De scherpe lezer denkt natuurlijk meteen: aansprakelijk stellen is toch niet zo moeilijk? Dat klopt inderdaad, point taken. Maar het bij de rechter verhalen van je schade op de leverancier is dat wel. Recent is dit weer gebleken in de zaak Hof van Twente tegen Switch .
Ik ben zeker niet de eerste die over deze kwestie een stukje schrijft. Zonder anderen tekort te willen doen, noem ik hier Reinoud Rinzema, Polo van der Putt en Arnoud Engelfriet.
Rinzema stipt het specifieke verband met het aanbestedingsrecht aan. In zijn woorden:
(…) heeft de systeembeheerder - los van de tekst van de overeenkomst - een zorgplicht inhoudende dat een dergelijke aanval niet kan plaatsvinden? “Nee”, zegt de rechtbank. Nu de overeenkomst is aanbesteed, zou het aannemen van die verplichting namelijk tot schending van het EU-rechtelijke beginsel van transparantie kunnen leiden. En omdat aan de zijde van de gemeente ook fouten zijn gemaakt, is er volgens de rechtbank geen reden aan te nemen dat de leverancier niet heeft gehandeld als “een redelijk handelend vakbekwaam ICT-beheerder”.” (2).
De rechter wijst in de uitspraak zelf als volgt op de afwijkende uitleg-norm bij een aanbesteding:
“Daarbij moeten de bepalingen van de aanbestedingstukken, binnen de grenzen van het transparantiebeginsel, worden uitgelegd aan de hand van de zogenaamde CAO-norm, waarbij de bewoordingen van die bepalingen, gelezen in het licht van de gehele tekst van de aanbestedingstukken, in beginsel van doorslaggevende betekenis zijn (vgl. gerechtshof Den Haag 9 oktober 2018, ECLI:NL:GHDHA:2018:2612, r.o. 5.2 en daar aangehaalde rechtspraak).” (3).
Maar de vraag die dan wel opkomt bij mij, is of de zorgplicht van een IT-leverancier dan óók anders moet worden uitgelegd bij een aanbesteding. Ik kom daar zo nog even op terug.
Eerst nog even terug naar twee andere, lezenswaardige blogs over deze zaak. Polo van der Putt benadrukt dat gebruikte beeldspraak in een procedure door één der partijen, ook tegen je gebruikt kan worden. Zo ook in de zaak Hof van Twente. In zijn woorden:
“Om IT tastbaarder te maken, wordt vaak beeldspraak gebruikt. Maar gebruikte beeldspraak kan zich ook tegen je keren. In een recente zaak betoogde de gemeente Hof van Twente dat haar IT-leverancier moest zorgen voor “slotgracht, muren en bewakers”. (…) De rechtbank concludeert dat de hack (…) niet aan de IT-leverancier verweten kan worden. De rechtbank grijpt terug naar de beeldspraak van de gemeente. Het is de gemeente zelf die de achterdeur heeft opengezet, “waardoor de bewakers niet ingrepen”.” (4).
Arnoud tenslotte komt met een prettig overzicht van de hele uitspraak zelf. Bij Arnoud Engelfriet haal ik graag het volgende stuk eruit inzake de zorgplicht:
“Je zorgplicht als ict-leverancier houdt dus op als je het expliciet op tafel hebt gelegd, de risico’s hebt aangegeven en je dan een duidelijk “nee, gaan we niet doen” krijgen. Hier, deze mag u uitprinten en inlijsten:
“De zorgplicht van een ICT-beheerder gaat niet zover dat waar functionele monitoring is overeengekomen, security monitoring daar (kennelijk gratis) onderdeel van uitmaakt.”” (5).
Met dit citaat van Arnoud, kom ik als beloofd nog even terug op die zorgplicht. De lezer moet dan wel even de volgende, feitelijke uitgangspunten snappen. Het Hof van Twente heeft zelf een poort naar het internet open gezet en daarnaast het wachtwoord van het “testadmin”-account gewijzigd naar “Welkom2020”. De rechter formuleert het in de uitspraak zelf als volgt:
“De cyberaanval is (mede) mogelijk gemaakt door twee onzorgvuldigheden aan de zijde van de gemeente: i) een medewerker van de gemeente heeft een regel in de firewall aangepast, waardoor een RDP-poort werd opengezet naar het internet, en ii) een medewerker van de gemeente heeft een zwak nieuw wachtwoord ingesteld. Beiden hebben daarvan geen melding gemaakt bij [bedrijf 1]. Het zwakke wachtwoord voldeed aan het wachtwoordbeleid van de gemeente. Juist vanwege het behoud van beheerrechten door de gemeente had [bedrijf 1] haar er via de Nota van Inlichtingen al op gewezen dat zij niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente.” (6).
