Rapport van de Rijks Audit Dienst inzake DigiNotar, Bijlage  bij Kamerstukken II 26 643, nr. 230.

Bron 2: Brief regering; Resultaten van een drietal onderzoeken inzake DigiNotar

Uit de samenvatting: Wat is er door overheidspartijen wel en niet goed gedaan ten aanzien van de beheersing van het stelsel van certificaten vallend onder PKIoverheid? Dat is kortgezegd de vraag die we in dit onderzoek pogen te beantwoorden. Daarbij maken we een onderverdeling naar de periode vóór het bekend worden van de digitale inbraak in de systemen van DigiNotar en de periode erna.

Door de afhandeling van de DigiNotar-affaire in september 2011 heeft bij de rijksoverheid een trendbreuk plaatsgevonden. De wijze van denken en omgaan met risico‟s van beveiliging van websites is veranderd. Samenwerking tussen overheidspartijen onderling en samenwerking tussen rijksoverheid en andere belanghebbende partijen (publiek, privaat, internationaal) hebben een belangrijke impuls gekregen.

Er is door de overheid snel en adequaat gehandeld om verdere schade te voorkomen. Zo werden burgers en bedrijven gewaarschuwd, werd Microsoft met succes benaderd om een voorziene patch (update) voor Nederland met een week uit te stellen, en werd de operationele bedrijfsvoering van DigiNotar met betrekking tot de uitgifte van certificaten overgenomen. Ook werd direct nader onderzoek ingesteld naar alle ins and outs rondom dit falen van de informatiebeveiliging. Vele belanghebbende partijen werden betrokken bij de bestrijding van de crisis. Ook dit gebeurde snel en adequaat.

Voorafgaand aan de digitale inbraak bij DigiNotar was er feitelijk geen sprake van extra alertheid in dit verband. Alle overheidspartijen vertrouwden, voor wat betreft het toezicht op PKI-overheid, op de activiteiten van de betreffende auditpartij, die op zijn beurt ook weer geaccrediteerd was. Wellicht mede als gevolg van dit vertrouwen, was een aantal standaardzaken niet aanwezig: zo was er geen risicoanalyse uitgevoerd over ketenpartners heen, was er onvoldoende inzicht in aantal en aard van de uitstaande PKIoverheid-certificaten, en was er geen helderheid over toezichtscriteria.

Kantonrechter Rechtbank Arnhem 19 maart 2012, LJN BW0233 (Direct Pay Services tegen de klant)

Vergelijk met IT 548. Koop op afstand. Bewijs van verzending. Tussen Natuals en [De klant] gesloten proefabonnement tegen wederopzegging.

Deze overeenkomst houdt volgens Direct Pay in dat door Natuals aan [De klant] een proefzending zou worden toegezonden (kosten eenmalig € 6,90) en vervolgens ieder kwartaal een vervolgzending (kosten € 15,90 per maand). Aangezien [De klant] na ontvangst van de proefzending niet of niet tijdig heeft aangegeven dat zij geen vervolgzending wilde ontvangen, heeft zij nadien één vervolgzending ontvangen.

Koop op afstand. Gedaagde betwist de ontvangst van de goederen. Eiser heeft ten aanzien van de ontvangst onvoldoende gesteld. Eiser is tekort geschoten in de nakoming van haar verplichtingen op grond van de overeenkomst. Ex artikel 7:46 f BW is eiser zonder voorafgaande ingebrekestelling in verzuim, nu niet is komen vast te staan dat zij binnen dertig dagen na de dag waarop gedaagde de bestelling heeft gedaan haar verplichting uit de overeenkomst is nagekomen. Gedaagde was daarom gerechtigd de overeenkomst te ontbinden. Het door gedaagde betaalde bedrag voor het proefpakket is onverschuldigd betaald. In reconventie wordt eiser veroordeeld tot terugbetaling van dit bedrag.

