In 2023 werd een bekend marktonderzoeksbureau getroffen door een grootschalig datalek. De oorzaak? Een brute force attack op de servers van de softwareleverancier. Na een kort geding in 2023, volgt nu een bodemprocedure bij de rechtbank. De marktonderzoeker eist onder meer schadevergoeding, maar de softwareleverancier beweert dat de beveiliging op orde was. De rechtbank heeft besloten een IT-deskundige in te schakelen om meer duidelijkheid te krijgen.

Cyberaanval op de servers

In maart 2023 vond een cyberaanval plaats op de servers van de door het marktonderzoeksbureau ingeschakelde softwareleverancier. Daarbij is data buit gemaakt van klanten van de gerenommeerde marktonderzoeker. Veel bedrijven, waaronder grote ondernemingen, werden gewaarschuwd dat er mogelijk persoonsgegevens uit marktonderzoek op straat lagen.

De marktonderzoeker verwijt de leverancier dat het tekortgeschoten is in het treffen van voldoende maatregelen om de veiligheid en vertrouwelijkheid van de opgeslagen persoonsgegevens te waarborgen. Er wordt ook gesteld dat de softwareleverancier niet goed heeft gecommuniceerd na de cyberaanval. Daarom eist het marktonderzoeksbureau onder meer een schadevergoeding van ruim een halve ton.

Dat is nog niet alles.

Ook vordert de onderzoekspartij dat de overeenkomst met de IT-dienstverlener wordt ontbonden op grond van wanprestatie.

De reactie van de IT-dienstverlener?

Die meent dat de beveiligingsmaatregelen gangbaar waren ten tijde van de cyberaanval en dat er adequaat is gehandeld. Tevens wordt een schadevergoeding geëist voor schade die is geleden als gevolg van het handelen van de marktonderzoeker.

Rechtszaak: hadden MFA en datascheiding de cyberaanval kunnen voorkomen?

Op grond van de gesloten overeenkomst en geldende bepalingen, was de leverancier gehouden om:

  • passende technische en organisatorische maatregelen te nemen om de veiligheid van haar diensten te garanderen;

  • een Information Security Management System (ISMS) te onderhouden dat voldoet aan de ISO 27001 certificering; en

  • de getroffen beveiligingsmaatregelen regelmatig te evalueren, te updaten, aan te vullen en te verbeteren.

Welke verwijten concreet worden gemaakt door het marktonderzoeksbureau?

De softwareleverancier paste ten tijde van de cyberaanval geen multi-factor authenticatie (MFA) toe, wat volgens de marktonderzoeker al wel gangbaar was in die tijd. Het had – volgens de marktonderzoeker – ook de kans op een cyberaanval drastisch verminderd.

Daarnaast werd er geen scheiding van data (data segregation) toegepast. De cyberaanval (brute force attack) zou plaats hebben gevonden via het account van een andere klant van de IT-dienstverlener, die vervolgens toegang kreeg tot de klantdata van het onderzoeksbedrijf.

De IT-dienstverlener ziet het echter heel anders.

Die meent dat de beveiliging op orde was en dat redelijkerwijs niet mocht worden verwacht dat MFA voor alle klanten was ingevoerd. Niet in de contractuele afspraken tussen partijen en ook niet in de relevante regelgeving is opgenomen dat MFA verplicht was. Ook stelt de IT-leverancier dat MFA er niet toe had geleid dat de cyberaanval voorkomen werd. Tot slot zegt de leverancier dat er een contract was gesloten, waarbij duidelijk was dat verschillende klanten gebruikmaken van dezelfde omgeving voor de gegevensopslag.

5 vragen aan de IT-deskundige

De rechtbank stelt dat partijen een heel andere visie hebben op de gangbaarheid van MFA en datascheiding ten tijde van het incident. Ook is onduidelijk of MFA (al dan niet met datascheiding) de cyberaanval had kunnen voorkomen.

De rechtbank acht het noodzakelijk dat over deze kwesties eerst duidelijkheid komt, alvorens beoordeeld kan worden of er sprake is van tekortschieten van de softwareleverancier in haar contractuele verplichtingen en/of in haar zorgplicht. Daarom wordt een IT-deskundige ingeschakeld, die antwoord moet geven op de volgende 5 vragen.

  1. Wat was begin 2023 gebruikelijk in de IT-branche als het gaat om de beveiliging van persoonsgegevens, met name rondom MFA en datascheiding?

  2. Wat was de kans op deze cyberaanval als de IT-dienstverleners wel MFA en datascheiding (zowel gecombineerd als los van elkaar) had ingezet?

  3. Had er eerder melding kunnen worden gemaakt over de cyberaanval en zo ja, had dit verschil gemaakt? Kon er ook meer of anders bericht worden over het incident?

  4. Werd de cyberaanval binnen een redelijke termijn (2 weken na het incident) vastgesteld?

  5. Zijn er nog andere relevante punten, waarvan de rechtbank op de hoogte moet zijn?

Het is nu afwachten op de bevindingen van de deskundige. Wordt vervolgd.

Zeker weten dat u niks mist?

Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang ons blogs automatisch in uw mailbox.