25 feb 2025
Geen tekortkoming, schending van zorgplicht of onrechtmatige daad IT beheerder

Hof Arnhem-Leeuwarden 25 februari 2025, IT 4790; ECLI:NL:GHARL:2025:1046 (Hof van Twente tegen Switch) Gemeente Hof van Twente heeft systeembeheer en aanverwante ICT-beheerdienstverlening na een Europese aanbestedingsprocedure in 2018 uitbesteed aan Switch. Op 1 december 2020 heeft bij de gemeente een cyberaanval plaatsgevonden. Daarbij zijn de systemen van het netwerk van de gemeente en de back-up versleuteld en ontoegankelijk gemaakt en vele servers verwijderd. De gemeente houdt Switch daarvoor verantwoordelijk. De gemeente meent dat Switch tekortgeschoten is in de nakoming van haar verplichtingen uit de overeenkomst van partijen, althans haar zorgplicht als ICT-beheerder heeft geschonden, althans onrechtmatig heeft gehandeld. Op grond daarvan vordert de gemeente ontbinding van de overeenkomst, terugbetaling van wat zij op grond van de overeenkomst heeft betaald en schadevergoeding. De rechtbank heeft de vorderingen van de gemeente afgewezen, omdat zij van mening is dat Switch niet tekortgeschoten is in de nakoming van de verplichtingen uit de overeenkomst, noch haar zorgplicht heeft geschonden, en er evenmin sprake is van onrechtmatig handelen.
Het hof bekrachtigt het vonnis van de rechtbank. Het hof oordeelt dat Switch niet tekortgeschoten is in de nakoming van haar verplichtingen met betrekking tot de adequate inrichting en het beheer van de firewall, het beheer van de servers, en het borgen van adequate back-up en restore van data. Verder is er geen sprake van schending van de zorgplicht omdat Switch voldoende zorg heeft betracht voor de belangen van de gemeente en geen reden had om de gemeente te waarschuwen voor risico’s, aangezien de gemeente zelf verantwoordelijk was voor bepaalde aspecten, zoals het wachtwoordbeleid. Switch voldeed aan de gestelde eisen en heeft proactief gehandeld door een voorstel voor back-up hardening uit te werken en naar de gemeente te sturen.
5.17. Voor deze verwijten ziet het hof geen goede grond. Switch heeft allereerst toegelicht dat zij de firewall wel degelijk op basis van het principe van whitelisting heeft geconfigureerd. Zij heeft erop gewezen dat een medewerker van de gemeente zelf aanpassingen heeft gemaakt in de firewall, waardoor de FTP-SVR03 server toegankelijk werd vanaf elk IP-adres vanaf het internet. De gemeente heeft in reactie daarop haar aanname dat geen whitelisting is toegepast niet nader onderbouwd, zodat daaraan voorbij wordt gegaan. Waar whitelisting werd toegepast, bestond geen aanleiding voor de minder vergaande maatregel van blacklisting, waarmee alleen verbindingen met IP-adressen uit risicolanden zouden worden geblokkeerd. Dat Switch dit niet heeft toegepast, levert dus ook geen tekortkoming op. Tijdens de mondelinge behandeling heeft de gemeente verder erkend dat rule settings, zoals een beperking van de duur van openstelling van een RDP-poort, pas bij aanpassing van een regel in de firewall kunnen worden ingesteld, en niet vooraf en in het algemeen. Dat de door een medewerker van de gemeente opengezette RDP-poort open is blijven staan, is dan ook niet te wijten aan een configuratiefout van Switch.
5.20. Het hof onderschrijft dat de gemeente mocht verwachten dat Switch het logboek van de Microsoft servers zou controleren. Switch heeft bij haar inschrijving immers te kennen gegeven dat zij de performance logfiles zou analyseren. De omschrijving van het beheer in het DAP sluit daar ook op aan. Dit gold dan ook voor de logbestanden van de FTP-SVR03 server. De door Switch ingeschakelde deskundige heeft er tijdens de mondelinge behandeling in hoger beroep echter op gewezen dat het aantal verbindingen/inlogpogingen op zichzelf niet relevant is en niet per definitie op een brute force aanval duidt. De deskundige van de gemeente heeft dat onderschreven, maar heeft erop gewezen dat een significante stijging van het aantal verbindingen/inlogpogingen wel duidt op verhoogde aandacht en risico. De gemeente heeft echter niet (voldoende concreet en onderbouwd) aangegeven dat er sprake is geweest van een zodanige toename dat Switch op grond daarvan maatregelen had moeten nemen of althans had moeten waarschuwen voor het bedoelde risico. Dat Switch erin had moeten voorzien dat het account bij een aantal mislukte inlogpogingen zou worden geblokkeerd, heeft de gemeente verder onvoldoende onderbouwd. Daarom kan ook op dit punt geen tekortkoming van Switch worden vastgesteld.
5.25. Het gestelde onder (i) is gebaseerd op het feit dat Switch in mei 2020 een voorstel tot back-up hardening heeft uitgebracht. De gemeente leidt daaruit af dat de bestaande back-up voorziening kennelijk niet (meer) adequaat was. Dat is echter te kort door de bocht. Switch heeft toegelicht dat zij met de bestaande back-up oplossing aan de door de gemeente gestelde eisen voldeed. Switch signaleerde na de ransomware aanval bij de Universiteit Maastricht dat de aanvallers toegang hadden gekregen tot de active directory omgeving en daarmee ook bij de back-up konden komen. Dat betekende niet direct een groot risico voor de gemeente, omdat Switch zelf MFA toepaste op de door haar beheerde domeinadministrator accounts en zij ervan mocht uitgaan dat de gemeente haar eigen account ook goed beveiligde met een (moeilijk te raden) wachtwoord. Daarnaast adviseerden de VNG en het NCSC ook nog geen nadere maatregelen; dat gebeurde pas na 1 december 2020. Switch heeft desondanks proactief gehandeld door een voorstel voor back-up hardening uit te werken en naar de gemeente te sturen. Dit voorzag onder meer in toevoeging van een offline back-up die niet meer via het netwerk van de gemeente zou zijn te benaderen. Gelet op deze gang van zaken, die de gemeente inhoudelijk niet heeft weersproken, kan niet worden gezegd dat Switch op dit punt onvoldoende zorg voor de belangen van de gemeente heeft betracht.