image

It-bedrijf moet schade door ransomware bij klant grotendeels vergoeden

maandag 8 juni 2020, 10:14 door Redactie, 46 reacties

Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.

De uitspraak werd al in november 2018 gedaan, maar is pas nu openbaar geworden. De zaak was aangespannen door het Hilversumse administratiekantoor O'Cliance. Het kantoor had het niet nader genoemde it-bedrijf in 2009 de opdracht gegeven om een nieuw netwerk te installeren en onderhouden. Begin 2017 werd O'Cliance getroffen door een ransomware-aanval, waarbij alle bestanden op de server werden versleuteld, waaronder ook de back-upbestanden.

Uit onderzoek van een extern adviesbureau bleek dat de aanvallers via een zwak RDP-wachtwoord op de server hadden kunnen inloggen. Tevens stelde het adviesbureau dat de back-upvoorzieningen niet op de juiste manier waren geregeld, waardoor het administratiekantoor uiteindelijk 2890 euro aan de criminelen moest betalen om de bestanden te ontsleutelen.

Na de ransomware-aanval voerde het it-bedrijf herstelwerkzaamheden uit, waarvoor het meer dan 6.800 euro bij het administratiekantoor in rekening bracht. O'Cliance besloot de factuur niet te betalen. Tevens stapte het naar de rechter omdat het vond dat het it-bedrijf te kort was geschoten in het nakomen van de gemaakte afspraken, er was gehandeld in strijd met de zorgplicht en er een onrechtmatige daad was gepleegd door een beroepsfout te maken. Het administratiekantoor eiste een schadevergoeding van ruim 42.000 euro en het betalen van 7.200 euro aan buitengerechtelijke kosten.

Volgens O'Cliance was ook de beveiliging onderdeel van de opdracht om een nieuw netwerk aan te leggen en beheren. Door de tekort schietende beveiliging kon de aanval plaatsvinden en had het kantoor schade geleden, wat het it-bedrijf moest vergoeden, aldus de eis van O'Cliance. Het it-bedrijf diende een tegenvordering in dat O'Cliance de uitgevoerde herstelwerkzaamheden moest betalen.

Oordeel rechter

Hoewel er niets op papier stond over het beveiligen van het netwerk mocht O'Cliance er volgens de rechter vanuit gaan dat de beveiliging ook onderdeel van de opdracht was. Het it-bedrijf stelde dat het beveiligingsmaatregelen had voorgesteld, maar dat die allemaal door het administratiekantoor werden afgewezen. Zo zouden het voorstel voor een firewall zijn afgewezen en wilde O'Cliance niet met back-ups op roulerende externe schijven werken. Daarnaast had het it-bedrijf "complexe wachtwoorden" ingesteld, maar werden die op verzoek van de klant vereenvoudigd.

De rechter stelt dat door het netwerk zonder firewall en zonder externe back-ups aan te leggen het it-bedrijf deze opdracht niet naar behoren heeft uitgevoerd. Dat O'Cliance de voorgestelde beveiligingsmaatregelen van de hand zou hebben gewezen maakt hier geen verschil in. Het it-bedrijf had de opdracht dan moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aandragen of op zijn minst indringend en herhaaldelijk moeten waarschuwen voor de risico's van het achterwege laten van een firewall en externe back-upstructuur, aldus het vonnis.

"Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van O’Cliance", aldus de rechter. Die stelde wel dat het administratiekantoor verantwoordelijk is voor het vereenvoudigen van de wachtwoorden, waardoor de aanvallers mede konden binnendringen. Dit deel van de aanval komt dan ook voor rekening van O'Cliance, zo stelt de rechter.

De rechter komt uiteindelijk tot het oordeel dat beide partijen schuldig zijn aan "het lek in de beveiliging". Gelet op de mate waarin elk van de partijen aan de schade heeft bijgedragen stelt de rechter dat het it-bedrijf tweederde van de schade moet vergoeden. De totale schade, waaronder het externe onderzoek van 4.400 euro, wordt vastgesteld op 15.400 euro. Dat houdt in dat het it-bedrijf meer dan 10.000 euro moet betalen. Daarnaast moet het it-bedrijf ook de proceskosten van O'Cliance van 3.100 euro betalen.

Tegenvordering

Het it-bedrijf had een tegenvordering ingesteld, omdat het wilde dat het administratiekantoor de uitgevoerde herstelwerkzaamheden betaalde. Daarover zegt de rechtbank dat het it-bedrijf aansprakelijk is voor de schade van O’Cliance en verplicht was om de schade van zijn handelen zoveel mogelijk te beperken. Dat het kantoor een eigen aandeel heeft in het ontstaan van de schade doet hier niet aan af, zo staat in het vonnis te lezen. Wel moet O'Cliance de server, die als onderdeel van het herstelwerkzaamheden werd neergezet, teruggeven.

Reacties (46)
08-06-2020, 10:22 door Erik van Straten
Goed dat duidelijk wordt dat als je, tegen betaling, anderen werk uit handen neemt, daar ook verantwoordelijkheden bij horen.
08-06-2020, 10:32 door Anoniem
Door Erik van Straten: Goed dat duidelijk wordt dat als je, tegen betaling, anderen werk uit handen neemt, daar ook verantwoordelijkheden bij horen.
Maar ook gevaarlijk, als de klant de geadviseerde oplossingen te complex vind (wachtwoorden roulerende backups), de leverancier toch verantwoordelijk is.
08-06-2020, 10:52 door Anoniem
Door Erik van Straten: Goed dat duidelijk wordt dat als je, tegen betaling, anderen werk uit handen neemt, daar ook verantwoordelijkheden bij horen.
Beetje eenzijdige reactie, daar de klant zelf eenvoudige oplossingen wilde.
08-06-2020, 10:53 door Robby Swartenbroekx
Door Erik van Straten: Goed dat duidelijk wordt dat als je, tegen betaling, anderen werk uit handen neemt, daar ook verantwoordelijkheden bij horen.

Ik vind echter wel dat als de klant expliciet aanbevelingen afwijst, de klant hierdoor aansprakelijk wordt. Dit wilt dus zeggen dat aanbieders klanten meermaals aan de klant moeten laten weten dat zijn infrastructuur onveilig is. Hoeveel keer dan? 1x per jaar, bij elk bezoek bij de klant, elke maand op het factuur? Hoe lang gaat het duren vooraleer de klant die mailtjes beu is en dreigt met de vertrekken naar de concurentie als ze hun blijven spammen over producten die ze verkopen?

