De zorgplicht van een ICT-beheerder
Blog
Op 1 december 2020 werd de gemeente Hof van Twente getroffen door een cyberaanval. De gemeente stelt bedrijf 1 (de ‘ICT-Beheerder’), aansprakelijk voor de door haar geleden schade. Het geschil draait om de vraag of de ICT-Beheerder tevens contractueel verantwoordelijk was voor security monitoring en of zij haar zorgplicht jegens de gemeente heeft geschonden. De zaak wordt voorgelegd aan de rechtbank, die onder andere moet oordelen over de verhouding tussen contractuele afspraken en de zorgplicht.
De feiten
De feiten zijn niet uitvoerig in het vonnis van de rechtbank Overijssel gesubstantieerd, omdat deze grotendeels in een niet-gepubliceerd tussenvonnis zijn vastgesteld. Op basis van het eindvonnis, kan van de volgende feiten worden uitgegaan.
De gemeente is een aanbestedingstraject gestart om ICT-beheerdiensten te verkrijgen. Deze opdracht is gegund aan de ICT-Beheerder. De overeenkomst bepaalde dat de dienstverlening zich richtte op functionele monitoring, waarbij objecten dienden te worden gemonitord op beschikbaarheid, capaciteit en prestaties, en niet op security monitoring, dat wil zeggen het monitoren van beveiligingsincidenten. Het voorgaande is tussen partijen niet in geschil.
Op 22 mei 2020 stuurde de ICT-Beheerder een offerte naar de gemeente om de antivirussoftware te vervangen. In de offerte wees hij op het risico van een relatief eenvoudige ‘hack’ vanwege de bestaande ICT-inrichting, maar bood hij aan de beveiliging te versterken met ‘back-up hardening’. De gemeente heeft dit voorstel niet geaccepteerd.
Belangrijk is ook dat de gemeente had bedongen dat zij een door haar beheerd account behield (het ‘Admin Account’), waarmee externe leveranciers toegang konden krijgen tot haar netwerk. Dit account had de hoogste beheerrechten, maar werd tegen het advies van de ICT-Beheerder in niet beveiligd met tweefactorauthenticatie. Sterker nog, het wachtwoord, dat voldeed aan het gemeentelijk beleid, was ‘Welkom2020’.
Op 1 december 2020 wordt de gemeente gehackt – uit het vonnis kan worden afgeleid dat het het Admin Account betreft.
De gemeente hield de ICT-Beheerder hiervoor verantwoordelijk en startte een bodemprocedure.
Overwegingen van de rechtbank
De rechtbank behandelt eerst de gestelde tekortkoming in de nakoming van de overeenkomst, waarvan in dit blog enkel het voornaamste verwijt zal worden behandeld, en vervolgens het verwijt van schending van de zorgplicht door de ICT-Beheerder.
Tekortkoming in de nakoming van proactieve monitoring
Het belangrijkste verwijt van de gemeente aan de ICT-Beheerder is dat hij de signalen van de cyberaanval, die ook bij functionele monitoring zichtbaar zouden moeten zijn geweest, heeft gemist. De contractuele verplichtingen van de ICT-Beheerder hadden juist tot doel om risicovolle situaties te detecteren en indien nodig in te grijpen, aldus de gemeente.
De rechtbank oordeelt dat op basis van de aanbestedingsstukken de ICT-Beheerder alleen verplicht was om risicovolle situaties met betrekking tot de capaciteit en beschikbaarheid van de servers te detecteren – niet op het gebied van beveiligingsrisico’s. Daarnaast wijst de rechtbank erop dat het wachtwoordbeleid, waaronder een kinderlijk eenvoudig wachtwoord kon worden ingesteld, en de keuze voor tweefactorauthenticatie niet de verantwoordelijkheid waren van de ICT-Beheerder, en dat de gemeente het advies om tweefactorauthenticatie in te stellen niet heeft opgevolgd. De rechtbank benadrukt ook dat de ICT-Beheerder wel een adequate firewall heeft ingesteld, maar niet verplicht was om wijzigingen die buiten zijn beheer om werden doorgevoerd en niet werden gemeld, te monitoren op beveiligingsrisico’s. Temeer omdat de ICT-Beheerder geen toegang had tot het gehackte Admin Account.
