatieven aanbieden, ofwel moest ze herhaaldelijk blijven waarschuwen op de risico’s die de klant hierdoor nam. Of een Belgische rechter ook zo zou oordelen is natuurlijk de vraag, maar het is zeker niet uit te sluiten.


Op deze pagina geeft Mr.Franklin 5 algemene tips om jouw bedrijf beter te beschermen tegen cybercriminaliteit! Bekende voorbeelden van cybercriminaliteit zijn phishing en cybersquatting.


Een sluitende IT-Overeenkomst

Daarom is het essentieel dat je in jouw IT-overeenkomst met de klant de nodige beperkingen voorziet op uw aansprakelijkheid. Je kunt hierin de gebeurtenissen opsommen die wel of niet tot jouw aansprakelijkheid als IT-dienstverlener kunnen leiden. Vermeld bijvoorbeeld dat je in geen geval aansprakelijk bent voor schade als gevolg van het niet-implementeren van de door jou geadviseerde veiligheidsmaatregelen.


Sluit je aansprakelijkheid zeker ook uit voor indirecte schade, zoals winst- en/of omzetderving en andere vormen van bedrijfsschade, die vaak veel hoger oplopen dan directe schadeposten zoals herstelkosten. In ons Nederlandse voorbeeld was van zo’n contractuele uitsluiting geen sprake en heeft de Nederlandse rechter een schadepost van maar liefst 8.000 euro toegekend ten titel van omzetderving.

Neem worst-case ook een cijfermatige aansprakelijkheidsbeperking op in uw contract of algemene voorwaarden. Courant is een beperking tot het bedrag dat je bijvoorbeeld het afgelopen jaar voor de betrokken opdracht hebt gefactureerd, en in elk geval een beperking tot het bedrag waarvoor je aansprakelijkheid is verzekerd.


Advies op papier


Implementeer ook de best-practices om steeds bewijs op papier te hebben. Als een klant bijvoorbeeld hardnekkig weigert om een veilig wachtwoordbeleid te implementeren, zorg dan dat je dit op e-mail bevestigt zodat je later kan bewijzen dat je de klant zwart op wit gewezen hebt op de risico’s daarvan. Dergelijk bewijs gekoppeld aan een goede aansprakelijkheidsbeperking, zal een eventuele claim van de klant sterk afzwakken als het achteraf fout loopt.


Mr.Franklin begeleidt ondernemingen in het opstellen van een veiligheidsbeleid op maat, ISO27001-implementatie, phishing-simulaties,... Voor alle zaken gerelateerd aan cybersecurity en IT-recht kun je op ons rekenen. Ook nieuwe juridische vraagstukken die bijvoorbeeld kunnen rijzen bij gaming behandelen wij graag.


Neem een kijkje op onze website of neem contact op via thomas@misterfranklin.be. Wij helpen jou graag verder.