Er was trouwens vastgesteld dat het lek is gebeurt door zwakke RDP wachtwoorden. De klant heeft expliciet gevraagd om het wachtwoord zwak te maken, dus de klant draagt een veel groter deel hierin.
Aan de andere kant, RDP openzetten van internet naar binnen toe is inderdaad ZEER ver van best practice af. toen de klant vroeg om die poort te openen had de firma moeten eisen dat er een VPN box (meestal firewall) wordt geimplementeerd en daarna pas RDP mogelijk was.
08-06-2020, 11:07 door MathFox
Door Robby Swartenbroekx:
Door Erik van Straten: Goed dat duidelijk wordt dat als je, tegen betaling, anderen werk uit handen neemt, daar ook verantwoordelijkheden bij horen.

Ik vind echter wel dat als de klant expliciet aanbevelingen afwijst, de klant hierdoor aansprakelijk wordt. Dit wilt dus zeggen dat aanbieders klanten meermaals aan de klant moeten laten weten dat zijn infrastructuur onveilig is. Hoeveel keer dan? 1x per jaar, bij elk bezoek bij de klant, elke maand op het factuur? Hoe lang gaat het duren vooraleer de klant die mailtjes beu is en dreigt met de vertrekken naar de concurentie als ze hun blijven spammen over producten die ze verkopen?
Ik denk dat als je in een geval als dit iedere keer dat de klant een belangrijke beveiligingsmaatregel afwijst een strenge brief of email moet sturen met daarin te tekst "door Uw keuze verzwakt U de beveiliging van uw (computers/netwerk) zodanig dat wij geen aansprakelijkheid meer op ons nemen voor beveiligingsincidenten." of iets dergelijks. Of je laat de klant tekenen op een formulier "er is mij uitgelegd waarom [xxx] noodzakelijk is en ik kies er toch voor om het niet de doen en besef dat de schade door [yyy] voor mijn rekening komt."
Het is niet erg om bepaalde klanten naar de concurrent te jagen; dit akkefietje heeft de IT leverancier aardig wat gekost.
08-06-2020, 11:24 door Anoniem
Door Robby Swartenbroekx:
Door Erik van Straten: Goed dat duidelijk wordt dat als je, tegen betaling, anderen werk uit handen neemt, daar ook verantwoordelijkheden bij horen.

Ik vind echter wel dat als de klant expliciet aanbevelingen afwijst, de klant hierdoor aansprakelijk wordt. Dit wilt dus zeggen dat aanbieders klanten meermaals aan de klant moeten laten weten dat zijn infrastructuur onveilig is. Hoeveel keer dan? 1x per jaar, bij elk bezoek bij de klant, elke maand op het factuur? Hoe lang gaat het duren vooraleer de klant die mailtjes beu is en dreigt met de vertrekken naar de concurentie als ze hun blijven spammen over producten die ze verkopen?

Er was trouwens vastgesteld dat het lek is gebeurt door zwakke RDP wachtwoorden. De klant heeft expliciet gevraagd om het wachtwoord zwak te maken, dus de klant draagt een veel groter deel hierin.
Aan de andere kant, RDP openzetten van internet naar binnen toe is inderdaad ZEER ver van best practice af. toen de klant vroeg om die poort te openen had de firma moeten eisen dat er een VPN box (meestal firewall) wordt geimplementeerd en daarna pas RDP mogelijk was.

VPN via PPTP :P
08-06-2020, 11:32 door Bitje-scheef
Kortom, goed op papier vastleggen met de consequenties eronder. Dan zal een klant zich wel snel confirmeren aan wat strengere regels.

Zoals Mathfox al opmerkt.
08-06-2020, 11:42 door karma4
Door MathFox: Ik denk dat als je in een geval als dit iedere keer dat de klant een belangrijke beveiligingsmaatregel afwijst een strenge brief of email moet sturen met daarin te tekst "door Uw keuze verzwakt U de beveiliging van uw (computers/netwerk) zodanig dat wij geen aansprakelijkheid meer op ons nemen voor beveiligingsincidenten." of iets dergelijks. Of je laat de klant tekenen op een formulier "er is mij uitgelegd waarom [xxx] noodzakelijk is en ik kies er toch voor om het niet de doen en besef dat de schade door [yyy] voor mijn rekening komt."
Het is niet erg om bepaalde klanten naar de concurrent te jagen; dit akkefietje heeft de IT leverancier aardig wat gekost.

De opdrachtgever is uiteindelijk de eindverantwoordelijke echter onveilige situaties verborgen als kostenargument en verkeerde communicatie in details door kennisgebrek in het specialisme van ICT (Siem IDS IRS) blijven de dienstverlener aan te rekenen. Eens, als dat nu eens algemeen ingezien werd..
08-06-2020, 11:53 door Anoniem
Door Robby Swartenbroekx: Ik vind echter wel dat als de klant expliciet aanbevelingen afwijst, de klant hierdoor aansprakelijk wordt.
Dit was geen situatie waar gedetacheerde mensen in opdracht en onder verantwoordelijkheid van de klant werkten, dit was een situatie waarin de verantwoordelijkheid voor een veel groter deel bij de leverancier ligt. Deze uitspraak maakt duidelijk dat als de klant eisen stelt waardoor de leverancier niet meer in kan staan voor wat hij levert de conclusie moet zijn dat hij niet kan leveren. Door toch te leveren verplicht hij zichzelf ervoor in te staan.

Dat kan klanten kosten, maar door toch te leveren reduceerde dit bedrijf zichzelf tot een leverancier van broddelwerk, wat nooit goed kan zijn voor hun reputatie. Mij lijkt het geen verstandige zet om jezelf tot het niveau van een beunhaas te reduceren.