3.3. Nu [De klant] uitdrukkelijk heeft betwist goederen van Natuals, dan wel Direct Pay, te hebben ontvangen en Direct Pay haar vordering heeft gegrond op de stelling dat uit de ontvangst van het proefpakket (ook voor de vervolgzending) een betalingsverplichting voor [De klant] voortvloeit, rust op Direct Pay de bewijslast van haar stelling dat [De klant] een proefpakket heeft ontvangen. Direct Pay heeft ter onderbouwing van haar stelling dat het proefpakket is geleverd een e-mailbericht van Natuals overgelegd, waarin twee verzendcodes van Selektmail zijn vermeld met betrekking tot de aan [De klant] verzonden goederen. De kantonrechter is van oordeel dat op basis van deze e-mail niet kan worden geconcludeerd dat [De klant] het proefpakket en de vervolgzending ook daadwerkelijk heeft ontvangen. Direct Pay heeft ook geen concrete feiten en omstandigheden aangevoerd die, indien bewezen, tot het oordeel kunnen leiden dat [De klant] de goederen heeft ontvangen. Direct Pay heeft op dit punt niet aan haar stelplicht voldaan, zodat aan bewijslevering niet behoeft te worden toegekomen. Nu uit de tussen partijen gesloten overeenkomst voortvloeit dat Natuals gehouden was in ieder geval het proefpakket aan [De klant] te verstrekken, terwijl niet is komen vast te staan dat [De klant] dit pakket heeft ontvangen, is Natuals tekort geschoten in de nakoming van haar verplichtingen op grond van de overeenkomst. Op grond van het bepaalde in artikel 7:46f BW is Direct Pay zonder voorafgaande ingebrekestelling in verzuim, nu niet is komen vast te staan dat Natuals - dan wel Direct Pay - binnen dertig dagen na 21 oktober 2010 haar verplichting uit de overeenkomst is nagekomen. [De klant] was daarom gerechtigd de overeenkomst te ontbinden. Nog afgezien van de vraag of uit de e-mail van 16 december 2010 van [De klant] aan Natuals reeds een ontbinding van de overeenkomst kan worden afgeleid, heeft [De klant] de overeenkomst in ieder geval bij brief van 24 januari 2011 ontbonden. Er bestaat daarom geen grond voor het in rekening brengen door Direct Pay van het beweerdelijk door Natuals verstuurde proefpakket en vervolgzending. De vordering in conventie wordt afgewezen.

3.5.  Gelet op het feit dat [De klant] de overeenkomst op goede gronden heeft ontbonden, kan de op dit punt gevorderde verklaring voor recht worden toegewezen. Op diezelfde grond ontbreekt echter het belang van [De klant] bij toewijzing van de gevorderde verklaring voor recht dat Natuals, dan wel Direct Pay, op grond van artikel 7:46f BW in verzuim verkeert. De ontbinding van de overeenkomst brengt mee dat partijen zijn bevrijd van nog niet uitgevoerde verbintenissen die door de ontbinding worden getroffen. Voor reeds nagekomen verbintenissen ontstaat een verbintenis tot ongedaanmaking. [De klant] heeft onweersproken gesteld dat zij een bedrag ad € 6,90 heeft betaald voor het (niet geleverde) proefpakket. Deze betaling is derhalve onverschuldigd gedaan, zodat Direct Pay gehouden is dit bedrag terug te betalen aan [De klant]. Ook de op dit punt gevorderde verklaring voor recht kan worden toegewezen.

Hof Arnhem 13 maart 2012, LJN BW0195 (appelant tegen Torenstad Media)

Als randvermelding, dus in't kort: Persoonlijke aansprakelijkheid van de directeur uit hoofde van algemene voorwaarden?

Verder in voor zichzelf sprekende citaten [red. accentuering]:

3.2 Het meest verstrekkende verweer van [appellant] is dat hij niet in persoon kan worden aangesproken voor een schuld van[bedrijf X] omdat hij geen partij is bij de overeenkomst. [appellant] heeft de overeenkomst ondertekend in zijn hoedanigheid van bestuurder van [bedrijf X] en niet voor zichzelf. De bepaling in de algemene voorwaarden op grond waarvan Torenstad hem aanspreekt, te weten artikel 13 van de algemene voorwaarden, is bovendien onredelijk bezwarend, aldus [appellant].

3.3 Torenstad stelt dat zij [appellant] kan aanspreken op grond van artikel 13 van de algemene voorwaarden en zij betwist dat dit beding onredelijk bezwarend is. [appellant] heeft voor de toepasselijkheid van de algemene voorwaarden getekend en had daarvan kennis kunnen nemen. De bepaling is nietmisleidend. Het feit dat [appellant] geen kennis heeft genomen van het beding kan niet aan Torenstad worden tegengeworpen, zo stelt zij.

