Gepubliceerd op vrijdag 4 juli 2014
Gehackte voicediensten eigen verantwoordelijkheid
Rechtbank Midden-Nederland 2 juli 2014, IT 1549 (KPN tegen NEC Nederland)
Voice-diensten. Hack. Partijen hebben een overeenkomst gesloten betreffende de levering van voice-diensten. Daarvoor heeft gedaagde zelf een PBX-centrale gebouwd die via een router gekoppeld werd aan het Wide Area Network. Tussen partijen staat vast dat de hack is geplaatst op de PBX-centrale van NEC (doordat een NEC PBX-toestel met een makkelijke pincode buiten het bedrijf van NEC is geraakt) en dat als gevolg daarvan frauduleus telefoonverkeer heeft plaatsgevonden op de datalijnen waaraan de PBX-centrale was gekoppeld. Hun verschil van mening betreft de gevolgen van de hack en voor wiens rekening en risico die zouden moeten komen.
4.3. NEC heeft immers gebruik gemaakt van de voicediensten met een door haar zelf gebouwde PBX-centrale die door middel van een router gekoppeld was aan het Wide Area Network (de datalijnen). NEC was derhalve zelf binnen deze branche als professional actief en deskundig. Daarom mag NEC voldoende bekend worden verondersteld met de risico’s van een hack op haar eigen PBX-centrale. (...) Dat KPN er van uitging dat die verplichting tot monitoren bij NEC lag en dat NEC daarvan op de hoogte was, blijkt uit de e-mail van 11 februari 2011 (zie 2.3.). Het had op de weg van NEC gelegen om KPN dan op de zorgplicht te wijzen. Nu dat niet is gebeurd, ging NEC kennelijk op dat moment niet van een verplichting tot monitoren aan de zijde van KPN uit.
4.4. NEC stelt dat uit artikel 7:401 BW een (verzwaarde) zorgplicht voortvloeit voor KPN om eventuele fraude op de datalijnen te voorkomen, althans de gevolgen daarvan te beperken door afwijkend telefoonverkeer tijdig te signaleren. KPN is deze zorgplicht niet nagekomen. Hierbij verwijst NEC naar de jurisprudentie betreffende telefoonverkeer en de daarin aangenomen verplichting van KPN om telefoonverkeer adequaat en regelmatig te monitoren en op afwijkend telefoonverkeer binnen drie dagen adequaat te reageren. NEC meent dat uit artikel 4.3. van de algemene voorwaarden, waarin KPN toezegt dat zij “the reasonable care and skill of a competent and reputable provider of IT and telecommunication services” in acht zal nemen, een met artikel 7:401 BW vergelijkbare verplichting voortvloeit. Omdat het volgens NEC om een vergelijkbare zorgplicht gaat kan in het midden blijven of de algemene voorwaarden van toepassing zijn en zal beoordeeld worden of de door NEC gestelde (verzwaarde) zorgplicht uit artikel 7:401 BW voortvloeit.
4.5. Voicediensten zijn niet gelijk te stellen aan internet- of telefoondiensten.