Een klant van een Nederlands autobedrijf kon worden opgelicht omdat de onderneming het eigen e-mailaccount niet goed had beveiligd, waardoor een crimineel het kon gebruiken voor het versturen van een frauduleuze factuur. Dat meldde Security.nl gisteren. In een tussenuitspraak oordeelde het Hof Arnhem dat de gebrekkige beveiliging (ja, artikel 32 AVG) maakte dat het bedrijf aansprakelijk is voor schade die klanten daardoor lijden.

Zoals ik in 2024 blogde, is de zaak in de kern als volgt:

[Koper] heeft een auto van [het autobedrijf] gekocht. Na een betaalinstructie vanuit het e-mailadres van [het autobedrijf] stelt [de koper] het grootste deel van de koopprijs te hebben betaald op een Duitse bankrekening. Achteraf bleek dat een derde via het e-mailaccount van [het autobedrijf] een valse betaalinstructie had gestuurd.

De koper stelde het autobedrijf aansprakelijk voor het gehele bedrag (26.900 euro), met het argument dat de gebrekkige beveiliging van persoonsgegevens de AVG schond. De nepmail naar de klant – die dus echt van het bedrijf af kwam, door een snel geraden wachtwoord – is dan de onrechtmatige verwerking van persoonsgegevens.

Het autobedrijf kreeg de opdracht te bewijzen dat er wél adequaat was beveiligd. Zij kwam daarom met een ‘AVG nalevingsrapport’, wat ik kort door de bocht en tendentieus samenvat als “we zijn maar klein dus we doen ons best en we leunen op onze ISO 27001 gecertificeerde ict-leverancier, maar het gaat om weinig risicovolle verwerkingen”.

Het Hof ziet dat anders, zoals juristen dat zo fijntjes formuleren:

De gedachte achter de beveiligingsverplichtingen die de AVG oplegt, is dat bij de beoordeling daarvan aandacht wordt besteed aan de risico’s die kunnen leiden tot lichamelijke, materiële of immateriële schade voor betrokkenen. Een mogelijk risico is identiteitsfraude.

Ook als het “alleen maar” een verkoopadministratie betreft, kunnen dergelijke risico’s zich prima voordoen. Niet alleen het zeldzame geval van hier, maar ook zaken als nepaankopen op basis van de gevonden klantgegevens of fraude zoals je voordoen als de autoverzekeraar met alle autogegevens bij de hand.

Ik word dan vrolijk om te lezen dat een vaak voorkomende ergernis van mij zich ook hier manifesteert én wordt afgestraft:

In de hierboven weergegeven e-mail van [de ict-leverancier] en het rapport wordt weliswaar geschreven dát [de ict-leverancier] controlemechanismen heeft ingebouwd en ongeoorloofde toegang tot het e-mailaccount van [het autobedrijf] detecteert, maar hoe zij dat doet en welke maatregelen zij dan treft om ongeoorloofde toegang te voorkomen, is niet toegelicht en dat is precies wat het hof mist.

Als ik een euro had voor iedere privacyverklaring of securitypolicy die wel zegt dát men adequate beveiliging hanteert maar niet hóe, dan hoefde ik niet meer te werken. Een passend kader is niet een mooie serie riedels (al dan niet uit ChatGPT) en is ook niet een bulletlijst met van her den der overgetypte maatregelen:

Ook stelt [het autobedrijf] dat zij het beleid voert om ‘niet (langer) ter zake doende e-mails’ direct te verwijderen, maar een toelichting waarom dat een passende maatregel is om de persoonsgegevens op haar e-mailaccount te beveiligen, ontbreekt.

Eén specifiek punt licht het Hof er terecht uit als een zeer relevant issue:

[De ict-leverancier] en de onderzoeker geven geen toelichting op de vraag waarom het passend is dat [de ict-leverancier] bekend was met het wachtwoord van het e-mailaccount van [het autobedrijf] (). Ook is niet toegelicht welke medewerkers van [de ict-leverancier] toegang hadden tot dat wachtwoord en hoe [de ict-leverancier] heeft geregeld dat haar medewerkers daar vertrouwelijk mee om gingen. Het is bovendien niet duidelijk hoe de genoemde maatregelen zich verhouden tot de ISO 27001-certificering van [de ict-leverancier].

Het helpt ook niet mee dat het rapport niet uitwerkt hoe ondanks de “adequate maatregelen” de inlog van buitenaf op de mailacount van het autobedrijf mogelijk was geworden. Of hoe het kon dat dit wel werd gelogd maar niemand wat deed met de logs.

De kern: jij als afnemer van ict-diensten moet borgen én onderbouwen dat de beveiliging adequaat is. Doe je dat niet en het gaat mis, dan krijg jij de rekening. Ik hoop dat je het kunt verhalen op je ict-leverancier, maar dat hangt vrijwel 100% af van gemaakte afspraken over beperking van aansprakelijkheid en vrijwaring van schadeclaims.

En daar zijn we weer bij de #ictzorgplicht: als professionele dienstverlener moet je dus niet slaafs varen op beveiliging die jouw leveranciers (zeg Microsoft) hanteren. Of je klanten enkel melden dat het goed zit omdat je ISO 27001 bent. Documenteer concreet wat je doet tegen bekende risico’s en waarom dat adequaat is.

Wel moet nog bepaald worden wat de schade is en of daar een deel af moet vanwege “eigen schuld”. Maar toch: de AVG heeft meer tanden dan je denkt.

Arnoud