Fersk dom om IT-sikkerhet – viktig med klare avtaler og forsikring av data

En fersk dom fra Haugaland and Sunnhordaland tingrett viser at det er viktig med klare avtaler om ansvarsforhold rundt sikring av data i tilfelle av dataangrep. Tre kunder saksøkte en IT-leverandør etter dataangrep med krav om NOK 4,6 millioner i erstatning. Men tingretten kom til at beløpsmessige ansvarsbegrensninger i avtalen gjaldt, og vektla at kundene selv skulle ha forsikret seg mot datatap. 

Etter det vi er kjent med er dette den første dommen i Norge hvor IT-sikkerhet kommer på spissen. Dommen ble avsagt 28. september 2023 og er derfor ennå ikke rettskraftig.

Saken er interessant og aktuell. Vi hører ukentlig om større dataangrep i Norge og utlandet. Det er umulig å sikre seg 100 % mot et dataangrep, samtidig som det er en forventning om at IT-leverandøren skal forhindre dette. I denne saken hadde uvedkommende fått tilgang til systemet gjennom tilegnelse av passord etter «phishing». Hvem skal bære risikoen for et dataangrep når «uhellet først er ute»?

Tingretten la avgjørende vekt på at det var avtalt at kunden selv var ansvarlig for «å forsikre verdien av egne data». Tingretten kom til at IT-leverandøren «hadde tilstrekkelig og god sikkerhet», og konkluderte blant annet med at:

«Det er riktig at Nordlo hadde et ansvar for å ivareta sikkerheten, men dette innebærer ikke at også saksøkerne selv har et ansvar for å vurdere hva som kan bli følgene av et hackerangrep mot datasystemet de er den del av. Ingen kan til enhver tid garanterer 100% for sikkerheten på et datasystem, og avtalen er som nevnt klar på Nordlos begrensede ansvar og at det er kundens ansvar å benytte seg av muligheten til å forsikre sine data».

Tingretten opprettholdt den beløpsmessige begrensningen for direkte tap i avtalen på tre måneders tilgangsleie og tilkjente erstatning til de tre saksøkerne på henholdsvis NOK 11.079, 8.835 og 40.752, altså langt lavere beløp enn det samlede kravet på NOK 4,6 millioner.

Kort oppsummert viser saken at IT-leverandører og kunder bør ha et søkelys på:

  • At det benyttes tilgjengelige adekvate tiltak som kan forhindre angrep eller redusere følgene av dette, slik som tofaktorautentisering, regionsperre, sørge for oppdatert programvare og back-up av data i separat miljø/nettverk.
  • At avtalen har en klar og passende regulering av tap av data. Ofte vil avtalen si at tap av data er å anse som indirekte tap som ikke erstattes. Andre ganger vil avtalen kunne si at tap av data er direkte tap, men at leverandørens ansvar er begrenset til kostnader med å rekonstruere data (i den grad det er mulig) forutsatt at kunden selv også tar backup minst en gang i døgnet. Som denne saken viser finnes det også eksempler på at ansvar for tap av data knyttes til krav om cyberforsikringer. Det finnes altså ulike tilnærminger, og hovedpoenget er å ha en klar avtaleregulering av dette.

Vi nevner også kort at dommen stadfester at beløpsmessige ansvarsbegrensninger må være rimelige ut fra risikobildet, avtalens verdi og partenes muligheter til å redusere risiko. Det ble blant annet vektlagt at leverandørens ansvar for konsekvenstap potensielt sett kunne blitt veldig stort ut fra sitt totale kundeantall, samtidig som kundene selv kunne velge å tegne forsikring, og at avtalen var inngått mellom profesjonelle parter.

CLPs Tech/IP advokater bistår både leverandører og kunder med både avtaler og hendelser knyttet komplekse IT-leveranser.

Kontaktpersoner:

Stephan Brodschöll

Hanne Heltne

Erik Sletner