De maand april maakte wel heel duidelijk hoe kwetsbaar en afhankelijk de populariteit van digitale dienstverlening ons heeft gemaakt. Tegoeden op bankrekeningen verdwenen in de virtuele wereld als sneeuw voor de zon, internetwinkels leden naar eigen zeggen tientallen miljoenen euro’s schade omdat het betaalsysteem iDeal niet functioneerde, de KLM was uit de lucht voor wie comfortabel online wilde inchecken en ook de overheidsauthenticatiedienst DigiD werd getroffen. Oorzaak: zogenaamde Denial-of-Service-aanvallen (DoS-aanval).

De getroffen bedrijven hebben aangifte gedaan, maar de kans is klein dat de daders worden gepakt. Ondertussen zien diverse partijen zich geconfronteerd met miljoenen euro’s schade en ligt de vraag voor wie deze gaat betalen. Als het aan Eurocommissaris Kroes ligt komen de banken in beeld: “Kapitaalkrachtige partijen als banken moeten aansprakelijk gehouden kunnen worden voor schade door cybercriminaliteit.” Voormalig minister van Defensie Van Middelkoop, nu kwartiermaker voor de Cybersecurity Academy, merkte in het FD op: “Het is genant dat banken ons massaal aan het interbankieren hebben gekregen en we nu moeten constateren dat ze de zaken niet op orde hebben”. Maar de voorzitter van de Nederlandse Vereniging van Banken (NVvB), Boele Staal, liet al direct weten dat compensatie niet aan de orde is, omdat sprake is van overmacht. De banken doen ‘er alles aan’ om de dreiging te pareren. Maar wat is ‘er alles aan doen’ als het aankomt op de te nemen maatregelen om het uitvallen van (betalings)netwerken te voorkomen? Waren de genomen maatregelen – binnen de grenzen van het redelijke – wel ‘voldoende’? Dat verlangt een discussie over de vraag welke risico’s bij een DoS-aanval de aanbieder van online diensten vallen toe te rekenen en dus wanprestatie oplevert (art 6:74 BW) en in welke situaties de omstandigheden zodanig zijn dat ze een overmachtsituatie rechtvaardigen (artikel 6:75 BW)?

Lees verder:

• Zorgplichten en Cybercrime, Corien Prins (NJBlog.nl)