Bijdrage Cyberveilig Nederland voor KvK: "Betaal jij of je IT-beheerder bij cybercrime?"

Het is de nachtmerrie van iedere ondernemer: opeens zijn al je bestanden versleuteld en moet je losgeld betalen om ze terug te krijgen. Maar ben jij zelf verantwoordelijk voor schade door ransomware? Of is dat jouw IT-beheerder? 6 tips uit de praktijk.

In het voorjaar van 2020 deed de Amsterdamse Rechtbank hierover uitspraak. Een IT-beheerder moet opdraaien voor een groot deel van de schade die zijn klant leed door ransomware: bijna tienduizend euro. Hoewel de ondernemer zelf ook het een en ander te verwijten viel, heeft de IT-beheerder volgens de rechtbank geen goede beveiliging geleverd. En dus is de beheerder aansprakelijk.

Eigen verantwoordelijkheid

Wat betekent deze uitspraak voor ondernemers? Je kunt in ieder geval niet achteroverleunen als het op veiligheid aankomt, zegt Bart Schermer. Hij is universitair hoofddocent eLaw aan de Universiteit Leiden en partner bij Considerati, een juridisch adviesbureau rondom digitale technologieën en privacy. “Interessant aan dit vonnis, is dat niet het hele bedrag voor rekening is van de beheerder. Dat zie je ook terug in de verdeling van de schade.”

Simpele wachtwoorden

De ondernemer ging volgens de rechtbank namelijk niet helemaal vrijuit, legt Schermer uit. “De IT-beheerder had sterke wachtwoorden voorgesteld, maar had die op verzoek van de ondernemer versimpeld zodat ze beter te onthouden waren.” Die versimpeling maakte het systeem kwetsbaarder. De ondernemer is in dit geval dus deels verantwoordelijk, en moet daarom ook een deel van de schade betalen.

Beveiliging belangrijk

Het is wel opvallend, zegt Schermer, dat de rechtbank met deze uitspraak veiligheid een wezenlijk onderdeel noemt van IT-beheer. Daar is branchevereniging Cyberveilig Nederland blij mee, vertelt beleidsadviseur Liesbeth Holterman. “Wij zien dat veel IT-providers niet genoeg maatregelen nemen rondom cybersecurity, terwijl de klant ervan uit gaat dat het goed zit. Dat de rechter in dit geval heeft geoordeeld dat de beheerder nalatig is geweest, vinden wij winst.”

Geen trendbreuk

Moet een kleine IT-beheerder zich zorgen maken over meer rechtszaken? Dat loopt wel los, denkt Schermer: ‘Deze uitspraak is geen grote trendbreuk met het normale aansprakelijkheidsrecht. Deze IT-beheerder heeft gezegd tegen zijn klant: ik regel jouw hele ict-infrastructuur. Op het moment dat hij daar als beheerder een potje van maakte, kon hij daarvoor aansprakelijk worden gesteld.’ Kleine IT-ers die hun zaken wél op orde hebben hoeven waarschijnlijk niet te vrezen voor meer rechtszaken.

Wil je schade en rechtszaken voorkomen? Dan kun je als ondernemer – en als IT-beheerder – op een aantal dingen letten, zeggen Schermer en Holterman.

• Werk samen met een kundige IT-beheerder
  Jouw beheerder moet een firewall kunnen configureren, systemen kunnen updaten en degelijke back-up faciliteiten kunnen regelen. Let daar dus op als je een samenwerking aangaat. Er bestaat (nog) geen keurmerk op het gebied van IT-veiligheid. Cyberveilig Nederland werkt samen met andere partijen wel aan een keurmerk voor cybersecurityprofessionals.
• Stel je IT-beheerder vragen over de veiligheid
  Je huurt iemand in omdat je zelf de expertise niet hebt. Dat neemt niet weg dat je als klant wel kritische vragen kunt stellen. Hoe ga je met mijn data om? Waar stal je mijn data? Wie kan erbij? Zijn mijn data versleuteld? Hoe dan? Als jouw beheerder die vragen niet kan beantwoorden, is er misschien een probleem.
• Volg het advies op van jouw IT-beheerder
  Morrel als ondernemer niet aan de veiligheid van het systeem, zoals in deze zaak gebeurde door sterke wachtwoorden te laten vervangen door simpele. Let ook altijd goed op. De mens blijft een zwakke schakel in de IT-beveiliging. Als je zelf IT-beheerder bent: waarschuw en informeer je klanten.
• Werk samen met een partij die bij je past
  Heb je een ingewikkelde digitale infrastructuur? Kies dan een IT-partner met de tijd, mensen en middelen die aansluiten bij wat jij nodig hebt. En andersom: werk als kleine beheerder niet samen met een te grote partij.
• Wees bereid te investeren
  Je kunt niet voor een dubbeltje op de eerste rang zitten, en dat geldt ook voor cybersecurity. Goede veiligheid kost geld en tijd. Ben je IT-beheerder en wil jouw klant niet betalen voor basale veiligheid? Dan kun je niet optreden als professional en is het beter om de opdracht terug te geven.
• Maak duidelijke afspraken over de dienstverlening
  Dat lijkt vanzelfsprekend, maar is het niet, zo bleek in april 2020 uit onderzoek van Stichting Internet Domein Registratie. In bijna een kwart van de gevallen hebben ondernemer en IT-beheerder geen duidelijke afspraak gemaakt over security. Toch is het een goed idee om je afspraken vast te leggen in een Service Level Agreement (SLA). Hoe duidelijker de afspraken, hoe beter. Zo weet je bij een aanval of een datalek goed wie er verantwoordelijk is.

Zie: https://www.kvk.nl/advies-en-informatie/fraude/betaal-jij-of-je-it-beheerder-bij-cybercrime/