Geen dwaling over antivirus- en anti-ransomwarediensten: IT-dienstverlener leverde overeengekomen securitydiensten

Rb. Amsterdam 6 juni 2026, IT&Recht 5318; ECLI:NL:RBAMS:2025:4025 (Knooppunt tegen Hands On). In deze zaak staat de vraag centraal of een IT-dienstverlener kosten in rekening heeft gebracht voor antivirus- en anti-ransomwarediensten die volgens de afnemer nooit zijn geleverd. Daarnaast is in geschil of de afnemer bij het aangaan van de beheersovereenkomst heeft gedwaald over de inhoud van deze diensten en of de IT-dienstverlener aansprakelijk kan worden gehouden voor mogelijke toekomstige schade als gevolg van een onvoldoende beveiligde IT-omgeving. Knooppunt exploiteert een fysiotherapiepraktijk en maakt deel uit van een groep praktijkvennootschappen. Hands On levert IT-diensten, waaronder advisering, beheer en ondersteuning. In 2021 sluiten partijen een consultancyovereenkomst, een licentieovereenkomst en een beheersovereenkomst. In de beheersovereenkomst is een zogenoemd SLA Comfort overeengekomen, dat onder meer ziet op monitoring, onderhoud, licentie- en contractmanagement, incidentafhandeling, back-updiensten en securitydiensten. Onder die securitydiensten vallen een antivirusdienst, een anti-ransomwaredienst en multi-factor authenticatie. De licentieovereenkomst eindigt in 2022. De beheersovereenkomst wordt door Knooppunt opgezegd tegen het einde van de looptijd en eindigt op 30 juni 2024. Daarna neemt een andere IT-dienstverlener, RoRo, het beheer van de IT-omgeving over. Knooppunt stelt zich op het standpunt dat Hands On gedurende de looptijd van de beheersovereenkomst uitsluitend gebruik heeft gemaakt van Microsoft Defender, terwijl daarvoor afzonderlijk antivirus- en anti-ransomwarediensten in rekening zijn gebracht. Volgens Knooppunt waren deze diensten onderdeel van de standaard Microsoft-licenties en heeft Hands On geen aanvullende werkzaamheden verricht. Daarnaast voert Knooppunt aan dat Microsoft Defender geen afdoende bescherming biedt tegen virussen en ransomware. Omdat Hands On volgens Knooppunt ten onrechte de indruk heeft gewekt dat zij onmisbare beveiligingsdiensten leverde, beroept Knooppunt zich op dwaling. Zij vordert wijziging van de beheersovereenkomst en terugbetaling van de bedragen die volgens haar ten onrechte voor antivirus- en anti-ransomwarediensten in rekening zijn gebracht. Daarnaast verzoekt zij een verklaring voor recht dat Hands On aansprakelijk is voor eventuele toekomstige schade als gevolg van een ondeugdelijke beveiliging van haar gegevens. De rechtbank overweegt dat eerst moet worden vastgesteld welke afspraken partijen precies hebben gemaakt over de antivirus- en anti-ransomwarediensten. Volgens Hands On maakten deze diensten onderdeel uit van een breder pakket aan beheers- en securitydiensten.

Hands On heeft toegelicht dat zij niet alleen Microsoft Defender beheerde, maar ook de werkplekken monitorde met eigen beheersoftware, beveiligingsmeldingen verwerkte, incidenten afhandelde en ondersteuning bood via een servicedesk en een selfserviceportaal. Deze toelichting wordt ondersteund met een plan van aanpak, rapportages uit het servicemanagementsysteem TOPdesk en een overzicht van de beveiligde werkplekken. De rechtbank oordeelt dat Knooppunt onvoldoende heeft onderbouwd welke aanvullende securitydiensten Hands On volgens de overeenkomst had moeten leveren. Uit de stukken en hetgeen tijdens de mondelinge behandeling naar voren is gebracht, volgt dat partijen uitsluitend afspraken hebben gemaakt over het gebruik van Microsoft Office 365-software, waarvan Microsoft Defender onderdeel uitmaakt. De stelling dat Hands On andere antivirus- of anti-ransomwaresoftware had moeten installeren, vindt geen steun in de overeenkomst. Ook de klacht dat Hands On Microsoft Defender for Business niet heeft geïnstalleerd slaagt niet, omdat deze software pas beschikbaar kwam nadat Knooppunt haar softwarelicenties elders was gaan afnemen en Hands On hierover niet is geïnformeerd. Verder overweegt de rechtbank dat Knooppunt de securitydiensten ten onrechte vereenzelvigt met de functionaliteiten van Microsoft Defender. De rechtbank overweegt dat de overeengekomen dienstverlening veel meer omvatte dan alleen het installeren of updaten van beveiligingssoftware. Ook is onvoldoende onderbouwd dat de IT-omgeving van Knooppunt gedurende de looptijd van de beheersovereenkomst onvoldoende was beveiligd. Daarbij neemt de rechtbank mee dat zich in die periode geen veiligheidsincidenten hebben voorgedaan. De rechtbank komt daarom tot de conclusie dat Hands On heeft geleverd wat partijen zijn overeengekomen. Van dwaling is geen sprake, omdat niet is gebleken dat Hands On onjuiste mededelingen heeft gedaan of informatie heeft achtergehouden over de securitydiensten. Evenmin staat vast dat Hands On bedragen in rekening heeft gebracht voor niet-geleverde diensten. Ook de gevraagde verklaring voor recht over toekomstige schade wordt afgewezen, omdat niet aannemelijk is geworden dat Knooppunt schade dreigt te lijden als gevolg van een onvoldoende beveiligde IT-omgeving. In reconventie vordert Hands On betaling van zeven onbetaald gebleven facturen. Het beroep van Knooppunt op opschorting wordt verworpen, omdat opschorting op grond van artikel 6:262 lid 2 BW slechts mogelijk is bij een tekortkoming van de wederpartij en van een tekortkoming van Hands On niet is gebleken. De rechtbank wijst de factuur voor de zogenoemde einde klantprocedure af, omdat onvoldoende is onderbouwd dat Knooppunt opdracht heeft gegeven voor deze werkzaamheden. De overige facturen worden wel toegewezen. Het gaat om één factuur voor beheersdiensten, waaronder de posten Antivirus Werkplek – Comfort en Anti-ransomware Werkplek – Comfort, en vijf facturen voor softwarelicenties die ook na het einde van de beheersovereenkomst nog werden gebruikt. Knooppunt wordt veroordeeld tot betaling van € 2.201,24, vermeerderd met wettelijke handelsrente.

