Nieuws

Gehackt autobedrijf moet opgelichte klant helft van de schade vergoeden

dinsdag 13 januari 2026, 17:26 door Redactie, 17 reacties

Een Nederlands autobedrijf, dat het eigen e-mailaccount niet goed had beveiligd waardoor een klant kon worden opgelicht, moet de helft van de materiële schade die deze klant leed vergoeden. Dat heeft het gerechtshof Arnhem-Leeuwarden geoordeeld. Het gaat om een schadevergoeding van ruim 13.000 euro en meer dan 1.000 euro aan buitengerechtelijke kosten.

De klant, afkomstig uit Australië, wilde in juli 2022 een auto bij het autobedrijf kopen. Na eerder e-mailcontact ontving de koper vanuit het e-mailadres van het autobedrijf een bericht met betaalinstructies om ongeveer 27.000 euro naar een Duits rekeningnummer over te maken. De e-mail was echter frauduleus en afkomstig van criminelen die toegang tot het e-mailaccount van het autobedrijf hadden.

De koper ontdekte dat hij was opgelicht en wilde dat het autobedrijf de auto alsnog leverde. Het autobedrijf weigerde dit en besloot de overeenkomst te ontbinden. De koper stapte naar de rechter. Het autobedrijf verscheen niet in de procedure en werd bij verstek veroordeeld tot het betalen van de 27.000 euro en het betalen van een materiële en immateriële schadevergoeding.

Het autobedrijf voerde daarop via een (verzet)procedure alsnog verweer waarna de rechtbank het verstekvonnis grotendeels vernietigde en de eerder toegewezen vorderingen grotendeels afwees. Daarop ging de koper bij het Gerechtshof Arnhem-Leeuwarden in hoger beroep. Volgens de koper had het autobedrijf geen adequate e-mailbeveiliging. Dat zou onder meer blijken uit de opmerking van de externe ict-beheerder van het autobedrijf, dat toegang tot het e-mailaccount werd verkregen met slechts een paar pogingen, wat inhoudt dat het wachtwoord door de aanvaller eenvoudig kon worden verkregen.

Daarnaast deelde het autobedrijf haar wachtwoord met meerdere personen, gebruikte zij geen tweefactorauthenticatie, gebruikte zij alleen standaard ‘tooling’ om het netwerk te scannen en was er geen bewijs dat het wachtwoord complex was of ooit is gewijzigd, aldus de koper. Het autobedrijf stelde dat haar maatregelen passend zijn vanwege de beperkte hoeveelheid persoonsgegevens die zij via haar e-mailaccount verwerkt en omdat zij geen bijzondere of gevoelige persoonsgegevens verwerkt. Het beheer van het e-mailaccount was uitbesteed aan een gespecialiseerd ict-bedrijf voor kleine autobedrijven.

Tussenuitspraak

Het hof gaf het autobedrijf de gelegenheid om aan te tonen dat het e-mailaccount goed was beveiligd. Op basis van de aangeleverde stukken stelde het hof vorig jaar augustus in een tussenuitspraak dat dit niet het geval was en de AVG is geschonden. "Het autobedrijf moet als verwerkingsverantwoordelijke zorgen voor een passende beveiliging van de persoonsgegevens die zij verwerkt en moet kunnen aantonen dat zij aan deze verplichting heeft voldaan", aldus het hof destijds

Het autobedrijf had de inrichting en het beheer van het e-mailaccount uitbesteed aan een ict-dienstverlener. Als verwerkingsverantwoordelijke blijft het autobedrijf verantwoordelijk voor de beveiligingsmaatregelen die de ict-dienstverlener verwerker treft, liet het hof verder in de tussenuitspraak weten. Wanneer de ict-dienstverlener niet de juiste maatregelen treft is het autobedrijf toch aansprakelijk voor de schade die een klant daardoor leidt. Het autobedrijf deed een beroep op eigen schuld, waardoor er vervolgens werd gekeken of de gevorderde schade voor rekening van de koper zou moeten blijven.

Uitspraak

Het hof is nu met het eindarrest gekomen, waarin het laat weten dat het autobedrijf de helft van de geleden schade moet betalen. Volgens het hof kan het autobedrijf geen beroep doen op het feit dat het geen kennis van cybersecurity heeft en daarom het beheer had uitbesteed. "Het instellen van een eigen wachtwoord is echter ook voor een klein bedrijf een maatregel die zij had moeten treffen."

Aan de andere kant draagt de klant volgens het hof ook een deel van de verantwoordelijkheid. De klant had namelijk een aantal dagen daarvoor een aanbetaling gedaan op een Nederlands bankrekeningnummer. "Het andere, Duitse bankrekeningnummer had dus tot enige argwaan bij hem moeten leiden", aldus het hof. Dat oordeelt dat een deel van de schade dan ook aan de koper is toe te rekenen. Uiteindelijk oordeelt het hof dat het autobedrijf een schadevergoeding van 13.500 euro moet betalen en 1054 euro aan buitengerechtelijke kosten.

