Als je mailsysteem wordt gehackt, kan dat onder de AVG verwijtbaar zijn. Dat bepaalde het Gerechtshof Arnhem-Leeuwarden onlangs. Je bent als bedrijf zélf aansprakelijk voor je beveiliging, ook als je daar een bureau voor inschakelt.
Stel je koopt een nieuwe auto, krijgt betalingsinstructies van de garage gemaild en betaalt. Vervolgens blijken die instructies van een ‘hacker’ te komen. Wiens schuld is dat? Dat was de kwestie waar het Hof in 2024 zich voor gesteld zag. Zoals ik destijds blogde:
Die derde was kennelijk goed voorbereid: forensisch onderzoek op de logs liet zien dat er een paar wachtwoorden waren geprobeerd, en toen met succes kon worden ingelogd. Daarna is meegelezen in de mailbox, gespot dat iemand nog moest betalen en gauw een Duits IBAN gestuurd waar het geld naartoe kon. Slim en snel geschakeld, riekt wel ergens naar een inside job.
Het Hof had het vermoeden dat het autobedrijf haar beveiliging niet op orde had. Met name zat zij met de vraag waarom het bedrijf niet zelf de wachtwoorden had ingesteld, maar dat aan de ict-leverancier had overgelaten. Daarom kreeg het bedrijf de opdracht aan te tonen dat zij wél adequaat had gehandeld, en dus onder de AVG niets te verwijten zou zijn.
Medio 2025 verscheen een vervolgarrest waarin het Hof concludeerde dat het bedrijf haar zaakjes niet op orde had. Het bedrijf had met name gewezen op haar beperkte omvang en het feit dat zij zwaar leunde op een ISO 27001 gecertificeerde leverancier. Dat is allemaal mooi en aardig, maar het maakt niet dat je niet meer aansprakelijk bent als er dan toch wat misgaat. (Misschien kun je de schade verhalen op de leverancier, maar dat is iets tussen jullie twee.)
Het grootste probleem was echter dat de uitleg bleef steken in algemeenheden (“[Leverancier] zorgt ervoor dat alles 24/7 gemonitord wordt op o.a. het functioneren en security gerelateerde issues.”), zodat niet duidelijk wordt wat hier specifiek dan misgegaan was. Het Hof las dan ook over een door de leverancier ingesteld wachtwoord en concludeert vervolgens dat de beveiliging niet in orde was.
Bleef over de vraag of het autobedrijf dan werkelijk de volle 100% van de schade moest vergoeden. Heb je als koper niet ook een stukje onderzoeksplicht, phishing en oplichting is immers aan de orde van de dag.
Het eindarrest laat zien dat er door het bedrijf met de koper was gemaild over de eindafrekening. Het laatste bericht had als strekking “als je de auto morgen wilt ophalen, wil je dan vandaag betalen”. Vlak daarna sprong de hacker in de mailketen met betaalinstructies. Inderdaad, héél knap als dat zuiver toeval is geweest.
Geen argwaan nodig dat er instructies volgen nadat is gezegd “wil je vandaag betalen”. Alleen, de koper had misschien wél moeten zien dat er nu een ander IBAN werd verschaft (uit Duitsland) dan waarop de aanbetaling (Nederland) was gedaan. En bij het internetbankieren had zijn bank dan (waarschijnlijk) gezegd dat zij niet konden zien of die rekening echt van [autobedrijf] was. De koper had dus even moeten navragen of het klopt, dat nu het geld naar Duitsland had gemoeten.
Tegelijk oordeelt het Hof ook dat óók een kleine onderneming moet doen wat ze kan op cyberbeveiligingsgebied. Hier betekent dat: beheer je eigen wachtwoorden. Uitbesteden van je security is loffelijk, maar betekent niet dat je op álles achterover moet leunen. Alles bij elkaar moet het bedrijf daarom de helft (13.000) van de schade vergoeden.
Arnoud
Het bericht Ook als je ict-leverancier ISO27001 is, ben jij aansprakelijk voor de beveiliging verscheen eerst op Ius Mentis.