3.4 Het hof overweegt als volgt. [appellant] heeft gesteld dat niet hijzelf maar [bedrijf X] partij was bij de overeenkomst. Torenstad erkent dit ook, onder meer gelet op haar beroep op artikel 13 van de algemene voorwaarden. Zij stelt zich, met andere woorden, niet op het standpunt dat de overeenkomst is aangegaan met [appellant] in privé als opdrachtgever. Uit de stellingen van Torenstad blijkt niet waarom [appellant] in privé niettemin moet worden geacht te hebben ingestemd met de voorwaarden van de overeenkomst, alsmede met zijn gebondenheid in privé aan (artikel 13 van) de algemene voorwaarden. Uit het enkele feit dat [appellant] de vennootschap [bedrijf X] (in de overeenkomst aangeduid onder de handelsnaam [rastaurant]) vertegenwoordigt, volgt dit niet. [appellant] stelt zich naar het oordeel van het hof terecht op het standpunt dat hij de overeenkomst slechts één maal, in de hoedanigheid van bestuurder van de opdrachtgever [bedrijf X], heeft ondertekend en niet nogmaals, voor zichzelf, om in te stemmen met persoonlijke hoofdelijke aansprakelijkheid. Wanneer Torenstad hoofdelijke aansprakelijkheid van [appellant] had willen bedingen, naast de aansprakelijkheid van [bedrijf X], dan had zij dit met [appellant] in privé expliciet overeen moeten komen. Uit de overeenkomst noch uit de stellingen van Torenstad blijkt dat dit is gebeurd. Het hof concludeert dat Torenstad de eindafrekening van 15 februari 2007 niet aan [appellant] in rekening kan brengen.

3.5 Nu het meest verstrekkende verweer van [appellant] tegen de vordering van Torenstad, en daarmee in zoverre grief 1, slaagt, behoeven de overige stellingen en grieven geen bespreking.

Hof Amsterdam 14 februari 2012, LJN BV7744 (Mypoint tegen IPG Nederlands)

Met samenvatting van Reinout Rinzema, Ventoux Advocaten.

De waarde en betekenis van de in ICT contracten veel gehanteerde 'entire agreement' clause is in het Nederlands recht niet onomstreden. Zie bijv. H.N. Schelhaas in 'Pacta sunt servanda bij commerciële contractanten' in NTBR 2008/4.

Het Hof Amsterdam (14 februari 2012, LJN BV7744) kent bij de keuze voor een taalkundige uitleg van een koopovereenkomst aan deze bepaling betekenis toe. Daarnaast acht het Hof van belang dat het gaat om een commerciële overeenkomst die strekt tot de overdracht van aandelen en die is gesloten tussen professionele partijen. Dat één van partijen zich niet heeft laten bijstaan door een advocaat is voor het Hof niet doorslaggevend. Die partij werd wel bijgestaan door een deskundige op fiscaal gebied en de keuze geen juridisch advies in te winnen in het kader van de onderhandelingen en over de tekst van de door de advocaat van de andere partij opgestelde overeenkomst, komt voor haar rekening.

3.6.2 Het hof is van oordeel dat de rechtbank bij de uitleg van de koopovereenkomst de juiste maatstaf heeft gehanteerd. Het komt immers aan op de zin die partijen in de gegeven omstandigheden over en weer redelijkerwijs aan de omstreden bewoordingen mochten toekennen en op hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten. Daarbij dient in het onderhavige geval beslissende betekenis te worden toegekend aan de meest voor de hand liggende taalkundige betekenis van desbetreffende bewoordingen, gelezen in samenhang met de overige voor de uitleg relevante bepalingen van de koopovereenkomst. De grond daarvoor is dat het gaat om een commerciële overeenkomst die strekt tot de overdracht van aandelen, die is gesloten tussen professionele partijen en die een zogenoemde entire agreement clause bevat. Dat IPG deel uitmaakt van een wereldwijd concern wil nog niet zeggen dat IPG enerzijds en MyPoint en [appellant sub 2] anderzijds niet als gelijkwaardige partijen bij de overeenkomst kunnen worden aangemerkt. [appellant sub 2] heeft zich volgens zijn stelling weliswaar niet laten bijstaan door een advocaat, maar hij is wel bijgestaan door een deskundige op fiscaal gebied. Voor zover hij ervoor heeft gekozen niet ook juridisch advies in te winnen in het kader van de onderhandelingen met IPG en over de tekst van de door de advocaat van IPG opgestelde overeenkomst, komt dat voor zijn rekening.

Brief over de beveiliging van Supervisory Control And Data Acquisition (SCADA)-systemen en de gebeurtenissen in de gemeente Veere, Kamerstukken II, 26 643, nr. 228.

Uw Kamer heeft haar zorgen geuit over de beveiliging van SCADA-systemen naar aanleiding van de uitzending van ÉénVandaag over SCADA-systemen en de gebeurtenissen in de gemeente Veere. SCADA-systemen worden gebruikt voor het verzamelen, doorsturen, verwerken en visualiseren van meet- en regelsignalen van verschillende machines in (grote) industriële procescontrolesystemen. Deze systemen worden gebruikt in de vitale infrastructuur om processen aan te sturen. De beveiliging van SCADA-systemen is van groot belang. Inbreuken op SCADA-systemen raken ons direct. De aandacht van hackers voor de beveiliging van SCADA-systemen neemt de laatste tijd zichtbaar toe.