Het gaat me om die laatste zin. Kennelijk is die ene waarschuwing van Switch gedurende de aanbesteding, dan voldoende. Maar ten tijde van de zitting verschenen er berichten dat het Hof van Twente juist ook leunde op een rapport van Brenno de Winter, waaruit blijkt dat Switch gedurende de uitvoering van de opdracht niet aan de bel trok:
“De rechter liet tijdens de zitting duidelijk merken het wachtwoordbeleid van de gemeente af te keuren. Maar de gemeente vindt dat Switch voor de slechte beveiliging had moeten waarschuwen. Hof van Twente voelt zich gesterkt door een rapport van onderzoeker Brenno de Winter die eerder stelde dat Switch voor zover bekend nooit alarm heeft geslagen. De advocaat van de gemeente voerde aan dat Hof van Twente destijds blind vertrouwde op de it-provider. Aan de hack waren een jaar lang dagelijks vele tienduizenden pogingen tot inloggen voorafgegaan. Ook was malware geplaatst. Maar Switch reageerde hier niet op, aldus de advocaat van de gemeente.” (7)
Ik moest meteen denken aan een eerdere uitspraak van de rechtbank Amsterdam in een geschil over de aansprakelijkheid van een leverancier voor schade door een ransomware-aanval bij de klant (8). Daar is de rechtbank heel stellig: de verantwoordelijkheid van de leverancier gaat verder dan een enkele waarschuwing vooraf. In de woorden van de rechtbank:
“Dat, zoals [gedaagde] stelt, O’Cliance de voorgestelde beveiligingsmaatregelen van de hand zou hebben gewezen, maakt dit niet zonder meer anders. Het had dan op de weg van [gedaagde] gelegen de opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s (…). Dat [betrokkene] wellicht zelf kennis van zaken op het gebied van IT had, ontsloeg [gedaagde] niet van deze verantwoordelijkheid.” (9)
De uitspraak in de kwestie tussen Hof van Twente en Switch dateert van 10 mei jl.. Hof van Twente kan dus nog even nadenken over een eventueel hoger beroep. Ik kan mij voorstellen dat Hof van Twente dit serieus overweegt. Indien het tot een arrest in hoger beroep komt, zal ik er hier zeker weer aandacht aan besteden.
Op 29 november geven Menno Weij en Polo van der Putt de workshop IT contracten opstellen en beoordelen: do’s & don’ts. Wil je daar bij zijn? Kijk dan hier voor meer informatie.
ECLI:NL:RBOVE:2023:1731, Rechtbank Overijssel, C/08/ 279512 / HA ZA 22/115 (rechtspraak.nl)
https://www.linkedin.com/feed/update/urn:li:activity:7064276822967902208?updateEntityUrn=urn%3Ali%3Afs_feedUpdat%3A%28V2%2Curn%3Ali%3Aactivity%3A7064276822967902208%29
Zie rechtsoverweging 4.2.1 van het vonnis.
https://www.linkedin.com/feed/update/urn:li:activity:7066419781112844289?updateEntityUrn=urn%3Ali%3Afs_feedUpdate%3A%28V2%2Curn%3Ali%3Aactivity%3A7066419781112844289%29
https://www.linkedin.com/feed/update/urn:li:activity:7066295639587868672?updateEntityUrn=urn%3Ali%3Afs_feedUpdate%3A%28V2%2Curn%3Ali%3Aactivity%3A7066295639587868672%29
Zie rechtsoverweging 4.4.2 van het vonnis
Hof van Twente eist 4 miljoen van it-beheerder Switch | Computable.nl
ECLI:NL:RBAMS:2018:10124, Rechtbank Amsterdam, C/13/640668 / HA ZA 17-1380 (rechtspraak.nl)
Zie rechtsoverweging 4.5 van het vonnis
