ICT-contracten

MFA uitgeschakeld en gehackt: wie betaalt de torenhoge datafactuur?

Joris Deene
4 dagen geleden
144 keer bekeken
8 minuten leestijd

Een ICT-dienstverlener laat na om Multi-Factor Authenticatie (MFA) in te schakelen op de cloudomgeving van een klant. Een hacker dringt binnen en verbruikt voor meer dan 700.000 euro aan clouddiensten. De distributeur stuurt de factuur naar de dienstverlener. De verzekeraar weigert dekking. Dit rampscenario was recent het onderwerp van een Nederlandse rechtszaak. De kans is groot dat een Belgische rechter tot een gelijkaardig, pijnlijk besluit zou komen: de ICT-dienstverlener betaalt zelf de volledige rekening.

Een analyse van een Nederlandse uitspraak (ECLI:NL:RBNNE:2024:4317) toont aan dat de factuur van de distributeur wordt gezien als een contractuele schuld en niet als ‘schade aan derden’. Dit cruciale onderscheid zet de dekking van de meeste beroepsaansprakelijkheidsverzekeringen buitenspel.

De juridische context: de keten van ICT-dienstverlening

Om de zaak te begrijpen, moeten we de structuur van de cloud-markt bekijken. Deze werkt vaak in een getrapt systeem:

  1. De Eindklant: Het KMO-bedrijf dat de clouddiensten gebruikt.
  2. De ICT-Dienstverlener (Reseller): Het ICT-bedrijf ([A] in de casus) dat de cloudomgeving voor de eindklant beheert, instelt en factureert.
  3. De Distributeur (Indirect Provider): Een groothandel ([B] in de casus) waar de dienstverlener de clouddiensten inkoopt.
  4. De Producent: Microsoft, die de Azure-diensten levert en factureert aan de distributeur.

In deze zaak werd de ICT-dienstverlener ([A]) geconfronteerd met een gigantische factuur van zijn distributeur ([B]), nadat hackers wekenlang ongestoord zo’n 60 virtuele servers hadden laten draaien voor cryptomining. Dit was enkel mogelijk omdat de MFA-beveiliging op de beheersaccount niet was ingeschakeld.

De beslissing van de rechtbank

De ICT-dienstverlener ([A]) probeerde de kosten te verhalen op drie partijen, maar faalde in elke vordering:

  1. Tegen de Distributeur ([B]): De dienstverlener stelde dat [B] een waarschuwings- en monitoringplicht had. De rechtbank verwierp dit. De distributeur was slechts een “doorgeefluik” en had bovendien al in 2020, meer dan twee jaar vóór de hack, een e-mail gestuurd over het verplichte karakter van MFA. De dienstverlener was dus gewaarschuwd en is zelf verantwoordelijk voor de beveiliging.
  2. Tegen de Verzekeraar ([C]): De dienstverlener argumenteerde dat de factuur van [B] “schade aan een derde” was, die gedekt moest zijn door zijn beroepsaansprakelijkheidsverzekering. De rechtbank oordeelde dat dit fundamenteel onjuist is. De factuur was geen vordering tot schadevergoeding van een derde, maar een vordering tot nakoming van [A]’s eigen contractuele betalingsverplichting. De verzekering dekt aansprakelijkheid voor fouten die schade veroorzaken bij anderen (zoals de eindklant), niet de betaling van de eigen inkoopfacturen.
  3. Tegen de Verzekeringsmakelaar ([D]): De makelaar had niet toegezegd dat dit specifieke, en zeer ongebruikelijke, risico (een eigen contractuele schuld) gedekt zou zijn.

De rechtbank besloot dat de ICT-dienstverlener ([A]) contractueel verplicht was om de volledige factuur van € 717.906,13 (excl. btw) aan zijn distributeur ([B]) te betalen.

Juridische analyse en duiding naar Belgisch recht

Hoewel dit een Nederlandse uitspraak is, zou een Belgische rechter hoogstwaarschijnlijk een identieke redenering volgen op basis van het Belgische verbintenissenrecht (Boek 5) en buitencontractueel aansprakelijkheidsrecht (Boek 6) in het Burgerlijk Wetboek (BW).