Het beveiligen van dergelijke systemen is primair de verantwoordelijkheid van de eigenaren van de SCADA-systemen. De overheid houdt echter, gezien het grote belang dat door de overheid aan bepaalde sectoren wordt toegekend, toezicht op bepaalde sectoren.(...)

In 2012 zal verder worden ingezet op de aansluiting van vitale sectoren bij het Nationaal Cyber Security Centrum. Daarnaast zal de huidige samenwerking tussen het NCSC en de zogeheten ISAC's, de overlegstructuren van vitale sectoren om informatie over cyber security te delen, de komende periode worden geïntensiveerd. (...)

Concluderend, we zien dat systemen in toenemende mate afhankelijk zijn van het internet. Dit biedt kansen maar brengt daarnaast ook nieuwe risico’s met zich mee. De eigenaar van een SCADA-systeem is zelf verantwoordelijk voor een passende beveiliging van het desbetreffende systeem. In het geval van de gemeente Veere was er weliswaar sprake van een betreurenswaardig incident, het betrof echter geen bedreiging van de nationale veiligheid. Het verhogen van de weerbaarheid van de vitale sectoren is een van de actielijnen van de Nationale Cyber Security Strategie. Hiermee blijft het Kabinet zich ervoor inzetten om Nederland digitaal veiliger te maken.

De Raad van Europa neemt een Internet Governance CoE Strategy aan om mensenrechten, de rule of law en online democratie te beschermen, uit de executive summary:

The Council of Europe is promoting an Internet based on its core values and objectives, namely human rights, pluralist democracy and the rule of law; developing Europe's cultural identity and diversity; finding common solutions to the challenges facing European society; and consolidating democratic stability in Europe.

With over 40 lines of concrete action, the strategy identifies challenges and corresponding responses to enable state and non-state actors together to make the Internet a space which is inclusive and people-centred. The existing framework of international law, including human rights law, is, as a matter of principle, equally applicable on-line as it is off-line.

For the Council of Europe, access to the Internet is enabling unprecedented numbers of people to speak out, to impart information and ideas, and to spontaneously assemble. Protecting and preserving the Internet by “doing no harm” to its functioning is therefore vital to secure the online exercise of Articles 10 and 11 of the European Convention on Human Rights. At the same time, with freedom comes the need for citizens to be adequately informed, enabling them to deal responsibly with services offered via the Internet.

For people to trust the Internet, the protection of personal data and respect for privacy on the Internet are indispensable. The Council of Europe Convention on data protection (“Convention 108”) is the best available instrument to protect and promote data protection worldwide. By modernising it and strengthening its implementation, we can address challenges posed by new technologies.

The opportunities of the Internet also carry risks, such as cybercrime. The Budapest Convention on Cybercrime is the first treaty in this field. Its potential should be fully exploited.

The Internet has a great potential to promote democracy and cultural diversity. Increased data collection through the European Audiovisual Observatory and improved public services through the Internet should be developed.

Making sure that the rights of children and young people are not violated and that their human rights are respected in all areas, including on the Internet, is a priority. We cannot accept images of sexual abuse of children circulating on the Internet. Children must be able to safely play, learn, communicate and develop. They have integrated the Internet and other ICTs into their everyday lives and in their interaction with others. Internet services and new media environments, such as social networks, blogs, chats and messenger services offer great opportunities but can carry risks of violence, abuse or exploitation.

The strategy sets out a coherent vision for a sustainable long-term approach to the Internet. Its success will depend greatly on multi-stakeholder dialogue and support.

Rechtbank Haarlem 14 december 2011, LJN BV9757 (Communication Security Net tegen Pretium)

CS Net houdt zich bezig met het beheren van communicatienetwerken van derden en het ontwikkelen van communicatieve software en hardware ten behoeve van automatiseringsystemen. Op grond van een overeenkomst heeft CS Net in opdracht en voor rekening van Pretium (onder meer) een Internet Service Provider-Hostingomgeving gebouwd en geleverd.

In't kort: De zaak betreft een vordering tot betaling van facturen. Gedaagde beroept zich op gebreken in de prestatie. Klachtplicht in de zin van artikel 6:89 BW geldt voor ieder verweer en elke rechtvordering voor zover gegrond op een gebrek in de geleverde prestatie. Bewijsopdracht gegeven met betrekking tot de vraag of is voldaan aan die klachtplicht.

