Hof van Twente haalt opnieuw bakzeil bij rechter met schadeclaim

Het Gerechtshof Arnhem-Leeuwarden heeft de gemeente Hof van Twente in het ongelijk gesteld in het hoger beroep tegen haar ICT-leverancier Switch. De gemeente stelde de leverancier verantwoordelijk voor de gevolgen van een ransomware-aanval in december 2020, maar net als de rechtbank oordeelde het hof dat er geen sprake was van een toerekenbare tekortkoming of onzorgvuldig handelen door Switch.

De cyberaanval legde destijds het volledige netwerk van de gemeente plat, waarbij systemen en back-ups werden versleuteld en servers werden verwijderd. Hof van Twente stelde dat Switch tekort was geschoten in de uitvoering van de ICT-beheerdiensten en eiste schadevergoeding en ontbinding van het contract.

Het gerechtshof kwam echter tot de conclusie dat Switch geen resultaatsverplichting had, maar slechts een inspanningsverplichting. Daarnaast was de leverancier niet verplicht om firewall-logboeken actief te controleren. Hoewel Switch wel de logboeken van specifieke Microsoft-servers moest controleren, vond het hof onvoldoende onderbouwing dat de inlogpogingen zo abnormaal waren dat de leverancier had moeten ingrijpen.

Back-upvoorziening

Een ander belangrijk punt in de uitspraak was dat de back-upvoorziening niet onjuist was ingericht, maar dat hackers toegang kregen via het hoogste domeinadministrator-account van de gemeente. Daardoor konden zij ook de back-ups verwijderen. Dit lag buiten de verantwoordelijkheid van Switch, aldus het hof.

De uitspraak betekent dat Hof van Twente geen schadevergoeding ontvangt en dat Switch juridisch niet verantwoordelijk wordt gehouden voor de gevolgen van de aanval. Deze zaak benadrukt de risico’s van cybercriminaliteit voor overheidsinstanties en het belang van strikte interne beveiligingsmaatregelen.