Algemene voorwaarden met ddos-protectie

Steeds vaker hebben hosters last van (distributed) denial of service aanvallen. Soms is dat gewoon pech, maar soms blijkt de aanval gericht op een klant of zelfs op een of andere manier uitgelokt door diezelfde klant. Voor dat soort situaties kan het handig zijn een aantal ddos-gerelateerde clausules op te nemen in uw algemene voorwaarden

Vrijwel iedere hoster heeft een clausule als deze in zijn algemene voorwaarden:

Indien naar het oordeel van Hoster een gevaar ontstaat voor het functioneren van de computersystemen of het netwerk van Hoster of derden en/of van de dienstverlening via een netwerk, in het bijzonder door overmatig verzenden van e-mail of andere gegevens, slecht beveiligde systemen of activiteiten van virussen, trojans en vergelijkbare software, is Hoster gerechtigd alle maatregelen te nemen die zij redelijkerwijs nodig acht om dit gevaar af te wenden dan wel te voorkomen.

Met deze ‘ingrijp’-clausule kunt u bijvoorbeeld rechtvaardigen dat u een server tijdelijk offline haalt of de poort voor uitgaande mail dichtzet om zo overlast veroorzaakt door een klant te voorkomen.

Ook ddos-aanvallen vallen onder ‘gevaar’ zoals bedoeld in deze clausule. Voor extra duidelijkheid kunt u ze nog even expliciet noemen: … andere gegevens, denial-of-service-aanvallen, slecht … Zo kan er geen discussie meer zijn dat u bij een dos-aanval mag ingrijpen en dingen dichtzetten of offline halen.

Ingrijpen is één ding, de kosten vergoed krijgen een ander. Op zich zijn algemene voorwaarden geduldig, dus u kunt kiezen voor deze botte maar duidelijke toevoeging aan bovenstaande clausule:

Hoster mag de kosten die redelijkerwijs noodzakelijk gepaard gaan met deze maatregelen verhalen op Opdrachtgever.

Maar dit kan wel onredelijk overkomen, want want een hackpoging, virus of ddos kan volledig buiten schuld van de opdrachtgever gebeuren. Hoe dat op te lossen?

In de praktijk zien wij twee smaken aan nuance:

  1. … indien het gevaar veroorzaakt wordt door of specifiek gericht is op de systemen van Opdrachtgever.
  2. … indien Opdrachtgever een verwijt kan worden gemaakt omtrent de oorzaak.

Bij de eerste smaak worden twee vrij specifieke situaties omschreven op basis waarvan een doorbelasting mag worden uitgevoerd. Bij ‘veroorzaken’ kun je denken aan verkeer dat vanuit zijn systemen verstuurd wordt en (in reactie) een dos-aanval veroorzaakt. Met ‘specifiek gericht op’ zijn situaties gedekt waarin de opdrachtgever wellicht niets te verwijten is maar de aanval wel zo uniek voor hem is dat hij toch de kosten moet dragen.

De tweede is iets generieker en vereist dat er een ‘verwijt’ te maken moet zijn aan de opdrachtgever. Heeft deze ergens op een gamerforum geroepen dat hij bulletproof is of achter zeven proxies zit? Heeft hij zelf eerder dos-aanvallen uitgevoerd en is dit de wraak van zijn tegenpartij? Dat zijn verwijtbare situaties. Een toevallige aanval waarbij men random die klant uitkoos (“gewoon omdat het kan”, zoals dat heet) dan is dat de klant niet te verwijten en dan moet u de kosten dragen.

In beide gevallen geldt: de hoster moet bewijzen dat sprake is van een verwijtbare situatie of iets dat veroorzaakt is of gericht is op de klant.

Werkt u met datalimieten, dan zijn de kosten die uw leverancier u oplegt vrij eenvoudig door te belasten. 10GB aan dataverkeer is 10GB aan dataverkeer, ook als het rotzooi-data is uit een dos-aanval. Maar werkt u met fair use of heeft u ‘onbeperkt’ dataverkeer verkocht, dan zijn de kosten lastiger te verhalen. U kunt dan een uitzondering opnemen voor situaties waarin excessief dataverkeer het gevolg is van een dos-aanval:

Wanneer een excessieve hoeveelheid dataverkeer wordt veroorzaakt door een oorzaak van buitenaf (zoals bij een denial of service aanval), is Hoster gerechtigd de kosten naar redelijkheid door te belasten naar Opdrachtgever.


Arnoud Engelfriet is partner bij ICTRecht sinds juni 2008. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.

Dit artikel verscheen op 17 september 2013 op hostingrecht.nl en is met toestemming gepubliceerd op ISP Today.

Over Arnoud Engelfriet

Arnoud Engelfriet is partner bij ICTRecht sinds juni 2008. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt.


Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.