4.8.  CS Net betwist dat de door Pretium gestelde (en door [A]) geconstateerde gebreken aan de ISP-Hostingomgeving tijdens de bespreking op 13 februari 2008 aan de orde zijn geweest. Volgens CS Net is tijdens die bespreking gesproken over verschillende toegangstechnologieën. Voorts heeft [A] tijdens die bespreking vragen gesteld omtrent de ISP-Hostingomgeving, welke door CS Net (kennelijk naar tevredenheid) waren beantwoord. Ook tijdens de bespreking op 23 januari 2009 zijn de gestelde gebreken niet aan de orde gesteld. CS Net betwijfelt dan ook dat het Beslissingsdocument destijds reeds was opgesteld.

4.9.  De rechtbank verwerpt het standpunt van Pretium dat de in artikel 6:89 BW neergelegde klachtplicht slechts is gegeven voor de weren en vorderingen voor zover die gebaseerd zijn op een toerekenbare tekortkoming. De klachtplicht geldt voor ieder verweer en elke rechtsvordering voor zover deze vordering is gegrond op een gebrek in de geleverde prestatie. Indien vast zou komen te staan dat Pretium niet binnen bekwame tijd nadat zij de gestelde gebreken aan het systeem heeft ontdekt, terzake bij CS Net heeft geprotesteerd, zou dat betekenen dat zij op die gebreken geen beroep meer kan doen. Gelet op het volgens Pretium door [A] verrichte onderzoek naar de ISP-Hostingomgeving, waarvan de resultaten zijn neergelegd in de Technische inventarisatie DSL Telecom aanbod Pretium en het Beslissingsdocument (2.7 en 2.8), stelt de rechtbank vast dat Pretium in ieder geval in februari 2008 geacht moet worden bekend te zijn geweest met de door haar gestelde gebreken. Gelet op het tijdsverloop en gelet op het feit dat door Pretium geen feiten en/of omstandigheden zijn aangevoerd welke de conclusie rechtvaardigen dat sprake zou zijn van bekwame tijd, indien de gestelde gebreken voor het eerst tijdens de bespreking op 23 januari 2009 door Pretium aan de orde zouden zijn gesteld, overweegt de rechtbank dat op 23 januari 2009 geen sprake meer was van ‘binnen bekwame tijd’ in de zin van artikel 6:89 BW. Dit brengt mee dat vastgesteld dient te worden of door Pretium tijdens de bespreking met CS Net op 13 februari 2008 de in het Beslissingsdocument van [A] gestelde gebreken aan de ISP-Hostingomgeving aan CS Net zijn voorgehouden, zoals door Pretium gesteld. Anders dan door Pretium gesteld is in de email van 14 februari 2008 (r.o. 2.9) geen bevestiging van die stelling te lezen en is het bewijs daarvan dan ook geenszins door die email geleverd. Gelet op de onderbouwde betwisting door CS Net en gelet op het terzake gedane specifieke bewijsaanbod van Pretium, zal Pretium worden toegelaten tot het bewijs hiervan.

Rechtbank Roermond 20 maart 2012, LJ B9576 (hennepkwekerij onder zwembad)

De meervoudige strafkamer over hardware en diefstal electriciteit en bewijs van hennepkweek. Verdachte ontkent wetenschap hennepkwekerij onder zijn zwembad. Op het moment dat de politie deze ondergrondse ruimte aantreft, wordt de complete hardware voor teelt van hennep aangetroffen, maar de hennepplanten zelf zijn al verdwenen. De berekening van het aantal planten wordt gemaakt aan de hand van de nog resterende afdrukken. De elektriciteits- en gasvoorziening gingen buiten de meter om. Het tenlaste gelegde word bewezen verklaard.

