IT-bedrijf moet opdraaien voor cyberaanval bij klant

Een Nederlands IT-bedrijf is veroordeeld tot een schadevergoeding van meer dan 10.000 EUR aan haar klant ten gevolge van een ransomware-aanval. Mr. Franklin geeft u hieronder enkele tips om dergelijk doemscenario te vermijden.

De IT-onderneming in kwestie had deze situatie kunnen vermijden door zich juridisch beter in te dekken. Het hoofdprobleem was dat de klant weigerde om de voorgestelde veiligheidsmaatregelen te gebruiken, namelijk een firewall, complexe wachtwoorden en het gebruik van externe back-upschijven. Volgens de Nederlandse rechter moest de IT-onderneming ofwel de verdere dienstverlening weigeren, ofwel moest ze alternatieven aanbieden, ofwel moest ze herhaaldelijk blijven waarschuwen op de risico’s die de klant hierdoor nam. Of een Belgische rechter ook zo zou oordelen is natuurlijk de vraag, maar het is zeker niet uit te sluiten.

Daarom is het essentieel dat u in uw IT-overeenkomst met de klant de nodige beperkingen voorziet op uw aansprakelijkheid. U kan daarin de gebeurtenissen opsommen die wel of niet tot uw aansprakelijkheid als IT-dienstverlener leiden. Vermeld bijvoorbeeld dat u in geen geval aansprakelijk bent voor schade als gevolg van het niet-implementeren van de door u geadviseerde veiligheidsmaatregelen.


Sluit uw aansprakelijkheid zeker ook uit voor indirecte schade, zoals winst- en/of omzetderving en andere vormen van bedrijfsschade, die vaak veel hoger oplopen dan directe schadeposten zoals herstelkosten. In ons Nederlandse voorbeeld was van zo’n contractuele uitsluiting geen sprake en heeft de Nederlandse rechter een schadepost van maar liefst 8.000 euro toegekend ten titel van omzetderving.

Neem worst-case ook een cijfermatige aansprakelijkheidsbeperking op in uw contract of algemene voorwaarden. Courant is een beperking tot het bedrag dat u bijvoorbeeld het afgelopen jaar voor de betrokken opdracht heeft gefactureerd, en in elk geval een beperking tot het bedrag waarvoor uw aansprakelijkheid is verzekerd.

Implementeer ook de best-practice om steeds bewijs op papier te hebben. Als de klant bijvoorbeeld hardnekkig weigert om een veilig wachtwoordbeleid te implementeren, zorg dan dat u dit op e-mail bevestigt zodat u later kan bewijzen dat u de klant zwart op wit gewezen hebt op de risico’s daarvan. Dergelijk bewijs gekoppeld aan een goede aansprakelijkheidsbeperking, zal een eventuele claim van de klant sterk afzwakken als het achteraf fout loopt.

Wenst u uw IT-contracten op punt te stellen? Neem dan gerust contact op via thomas@misterfranklin.be.