Ik had overigens op basis van de beschrijving geen greintje medelijden gehad met de klant als die voor de volle mep had moeten opdraaien. Maar rechtspraak die erop neerkomt dat broddelwerk leveren geen optie is lijkt me wel heel gezond om kwaliteit op de agenda te houden en te voorkomen dat garantie tot aan de deur de norm wordt.
08-06-2020, 11:56 door Anoniem
@karma4

"Zachte developers maken stinkende code", variant op een oeroud spreekwoord.

luntrus
08-06-2020, 11:56 door Anoniem
Goed en duidelijk vonnis. Eindelijk wordt de prijs betaald door de prutser. Het lijkt me dat ze inderdaad zo een standaard contract hadden dat maandelijks gefaktureerd wordt en verder de it dienstverlener geen verantwoording nam.

Als er op basis van een uurtarief gewerkt wordt, had het wellicht anders geweest, dan ben je immers externe consultant.
Ik kan me volgens mij nog een rechtzaak tussen IBM en upc herinneren, waarbij de remote backup dienst van upc niet instaat was een restore te doen. Rechter heeft toen ook geoordeeld dat het doel van een backup een restore is.

Dus laat het duidelijk zijn, alles wat je faktureerd, ben je dus verantwoordelijk voor.
08-06-2020, 12:35 door MathFox
Ik lees het vonnis:

Partijen hebben geen afspraken op schrift gesteld.
Tja...
Door Anoniem: Goed en duidelijk vonnis. [...]

Dus laat het duidelijk zijn, alles wat je faktureerd, ben je dus verantwoordelijk voor.
Zeker als de facturen het enige zijn wat zwart op wit staat.
08-06-2020, 12:39 door Anoniem
Veel bedrijven werken al zo. Doe je niks met mijn aanbevelingen? Dan kun je volgend jaar op zoek naar een andere uitvoerder, want ik wil mijn naam niet in de buurt hebben als het bij jou mis gaat. Fijn dat daar nu ook precedent voor is.
08-06-2020, 13:00 door Anoniem
Waarbij "een netwerk aanleggen" dus niet betekent netwerk-apparatuur neerzetten en -draadjes trekken maar wel betekent een roedel windows masjientjes met een "de server" om het geheel aanelkaar te knopen.

Voor mij zou criterium zijn of de opdracht expliciet windows genoemd heeft danwel of de dienstverlener vrij was om "het netwerk" in te vullen met software naar eigen keuze. In dat laatste geval zou ik windows-gebruiken als beroepsfout willen aanmerken. In het eerste geval zou ik zeggen, de klant heeft deze keuze gemaakt dus dat er dan meer dan strikt noodzakelijk risico op ransomware is, valt de dienstverlener niet aan te rekenen. Tenminste, als ze ook andere dingen kunnen leveren dan "windows"; anders had de klant beter een dienstverlener gezocht die meer kon dan alleen ondermaats beveiligbare software leveren.

Maargoed, ik ben geen rechter en dit oordeel ligt er nu. Met als gevolg dat als je een "(windows)netwerk"-leverancier bent dat als de klant geen firewall en dergelijk wil, dat je je dan niet mag laten afpoeieren of dan tenminste moet zorgen dat dat expliciet op papier gebeurt, want anders ben je de sjaak.
08-06-2020, 13:37 door Anoniem
Door MathFox: Ik lees het vonnis:

Partijen hebben geen afspraken op schrift gesteld.
Tja...
Door Anoniem: Goed en duidelijk vonnis. [...]

Dus laat het duidelijk zijn, alles wat je faktureerd, ben je dus verantwoordelijk voor.
Zeker als de facturen het enige zijn wat zwart op wit staat.

Het is niet zo zwart-wit. In het vonnis leidt de RB wel wat verantwoordelijkheden af uit email communicatie, en uit dingen die gesteld en niet, of niet voldoende weersproken zijn door een procespartij.

Het vonnis :
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:10124

Mbt tot niet op schrift : - dat werkt twee kanten op. De klant kan ook niet van alles verzinnen wat 'gedaan had moeten worden' als dat niet op schrift staat.
Maar kan dat wel aannamelijk maken dat dat de afspraak en wederzijdse verwachting was.


[gedaagde] heeft op de zitting erkend dat hij in opdracht van O’Cliance een volledige IT-infrastructuur heeft aangelegd en, op afroep, het beheer en onderhoud daarvan verzorgde. Dat tussen partijen een afspraak bestond die inhield dat [gedaagde] een ‘totaalpakket’ zou leveren, is dus niet in geschil. De vraag die partijen wel verdeeld houdt, is of ook de beveiliging van het netwerk deel uitmaakte van dat totaalpakket. Nu partijen hun afspraken niet op papier hebben gesteld, moet het antwoord op die vraag uit andere feiten en omstandigheden worden afgeleid. Daarbij is van belang wat partijen redelijkerwijs over de omvang van de opdracht hebben kunnen begrijpen en wat zij over en weer van elkaar mochten verwachten. De stelplicht (en eventuele bewijslast) dat de opdracht ook zag op het aanleggen van een adequate beveiliging rust op O’Cliance, omdat zij zich beroept op de rechtgevolgen hiervan.

aansprakelijk voor gebrek aan firewall en backups . (bold van mij)


Door het netwerk aan te leggen zonder firewall en zonder externe back-ups, heeft [gedaagde] deze opdracht niet naar behoren uitgevoerd. Dat, zoals [gedaagde] stelt, O’Cliance de voorgestelde beveiligingsmaatregelen van de hand zou hebben gewezen, maakt dit niet zonder meer anders. Het had dan op de weg van [gedaagde] gelegen de opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten. Dat [betrokkene] wellicht zelf kennis van zaken op het gebied van IT had, ontsloeg [gedaagde] niet van deze verantwoordelijkheid. Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van O’Cliance. Dat [gedaagde] meer heeft gedaan dan het geven van een enkele waarschuwing, is door hem niet, althans onvoldoende, gesteld. Uit de e-mail van 29 april 2010 blijkt juist het tegendeel. Dat [gedaagde] niet uitdrukkelijk heeft gewaarschuwd wordt nog eens onderstreept doordat [gedaagde] op de zitting heeft verklaard dat hij op de vraag of het systeem veilig genoeg was slechts zou hebben geantwoord: “Er moeten nog een aantal dingen bij.” [gedaagde] is hiermee toerekenbaar tekort geschoten in de uitvoering van zijn opdracht.