Uit het aanvullend proces-verbaal van bevindingen blijkt onder meer het volgende: ‘De ondergrondse ruimte had afmetingen van 20 x 8 meter. Deze ondergrondse ruimte was verdeeld in vier ruimten. Deze ondergrondse ruimte was gesitueerd onder het zwembad in de tuin van genoemde woning. Ten aanzien van de ruimte 1, 2 en 3 kan worden gesteld dat deze ruimten eerder met zekerheid waren gebruikt als locaties waarin hennep was gekweekt.Dit bleek onder meer uit het feit dat op de actiedag (22-07-2010) in deze ruimten de complete‘hardware’ van een hennepkwekerij nog volledig intact was. De stelling dat in deze ruimten eerder hennep was gekweekt, kan verder worden onderbouwd door het feit dat in ruimte 1, bovenop een aan de wand opgehangen elektrische gevelkachel een lege doch gebruikte plastic henneppot werd aangetroffen. Deze pot had afmetingen van 20x20 centimeter. Opvallend was dat op de vloeren in de ruimten 1, 2 en 3 afdrukken zichtbaar waren van gebruikte potten. Deze afdrukken kwamen exact overeen met de afmeting van de aangetroffen lege henneppot. Gelet op het feit dat deze afdrukken nog redelijk zichtbaar waren op de vloeren van de ruimten 1, 2 en 3 kon redelijk nauwkeurig worden vastgesteld hoeveel henneppotten in deze ruimten hadden gestaan. Op de vloer van ruimte 2 waren duidelijk zichtbaar de afdrukken van henneppotten. In deze ruimte was eerder in het midden een looppad geweest met een breedte van ongeveer 80 centimeter. Aan weerszijden van dit looppad waren de afdrukken van acht henneppotten zichtbaar. Aan de hand van deze afdrukken kon worden berekend dat in deze ruimte aanéén zijde van het looppad 8 rijen potten hadden gestaan. In één rij stonden ongeveer 65 potten achter elkaar. Aan één zijde langs het looppad hadden dus ongeveer 65 x 8 is 520 potten gestaan. Omdat aan weerszijden van het looppad potten hadden gestaan waren in ruimte 2 dus eerder 2 x 520 potten is in totaal 1.040 potten gestaan. Uitgaande van de veronderstelling dat in iedere gebruikte potéén hennepplant werd gekweekt had de ruimte 2 dus een kweekcapaciteit van 1.040 planten per oogst. Ook in ruimten 1 en 3 waren afdrukken van henneppotten zichtbaar op de vloeren.
(...)
 In deze ondergrondse ruimte wordt vervolgens de volledige hardware van een professionele hennepkwekerij aangetroffen. De rechtbank is derhalve van oordeel dat wettig en overtuigend bewezen kan worden verklaard dat verdachte hennep heeft geteeld in de ruimte onder het zwembad van zijn woning.
(...)
Verdachte heeft op een uiterst professionele en geraffineerde wijze een grootschalige hennepkwekerij opgezet. Verdachte heeft een ondergrondse ruimte onder zijn zwembad laten maken. Deze ruimte was volledig ingericht voor de teelt van hennep. Op het moment dat de politie deze ondergrondse ruimte aantreft, wordt de complete hardware voor teelt van hennep aangetroffen, maar de hennepplanten zelf zijn al verdwenen. De elektriciteits- en gasvoorziening gingen buiten de meter om.

Hof 's-Gravenhage 23 maart 2012, LJN BV9836 (virus & trojan)

Strafzaak. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie.

Het Hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 730 (zevenhonderddertig) dagen. Tevens wordt bepaald dat een gedeelte van de gevangenisstraf, groot 405 (vierhonderdvijf) dagen, niet ten uitvoer zal worden gelegd, tenzij de rechter later anders mocht gelasten omdat de verdachte zich voor het einde van een proeftijd van 2 (twee) jaren aan een strafbaar feit heeft schuldig gemaakt.

Het hof heeft de op te leggen straf bepaald op grond van de ernst van de feiten en de omstandigheden waaronder deze zijn begaan en op grond van de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan is gebleken uit het onderzoek ter terechtzitting.

Daarbij heeft het hof in het bijzonder het volgende in aanmerking genomen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie. Daarmee heeft de verdachte het vertrouwen ondermijnd dat internetgebruikers in een ongestoorde afwikkeling van creditcard- en bancaire diensten moeten kunnen stellen. Dat is schadelijk voor het functioneren van dat systeem.

Hof ’s-Hertogenbosch 7 februari 2012, LJN BV3620, (Cofely/CFS)

Met samenvatting vanTessa Stallaert, Vondst Advocaten.

Het gaat hier om de levering door CFS aan haar dealer Cofely van brandblussystemen voor computer- en serverruimtes. Vanaf 2007 kwamen er klachten binnen bij Cofely, doordat het blusmateriaal van de brandblussystemen stoffen bevat die schadelijk zijn voor mainframes en overige computerelementen. Cofely stelt CFS aansprakelijk voor deze schade. Gevolgschade, zo stelt CFS, en met een beroep op de exoneratie uit haar algemene voorwaarden weigert zij de schade te vergoeden. Cofely brengt daar tegenin dat CFS de goede werking van de brandblussers had gegarandeerd en dat de geschiktheid van de brandblussers voor computer- en serverruimtes essentieel is. Aansprakelijkheid kan naar haar idee daarom niet worden beperkt. Het hof is van oordeel dat de exoneratie wel degelijk kan worden ingeroepen.