4.5. Hands On heeft onbetwist nader toegelicht dat de werkzaamheden bestonden uit: het beheren en monitoren van de 38 werkplekken binnen Knooppunt c.s. door middel van door Hans On geïnstalleerde beheersoftware (N-Central van N-Able), het real time monitoren van de antivirus en anti-ransomware en ook het controleren van de Microsoft Defender beveiligingssoftware. Daarnaast werden door het systeem gegenereerde beveiligingsnotificaties en meldingen van medewerkers van Knooppunt geregistreerd binnen het servicemanagementsysteem TOPdesk en afgehandeld door de supportafdeling van Hands On. Ook andere IT-gerelateerde vragen van medewerkers van Knooppunt werden door deze supportafdeling beantwoord. Knooppunt had daarnaast 24/7 toegang tot een self service portaal, waarin zij alle door haar werknemers ingediende meldingen kon volgen. Hands On heeft in dit verband verwezen naar een e-mail van 13 augustus 2021 van Hands On aan Knooppunt met een plan van aanpak voor de IT van Knooppunt c.s., een rapportage van TOPdesk met een overzicht van (beveiligings)meldingen in de periode september 2023 – juni 2024 en een overzicht van de werkplekken die tegen virussen en ransomware werden beschermd.

4.7. Knooppunt heeft in dat kader gesteld dat Hands On andere antivirus en anti-ransomware software dan Microsoft Defender had moeten installeren. Deze stelling, die door Knooppunt niet nader is onderbouwd, treft geen doel. Uit de overgelegde stukken en wat partijen tijdens de zitting naar voren hebben gebracht blijkt dat partijen uitsluitend afspraken hebben gemaakt over het werken met Microsoft Office 365 software, waar Microsoft Defender toe behoort. Deze afspraken zijn ook vastgelegd in de tegelijkertijd met de beheersovereenkomst gesloten licentieovereenkomst (zie 2.3.).

4.9. Knooppunt heeft verder gesteld dat het updaten van Microsoft Defender niet viel onder de securitydiensten uit 1.5.8 van de beheersovereenkomst, omdat de updates van het programma door Microsoft worden verzorgd, zonder dat Hands On daarvoor iets hoefde te doen. In het licht van de gemotiveerde betwisting van Hands On is ook deze stelling onvoldoende geconcretiseerd. Bij dit alles is van belang dat Hands On zich niet op het standpunt stelt dat zij door middel van het installeren van Microsoft Defender de securitydiensten heeft geleverd (zie 4.5). Terecht wijst zij erop dat Knooppunt de securitydiensten verwart met de functionaliteiten van de door haar afgenomen licenties. Ter zitting heeft Hands On, bij monde van de heer [naam] , operationeel manager bij Hands On, hierover onweersproken nader toegelicht dat de Microsoft software(licenties) weliswaar van updates worden voorzien door Microsoft, maar dat de securitydiensten en het beheer van de IT-systemen van Knooppunt, zoals in de beheersovereenkomst is vastgelegd, veel meer werkzaamheden omvatten dan alleen het updaten van software.

4.10. Knooppunt heeft tenslotte gesteld dat haar digitale gegevens gedurende de looptijd van de beheersovereenkomst niet deugdelijk zijn beschermd omdat Hands On daarvoor alleen Microsoft Defender heeft gebruikt. Knooppunt heeft in dit verband verwezen naar een e-mail van RoRo van 19 juni 2024 en naar een online blog uit november 2024. Hierin wordt weliswaar aangevoerd dat er betere beveiligingssoftware bestaat dan Microsoft Defender, maar daaruit volgt gelet op hetgeen hiervoor is overwogen niet dat van een deugdelijke bescherming van de gegevens van Knooppunt geen sprake is geweest. Indien Knooppunt van mening was dat de bescherming ontoereikend was, had het op haar weg gelegen om dat standpunt grondiger te onderbouwen dan zij nu heeft gedaan, te meer nu vast staat dat gedurende de looptijd van de beheersovereenkomst geen sprake is geweest van veiligheidsincidenten.