Maar de klant is verantwoordelijk voor de zwakke wachtwoorden


De stelling van [gedaagde] dat hij op dit onderdeel van de beveiliging wel voldoende inspanning heeft verricht, en dat de keuze van O’Cliance voor gemakkelijke wachtwoorden mede debet is geweest aan de kwetsbaarheid voor een ransomware-aanval, is hiermee door O’Cliance onvoldoende betwist. Dat de hackers zich mede door de gemakkelijke wachtwoorden toegang tot het netwerk van O’Cliance konden verschaffen, is daarom een omstandigheid die voor rekening van O’Cliance moet blijven.

En de rechtbank hakt de schade door op 2/3 leverancier, 1/3 klant.


Daarmee komt de rechtbank tot de conclusie dat [gedaagde] jegens O’Cliance aansprakelijk is voor de schade die kon ontstaan doordat [gedaagde] niet heeft voldaan aan de opdracht een adequate beveiliging aan te leggen, maar dat O’Cliance medeschuldig is aan het ontstaan van het lek in de beveiliging. De rechtbank zal de schade dan ook over beide partijen verdelen. Gelet op de mate waarin elk van de partijen aan de schade heeft bijgedragen, stelt de rechtbank de schadevergoedingsplicht van [gedaagde] vast op 2/3 van het geheel. Het overige deel van de schade blijft voor rekening van O’Cliance.
08-06-2020, 13:43 door Anoniem
Door Anoniem:
Door Erik van Straten: Goed dat duidelijk wordt dat als je, tegen betaling, anderen werk uit handen neemt, daar ook verantwoordelijkheden bij horen.
Maar ook gevaarlijk, als de klant de geadviseerde oplossingen te complex vind (wachtwoorden roulerende backups), de leverancier toch verantwoordelijk is.

Belangrijkste leerpunt in dit verhaal is alles goed vastleggen met handtekening door klant.
Er kan mogelijk tegen advies iets geconfigureerd worden, maar laat de klant dan het risico accepteren zodat je ook bewijslast hebt dat de klant voor dit risico kiest.
De rechter geeft aan dat dit onderdeel niet duidelijk beschreven staat, hij oordeelt dat de klant er vanuit mag gaan dat het goed geregeld is ondanks er niets op papier staat...
Dus als wel op papier duidelijk was geweest, had oordeel anders geweest.
08-06-2020, 13:47 door Anoniem
Door Anoniem: Veel bedrijven werken al zo. Doe je niks met mijn aanbevelingen? Dan kun je volgend jaar op zoek naar een andere uitvoerder, want ik wil mijn naam niet in de buurt hebben als het bij jou mis gaat. Fijn dat daar nu ook precedent voor is.
Dit kan toch niet. Want waar ligt dan precies de lijn bij de opties die de klant we/niet afneemt waar dan opeens de verantwoordelijkheid van de klant naar de dienstverlener over gaat. Dat is dus alleen achteraf te bepalen door de rechter. Dat is onwerkbaar.
08-06-2020, 14:02 door Erik van Straten - Bijgewerkt: 08-06-2020, 14:04
@Reageerders op mijn eerste reactie: heel vaak ontstaan onveilige ICT situaties, en blijven ze bestaan, doordat iedereen denkt dat informatiebeveiliging de verantwoordelijkheid van een ander is.

Veel te veel organisaties (zoals RIVM afgelopen weekend) denken dat je ICT aan de andere kant van de schutting door de goedkoopste cowboys kunt laten verzorgen en dat je dan zelf niets meer hoeft te doen.

Het kan me niet schelen wie er precies voor de schade opdraait, als het er maar toe leidt dat er minder cowboys en minder naiëve uitbesteders komen.

Ook hoop ik dat er, door deze uitspraak, enig precedent ontstaat om makers van commerciële software aansprakelijk te stellen voor fouten in door hen geleverde producten. Ik vind het te zot voor woorden dat aansprakelijkheid voor allerlei producten geldt maar niet voor software. Dat gebruikers van producten waar zij niet voor betalen (of een onderhoudscontract e.d. voor afsluiten), zelf verantwoordelijk zijn voor schade ontstaan als gevolg van fouten in die producten, moet ook een stuk duidelijker worden.

Reden: er wordt veel te onvoorzichtig omgesprongen met gegevens van anderen. Partijen aanspreken op hun verantwoordelijkheid is in de meeste gevallen zinloos; laat ze het maar in hun portemonnee voelen. Zowel cowboys als uitbesteders.
08-06-2020, 14:18 door Briolet
Door Erik van Straten: …Ook hoop ik dat er, door deze uitspraak, enig precedent ontstaat om makers van commerciële software aansprakelijk te stellen voor fouten in door hen geleverde producten. …

Het ligt hier toch wel iets genuanceerder. Het waren geen fouten, maar bewuste keuzes om meer risico te nemen. Als het verhaal hierboven klopt, waren beide partijen op de hoogte van de extra risico's.

De rechter heeft echter beslist dat het administratiekantoor dit soort risico's niet kon overzien en het ICT bedrijf wel. In het consumentenrecht is dit al langer zo dat de consument bescherm wordt bij dit soort discussies. In zakelijk verkeer had ik zo'n uitspraak niet verwacht. Als een ondernemer het advies van een expert negeert en werk laat uitvoeren tegen het advies in, dan moet het zijn risico zijn. Althans is dat mijn rechtsgevoel.
08-06-2020, 14:47 door Anoniem
De Rabobank is in het verleden ook al eens aangesproken op haar zorgplicht als professional. Ik meen mij ook een voorval van twee jaar terug te herinneren waarbij iets speelde met een backup. Het is blijkbaar zo dat wanneer het onverstandig is om te doen, maar je omwille van de klantrelatie het toch doet, jij als professional het risico loopt.