Microsoft waarschuwt voor actief aangevallen informatielek in Windows

'Rechters buigen zich nauwelijks inhoudelijk over inzet hackbevoegdheid'

Reacties (17)

Reageer met quote

13-01-2026, 17:32 door Anoniem

Benieuwd of het autobedrijf nu de ICT leverancier aansprakelijk gaat stellen.

De klant kan/hoeft dat niet te doen - die heeft alleen te maken met het autobedrijf .

Sinds https://clairfort.nl/beroep-op-contractuele-aansprakelijkheidsbeperking-door-it-leverancier-niet-mogelijk-bij-schending-back-upverplichting/ is het zeker niet kansloos , en liggen er meer verwachtingen bij wat een leverancier moet doen en niet mag uitsluiten van risico .

Reageer met quote

13-01-2026, 17:54 door Anoniem

Het valt me wel vaker op bij berichten over rechtszaken dat andere rechters totaal anders tegen zaken aan kijken. Ik weet niet wat ik daar van moet vinden. Op die manier gaat iedereen altijd in hoger beroep, want ja, zeker bij twijfelgevallen loont doorprocederen, zowel in deze zaak als bij allerlei andere zaken. Het is overduidelijk geen wiskunde en dat maakt fundamenteel andere oordelen mogelijk. Voor rechtsprekende instanties vind ik dat toch apart. Is de vereiste (dossier- en vak)kennis bij rechters om recht te spreken dan zo afwijkend of tekortschietend?

Reageer met quote

13-01-2026, 22:38 door Anoniem

Door Anoniem: Het valt me wel vaker op bij berichten over rechtszaken dat andere rechters totaal anders tegen zaken aan kijken.

Kun je daar wat voorbeelden van geven ?
Op dit forum komen uberhaupt weinig rechtzaken voorbij - en nog minder hoger beroepszaken .

Als je top-criminele zaken bedoelt uit de reguliere media - bedenk dat dat bepaald geen 'steekproef van normale zaken' betreft .

Ik weet niet wat ik daar van moet vinden. Op die manier gaat iedereen altijd in hoger beroep, want ja, zeker bij twijfelgevallen loont doorprocederen, zowel in deze zaak als bij allerlei andere zaken.

Hoger beroep kan ook tegenvallen, en dan heb je NIET de optie om te zeggen "bij nader inzien neem ik de eerste uitspraak" .

Het is overduidelijk geen wiskunde en dat maakt fundamenteel andere oordelen mogelijk. Voor rechtsprekende instanties vind ik dat toch apart. Is de vereiste (dossier- en vak)kennis bij rechters om recht te spreken dan zo afwijkend of tekortschietend?

Wat een raar vooroordeel , dat een ander oordeel per definitie aan dossierkennis zou liggen.

Waarom zeg je eerst dat het geen wiskunde is en er dus andere oordelen mogelijk zijn , en vervolgens dat die andere oordelen blijkbaar berusten op betere dossier/vak kennis ?

Reageer met quote

14-01-2026, 07:26 door Anoniem

Ik vind dit echt belachelijk. De email kwam van het autobedrijf, dus die is verantwoordelijk.

Reageer met quote

14-01-2026, 07:43 door Drs Security en Privacy

Goede uitspraak waaruit maar weer blijkt dat de verantwoordelijkheid uitbesteden niet mogelijk is en een ISO27001 certificering geen enkele garantie geeft.

Reageer met quote

14-01-2026, 07:46 door Drs Security en Privacy

Door Anoniem: Benieuwd of het autobedrijf nu de ICT leverancier aansprakelijk gaat stellen.

De klant kan/hoeft dat niet te doen - die heeft alleen te maken met het autobedrijf .

Sinds https://clairfort.nl/beroep-op-contractuele-aansprakelijkheidsbeperking-door-it-leverancier-niet-mogelijk-bij-schending-back-upverplichting/ is het zeker niet kansloos , en liggen er meer verwachtingen bij wat een leverancier moet doen en niet mag uitsluiten van risico .

Dat wordt dan nog een leuke, want als bedrijf heb je daar ook zelf je verantwoording in.
Hangt er maar helemaal vanaf wat er in de contracten heeft gestaan.
Er is een zaak uit 2019 waar dit het geval was rond een ransomware aanval met 2/3 schade voor de ICT boer omdat die zijn zorgplicht niet nagekomen had, maar ook 1/3 voor een administratiekantoor omdat ook zij nalatig waren geweest op IB gebied.

