Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 09 februari 2026

Autobedrijf deels aansprakelijk voor e-mailfraude

Een autobedrijf dat slachtoffer werd van een hacker moet de helft van de schade vergoeden aan een klant die hierdoor tienduizenden euro's verloor. Dat heeft het gerechtshof Arnhem-Leeuwarden bepaald. Volgens het hof heeft het bedrijf de AVG geschonden door de e-mailbeveiliging niet op orde te hebben.

Cybercrime Juridisch Mkb Automotive Data
Autobedrijf deels aansprakelijk voor e-mailfraude image

De zaak draait om een autokoop die volledig misging door een zogeheten man-in-the-middle-aanval. Een hacker wist toegang te krijgen tot het e-mailaccount van het autobedrijf en stuurde de koper een valse betaalinstructie. De klant vertrouwde de mail en maakte het restantbedrag over naar een Duitse bankrekening van de crimineel. Toen het bedrijf het geld nooit ontving, weigerde het de auto te leveren, waarna de koper naar de rechter stapte.

Geen bewijs voor passende beveiliging

De kern van de uitspraak ligt in de privacywetgeving (AVG). Het gerechtshof oordeelde dat op het autobedrijf de plicht rustte om aan te tonen dat de persoonsgegevens en de communicatie "passend beveiligd" waren. Het bedrijf slaagde er echter niet in om te bewijzen dat er voldoende maatregelen waren genomen om ongeautoriseerde toegang tot de mailbox te voorkomen.

Het hof benadrukte dat basisbeveiliging geen vrijblijvende keuze is voor ondernemers. Omdat het bedrijf niet kon aantonen dat de mailbox goed was afgeschermd, werd geoordeeld dat de AVG was geschonden.

Eigen schuld en billijkheid

Toch hoeft het autobedrijf niet de volledige schade te dragen. De rechter oordeelde dat er ook sprake is van 'eigen schuld' aan de kant van de koper. De betaalinstructie week af van eerdere afspraken, wat voor de klant een reden had moeten zijn om extra alert te zijn of even telefonisch te dubbelchecken.

Met een zogeheten billijkheidscorrectie kwam het hof tot een 50/50-verdeling:

Het autobedrijf is aansprakelijk voor 50% van de materiële schade vanwege de gebrekkige IT-beveiliging.

De koper draagt de andere 50% van het verlies wegens onvoorzichtig handelen.

Belangrijke les voor ondernemers

Deze uitspraak (ECLI:NL:GHARL:2025:8556) is een duidelijk signaal aan het mkb. Bedrijven kunnen schade door cybercriminaliteit niet zomaar afschuiven op de klant of hun IT-leverancier. Wie zakelijke transacties via e-mail afhandelt, moet kunnen bewijzen dat de beveiliging — conform de AVG — op een modern en adequaat niveau staat.

Wake-op call

De zaak maakt volgens Custodes, een Nederlands all-in-one cybersecurityplatform voor het midden- en kleinbedrijf.  duidelijk dat uitbesteding van IT-beheer ondernemers niet ontslaat van hun eigen verantwoordelijkheid voor de beveiliging van persoonsgegevens[1]. De AVG verplicht organisaties passende technische en organisatorische maatregelen te nemen en daar ook zelf toezicht op te houden, óók als zij gebruikmaken van een externe IT-partij[1].

"Dit arrest is een wake-up call voor het MKB," zegt Ronald de la Fuente, mede-oprichter van Custodes. "Je kunt je IT uitbesteden, maar je kunt je zorgplicht niet uitbesteden. Ondernemers moeten kunnen aantonen dat zij regie voeren op wat hun IT-leverancier doet, anders lopen ze juridisch, financieel en reputatierisico."

Regie op IT-leverancier

Custodes presenteert zich als dé tool waarmee MKB-ondernemers effectief regie kunnen voeren op informatiebeveiliging, ook waar dit werkzaamheden van hun IT-leverancier betreft. Het platform geeft bestuurders en directies inzicht in kwetsbaarheden, configuraties en openstaande acties, zonder dat zij zelf technische experts hoeven te zijn. Custodes monitort onder meer netwerken, systemen en cloudomgevingen, signaleert afwijkingen en koppelt die aan concrete verbeteracties die bij de juiste partij, intern of bij de IT-leverancier, worden belegd.
De la Fuente: "In veel bedrijven is de relatie met de IT-leverancier volledig gebaseerd op vertrouwen en losse afspraken. Deze uitspraak laat zien dat dat niet meer genoeg is. Je hebt structureel overzicht, aantoonbare controles en duidelijke taakverdeling nodig. Dat is precies waarvoor we Custodes hebben gebouwd."

Toenemende regeldruk

Met de naderende inwerkingtreding van strengere Europese regels, zoals NIS2, neemt de druk op bedrijven verder toe om hun digitale weerbaarheid aantoonbaar op orde te hebben. Custodes wil de standaard worden voor MKB-ondernemingen die hun cyberveiligheid en compliance op een professionele manier willen organiseren. Custodes wil de standaard worden voor MKB‑ondernemingen die hun cyberveiligheid en compliance op een professionele manier willen organiseren, door bestuurders een hoog‑over inzicht te geven in de staat van hun informatiebeveiliging én tegelijk een technisch verdiept overzicht te bieden aan de interne IT‑afdeling of IT‑leverancier, zodat zij de uitvoering op een kwalitatief hoog niveau kunnen realiseren

Referenties [1] Gerechtshof Arnhem-Leeuwarden. (2025, 23 december). Arrest in zaak ECLI:NL:GHARL:2025:8556. Uitspraken Rechtspraak.nl.

Datto 01 2026 BW + BN periode 1 Infinity 01-2026 BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2026

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
Datto 01 2026 BW + BN periode 1