Helaas is dit bijna altijd een centen kwestie, waarbij de opdrachtgever de oplossing wel wil, maar niet de prijs voor wil betalen.
08-06-2020, 14:57 door MathFox
Door Briolet:
De rechter heeft echter beslist dat het administratiekantoor dit soort risico's niet kon overzien en het ICT bedrijf wel. In het consumentenrecht is dit al langer zo dat de consument bescherm wordt bij dit soort discussies. In zakelijk verkeer had ik zo'n uitspraak niet verwacht. Als een ondernemer het advies van een expert negeert en werk laat uitvoeren tegen het advies in, dan moet het zijn risico zijn. Althans is dat mijn rechtsgevoel.
Als jij in zo'n geval als aannemer van werk kunt aantonen dat je de opdrachtgever geïnformeerd hebt over de risico's van zijn keuzes en dat de opdrachtgever het risico geaccepteerd heeft dan sta je een stuk sterker.
Door Anoniem:
Door Anoniem: Veel bedrijven werken al zo. Doe je niks met mijn aanbevelingen? Dan kun je volgend jaar op zoek naar een andere uitvoerder, want ik wil mijn naam niet in de buurt hebben als het bij jou mis gaat. Fijn dat daar nu ook precedent voor is.
Dit kan toch niet. Want waar ligt dan precies de lijn bij de opties die de klant we/niet afneemt waar dan opeens de verantwoordelijkheid van de klant naar de dienstverlener over gaat. Dat is dus alleen achteraf te bepalen door de rechter. Dat is onwerkbaar.
Als expert hoor je te weten wat "good business practice" is. Dat komt vaak neer op "als A dan B en (C of D of E en F)"
Ik wil dat mijn medewerkers Internet toegang hebben: Firewall plus virusscanner verplicht. Filterende proxy gewenst.
Ik wil mijn medewerkers thuis laten werken: Firewall plus goede VPN oplossing; sterke wachtwoorden afdwingen of 2FA. Gewenst: ...
Een klant die je niet toestaat om "good practice" te leveren ben ik liever kwijt dan rijk.
08-06-2020, 15:06 door Anoniem
" bleek dat de aanvallers via een zwak RDP-wachtwoord op de server hadden kunnen inloggen."

Daar! dat is puur de reden waarom ze moeten dokken. Sukkels!
Ze hadden dit kunnen weten, zeker met RDP zorg je voor sterke wachtwoorden.

Mocht een van de werknemers een emailtje geopend hebben waardoor het netwerk geinfecteerd kon worden dan is dat natuurlijk een andere zaak maar in dit geval geef ik de rechter groot gelijk en als ik hem was had ik er nog keihard een boete bovenop gedaan! Dat zal ze leren om halve maatregelen te nemen zoals zwakke wachtwoorden.
08-06-2020, 15:08 door Anoniem
Maar ook gevaarlijk, als de klant de geadviseerde oplossingen te complex vind (wachtwoorden roulerende backups), de leverancier toch verantwoordelijk is.

Indien dat zo is, dan moet je zorgen dat je daar zwart op wit bewijs van hebt. De rechter zal oordelen, op basis van het aangevoerde bewijs. Nergens wordt gezegd dat bij het voorbeeld dat jij noemt, de leverancier toch verantwoordelijk is.
08-06-2020, 15:09 door Anoniem
Dit kan toch niet. Want waar ligt dan precies de lijn bij de opties die de klant we/niet afneemt waar dan opeens de verantwoordelijkheid van de klant naar de dienstverlener over gaat. Dat is dus alleen achteraf te bepalen door de rechter. Dat is onwerkbaar.

Niet echt, voor een professionele dienstverlener. Verantwoordelijkheid voor je werkzaamheden is onderdeel van je vak.
08-06-2020, 15:35 door souplost
Dit zie je wel eens terug bij kleine bedrijfjes met een narcistische directeur die zijn eigen systeembeheerder ontslaat, want te lastig. Inhuur doet precies wat je zegt, ook de domme dingen die zijn eigen beheerder weigerde. Prima oordeel van de rechter. Nu nog windows verbieden. Consumenten software aanbieden in een enterprise is namelijk onverantwoordelijk blijkt elke dag.
08-06-2020, 15:38 door Anoniem
Door Anoniem: " bleek dat de aanvallers via een zwak RDP-wachtwoord op de server hadden kunnen inloggen."

Daar! dat is puur de reden waarom ze moeten dokken. Sukkels!
Ze hadden dit kunnen weten, zeker met RDP zorg je voor sterke wachtwoorden.

Mocht een van de werknemers een emailtje geopend hebben waardoor het netwerk geinfecteerd kon worden dan is dat natuurlijk een andere zaak maar in dit geval geef ik de rechter groot gelijk en als ik hem was had ik er nog keihard een boete bovenop gedaan! Dat zal ze leren om halve maatregelen te nemen zoals zwakke wachtwoorden.
Als je het artikel gelezen EN begrepen had, was het juist de klant, die om zwakkere wachtwoorden vroeg!
08-06-2020, 16:02 door Briolet - Bijgewerkt: 08-06-2020, 16:04
Door Anoniem: " bleek dat de aanvallers via een zwak RDP-wachtwoord op de server hadden kunnen inloggen."

Daar! dat is puur de reden waarom ze moeten dokken. Sukkels!

Juist niet. Leest de uitspraak en de goede samenvatting van de redactie op dit punt. Het ICT bedrijf had sterke wachtwoorden ingesteld. Het administratiekantoor geeft zelf ook toe dat de wachtwoorden op hun verzoek vereenvoudigd zijn. De rechter verwijt de zwakke wachtwoorden dus niet aan het ICT bedrijf.

Als er een beter backupbeleid geweest was, was de schade echter kleiner geweest. Daar is het ICT bedrijf wel verantwoordelijk voor. Probleem is dat het meeste mondeling besproken is. Bij de 'feiten' zit maar één schriftelijk bewijs uit een e-mail:

…Als opmerking kan misschien nog vermeld worden dat we er misschien goed aan doen om die zwarte backup drive dubbelt uit te voeren, zodat eens in de week je die mee naar huis kan nemen zodat als er een keer brand uitbreek je de data “thuis” hebt. Deze “need” is minder echter mijn inziens als de server achterstaat want daan hebben we en een backup in de schuur (de zwarte doos naast het keyboard gaat dan mee naar achteren). Maar indien dit gebeurd is, hebben we ook de snapshot drive boven in de meterkast (Acronisdrive).
Hoop dat je nu weer goed kan slapen.