Reageer met quote

14-01-2026, 08:43 door Anoniem

Wat mij niet duidelijk is of de man uit Australie de auto gekocht heeft of gewoon in Australie geboren is maar al 100 jaar in Nederland woont, zoja, zonee, dan mag dat wel wat duidelijker aangegeven worden of in het laatste geval is dat compleet niet relevant.

In het eerste geval vind het allemaal nog raarder, want in Australie hebben ze hele rare wetten voor het aanschaffen van auto's uit het buitenland. Soms moet een auto zelfs doormidden gezaagd worden om ingevoerd te worden. Als je hem al binnen krijgt.. Een simpel blaadje in het luchtrooster en je auto wordt verbrandt. Zo absurd zijn de regels daar.

Dus wanneer een australier een Nederlandse auto koopt ruikt dat erg verdacht.

Reageer met quote

14-01-2026, 09:26 door _R0N_

Door Anoniem: Het valt me wel vaker op bij berichten over rechtszaken dat andere rechters totaal anders tegen zaken aan kijken. Ik weet niet wat ik daar van moet vinden. Op die manier gaat iedereen altijd in hoger beroep, want ja, zeker bij twijfelgevallen loont doorprocederen, zowel in deze zaak als bij allerlei andere zaken. Het is overduidelijk geen wiskunde en dat maakt fundamenteel andere oordelen mogelijk. Voor rechtsprekende instanties vind ik dat toch apart. Is de vereiste (dossier- en vak)kennis bij rechters om recht te spreken dan zo afwijkend of tekortschietend?

Rechtspraak is mensenwerk, het gaat om de interpretatie van de wet. Bij een lagere rechtbank is er 1 rechter die de beslissing neemt bij een hogere rechtbank zijn dat er 3 of zelfs 5.

Reageer met quote

14-01-2026, 11:07 door Anoniem

Als beide partijen in een rechtszaak de uitspraak acceptabel vinden komt er geen hoger beroep. En als je een steekproef neemt van uitspraken.rechtspraak.nl (die alle uitspraken in beroepszaken bevat) dan zie je dat het beroep in een aanzienlijk aantal gevallen de originele uitspraak bevestigt, ook regelmatig tot een vergelijkbaar oordeel komt "op andere gronden" (het bewijsmateriaal wordt op een andere manier geïnterpreteerd) en dat maar in zo'n 20% van de gevallen een fundamenteel ander oordeel volgt.

Reageer met quote

14-01-2026, 11:09 door Anoniem

Door Anoniem: Ik vind dit echt belachelijk. De email kwam van het autobedrijf, dus die is verantwoordelijk.

Heerlijk, tijd voor kantoorhumor . Je baas laat even de laptop open staan, en dan sturen we jou " het is vandaag naakt op kantoor dag" email .

Dolle pret als je dan de broek laat zaken en verontwaardigt roept dat de email echt van de baas kwam en jij DUS helemaal nul verantwoordelijkheid hebt om ook nog even na te denken of de inhoud wel normaal is .

Bij het autobedrijf heeft de klant de helft gekregen - de mail was echt, maar het ontbrekende belletje dat had moeten rinkelen "huh, NL bedrijf, eerste betaling naar NL, en dan de rest naar Duitsland , ff controleren" kost 'm 13 ruggen.

Reageer met quote

14-01-2026, 12:15 door Anoniem

Wat ik mis is waarom het autobedrijf aangepakt wordt i.p.v. de dader. De oplichter die er met het geld van door is. Waarom is er geen opsporing? Waar is het geld, je kunt het via ezels wegsluizen maar het laat vaak wel een soort van spoor achter. Ook de bank van de oplichter is hier schuldig aan. Als ik 5000 euro wil overmaken is dat al zo goed al onmogelijk tegenwoordig.

Reageer met quote

14-01-2026, 12:48 door Drs Security en Privacy

Door Anoniem: Wat ik mis is waarom het autobedrijf aangepakt wordt i.p.v. de dader. De oplichter die er met het geld van door is. Waarom is er geen opsporing? Waar is het geld, je kunt het via ezels wegsluizen maar het laat vaak wel een soort van spoor achter. Ook de bank van de oplichter is hier schuldig aan. Als ik 5000 euro wil overmaken is dat al zo goed al onmogelijk tegenwoordig.

Dat zou een strafzaak zijn, dit is een civiele zaak die gaat ondermeer om de verantwoordelijkheid van het autobedrijf onder de AVG.
En als ze de dader willen berechten, moeten ze ook wel weten wie het is en liefst ook diegene in de kraag vatten.

Reageer met quote

14-01-2026, 12:50 door Drs Security en Privacy

Door Anoniem: Ik vind dit echt belachelijk. De email kwam van het autobedrijf, dus die is verantwoordelijk.

