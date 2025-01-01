Een klant van een Nederlands autobedrijf kon worden opgelicht omdat de onderneming het eigen e-mailaccount niet goed had beveiligd, waardoor een crimineel het kon gebruiken voor het versturen van een frauduleuze factuur. Dat heeft het Gerechtshof Arnhem-Leeuwarden in een tussenuitspraak geoordeeld. Het autobedrijf doet een beroep op eigen schuld, waardoor er nu wordt gekeken of de gevorderde schade voor rekening van de koper zou moeten blijven.

De klant, afkomstig uit Australië, wilde in juli 2022 een auto bij het autobedrijf kopen. Na eerder e-mailcontact ontving de koper vanuit het e-mailadres van het autobedrijf een bericht met betaalinstructies om ongeveer 27.000 euro naar een Duits rekeningnummer over te maken. De e-mail was echter frauduleus en afkomstig van criminelen die toegang tot het e-mailaccount van het autobedrijf hadden.

De koper ontdekte dat hij was opgelicht en wilde dat het autobedrijf de auto alsnog leverde. Het autobedrijf weigerde dit en besloot de overeenkomst te ontbinden. De koper stapte naar de rechter. Het autobedrijf verscheen niet in de procedure en werd bij verstek veroordeeld tot het betalen van de 27.000 euro en het betalen van een materiële en immateriële schadevergoeding.

Het autobedrijf voerde daarop via een (verzet)procedure alsnog verweer waarna de rechtbank het verstekvonnis grotendeels vernietigde en de eerder toegewezen vorderingen grotendeels afwees. Daarop ging de koper bij het Gerechtshof Arnhem-Leeuwarden in hoger beroep. Volgens de koper had het autobedrijf geen adequate e-mailbeveiliging. Dat zou onder meer blijken uit de opmerking van de externe ict-beheerder van het autobedrijf, dat toegang tot het e-mailaccount werd verkregen met slechts een paar pogingen, wat inhoudt dat het wachtwoord door de aanvaller eenvoudig kon worden verkregen.

Daarnaast deelde het autobedrijf haar wachtwoord met meerdere personen, gebruikte zij geen tweefactorauthenticatie, gebruikte zij alleen standaard ‘tooling’ om het netwerk te scannen en is er geen bewijs dat het wachtwoord complex was of ooit is gewijzigd, aldus de koper. Het autobedrijf stelde dat haar maatregelen passend zijn vanwege de beperkte hoeveelheid persoonsgegevens die zij via haar e-mailaccount verwerkt en omdat zij geen bijzondere of gevoelige persoonsgegevens verwerkt. Het beheer van het e-mailaccount is uitbesteed aan een gespecialiseerd ict-bedrijf voor kleine autobedrijven.

Tussenuitspraak

Het hof gaf het autobedrijf de gelegenheid om aan te tonen dat het e-mailaccount goed was beveiligd. Op basis van de aangeleverde stukken stelt het hof dat dit niet het geval was en de AVG is geschonden. "Het autobedrijf moet als verwerkingsverantwoordelijke zorgen voor een passende beveiliging van de persoonsgegevens die zij verwerkt en moet kunnen aantonen dat zij aan deze verplichting heeft voldaan", aldus het hof.

Het autobedrijf heeft de inrichting en het beheer van het e-mailaccount uitbesteed aan een ict-dienstverlener. Als verwerkingsverantwoordelijke blijft het autobedrijf verantwoordelijk voor de beveiligingsmaatregelen die de ict-dienstverlener verwerker treft, laat het hof verder weten. Wanneer de ict-dienstverlener niet de juiste maatregelen treft is het autobedrijf toch aansprakelijk voor de schade die een klant daardoor leidt. Het autobedrijf had de ict-dienstverlener kunnen dagvaarden om haar schade voor zover mogelijk af te kunnen wentelen, maar dat is hier niet gebeurd.

Maatregelen

In het onderzoeksrapport naar de e-mailbeveiliging en inbraak op het account staat dat de ict-leverancier geen afwijkingen heeft waargenomen voordat het incident plaatsvond. Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van de ict-dienstverlener blijkt dat tussen 27 en 29 juni 2022 een bruteforce-aanval heeft plaatsgevonden op het e-mailadres van het autobedrijf.

De onderzoeker schrijft verder in het rapport dat de aanvaller op 30 juni 2022 voor het eerst toegang heeft gekregen tot het e-mailadres van het autobedrijf. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had bij deze eerste ongeoorloofde toegang tot het e-mailaccount van het autobedrijf, aldus de door het autobedrijf ingeschakelde onderzoeker.

Volgens het hof staat in de e-mail van de ict-dienstverlener en het onderzoekrapport dat de dienstverlener controlemechanismen heeft ingebouwd en ongeoorloofde toegang tot het e-mailaccount van het autobedrijf detecteert, maar hoe zij dat doet en welke maatregelen zij dan treft om ongeoorloofde toegang te voorkomen, is niet toegelicht. "En dat is precies wat het hof mist", laat het vonnis weten. Zo ontbreekt de onderbouwing waarom de bruteforce-aanval en inbraak op het e-mailaccount ondanks de maatregelen niet zijn gedetecteerd.

Wachtwoord

Daarnaast ontbreekt volgens het hof een nadere toelichting over het toen ingestelde wachtwoord. De onderzoeker schrijft dat het gebruik van een complex wachtwoord van minimaal 12 tekens een standaard instelling is die ‘door de systemen van de provider worden afgedwongen’. Wat het wachtwoord was op het moment van de eerste toegang door de aanvaller staat echter niet vermeld.

De onderzoeker heeft ook geen onderbouwd antwoord gegeven op de onderzoeksvraag of het passend is om de instelling en het beheer van het wachtwoord over te laten aan de ict-dienstverlener in plaats van dat het autobedrijf zelf een wachtwoord instelt waar alleen zij toegang toe heeft. De ict-dienstverlener en de onderzoeker geven ook geen toelichting op de vraag waarom het passend is dat de ict-dienstverlener het wachtwoord van het e-mailaccount van het autobedrijf weet.

Tevens is niet toegelicht welke medewerkers van de ict-dienstverlener toegang hadden tot dat wachtwoord en hoe het bedrijf heeft geregeld dat haar medewerkers daar vertrouwelijk mee om gingen. Het hof stelt verder dat ook het autobedrijf niet duidelijk maakt welke afspraken er met medewerkers zijn gemaakt over het inloggen op het e-mailaccount.

Tussenconclusie

Het hof komt tot de tussenconclusie dat het autobedrijf niet heeft bewezen dat het account passend was beveiligd. Daarnaast is er een causaal verband tussen de genoemde schending van de AVG en de schade die de koper liep doordat hij vanaf het e-mailaccount van het autobedrijf een frauduleuze factuur ontving. De eis van de koper dat hij immateriële schade heeft geleden is volgens het hof echter onvoldoende onderbouwd.

Nu vaststaat dat het bedrijf zich niet aan de AVG heeft gehouden waardoor de koper materiële schade heeft geleden biedt het hof beide partijen de mogelijkheid om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de kant van de koper, waardoor (een deel van) de gevorderde materiële schade voor rekening van de koper zou moeten blijven. Het autobedrijf doet hier een beroep op en mag hiervoor nu bewijs aandienen om deze claim te onderbouwen, waarna de koper daarop mag reageren. Vervolgens zal het hof zich daarover buigen.