Een Nederlands accountantskantoor moet van de rechter ongeveer een ton betalen aan ingehuurde cyberhelpers. Het bedrijf schakelde hen in na een hack waarbij systemen platlagen en data mogelijk uitlekten. De uitspraak viel deze week in Nederland, na onenigheid over de factuur. De rechter vond de noodhulp geleverd en de kosten voldoende onderbouwd.
Rechter bevestigt betalingsplicht
De rechtbank oordeelde dat crisishulp een geldige opdracht is, ook als die mondeling en onder tijdsdruk is gegeven. De specialisten hebben aantoonbaar gewerkt aan herstel, forensisch onderzoek en communicatie met betrokkenen. Daardoor moest het accountantskantoor de openstaande rekening voldoen. Het verweer dat tarieven onduidelijk waren, hield geen stand.
De rechter keek naar urenregistraties, resultaten en gemaakte afspraken per e-mail en chat. Die documenten wezen op instemming met de inzet en aanpak. Dat de situatie chaotisch was, maakte de opdracht niet ongeldig. Wel benadrukte de rechtbank dat goede documentatie achteraf essentieel is.
De uitspraak onderstreept het belang van heldere voorwaarden vóórdat een incident uitbreekt. Denk aan tarieven, responstijden en escalatiepaden. Bedrijven die dit vooraf regelen, verkleinen juridische en operationele risico’s. Dat geldt extra voor kantoren die vertrouwelijke cliëntgegevens verwerken.
Acute cyberhulp onder druk
Bij ransomware ligt een organisatie vaak binnen uren stil. Ransomware versleutelt bestanden en eist losgeld om toegang terug te geven. Sommige groepen dreigen ook met publicatie van gevoelige data, de zogenoemde dubbele afpersing. In zo’n crisis tellen minuten, wat snelle inhuur van externe teams logisch maakt.
Cyberhelpers voeren dan vaak triage uit, zetten noodsystemen op en starten forensisch onderzoek. Zij kunnen ook onderhandelen met criminelen, al blijft losgeld betalen in Nederland omstreden maar niet verboden. Verzekeraars en toezichthouders waarschuwen dat betalen herhaling kan uitlokken. Preventie en herstel zonder betaling genieten daarom de voorkeur.
Vooraf afspraken maken met een incident response-partner beperkt onduidelijkheid. Leg tarieven, taken en verantwoordelijkheden vast in een raamcontract. Zorg ook voor 24/7-bereikbaarheid en een communicatielijn met bestuur en juristen. Zo voorkomt u discussies wanneer elke minuut telt.
Meldplicht en privacyregels
Een hack bij een accountantskantoor raakt vaak persoonsgegevens en soms bijzondere gegevens. Dan geldt de Algemene verordening gegevensbescherming (AVG). Organisaties moeten datalekken binnen 72 uur na ontdekking melden bij de Autoriteit Persoonsgegevens en soms ook betrokkenen informeren. Goede logging en tijdige juridische beoordeling zijn daarbij cruciaal.
“Een datalek moet binnen 72 uur na ontdekking worden gemeld bij de Autoriteit Persoonsgegevens,” bepaalt de AVG.
Accountants verwerken btw-nummers, BSN’s en jaarrekeningen, wat extra zorgplicht vraagt. Dataminimalisatie, versleuteling en strikte toegangsrechten beperken schade. Ook moeten organisaties verwerkersovereenkomsten met IT-dienstverleners op orde hebben. Zonder die basis wordt een incident snel een complianceprobleem.
Forensisch onderzoek levert noodzakelijke feiten voor de meldplicht en voor communicatie met klanten. Leg vast welke systemen geraakt zijn, welke data mogelijk gelekt is en welke maatregelen genomen zijn. Deze informatie is ook nodig bij overleg met verzekeraars. En ze telt mee wanneer toezicht achteraf vragen stelt.
NIS2 vergroot bestuurdersrisico
De Europese NIS2-richtlijn scherpt de zorgplicht voor cyberbeveiliging aan. Meer sectoren, waaronder professionele diensten en toeleveringsketens, vallen eronder. Bestuurders moeten aantoonbaar toezicht houden op risicobeperking en incidentrespons. Overtredingen kunnen leiden tot hoge boetes en bestuurdersaansprakelijkheid.
In Nederland wordt NIS2 nationaal uitgewerkt, op het moment van schrijven met nieuwe of aangepaste wetgeving en aanwijzing van ‘belangrijke entiteiten’. Voor die organisaties gelden eisen als risicoanalyses, patchbeleid, back-upstrategie en leveranciersbeoordeling. Ook is snelle incidentmelding aan nationale instanties verplicht. Dit komt bovenop de AVG-verplichtingen.
Accountantskantoren die ketenafhankelijk zijn of vitale klanten bedienen, doen er goed aan NIS2-criteria te toetsen. ISO 27001, pentests en tabletop-oefeningen helpen bij aantoonbare beheersing. Leg rollen vast voor CISO, IT, juridische zaken en communicatie. Zo voldoet u eerder aan zorg- en rapportageplichten.
Lessen voor mkb-accounts
Maak nu een incident response-plan en test het elk halfjaar. Leg contactgegevens vast van een forensisch partner, het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) voor het bedrijfsleven. Sla offline back-ups op en oefen herstel regelmatig. Dit verkort uitval en beperkt schade.
Regel contracten vooraf: tarieven, maximale inzet per dag en escalatie-acceptatie door het bestuur. Neem een verwerkersovereenkomst en geheimhoudingsclausules op. Bespreek ook eisen van uw cyberverzekering, zoals meldtermijnen en goedgekeurde leveranciers. Zo voorkomt u discussie over dekking.
Communicatie naar klanten vraagt transparantie zonder extra risico’s te creëren. Stem juridische teksten af met uw functionaris voor gegevensbescherming of privacyjurist. Documenteer beslissingen en bewaar forensische sporen zorgvuldig. Dat helpt bij toezicht en bij eventuele juridische procedures.
Wat deze uitspraak betekent
De zaak laat zien dat snelle noodinhuur later alsnog betaald moet worden als de opdracht en werkzaamheden zijn aan te tonen. Onenigheid over prijs of aanpak redt een opdrachtgever zelden wanneer de crisis al gaande was. Zorg dus voor vooraf gemaakte afspraken en duidelijke dossiervorming. Dat verkleint zowel juridische als operationele risico’s.
Voor de sector is dit een waarschuwing om professionaliteit te koppelen aan juridische hygiëne. AVG- en NIS2-eisen vragen om aantoonbaar beleid en uitvoering. Incidenten worden daarmee beheersbaar én verifieerbaar. Dat geeft houvast bij rechter, toezichthouder en verzekeraar.
Op het moment van schrijven is niet bekend of er hoger beroep volgt. De kern blijft echter hetzelfde voor elke organisatie: voorbereiding loont. Wie contracten, procedures en back-ups op orde heeft, herstelt sneller en voorkomt extra kosten. Inclusief ruim een ton aan ruzies over noodhulp.