1. De vordering tegen de distributeur (Partij B)

Piste 1: De fout van de distributeur (Contractuele aansprakelijkheid)

De ICT-dienstverlener ([A]) zou in België argumenteren dat de distributeur ([B]) een contractuele fout heeft begaan door zijn advies- en waarschuwingsplicht te schenden (een schending van de uitvoering te goeder trouw, art. 5.73 BW).

Net als de Nederlandse rechter zou de Belgische rechter dit toetsen aan de norm van een “voorzichtig en redelijk persoon”. Deze norm vinden we in het Belgisch recht op meerdere plaatsen terug:

  • Buitencontractuele fout: Art. 6.6 BW definieert de algemene zorgvuldigheidsnorm.
  • Contractenrecht: Zowel art. 5.72 BW (voor een inspanningsverbintenis) als art. 5.73 BW (voor de uitvoering te goeder trouw) hanteren dit criterium.

Het feit dat de distributeur een duidelijke e-mail stuurde over de MFA-vereiste, zou zo goed als zeker volstaan om te oordelen dat de distributeur als een voorzichtig en redelijk persoon heeft gehandeld en dus aan zijn plicht heeft voldaan.

Piste 2: Het verbod op rechtsmisbruik (art. 5.73, tweede lid BW)

Dit is de meest waarschijnlijke Belgische invalshoek. De ICT-dienstverlener zou stellen dat de distributeur ([B]) weliswaar recht heeft op betaling, maar dat hij dit recht misbruikt door de onmiddellijke en volledige betaling van +700.000 euro te eisen, wetende dat dit de ICT-dienstverlener in een faillissement kan drijven, terwijl er minder schadelijke manieren zijn om de schuld te innen.

De kans op slagen van dit argument is echter zeer klein. Een rechter zal nagaan of de distributeur handelt op een manier die kennelijk onredelijk is. De rechter zou vaststellen dat:

  1. De schuld is reëel en het gevolg van een fout van de ICT-dienstverlener zelf.
  2. De distributeur moet zelf deze bedragen doorbetalen aan Microsoft.
  3. Het eisen van betaling voor een geleverde (hoewel frauduleuze) dienst waarvoor men contractueel verantwoordelijk is, is in se geen rechtsmisbruik.

De Nederlandse rechtbank oordeelde gelijkaardig: dreigen met normale juridische stappen om een rechtmatige vordering te innen, is in principe geen misbruik.

(Noot: In de Nederlandse zaak werd ook de betalingsregeling zelf aangevallen wegens “misbruik van omstandigheden”. Het Belgische equivalent, art. 5.37 BW, zou hier ook falen, omdat er geen sprake was van een “kennelijk onevenwicht” in de betalingsregeling zelf; deze diende enkel om een reeds bestaande schuld af te lossen.)

2. De vordering tegen de verzekeraar (Partij C)

Dit is de juridische en strategische kern van de hele zaak. Een beroepsaansprakelijkheidsverzekering dekt doorgaans de financiële gevolgen van uw aansprakelijkheid (contractueel of buitencontractueel) voor schade berokkend aan uw klant of andere derden.

In de Nederlandse zaak maakte de ICT-dienstverlener ([A]) een cruciale strategische fout. Hij betaalde (een deel van) de factuur aan zijn distributeur ([B]) en probeerde die eigen schuld vervolgens terug te vorderen van zijn verzekeraar ([C]). De verzekeraar weigerde terecht. Een dergelijke verzekeringspolis is geen kredietverzekering; het dekt geen eigen inkoopfacturen, ook niet als die zijn opgelopen door een eigen fout.

Wat was dan de correcte weg geweest om de polis wél te activeren? Het antwoord is contra-intuïtief, maar juridisch-technisch noodzakelijk:

  1. Doorfacturatie: De ICT-dienstverlener ([A]) had de volledige kosten van de distributeur ([B]) moeten doorfactureren aan de eindklant.
  2. Uitlokken van de claim: De eindklant zou die factuur uiteraard (en terecht) geprotesteerd hebben. De klant zou geoordeeld hebben dat deze kosten zijn ontstaan door een beroepsfout van [A] (het niet inschakelen van MFA) en zou [A] formeel aansprakelijk hebben gesteld voor deze schade.
  3. Indienen van de correcte claim: Dát formele protest – de aansprakelijkheidsclaim van de klant – is het “gedekte schadegeval”. De ICT-dienstverlener had die claim van zijn klant moeten aangeven bij zijn BA-verzekeraar ([C]).

