Een klant van een Nederlands autobedrijf die via een frauduleuze e-mail afkomstig van het bedrijf werd opgelicht, heeft de onderneming voor de rechter gesleept, waarbij nu wordt gekeken of het e-mailaccount wel passend was beveiligd in de zin van de AVG. De klant, afkomstig uit Australië, wilde in juli 2022 een auto bij het autobedrijf kopen. Na eerder e-mailcontact ontving de koper vanuit het e-mailadres van het autobedrijf een bericht met betaalinstructies om ongeveer 27.000 euro naar een Duits rekeningnummer over te maken.
De e-mail was echter frauduleus en afkomstig van criminelen die toegang tot het e-mailaccount van het autobedrijf hadden. De koper ontdekt dat hij is opgelicht en wil dat het autobedrijf de auto alsnog levert. Het autobedrijf weigert dit en besluit de overeenkomst te ontbinden. De koper stapt naar de rechter. Het autobedrijf verschijnt niet in de procedure en wordt bij verstek veroordeeld tot het betalen van de 27.000 euro en het betalen van een materiële en immateriële schadevergoeding.
Het autobedrijf voert daarop via een (verzet)procedure alsnog verweer waarna de rechtbank het verstekvonnis grotendeels vernietigt en de eerder toegewezen vorderingen grotendeels afwijst. Daarop gaat de koper bij het Gerechtshof Arnhem-Leeuwarden in hoger beroep. Volgens de koper had het autobedrijf geen adequate ict/e-mailbeveiliging. Dat zou onder meer blijken uit de opmerking van de externe ict-beheerder van het autobedrijf, dat toegang tot het e-mailaccount werd verkregen met slechts een paar pogingen, wat inhoudt dat het wachtwoord door de aanvaller eenvoudig kon worden verkregen.
Daarnaast deelde het autobedrijf haar wachtwoord met meerdere personen, gebruikte zij geen tweefactorauthenticatie, gebruikte zij alleen standaard ‘tooling’ om het netwerk te scannen en is er geen bewijs dat het wachtwoord complex was of ooit is gewijzigd, aldus de koper. Het autobedrijf stelt dat haar maatregelen passend zijn vanwege de beperkte hoeveelheid persoonsgegevens die zij via haar e-mailaccount verwerkt en omdat zij geen bijzondere of gevoelige persoonsgegevens verwerkt. Het beheer van het e-mailaccount is uitbesteed aan een gespecialiseerd ict-bedrijf voor kleine autobedrijven.
Het hof is van oordeel dat het autobedrijf met wat zij tot nu toe heeft aangevoerd en onderbouwd niet heeft aangetoond dat haar e-mailaccount - waarop onder meer de persoonsgegevens van de koper werden verwerkt - passend waren beveiligd. Uit de toelichting van het autobedrijf blijkt dat zij in ieder geval de instelling en het beheer van het wachtwoord van haar e-mailaccount heeft overgelaten aan het ict-bedrijf in plaats van zelf een (moeilijk te achterhalen) wachtwoord te kiezen en te beheren. Het hof betwijfelt of dit een passende maatregel is voor de beveiliging van haar e-mailaccount.
In een tussenvonnis heeft het hof nu besloten dat het autobedrijf tot 7 januari 2025 de tijd krijgt om te bewijzen dat haar e-mailaccount in de zin van de AVG passend was beveiligd. Als het e-mailaccount van het autobedrijf niet passend was beveiligd, is het naar voorlopig oordeel van het hof aannemelijk dat de aanvaller door deze inbreuk op de AVG de betaalinstructie via het e-mailaccount van het autobedrijf naar de koper kon versturen. "Dat leidt tot de voorshandse conclusie dat sprake is van een zogenoemd ‘condicio sine qua non-verband’ tussen de schade die [de koper] heeft geleden door geld te betalen op de rekening die de hacker hem heeft meegedeeld en genoemde inbreuk op de AVG", aldus het hof.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.