Dat klopt en dat zegt het hof ook.
Echter zegt het hof ook dat het slachtoffer zelf hierin ook nalatig is geweest en dat is feitelijk ook zo.
Als je een tweede bericht krijgt met een heel ander rekening nummer ook nocheens in een ander land, had die persoon ook zelf kunnen bedenken dat er iets niet klopt, toch?
Vandaar beide schuldig.

Reageer met quote

14-01-2026, 12:56 door Drs Security en Privacy

Kijk even in de deel vonnis, daar staat een interessante opmerking precies over wat je je afvraagt.

Reageer met quote

14-01-2026, 14:42 door Anoniem

Die opsporing zal er ook wel zijn (of geprobeerd worden) , maar hier wordt alleen de vraag beantwoord wie er de schade van een niet geleverde auto cq verkeerd betaald geld moet dragen .

Mocht het geld bij de dader ooit achterhaald worden zal dat alsnog gaan naar degenen die schade geleden hebben : hier dus 50% bedrijf en 50% klant .

Reageer met quote

14-01-2026, 14:58 door Anoniem

Door Drs Security en Privacy:

Kijk even in de deel vonnis, daar staat een interessante opmerking precies over wat je je afvraagt.

Hm, ik zie dat ik de URL te snel geplakt heb. Ik had een andere zaak in gedachten (ook zorgplicht/klant weigert/uitsluiting schade)

https://www.security.nl/posting/660081/It-bedrijf+moet+schade+door+ransomware+bij+klant+grotendeels+vergoeden
Ik heb het gelezen (destijds, toen het best groot [ICT] nieuws was) en vandaar dat ik het aanhaal met "zeker niet kansloos" .

Maar met wat zoeken op zorgplicht/backups /ICT zie je dat er een hoop aansprakelijkheidszaken zijn tussen klant en leverancier als het daarop misgegaan is.

De rest zal afhangen van hoe gedetailleerd de ICT leverancier (password) verantwoording bij de klant (autobedrijf) gelaten heeft en hoe nadrukkelijk die klant dat geaccepteerd heeft , maar die Hilversumse zaak bevestigde dat "simpelweg schade uitsluiten" niet meer zo werkt als daarvoor.

Aan de andere kant : https://www.computable.nl/2023/05/15/rechter-hof-van-twente-zelf-schuldig-aan-hack/
als de klant het zelf verklooit kan die niet naar de leverancier wijzen wanneer het misgaat.

Reageer met quote

14-01-2026, 15:08 door Anoniem

Door Drs Security en Privacy:

Kijk even in de deel vonnis, daar staat een interessante opmerking precies over wat je je afvraagt.

Ah - en nog even gezocht.

Je bedoelt

Het instellen van een eigen wachtwoord is echter ook voor een klein bedrijf een maatregel die zij had moeten treffen. Het hof komt op grond van alle omstandigheden in deze zaak en met toepassing van een billijkheidscorrectie tot een vergoedingsplicht voor [geïntimeerde] van 50 % van de door [appellant] gevorderde schade.

Dat kan inderdaad enigzins een schot voor de boeg zijn dat een zaak tegen de IT leverancier hier niet zo sterk is.

Goed mogelijk - duidelijk dat in het recht de verwachtingen van wat "iedereen, ook niet-deskundige klanten" geacht worden te weten versus wat onder de (zorg)plicht van "experts" - de dienstverlenende bedrijven- valt in beweging zijn.

Toch - afhankelijk van hoeveel de leverancier beloofd heeft (bv regelmatige controle op onveilige wachtwoorden, of wachtwoord beleid instellen). zou het kunnen dat alsnog de schade van het bedrijf naar de ICT leverancier verlegd kan worden.

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Vacature

Security Analist IT/OT

Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.

Lees meer

Na een hack weer in zee:

Vacature

Information Security Manager IT/OT

Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.

Lees meer

Bevolkingsonderzoek Nederland wil samenwerking met gehackt lab hervatten

05-02-2026 door Redactie

Bevolkingsonderzoek Nederland wil de samenwerking met Clinical Diagnostics hervatten, zo laat demissionair staatssecretaris ...

38 reacties

Lees meer

Vacature

Security Architect IT/OT

Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.

Lees meer

Ben ik aansprakelijk als mijn Wordpress site gegevens heeft gelekt?

04-02-2026 door Arnoud Engelfriet

Juridische vraag: Ik verhuur (als particulier) een vakantiehuisje en gebruik voor de promotie en verhuurregistratie een ...

9 reacties

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Gehackt autobedrijf moet opgelichte klant helft van de schade vergoeden

Tussenuitspraak

Uitspraak

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Na een hack weer in zee:

Wachtwoord Vergeten

Password Reset

Registreren