[A] zelf aansprakelijk voor schade na hack

Rb. Noord-Nederland 6 november 2024, IT 5022; ECLI:NL:RBNNE:2024:4317 ([A] tegen [B], [C] en [D]). ICT-dienstverlener [A], actief in het MKB-segment, beheert digitale werkomgevingen van haar klanten via Microsoft Azure. Omdat [A] geen directe klant van Microsoft kan zijn, verloopt de inkoop van de clouddiensten via distributeur [B]. Na een hack waarbij via de digitale omgeving van een eindklant van [A] grote hoeveelheden Azure-servers aanmaakte, ontstond voor [A] een rekening van ruim €860.000. [A] stelde [B] primair aansprakelijk, stellende dat [B] haar zorgplicht had geschonden door niet te waarschuwen voor het belang van Multi-Factor Authenticatie (MFA) en ten onrechte geen monitoring had uitgevoerd. Ook stelde [A] haar verzekeraar [C] en tussenpersoon [D] aansprakelijk. 

De rechtbank oordeelt dat uit communicatie van [A] blijkt dat zij zelf verantwoordelijk is voor het IT-beheer en de beveiliging van de accounts van haar eindgebruikers. Daarnaast heeft [B] niet de zorgplicht/contractuele monitoringsplicht geschonden: [B] had reeds vóór de hack (in juni 2020) [A] had geïnformeerd over MFA en het verplicht activeren daarvan. Verder valt de schade niet onder de dekking van de verzekering bij [C]. Er is geen sprake van een aanspraak door een derde zoals vereist onder de polis. [D] is evenmin aansprakelijk; [A] heeft niet onderbouwd dat sprake is van onjuist advies of schending van de zorgplicht. Dit zorgt ervoor dat alle vorderingen van [A] worden afgewezen. In reconventie wordt vastgesteld dat [A] het door [B] in rekening gebrachte bedrag moet voldoen. De proceskosten voor [A] bedragen ruim €38.000. 

4.6 Naar het oordeel van de rechtbank is [B] niet aansprakelijk voor de schade ten gevolge van de hack. Daartoe overweegt de rechtbank als volgt. Zoals hiervoor overwogen in rechtsoverweging 2.4. kan een ‘tenant’ worden gezien als een container waarin alle online diensten van Microsoft voor één bedrijf zijn opgeslagen en kunnen worden gebruikt. Onweersproken is door [B] gesteld dat de reseller, in dit geval [A] , binnen de cloudomgeving van Microsoft een ‘tenant’ aanmaakt en deze beheert voor de eindgebruiker. In dit verband heeft [B] aangevoerd dat de reseller, als beheerpartij, de tenant in opdracht van de eindgebruiker inricht en de instellingen kiest voor onder meer het beheer van gebruikers, de toegang en de beveiliging. De eindgebruiker kan vervolgens binnen de ‘eigen’ tenant gebruik maken van de clouddiensten. Ook is onweersproken door [B] gesteld dat voor de toegang tot de tenant en het beheer daarvan de beheerpartij rechtstreeks inlogt op de Azure cloudomgeving. [B] zit daar niet tussen. Naar het oordeel van de rechtbank heeft [B] daarmee voldoende adequaat onderbouwd dat zij technisch niet in staat is tot het verrichten van het beheer en evenmin tot het monitoren van de tenants. [A] heeft onvoldoende feiten of omstandigheden gesteld waaruit volgt dat dit anders zou zijn. [A] heeft weliswaar betoogd dat [B] een ‘Tier 1 Microsoft Cloud Solution Provider’ (hierna: Tier 1 CSP) is en om die reden verderstrekkende verplichtingen heeft, waaronder proactieve monitoring om afwijkingen en onverwachte wijzigingen te identificeren, maar [B] heeft gemotiveerd betwist dat zij een Tier 1 CSP is. Volgens [B] is zij een zogenaamde ‘Indirect Provider’. [A] heeft dit verweer niet weerlegd en heeft geen nadere onderbouwing gegeven van haar stelling ter zake, zodat de rechtbank ervan uitgaat dat [B] geen Tier 1 CSP is, maar een ‘Indirect Provider’, die niet de tools of de middelen heeft om te monitoren en in te grijpen. Daarbij geldt dat het eventueel zijn van een Tier 1 CSP de verhouding tussen [B] en Microsoft betreft en [A] daarmee niet ontslagen wordt van eigen verplichtingen. 
Het vorenstaande brengt naar het oordeel van de rechtbank met zich dat [A] richting haar eindgebruikers zelf verantwoordelijk is voor het IT beheer van de accounts van haar eindgebruikers, waaronder de instandhouding van de juiste beveiligingsmaatregelen. Uit de in het geding gebrachte screenshots van de website van [A] volgt ook dat [A] het IT beheer en de beveiliging van de accounts van haar eindgebruikers op zich neemt.