Het Gerechtshof Arnhem-Leeuwarden heeft bepaald dat een Nederlands autobedrijf voor 50% aansprakelijk is voor schade na een e-mailhack waarbij betaalinstructies werden gemanipuleerd. De reden: de basisbeveiliging was niet op orde. Zwakke en gedeelde wachtwoorden, het ontbreken van 2FA en geen aantoonbaar wachtwoordbeleid maakten het e-mailaccount kwetsbaar. Alleen vertrouwen op standaard antivirussoftware werd als onvoldoende beoordeeld.
Cruciaal is dat het bedrijf zich niet kon beroepen op uitbesteding aan een IT-leverancier. Het hof stelde duidelijk dat organisaties altijd zélf verantwoordelijk blijven voor elementaire beveiligingsmaatregelen, inclusief procedures en training.
De uitspraak bevestigt een bredere trend: gebrek aan basiscyberhygiëne leidt niet alleen tot incidenten, maar ook tot juridisch risico. Het autobedrijf moet €13.500 plus bijkomende kosten vergoeden.
Actuele context: Een ernstige kwetsbaarheid in SmarterMail toont opnieuw dat nalatig updatebeleid grote gevolgen kan hebben. Ondanks beschikbare patches blijven tientallen Nederlandse mailservers kwetsbaar.
Relevantie voor NIS2:
Directies moeten regie nemen, basismaatregelen borgen en leveranciers actief toetsen. NIS2 vraagt niet om blinde uitbesteding, maar om aantoonbare controle. Vooruitwerken aan NIS2-conformiteit is daarmee geen last, maar noodzakelijk risicobeheer in de hele keten.