De verzekeraar zou dan (normaal gezien) de claim moeten behandelen, de verdediging op zich nemen en de klant schadeloosstellen (wat er in fine op neerkomt dat de factuur van de distributeur wordt betaald via de polis).

De weigering van de verzekeraar ([C]) was dus juridisch waterdicht, omdat de claim verkeerd werd ingesteld. De verzekeraar werd gevraagd een eigen schuld te betalen, terwijl hij enkel aansprakelijkheidsclaims van benadeelde derden (zoals de klant) dekt.

Wat dit concreet betekent

  • Voor ICT-dienstverleners: Dit is een cruciale waarschuwing. U bent de beheerder en dus de poortwachter. Het niet inschakelen van basisbeveiliging zoals MFA is een beroepsfout. De financiële gevolgen daarvan bij uw leveranciers zijn een eigen bedrijfsrisico en worden niet gedekt indien de claim verkeerd wordt ingesteld. Een BA-polis dekt geen eigen inkoopfacturen. Zoals het vonnis letterlijk aantoont, had de ICT-dienstverlener beter de aansprakelijkheidsclaim van de eindklant moeten uitlokken (door de factuur door te sturen) en die claim moeten indienen bij de verzekeraar. Controleer daarnaast uw ‘first-party’ cyberverzekering om te zien of dergelijke eigen operationele kosten (bv. frauduleus verbruik) wél gedekt zijn.
  • Voor distributeurs: Documenteer uw communicatie. De e-mail uit 2020 over MFA was het cruciale bewijsstuk dat de distributeur in deze zaak heeft gevrijwaard van elke aansprakelijkheid . Zorg voor een sluitend dossier waarin u partners informeert over essentiële beveiligingsmaatregelen.

Veelgestelde vragen (FAQ)

Wat had de ICT-dienstverlener strategisch moeten doen voor verzekeringsdekking?
De ICT-dienstverlener heeft zijn eigen inkoopfactuur proberen te claimen, wat faalde . De correcte strategie was geweest om de factuur door te sturen naar de eindklant. De eindklant zou (terecht) geweigerd hebben te betalen en de ICT-dienstverlener aansprakelijk hebben gesteld voor de fout. Die aansprakelijkheidsclaim van de klant zou desgevallend wél een gedekt schadegeval geweest onder de BA-polis.

Heeft een distributeur dan nooit een plicht om te monitoren op fraude?
Niet automatisch. In deze zaak oordeelde de rechtbank dat de distributeur louter een ‘Indirect Provider’ (tussenschakel) was, een doorgeefluik voor facturatie. Een monitoringplicht bestaat enkel als die expliciet contractueel is overeengekomen of als de distributeur technisch de mogelijkheid en de rol heeft om dit te doen.

Is de factuur van de distributeur nu ‘eigen schade’ (first-party) of ‘schade aan derden’ (third-party)?
De rechtbank definieerde dit duidelijk: het is een eigen contractuele schuld van de ICT-dienstverlener aan zijn leverancier. Het is geen ‘schade’ in de verzekeringstechnische zin, maar simpelweg de uitvoering van een betalingsverplichting voor (frauduleus) verbruikte diensten.

Conclusie

De verantwoordelijkheid voor basis cyberhygiëne, zoals het implementeren van MFA, ligt vierkant bij de ICT-dienstverlener die de omgeving beheert. De financiële gevolgen van een falen hierin zijn niet zomaar af te schuiven op de distributeur of de beroepsaansprakelijkheidsverzekeraar. Zoals deze zaak pijnlijk aantoont, dekt een BA-verzekering de aansprakelijkheid jegens uw klant, niet uw eigen inkoopfacturen. Het correct en strategisch instellen van de verzekeringsclaim is daarbij essentieel.

Heeft u te maken met een complexe zaak rond ICT-aansprakelijkheid, contractuele geschillen of een dispuut met een verzekeraar? Onze advocaten, gespecialiseerd in contractenrecht en IT-recht, staan klaar om uw dossier te analyseren en uw positie te verdedigen. Neem vrijblijvend contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics