Een groothandel sleept haar ICT-leverancier voor de rechter, nadat alle bedrijfsdata versleuteld wordt door malware. Back-ups ontbreken, waardoor de schade enorm is. De leverancier meent echter dat er geen specifieke afspraken zijn gemaakt over beveiliging en back-ups. Dit meningsverschil leidt tot een rechtszaak.

Groothandel vs. ICT-leverancier: wat is er gebeurd?

Eind 2016 sloot de groothandel een koopovereenkomst met de ICT-leverancier voor de levering van software, hardware en een koppeling. Ook sluiten ze een dienstverleningsovereenkomst voor support en onderhoud hiervan, waaronder ook hosting door een derde partij valt.

In 2020 wordt de server van de groothandel gehackt en raken alle bedrijfsdata door middel van ransomware versleuteld. Er blijken geen back-ups van de FTP-server te zijn, waardoor duizenden product- en sfeerfoto’s van artikelen uit het assortiment verloren gaan.

De vraag die partijen verdeeld houdt, is of ook de beveiliging van het netwerk deel uitmaakte van het overeengekomen totaalpakket. Ze hebben de afspraken niet (volledig) op papier gesteld, wat de zaken bemoeilijkt.

Rechtszaak: van zorgplicht tot back-ups

De partijen komen onderling niet tot een oplossing en daarom stapt de groothandel naar de rechter.

Het verwijt?

De leverancier is toerekenbaar tekort geschoten in haar verplichtingen, doordat zij geen back-ups heeft gemaakt. Zelfs als de uiteindelijke fout bij de hostingprovider ligt, is de leverancier in de ogen van de groothandel aansprakelijk.

Volgens de groothandel wist de ICT-leverancier dat een adequate beveiliging van groot belang voor haar is en is zij volledig afgegaan op de deskundigheid en adviezen van de leverancier. Kortom, er is volgens de groothandel sprake van een gebrekkige zorgplicht.

De reactie van de leverancier?

De overeenkomsten bevatten geen enkele bepaling over een correcte uitvoering van de hosting, ondersteuning en beveiliging. Ook betwist de leverancier dat sprake is van een bijzondere zorgplicht, laat staan dat zij die heeft geschonden. Als er wel sprake is van een zorgplicht, dan zou die bij de hostingprovider liggen.

Wat oordeelt de rechter?

De rechter oordeelt dat het moeilijk voorstelbaar is dat bij de overeenkomst van een totaalpakket de bijbehorende beveiliging niet is inbegrepen. Zeker ook omdat de groothandel nadrukkelijk het belang hiervan vermeld heeft. De ICT-leverancier mocht er dus niet zomaar van uitgaan dat de groothandel geen prijs stelde op adequate beveiliging en back-upsystemen.

Let op!

Volgens de rechter had de leverancier de verantwoordelijkheid om ofwel (adequate) beveiliging onderdeel van het totaalpakket te maken, of anders met de groothandel uitdrukkelijk te bespreken dat zij daar juist niet voor zou zorgen. Dat is niet gebeurd en daarom mocht de groothandel er in deze casus van uitgaan dat de beveiliging en het back-upsysteem adequaat ingericht waren.

Hoe zit het met de verantwoordelijkheid van de hostingprovider?

Volgens de rechter is de ICT-leverancier voor de gedragingen van de hosting provider op gelijke wijze aansprakelijk als voor eigen gedragingen.

Er zijn tussen de leverancier en de provider geen contractuele afspraken gemaakt over de beveiliging van de FTP-server, waarop de product- en sfeerfoto’s van de groothandel werden opgeslagen. De hostingprovider was dus niet verplicht om back-ups te maken.

De rechter concludeert daarom dat de ICT-leverancier toerekenbaar is tekortgeschoten in haar verplichtingen tegenover de groothandel en een schadevergoeding moet betalen.

Zeker weten dat u niks mist?

Meldt u zich dan aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.