Zijn 'advies' voor een beter backup beleid klinkt wel heel erg vrijblijvend. En niet als een dringend advies dit beter te regelen. Bij de noodzaak tot backup werd eigenlijk alleen aan brand gedacht. Maar goed, die e-mail was uit 2010 en toen speelde ransomeware ook nog niet als een belangrijk probleem.
08-06-2020, 16:03 door karma4
Door Anoniem: [Als je het artikel gelezen EN begrepen had, was het juist de klant, die om zwakkere wachtwoorden vroeg!
Dat klopt dat rekent de rechter ook de opdrachtgever aan. (lees de uitspraak).
Het probleem blijft voor de verwerker dat er een totale dienstverlening was afgesproken.
Geen VPN geen werkende backup die je kan restoren was doorslaggevend.
08-06-2020, 16:12 door Anoniem
De klant is koning,
dus als iemand ongezonde rotzooi in zijn brood wil hebben dan kan ie dat op eigen verantwoordelijkheid krijgen.

Alleen wel even tekenen dat ie zelf verantwoordelijk is voor eventuele gevolgen.
08-06-2020, 16:21 door Anoniem
Door karma4:
Door Anoniem: [Als je het artikel gelezen EN begrepen had, was het juist de klant, die om zwakkere wachtwoorden vroeg!
Dat klopt dat rekent de rechter ook de opdrachtgever aan. (lees de uitspraak).
Het probleem blijft voor de verwerker dat er een totale dienstverlening was afgesproken.
Geen VPN geen werkende backup die je kan restoren was doorslaggevend.

Vooral doorslaggevend was dat 'een enkele waarschuwing' en dat de klant enige mate van eigen IT kennis had niet voldoende was om in deze de verantwoordelijkheid voor de gevolgen bij de klant te leggen.

Zie ook mijn post met vonnis-quotes van 13:37

Ook uit wat losse opmerkingen of uitspraken ter zitting "er moest meer gedaan worden" concludeert de rechtbank dat op dit punt de leverancier verantwoordelijk was .

Uit het vonnis:
Dat [gedaagde] niet uitdrukkelijk heeft gewaarschuwd wordt nog eens onderstreept doordat [gedaagde] op de zitting heeft verklaard dat hij op de vraag of het systeem veilig genoeg was slechts zou hebben geantwoord: “Er moeten nog een aantal dingen bij.” [gedaagde] is hiermee toerekenbaar tekort geschoten in de uitvoering van zijn opdracht.

De RB heeft min of meer gezegd dat ontbrekende firewall+backup = 2/3 , slecht password beleid = 1/3 van de oorzaak van de schade , en op die manier de schade verdeeld.
08-06-2020, 16:46 door Anoniem
Door Anoniem:
Dit kan toch niet. Want waar ligt dan precies de lijn bij de opties die de klant we/niet afneemt waar dan opeens de verantwoordelijkheid van de klant naar de dienstverlener over gaat. Dat is dus alleen achteraf te bepalen door de rechter. Dat is onwerkbaar.

Niet echt, voor een professionele dienstverlener. Verantwoordelijkheid voor je werkzaamheden is onderdeel van je vak.

Deze uitspraak geeft een hoop onduidelijkheid met potentieel vergaande gevolgen. Of een omgeving veilig is of niet, dat zal in sommige gevallen heel duidelijk maar meestal discutabel en afhankelijk van het subjectieve appetite van risico. Een opdrachtgever kan zich blijkbaar achter verschuilen achter het feit dat hij er te weinig van af weet.

Was de opdrachtgever dan wel in staat om zelfstandig een beslissing te nemen en is hij zelf daar niet tekort in geschoten om te beslissen over iets waar hij geen verstand van heeft? En had de opdrachtgever dus een 2nd opinion moeten vragen aan iemand die d'r wel verstand van heeft.

Nu wordt alle verantwoordelijkheid gelegd bij de opdrachtnemer.
08-06-2020, 17:10 door Anoniem
Door karma4:
Door MathFox: Ik denk dat als je in een geval als dit iedere keer dat de klant een belangrijke beveiligingsmaatregel afwijst een strenge brief of email moet sturen met daarin te tekst "door Uw keuze verzwakt U de beveiliging van uw (computers/netwerk) zodanig dat wij geen aansprakelijkheid meer op ons nemen voor beveiligingsincidenten." of iets dergelijks. Of je laat de klant tekenen op een formulier "er is mij uitgelegd waarom [xxx] noodzakelijk is en ik kies er toch voor om het niet de doen en besef dat de schade door [yyy] voor mijn rekening komt."
Het is niet erg om bepaalde klanten naar de concurrent te jagen; dit akkefietje heeft de IT leverancier aardig wat gekost.

De opdrachtgever is uiteindelijk de eindverantwoordelijke echter onveilige situaties verborgen als kostenargument en verkeerde communicatie in details door kennisgebrek in het specialisme van ICT (Siem IDS IRS) blijven de dienstverlener aan te rekenen. Eens, als dat nu eens algemeen ingezien werd..

kijk uit met wat je vraagt... voordat je het weet worden bepaalde gebreken ook bij een fabrikant verhaald waarvan je misschien in je "trots" getast wordt, om het maar zo te formuleren.
08-06-2020, 17:30 door Anoniem
Geweldig zo'n rechter die digibeet is en helemaal prat gaat op 1 woordje "totaaloplossing"...
Hallo rechter, in de echte wereld werkt dat niet.

Vrijwel alle IT bedrijven gaan een zeer goede oplossing bouwen en opleveren, het zijn altijd de klanten die ipv een gedegen firewall van 3000 euro een adsl-router van 25 euro willen.

Of een sterk wachtwoord van 12 characters, zonder 3 opeenvolgende tekens en zonder het bedrijf of maand in de string...
Maar dan komt zo'n muts van de receptie of excel-sheet-hunter die wil dat het 123ABC kan zijn.

Na honderden uren en euro's erin gestopt te hebben kan je nooit meer als bedrijf zeggen "okay, dan nemen we het weer mee, want wat u wil is niet veilig'...

Volstrekte onzin.. maar had niet anders verwacht van de gemiddelde nederlandse rechter.
Zelfs als iets zwart-op-wit staan, dan nog verprutsen ze het.
08-06-2020, 17:46 door Eric-Jan H te D
Nee zeggen tegen klanten/opdrachtgevers; het blijft moeilijk. Maar als je pretendeert een serieus bedrijf te zijn, doe je het toch.

