Spring naar content

Rechter: gebrek aan basiscyberbeveiliging en afschuiven op IT-leverancier houdt geen stand

Het Gerechtshof Arnhem-Leeuwarden heeft geoordeeld dat een Nederlands autobedrijf voor vijftig procent aansprakelijk is voor schade die ontstond na een hack van het zakelijke e-mailaccount. Criminelen wisten betaalinstructies te vervalsen, waarna een klant ruim 27.000 euro overmaakte naar een buitenlandse rekening.

De kern van de uitspraak is helder: de basisbeveiliging was niet op orde. Het hof stelde vast dat het e-mailaccount onvoldoende was beveiligd. Er werd gewerkt met eenvoudige wachtwoorden, deze werden gedeeld tussen medewerkers, tweefactor-authenticatie ontbrak en er was geen aantoonbaar wachtwoordbeleid. Het vertrouwen op standaard antivirussoftware zonder aanvullende maatregelen werd door het hof als onvoldoende beschouwd.

Het verweer van het autobedrijf dat de ICT-omgeving was uitbesteed en dat men zelf onvoldoende technische kennis had, werd expliciet verworpen. De rechter maakte duidelijk dat gebrek aan kennis geen excuus is en dat het inschakelen van een IT-dienstverlener een organisatie niet ontslaat van haar eigen verantwoordelijkheid. Elementaire maatregelen zoals sterke wachtwoorden en veilige toegangsbeveiliging worden gezien als minimale randvoorwaarden die iedere onderneming moet borgen. Dat deel kun en mag je niet uitbesteden. Cyberveiligheid heeft niet alleen technische aspecten, maar ook organisatorische en menselijke. Training en procedures ontbraken en die zijn net zijn essentieel als techniek.

Hoewel ook de klant een deel van de schade draagt vanwege onvoldoende controle bij afwijkende betaalinstructies, blijft de boodschap richting bedrijven onmiskenbaar. Wie zijn basiscyberhygiëne niet op orde heeft en verantwoordelijkheid afschuift op een IT-leverancier, loopt aantoonbaar juridisch risico.

Het hof verdeelde de schade fifty-fifty en veroordeelde het autobedrijf tot betaling van 13.500 euro plus bijkomende kosten. De uitspraak benadrukt dat basisbeveiliging geen vrijblijvende keuze is, maar een verantwoordelijkheid die niet kan worden uitbesteed.

Mailbox veiligheid nog steeds actueel

Een kritieke kwetsbaarheid in SmarterMail maakt volledige overname van mailservers mogelijk zonder inloggegevens. In Nederland zijn nog 53 kwetsbare servers actief. Wereldwijd gaat het om duizenden systemen. Publiek beschikbare aanvalsscripts vergroten het risico op misbruik aanzienlijk. Updaten naar Build 9413 of 9483 is noodzakelijk.

Conclusie voor bedrijven

Directies moeten de regie nemen over cyberveiligheid. Basisbeveiliging, tijdig updaten en alertheid van medewerkers zijn gezamenlijke verantwoordelijkheden.
Afwachten of vertrouwen op een IT-leverancier alleen is onvoldoende. Het halen van NIS2-certificering is daarom geen overbodig werk of een irritante klus vanwege een wet die er nog niet is maar een noodzaak.

Bronnen: https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:GHARL:2025:8556 & www.ccinfo.nl

Gerelateerde artikelen

Europese certificering voor cybersecurity-diensten in voorbereiding

CSR waarschuwing: kans op cyber ontwrichting is reëel

NIS2 komt nu snel dichterbij. Wat is ons advies?

Waarom een cyberverzekering voor elk mkb-bedrijf van belang is

AI zorgt voor meer cyberrisico’s
Interesse in dit onderwerp?

We houden je op de hoogte!

Terug naar overzicht