Aanleiding

Het treffen van adequate beveiligingsmaatregelen om te voorkomen dat onbevoegden een systeem of een mailbox kunnen binnendringen, is een wettelijke verplichting die we kennen uit onder meer de AVG, de Wet bescherming bedrijfsgeheimen en de Wet beveiliging netwerken en informatiesystemen. 

We weten dat toezichthouders boetes kunnen opleggen bij het niet naleven daarvan. Minder bekend is dat rechters het steeds vaker laten meewegen in hun oordeel over aansprakelijkheidskwesties: adequate beveiliging is een onderdeel van de zorgplicht. Het niet treffen van adequate voorzorgsmaatregelen om te voorkomen dat onbevoegden een mailbox binnendringen, kan een bedrijf duur komen te staan.  

Zaak Hascor / Devante

Een voorbeeld daarvan is een arrest van de Hoge Raad in de zaak Hascor / Devante.  Hascor bestelde bij Devante een hoeveelheid chroom voor de prijs van $363.394,13. Hascor ontving voor deze levering drie verschillende e-mails achter elkaar met verzenddocumenten en een factuur, met in de laatste een factuur met gewijzigd bankrekeningnummer. Hascor betaalde overeenkomstig de laatstelijk ontvangen factuur. Bij een tweede koop van een partij chroom werd het Hascor duidelijk dat de e-mails met de facturen niet door Devante waren verzonden. Hascor kon na deze ontdekking de tweede betaling door de bank laten storneren. De eerste betaling was echter al door een fraudeur onterecht ontvangen. De vraag deed zich voor of Hascor wel of niet voor de eerste levering chroom bevrijdend had betaald aan Devante.  

Het gerechtshof Arnhem-Leeuwarden oordeelde dat dat het geval was. Devante liep daardoor $363.394,13 mis. Devante is daartegen in cassatie gegaan bij de Hoge Raad. Hascor vond echter dat zij bevrijdend had betaald omdat zij er gerechtvaardigd vanuit mocht gaan dat het genoemde bankrekeningnummer op de valse factuur de bankrekening van Devante betrof. Ook vond zij dat de omstandigheid dat een fraudeur zich kennelijk door het hacken van het systeem van Devante toegang had verschaft tot het mailverkeer tussen partijen voor rekening moest komen van Devante. De Hoge Raad ging daarin mee. Doorslaggevend in haar oordeel was kort gezegd de omstandigheid dat Devante niet voldoende adequate voorzorgsmaatregelen had getroffen om te voorkomen dat een derde zich voor Devante kon uitgeven. Dit komt overeen met een eerdere uitspraak van de Hoge Raad in de Kamerman / Aro Lease zaak: degene die (onbewust of bewust) aan een ander gelegenheid heeft gegeven om zijn e-mail adres te gebruiken, is doorgaans verantwoordelijk voor het gebruik dat die derde van dat adres maakt.

Wat leren we hier van? Zorg voor adequate beveiliging en geef fraudeurs geen kans!     

Meer weten?

Bel of mail mr. dr. A.W. (Anne-Wil) Duthler via 070 306 00 33 of a.w.duthler@firstlawyers.nl