Een beetje aannemer zegt ook nee wanneer de klant zegt doe daar maar een H-balk van 15cm ipv 20cm.
08-06-2020, 18:27 door MathFox
Door Anoniem:
Door Anoniem:
Niet echt, voor een professionele dienstverlener. Verantwoordelijkheid voor je werkzaamheden is onderdeel van je vak.

Deze uitspraak geeft een hoop onduidelijkheid met potentieel vergaande gevolgen. Of een omgeving veilig is of niet, dat zal in sommige gevallen heel duidelijk maar meestal discutabel en afhankelijk van het subjectieve appetite van risico. Een opdrachtgever kan zich blijkbaar achter verschuilen achter het feit dat hij er te weinig van af weet.

Was de opdrachtgever dan wel in staat om zelfstandig een beslissing te nemen en is hij zelf daar niet tekort in geschoten om te beslissen over iets waar hij geen verstand van heeft? En had de opdrachtgever dus een 2nd opinion moeten vragen aan iemand die d'r wel verstand van heeft.

Nu wordt alle verantwoordelijkheid gelegd bij de opdrachtnemer.
Het is onduidelijk welke afspraken opdrachtgever en opdrachtnemer gemaakt hebben. In dat geval moet de rechter reconstrueren wat de inhoud van het contract was; dat gebeurt dan naar wat de partij met minder expertise redelijkerwijs mag verwachten. Ieder A4e of mailtje met afspraken zwart-op-wit wordt door een rechter bij die reconstructie betrokken.
Een professionele partij neemt de tijd voor een intake, daar hoort bij beheer ook het bepalen van een beveiligingsniveau voor het netwerk. Die afspraken zet je op papier en je bespreekt met enige regelmaat met de klant of er aanpassing nodig is.

En de rechter neemt het de professionele opdrachtgever kwalijk dat hij niet hard genoeg gewaarschuwd heeft tegen de stomme beslissingen van de klant. Zie mijn commentaar van 11:07 van hoe je dat kunt doen.
08-06-2020, 19:57 door Anoniem
Dus als ik het klasse 3 alarm van mijn auto af laat slopen en de ramen open laat staan en vervolgens wordt mijn laptop gejat vanaf de achterbank, kan ik dan ook de autofabrikant aanklagen?

Wat een waardeloze uitspraak van de rechtbank dit.
09-06-2020, 01:46 door Anoniem
Ik ben het niet eens met deze uitspraak! Ik vind de IT leverancier niet verantwoordelijk, de klant is koning en bepaald toch wel. Het komt heel vaak dat de klant niet doet of wil wat de IT leverancier adviseert en dingen zelf gaat aanpassen of zegt dat ze voor die oplossing geen budget hebben. Als je in de praktijk alles op papier moet gaan zetten wanneer men het niet de adviezen opvolgt met handtekeningen er onder dan kunnen we net zo goed ophouden met dit werk, ook als IT leverancier sta je niet sterk want als jij het niet doet, doet die ander het wel. Tuurlijk zeggen we allemaal wel is een keer "nee" maar

Tevens ben niet je niet verantwoordelijk voor de beveiliging, je bent verantwoordelijk voor een opzet en meer ook niet. Het is hoogstens best-effort, niemand kan garanderen dat er niet ooit wat uitlekt of binnen komt of fout gaat. De klant wil zoveel mogelijk gemak en de IT-er wil liefst alles dicht timmeren, maar garantie dat beveiliging ooit 100% afdoende is kan geen enkel IT bedrijf ter wereld jou geven. Dus behalve als je kunt aantonen dat ze grove fouten hebben gemaakt zijn ze absoluut niet verantwoordelijk!

Maar dat begrijpt zo'n d66 rechter weer niet, die kunnen zich beter met andere zaken bezig houden en daar blunderen ze ook op los. Nee, ik vind het een zeer gevaarlijk precedent en dit is het begin van een hoop ellende. Moeten we straks een standaard clausule gaan opnemen dat we niet verantwoordelijk zijn voor lekken/hacks/gedrag van de klant want dat ga je nu krijgen...
09-06-2020, 02:00 door Anoniem
Door Eric-Jan H te D: Nee zeggen tegen klanten/opdrachtgevers; het blijft moeilijk. Maar als je pretendeert een serieus bedrijf te zijn, doe je het toch.

Een beetje aannemer zegt ook nee wanneer de klant zegt doe daar maar een H-balk van 15cm ipv 20cm.

Dat is niet hetzelfde, de aannemer dient zich aan te houden aan de door de overheid gestelde bouw reguleringen, wat hebben wij als IT-ers voor regels? Er zijn hoogstens best-practices en vaak zijn er ook vele manieren om iets op te zetten of uit te voeren, het is niet echt gereguleerd en daar zit misschien wel een probleem. In dat opzicht kan meer regelgeving helpen maar dan ben je als IT-er wel minder flexibel en dat kan ook tegen je werken.

In ieder geval zo'n rechter heeft absoluut niet te kennis om hier over te kunnen oordelen, het is te complex om zwart/wit te zijn.
09-06-2020, 05:45 door Anoniem
Door Anoniem: Dus als ik het klasse 3 alarm van mijn auto af laat slopen en de ramen open laat staan en vervolgens wordt mijn laptop gejat vanaf de achterbank, kan ik dan ook de autofabrikant aanklagen?

Wat een waardeloze uitspraak van de rechtbank dit.
Het is meer alsof men een elektricien inhuurt om het bedrijfspand van elektrische bedrading te voorzien, en bezwaar maakt tegen de groepenkast omdat dat dat ding maar duur is en de elektriciteit er ook wel is als je alles direct doorverbindt. De elektricien gaat daarmee na niet meer dan een zwak bezwaar accoord en bij de eerste de beste kortsluiting slaat er geen zekering door en ontstaat er brand. Wie is aansprakelijk voor de brandschade?

Reken maar dat de elektricien in zo'n situatie niet wegkomt met de mededeling dat de klant het nou eenmaal zo wilde. Het had domweg niet zonder groepenkast opgeleverd mogen worden.

