Zonder onderzoek kan aansprakelijkheid niet worden vastgesteld
Een stichting wordt getroffen door een ransomware-aanval en houdt het eigen IT-bedrijf daarvoor aansprakelijk. De stichting weigert echter een onafhankelijke deskundige de zaak te laten onderzoeken. De gevolgen van deze weigering zijn duur.
Nadat een stichting wordt getroffen door een ransomware-aanval, blijkt dat er van bepaalde bestanden geen back-up is gemaakt. De stichting houdt het eigen IT-bedrijf hiervoor verantwoordelijk. Om dit te beoordelen stelt de rechtbank dat een onafhankelijke deskundige dat moet onderzoeken. Die kan dan ook nagaan of de stelling van de stichting, dat het IT-bedrijf het ICT-systeem onvoldoende heeft beveiligd (waardoor ransomware kon binnendringen), correct is. Er is echter een probleem: het ICT-systeem is inmiddels door een ander systeem vervangen, zodat onderzoek daarnaar niet meer mogelijk is.
Aansprakelijk
Zonder deskundigenonderzoek kan niet kan worden vastgesteld dat het IT-bedrijf aansprakelijk is voor de schade die de stichting leed door de ransomware-aanval. Puur het feit dat er een aanval was, betekent nog niet dat het IT-bedrijf is tekortgeschoten in het voldoende waarborgen van de veiligheid van de ICT-systemen. Een ICT-expert, ingeschakeld door de stichting, heeft wel geconcludeerd dat het ICT-systeem ‘beter had kunnen worden ingericht’. Door de huidige inrichting van het systeem is de kans op besmetting door ransomware vergroot, aldus deze expert.
Deskundige
De rechtbank blijft van oordeel dat een deskundige moet worden benoemd, zeker nu het IT-bedrijf betwist dat het tekortgeschoten is in zijn verplichting om back-ups van de computerbestanden te maken. De bewijslast daarvan rust op de stichting, die overigens ook de kosten van de deskundige zal moeten betalen. De stichting blijft weigeren: het oude ICT-systeem is niet meer beschikbaar, dus waarom zou de stichting nog kosten moeten maken voor een onderzoek? Verder staat het volgens de stichting ‘al vast’ dat het IT-bedrijf is tekortgeschoten in de nakoming van zijn contractuele verplichtingen, omdat niet van alle bestanden in het systeem back-ups zijn gemaakt.
Consequenties
Dat de stichting geen heil ziet in bewijslevering door het laten uitbrengen van een deskundigenbericht, respecteert de rechtbank. Maar de consequenties zijn dan ook voor de stichting. Zonder deskundigenbericht kan niet worden vastgesteld dat het IT-bedrijf zijn contractuele verplichtingen niet is nagekomen. Het IT-bedrijf hoeft de stichting ook niet de jaarlijkse kosten voor opslag van data, inclusief backupsoftware, terug te betalen, zoals de stichting heeft geëist. En de schade die de stichting heeft geleden door de aanval hoeft het IT-bedrijf niet te vergoeden, omdat niet is komen vast te staan dat het IT-bedrijf enige aansprakelijkheid heeft.
ECLI:NL:RBROT:2022:4744