Kun je Microsoft aansprakelijk stellen voor schade uit een ransomware-aanval?

De computersystemen zijn nog steeds niet bruikbaar, zo liggen beide containerterminals van APM in de Rotterdamse Haven nog steeds stil. Dat las ik bij Bright. De ransomware Petya wist vele computers te gijzelen in de IT-omgeving van de Haven, en dat is niet eenvoudig op te lossen. De reden blijkt een bug in Windows, die al tijden bij de NSA bekend zou zijn maar nooit gemeld is. Is er nu enige mogelijkheid Microsoft aansprakelijk te stellen voor de schade van zulke downtime?

Het makkelijke antwoord is natuurlijk nee, want in de voorwaarden van Microsoft staat gewoon dat ze niet aansprakelijk zijn voor de gevolgen van fouten in hun software. En ja, dat is rechtsgeldig bij grote partijen zoals de Rotterdamse Haven. Bij consumenten in principe niet, tenzij er heel bijzondere omstandigheden zijn (zoals, blijf ik volhouden, wanneer de software gratis beschikbaar werd gesteld).

Maar goed, wat in het hypothetische geval dat er geen rechtsgeldige beperking van aansprakelijkheid was. Dan zou het kunnen. Wel moet er dan aan een aantal eisen zijn voldaan. Kort gezegd is de belangrijkste vraag of Microsoft deze fout had moeten voorkomen, vanuit hun zorgplicht als dienstverlener. Of iets anders geformuleerd, of je het Microsoft kunt aanrekenen dat die fout erin zat (toerekenbare tekortkoming).

Ik denk dat je daar in het algemeen niet meteen van kunt spreken, tenzij men de fout kende en deze dan onnodig lang liet liggen. Alle software heeft fouten, zeker zulke grote en complexe software als Windows. Het is onvermijdelijk dat er dan van tijd tot tijd een exploit opduikt die mensen schade berokkent.

Verder, zelfs als je uitkomt bij een toerekenbare tekortkoming of verzaken van de zorgplicht, dan nog heb je altijd het verweer “waarom had je geen backup” of andere maatregelen ter beperking van de schade. Want anno 2017 behoort iedereen te weten dat je je systeem goed moet afschermen voor onheil van buitenaf, en dat je je data moet backuppen om terug te kunnen na een geslaagde aanval. Het voelt weinig redelijk om je bedrijfsdata kwijt te spelen door een aanval en dan Microsoft de rekening te geven.

Bij consumenten blijf je zitten met het probleem dat zij juridisch gezien meestal geen schade hebben. Zet maar eens een geldbedrag op het gegijzeld hebben van je vakantiefoto’s of persoonlijke administratie. En zonder schade geen claim.

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Gerelateerde berichten:

• Microsoft komt met gratis antivirus-software (22/09/09 00:00)
• Rotterdamse haven: tweerichtingsverkeer voor grote containerschepen; vanaf 1 december (28/11/12 13:11)
• Microsoft beveiligingsrapport pleit voor Windows 7 (04/11/09 00:00)
• Ben ik aansprakelijk voor de fouten in mijn software? (19/09/11 08:06)
• Overslag Rotterdamse Haven gedaald (30/12/09 10:09)

Reacties:

Er zijn nog geen reacties op dit bericht.