Op 27 juli 2001 hebben CFS en Cofely een dealerovereenkomst gesloten waarbij is overeengekomen dat Cofely als dealer van FirePro brandblussystemen zal gaan fungeren. Onderdeel van deze overeenkomst is onder meer een garantiebepaling:

“CFS Trading garandeert de dealer de constante, afgesproken kwaliteit van de geleverde Producten. Bij eventuele gebreken, voor zover deze aan het licht komen binnen 12 maanden na de datum van de aflevering aan de dealer, zal CFS Trading de kosten voor vervanging of herstel van het FirePro® Product dragen.” 

Naast de garantiebepaling wordt tevens verwezen naar de algemene voorwaarden, die onder meer het volgende inhouden:

“9.3 CFS verleent voor geleverde, door CFS zelf vervaardigde zaken of onderdelen, alsmede voor door CFS uitgevoerde bewerking van zaken een garantie voor de uitgevoerde werkzaamheden, daaruit bestaande dat eventuele fouten voor rekening van CFS zoveel mogelijk worden hersteld en/of het geleverde geheel of gedeeltelijk wordt teruggenomen en door een nieuwe levering wordt vervangen. […]
10.1 Behoudens bepalingen van dwingend recht, alsmede behoudens het bepaalde onder 9.1 tot en met 9.9. (hof: is CFS) niet tot enige handeling of betaling verplicht in geval zich, door wat voor oorzaak dan ook, schade voordoet, tenzij die schade is veroorzaakt door opzet of daarmee gelijk te stellen grove schuld van de directie van CFS en/of de personeelsleden die met de uitvoering van de overeengekomen prestatie zijn belast.
10.2 CFS is met name niet aansprakelijk voor schade anders dan aan het geleverde, bewerkte en/of geïnstalleerde goed zelf.
10.3 CFS is niet aansprakelijk voor gevolgschade en voor schade die noodzakelijkerwijs moest worden aangebracht om de overeengekomen prestatie te kunnen leveren.
10.4 Mocht CFS op enigerlei wijze voor enige schade aansprakelijk zijn, dan is die aansprakelijkheid beperkt tot de door CFS voor de desbetreffende prestatie in rekening gebrachte c.q. in rekening te brengen vergoeding met een maximum van 5.000, -.[…]”

Vanaf 2007 kwamen er klachten binnen bij Cofely, doordat het blusmateriaal van de brandblussystemen stoffen bevat die schadelijk zijn voor mainframes en overige computerelementen. Wegens non-conformiteit houdt Cofely CFS aansprakelijk en vordert vergoeding van de schade als gevolg van de gebreken aan het product. CFS beroept zich op haar beurt op het exoneratiebeding uit de algemene voorwaarden.

Cofely heeft aan haar vorderingen ten grondslag gelegd dat CFS de garantieverplichtingen in de overeenkomst niet is nagekomen, door producten te leveren die niet voldeden aan de overeengekomen kwaliteit, terwijl CFS aanbevelingen en mededelingen over deze producten heeft gedaan die niet conform de werkelijkheid zijn gebleken. Cofely stelt dat de in art. 7.1 van de dealerovereenkomst opgenomen garantie voor haar een dermate essentieel beding is (in haar woorden een “kernbeding”), dat zij de dealerovereenkomst zonder dat beding niet zou hebben gesloten en waarvan in algemene voorwaarden niet kan worden afgeweken. Het hof oordeelt als volgt:

“4.7. […] De stelling van Cofely dat zij niet had hoeven begrijpen dat de exoneratie ook gold voor schade als gevolg van een gebrekkig product, volgt het hof niet. De tekst van artikel 7.1 van de dealerovereenkomst is op dat punt duidelijk. Het garandeert de constante, afgesproken kwaliteit van het product en bepaalt dat CFS bij eventuele gebreken in het product de kosten van vervanging of herstel van het product zal dragen. In aanvulling daarop sluit het exoneratiebeding aansprakelijkheid voor gevolgschade uit. Terecht heeft de rechtbank overwogen dat uitsluiting van aansprakelijkheid voor gevolgschade in algemene voorwaarden bij contracten als het onderhavige gebruikelijk is en dat Cofely zich ervan bewust had moeten zijn dat CFS geen risico wenste te lopen om tot vergoeding van voor haar niet overzienbare schade gehouden te zijn. Zowel als het product faalt in de zin dat het niet gaat blussen als het wordt geactiveerd, zoals Cofely wel stelt te hebben begrepen, als dat het faalt in de zin dat de bij het blussen vrijgekomen aerosol de computers beschadigt, gaat het om een gebrek in (de kwaliteit van) het product als bedoeld in art. 7.1 van de dealerovereenkomst. In beide gevallen kunnen de schadelijke gevolgen groot zijn. Dat Cofely het beding anders heeft begrepen, komt het hof niet aannemelijk voor, maar zo dat al het geval is, kan dat gezien het voorgaande niet tot gevolg hebben dat partijen de beperking in aansprakelijkheid voor gevolgschade niet zouden zijn overeengekomen.
[…]
4.9. De stelling dat de onschadelijkheid van de aerosol en de geschiktheid van de FirePro aerosol blussystemen voor computer- en serverruimte zo wezenlijke eigenschappen van het product betreffen dat de redelijkheid zich ertegen verzet dat CFS zich beroept op het overeengekomen exoneratiebeding, verwerpt het hof eveneens. Nog los van de vraag of de garantie uit artikel 7.1 is afgegeven als door Cofely wordt betoogd, sluit het exoneratiebeding de schade die het gevolg is van de afwezigheid van het gegarandeerde niet volledig uit. Uitsluitend gevolgschade wordt uitgesloten. Anders was dat in het door Cofely aangehaalde arrest. Die zaak betrof de verkoop van (naar kopers achteraf bleek vervuilde) grond met bouwplicht en een totale uitsluiting van aansprakelijkheid voor onzichtbare gebreken. In die zaak werd geoordeeld dat de door verkoper opgelegde bouwplicht een stilzwijgende garantie inhield dat grond geschikt is voor bouw en dat die garantie een zo wezenlijke eigenschap betrof dat de redelijkheid zich ertegen verzette aan het standaard exoneratiebeding de betekenis toe te kennen dat het die garantieverplichting uitschakelde. Van dergelijke omstandigheden is hier geen sprake. Het gaat in onderhavige zaak om koop en verkoop van blusinstallaties - waaronder blusinstallaties die aangeprezen worden als geschikt om te worden gebruikt in computerruimtes - die door koper zullen worden gebruikt om te worden geïnstalleerd in grotere brandblussystemen bij afnemers. Ze worden verkocht met een installatie- en gebruiksinstructie en of en hoe ze feitelijk worden gebruikt wordt aan de koper gelaten. Daarnaast bevat het exoneratiebeding niet een volledige uitsluiting van aansprakelijkheid voor gebreken aan het verkochte. Zou het betoog van Cofely gevolgd worden, dan zou dat betekenen dat aansprakelijkheid voor gebreken nooit zou mogen worden uitgesloten. Het contractueel uitsluiten van aansprakelijkheid tussen zakelijke (gelijkwaardige) partijen is echter in beginsel toegestaan. Bijzondere omstandigheden die meebrengen dat het in onderhavige zaak naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn om het exoneratiebeding in te roepen heeft Cofely niet gesteld en zijn het hof niet gebleken.”

Zowel rechtbank als hof zijn overigens van oordeel dat de garantiebepaling niet geldt als een kernbeding. Omdat het hof de overwegingen van de rechtbank tot de zijne maakt, en het rechtbankvonnis niet is gepubliceerd, is onduidelijk op basis waarvan dat wordt aangenomen. Zie ook T.J. de Graaf, Exoneraties in (ICT-)contracten tussen professionele partijen, paragraaf 5.12. De Graaf spreekt van “hoofdverplichtingen”, vergelijkbaar met de hier bedoelde kernbedingen. Hij concludeert, overigens met wederom hof ’s-Hertogenbosch (9 maart 2004, NJ Feitenrechtspraak 2004, 469), dat exoneraties juist zien op schending van hoofdverplichtingen. In paragraaf 5.1.3 concludeert De Graaf bovendien dat de schending van een uitdrukkelijke garantie niet tot gevolg heeft dat een beroep op een exoneratie in strijd is met de redelijkheid en billijkheid.

Ik kan mij vinden in de uitspraak van het hof. In de IT-contractpraktijk wordt aansprakelijkheid voor gevolgschade vaak uitgesloten ook voor hoofdverplichtingen, juist omdat gevolgschade niet overzienbaar is. Probleem bij de uitsluiting van gevolgschade is dat dit begrip niet in de wet is gedefinieerd. In onderhavige zaak beperkte artikel 10.2 van de algemene voorwaarden aansprakelijkheid tot schade aan de brandblussystemen zelf. Hiermee is aansprakelijkheid voor schade aan computers en servers per definitie uitgesloten. Voor een contractpartij zijn claims van derden op haar wederpartij in de regel niet overzienbaar. Schade voor dit soort claims wordt doorgaans (contractueel) dan ook onder gevolgschade begrepen. Het kan nog sterker, zie het PON modelsourcingscontract, waarin de volgende bepaling is opgenomen:

“23. Vrijwaring
23.1. Klant verplicht zich Leverancier te vrijwaren van alle vorderingen van contractpartijen van Klant die er direct of indirect op zijn gebaseerd dat Leverancier te kort is geschoten in de nakoming van deze Overeenkomst.”