Nou is het vast wel zo dat er een wettelijke verplichting is op een groepenkast en niet op een firewall, dus bij die ontbrekende groepenkast krijgt de elektricien meer aan zijn broek dan alleen de schade bij de klant, maar het idee is hetzelfde: vakmensen moeten iets opleveren dat deugt en niet toegeven aan klanten die voor de kwaliteit essentiële dingen willen weglaten.
09-06-2020, 08:57 door Anoniem
Lekker bedrijf dan dat O'Cliance, beetje verhaal halen bij een IT bedrijf terwijl zij zelf debet zijn aan de regen in de drup situatie.

Ik had als It bedrijf de voorwaarden nog even aangescherpt voordat er daadwerkelijk getekend zou gaan worden. Of de hele opdracht niet laten passeren. Backups zouden bij mij standaard versleuteld zijn en waarom heeft een backupserver een domein membership nodig. Daarnaast had ik de backup laten repliceren naar een eigen faciliteit, storage kost geen donder meer.

De beste backup mogelijkheid had ik destijds met Evault, is overgenomen door Carbonite.
09-06-2020, 10:24 door Anoniem
Door MathFox:
Door Robby Swartenbroekx:
Door Erik van Straten: Goed dat duidelijk wordt dat als je, tegen betaling, anderen werk uit handen neemt, daar ook verantwoordelijkheden bij horen.

Ik vind echter wel dat als de klant expliciet aanbevelingen afwijst, de klant hierdoor aansprakelijk wordt. Dit wilt dus zeggen dat aanbieders klanten meermaals aan de klant moeten laten weten dat zijn infrastructuur onveilig is. Hoeveel keer dan? 1x per jaar, bij elk bezoek bij de klant, elke maand op het factuur? Hoe lang gaat het duren vooraleer de klant die mailtjes beu is en dreigt met de vertrekken naar de concurentie als ze hun blijven spammen over producten die ze verkopen?
Ik denk dat als je in een geval als dit iedere keer dat de klant een belangrijke beveiligingsmaatregel afwijst een strenge brief of email moet sturen met daarin te tekst "door Uw keuze verzwakt U de beveiliging van uw (computers/netwerk) zodanig dat wij geen aansprakelijkheid meer op ons nemen voor beveiligingsincidenten." of iets dergelijks. Of je laat de klant tekenen op een formulier "er is mij uitgelegd waarom [xxx] noodzakelijk is en ik kies er toch voor om het niet de doen en besef dat de schade door [yyy] voor mijn rekening komt."
Het is niet erg om bepaalde klanten naar de concurrent te jagen; dit akkefietje heeft de IT leverancier aardig wat gekost.

Leuk, zo'n houding, maar niet erg realitisch als je de praktijk ook meegemaakt hebt. Op papier kunnen we allemaal wel een goede oplossing verzinnen.
09-06-2020, 12:23 door Anoniem
Door Anoniem: Leuk, zo'n houding, maar niet erg realitisch als je de praktijk ook meegemaakt hebt. Op papier kunnen we allemaal wel een goede oplossing verzinnen.
Hoe realistisch wordt het als je meeweegt dat je opeens voor meer dan €10.000 het schip in kan gaan als je het nalaat?
09-06-2020, 22:25 door MathFox
Door Anoniem:
Leuk, zo'n houding, maar niet erg realitisch als je de praktijk ook meegemaakt hebt. Op papier kunnen we allemaal wel een goede oplossing verzinnen.
Zachte heelmeesters maken stinkende wonden zegt men. En als je als expert-opdrachtnemer jouw expertise niet hard durft uit te spreken naar de klant, neem je een stuk verantwoordelijkheid voor zijn fouten op je. Ik ken de praktijk, werk liever met aannemers die nee durven te zeggen, dan is de kans dat het project slaagt groter dan wanneer je een klus door een ploeg jaknikkers laat uitvoeren.

En wat ik voorstel is wat gerenommeerde juristen ook aanraden. Mocht het beleid bij jouw werkgever anders zijn, zorg ervoor dat je je CV bijgewerkt hebt, je zou het opeens nodig kunnen hebben.
10-06-2020, 12:40 door Anoniem
De juridische vraag van deze week gaat over deze situatie:
https://www.security.nl/posting/660492/Maakt+onverstandig+handelen+op+verzoek+van+de+klant+een+IT-dienstverlener+schadeplichtig%3F

Iedereen die vindt dat de IT-leverancier niet verantwoordelijk is, je alles doet wat de klant vraagt omdat die klant koning is, dat er geen regels voor ICT zouden gelden, doet er goed aan het antwoord van Arnoud Engelfriet te lezen.
10-06-2020, 18:54 door Anoniem
Door Anoniem:
Door Anoniem: Leuk, zo'n houding, maar niet erg realitisch als je de praktijk ook meegemaakt hebt. Op papier kunnen we allemaal wel een goede oplossing verzinnen.
Hoe realistisch wordt het als je meeweegt dat je opeens voor meer dan €10.000 het schip in kan gaan als je het nalaat?

Dat verandert niets aan de zaak, dat maakt deze alleen onrechtvaardiger. Bijna iedereen die weleens met een MKB-klant te maken heeft gehad weet hoe er nooit genoeg geld en uren zijn en hoe het altijd schipperen is. Dat is de realiteit. Dat de rechter daar andere ideeën over heeft geeft slechts aan dat hij de markt en situatie niet genoeg kent voor een fatsoenlijke uitspraak. Op basis van heel grof geschetste lijnen worden vergaande conclusies getrokken.
11-06-2020, 08:03 door Anoniem
Vaak staat bij de gebruiker in dit geval een Administratiekantoor het gebruikersgemak boven security.
Er is door het IT-Bedrijf schriftelijk kenbaar gemaakt van de risico's vwb wachtwoorden en firewall want met een voorstel moet altijd een reden benoemd worden. Deze reden is in dit geval het risico wat is aangegeven, maar de rechter vindt als ik het goed lees, dat het IT-Bedrijf meer had moeten aandringen. Hoe krom kan het zijn. Het Administratiekantoor is bewust van de risico's en heeft zelf een verzoek gedaan om de policy complexiteit van wachtwoorden te laten versoepelen.
Dit voelt als Jantje die met zijn pinpas gaat pinnen maar toch als geheugensteuntje zijn pincode opschrijft en in zijn portemonnee opbergt. De rechters in NL zijn totaal de weg kwijt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.