Indachtig het voorgaande oordeelt de rechtbank dat de ICT-Beheerder niet tekort is geschoten in de nakoming van de verplichting tot proactieve monitoring.
Schending zorgplicht?
Het tweede noemenswaardige aspect van de uitspraak betreft de zorgplicht van de ICT-Beheerder en of deze in casu is geschonden. De gemeente beweert dat de ICT-Beheerder niet heeft gehandeld zoals van een redelijk handelend en vakbekwaam ICT-beheerder mag worden verwacht, omdat hij veronderstelt dat als de ICT-Beheerder zorgvuldig had gehandeld, zij ook de beveiligingsaspecten van het systeem zou hebben gemonitord. De rechtbank maakt daar korte metten mee.
Eerst overweegt de rechtbank dat de partijen een contract hebben gesloten op basis van een Europese aanbesteding. Het zou op gespannen voet met het EU-rechtelijke beginsel van transparantie kunnen staan als er naast het contract ook ongeschreven verplichtingen aan beide partijen zouden worden opgelegd. Of dat zo is, is een zeer interessant aspect, maar gaat het bestek van dit blog te buiten. Het doet in deze zaak ook niet ter zake, omdat de rechtbank oordeelt dat de ICT-Beheerder geen verwijt treft.
Vaststaat immers dat partijen functionele monitoring en geen security monitoring overeen zijn gekomen en dat de ICT-Beheerder zijn verplichtingen is nagekomen. De zorgplicht van een ICT-Beheerder gaat echter niet zo ver dat waar functionele monitoring is overeengekomen, security monitoring daar (kennelijk gratis) onderdeel van uitmaakt.
Bovendien koos de gemeente er bewust voor om het beheer van het Admin Account buiten de ICT-Beheerder te beheren. Zowel de ICT-Beheerder als de accountant van de gemeente hebben de gemeente op de risico’s met betrekking tot informatiebeveiliging en cyberaanvallen gewezen. Desondanks heeft de gemeente – kennelijk uit kostenoverweging – volhard in haar keuzes en de adviezen van de ICT-Beheerder niet opgevolgd. De cyberaanval was dus het gevolg van nalatigheid aan de zijde van de gemeente (bestaande uit wijzigingen in de firewall in combinatie met een kinderlijk eenvoudig wachtwoord) – niet van een schending van de zorgplicht door de ICT-Beheerder.
De rechtbank oordeelt derhalve dat, voor zover er buiten de op basis van de Europese aanbesteding gesloten overeenkomst nog een aparte zorgplicht zou gelden, de ICT-Beheerder die zorgplicht niet geschonden heeft.
Conclusie
Concluderend is het voor een dienstverlener belangrijk om de behoeften van de klant goed te onderzoeken, expliciet te kijken naar wat aan de klant kan worden aangeboden en dit vervolgens contractueel vast te leggen. Ook tijdig waarschuwen is van belang, mits dit binnen de scope van de dienstverlening past, zo volgt uit de besproken uitspraak. Dit is in de basis niets nieuws, evenmin als dat het naast zich neerleggen van adviezen van een deskundige gevolgen heeft voor het al dan niet een succesvol beroep kunnen doen op een schending van de zorgplicht. Een ander interessant aspect uit de besproken uitspraak, de verhouding tussen de zorgplicht enerzijds en het EU-rechtelijke beginsel van transparantie bij aanbestedingen anderzijds, dient zich in andere uitspraken nader uit te kristalliseren.
Keywords
Auteur(s)
