ICT-dienstverlener aansprakelijk omdat niet in duidelijke bewoordingen is gewezen op gebrekkige beveiliging

Rb. Noord-Nederland 21 september 2022, IT 4773; ECLI:NL:RBNNE:2022:5577 (Enviem tegen I-Beheer) Enviem, een groep bedrijven in de olie- en brandstofsector, had een overeenkomst met I-Beheer voor het beheer van hun ICT-netwerk. In 2019 werd Enviem getroffen door een ransomware-aanval waardoor hun data versleuteld raakte, en zij vorderen een schadevergoeding van I-Beheer wegens tekortkomingen in de beveiliging. Daarbij claimen zij ook dat I-Beheer onrechtmatig heeft gehandeld door hen bloot te stellen aan grote ICT-risico's. I-Beheer daarentegen stelt dat zij haar verplichtingen is nagekomen en dat de ransomware aanval te wijten is aan een virus via een besmette e-mail. I-Beheer vordert in reconventie betaling van openstaande facturen, ontbinding van de overeenkomst per 21 februari 2020, en een schadevergoeding als gevolg van deze ontbinding.

De rechtbank oordeelt dat I-Beheer toerekenbaar is tekortgeschoten in de nakoming van de netwerkbeheerovereenkomst door het niet duidelijk wijzen op het ontbreken van netwerksegmentatie, de kwetsbaarheid van de back-up en het gebrekkige wachtwoordbeleid. De rechtbank vindt dat I-Beheer aansprakelijk is voor de schade die Enviem hierdoor geleden heeft, maar dat de aansprakelijkheid beperkt is tot €50.000,- op basis van de algemene voorwaarden van I-Beheer. De rechtbank verwerpt het argument van Enviem dat de aansprakelijkheidsbeperking niet geldt wegens grove schuld van I-Beheer, omdat de fouten niet als roekeloos of opzettelijk worden gezien. De rechtbank wijst de vordering van Enviem tot schadevergoeding op grond van onrechtmatige daad af omdat er sprake is van een contractuele relatie. De rechtbank wijst een deel van de vorderingen van Enviem tot terugbetaling van onverschuldigde betalingen toe, maar geeft Enviem een bewijsopdracht voor andere delen. In reconventie oordeelt de rechtbank dat Enviem de overeenkomst rechtsgeldig heeft ontbonden. De rechtbank wijst een deel van de vordering tot betaling van openstaande facturen van I-Beheer toe, maar geeft I-Beheer een bewijsopdracht voor andere delen. De vordering van I-Beheer tot ontbinding van de overeenkomst wordt afgewezen en I-Beheer krijgt een bewijsopdracht voor de strippenkaarten.

4.7. I-Beheer stelt weliswaar dat zij netwerksegmentatie en een beter wachtwoordbeleid heeft geadviseerd, maar gezien de betwisting door Enviem heeft I-Beheer dit verweer onvoldoende onderbouwd. I-Beheer heeft niet gesteld wie van Enviem zij heeft geadviseerd over een beter wachtwoordbeleid, hoe zij dat heeft gedaan en wat het advies concreet behelsde. I-Beheer verwijst naar een e-mail van 3 oktober 2019 waarin staat vermeld: “Wachtwoordbeleid nakijken Done, geen eenduidig beleid”

Daaruit blijkt niet dat I-Beheer Enviem heeft gewezen op de noodzaak om een beter wachtwoordbeleid toe te passen, heeft geadviseerd welke verbeteringen nodig zijn en heeft gewezen op de urgentie voor het nemen van maatregelen. Bovendien heeft I-Beheer voor de back-up gelijkluidende wachtwoorden gebruikt als voor het administrator account van de servers, zodat I-Beheer naar het oordeel van de rechtbank zelf heeft bijgedragen aan de kwetsbaarheid van de ICT voorziening.

Uit de stellingen van I-Beheer blijkt ook niet hoe en bij wie I-Beheer de noodzaak tot netwerksegmentatie bij Enviem heeft aangekaart. I-Beheer heeft verwezen naar een offerte van 14 maart 2019 die zij heeft uitgebracht aan Enviem Retail Nederland B.V. Deze offerte behelst de installatie en configuratie van een nieuwe ICT-omgeving met nieuwe hardware en de aansluiting op de bestaande netwerk. Blijkens het bijbehorende werkplan is een vorm van netwerksegmentatie en een veiligere back-upvoorziening weliswaar onderdeel van de geoffreerde nieuwe ICT-omgeving, maar uit de offerte blijkt niet dat I-Beheer de ondeugdelijkheid van de bestaande beveiliging en de noodzaak tot het nemen van maatregelen, laat staan de urgentie daarvan, aan Enviem heeft meegedeeld.

4.8. De rechtbank is van oordeel dat I-Beheer ICT B.V. jegens Enviem B.V. is toerekenbaar tekortgeschoten in haar verplichtingen uit de netwerkbeheerovereenkomst door Enviem niet in duidelijke bewoordingen te wijzen op het ontbreken van netwerksegmentatie, de kwetsbaarheid van de back-up voorziening en het gebrekkige wachtwoordbeleid, en de daarmee gepaard gaande beveiligingsrisico’s. I-Beheer ICT B.V. is dan ook aansprakelijk voor de schade die Enviem B.V. ten gevolge van deze tekortkoming heeft geleden.

4.24. De rechtbank volgt Enviem niet in haar stelling dat het bedrag waartoe aansprakelijkheid is beperkt (€ 50.000,-) niet in verhouding staat tot de schade die Enviem stelt te hebben geleden (€ 600.000,-). Ten eerste zijn de door Enviem genoemde bedragen niet zodanig disproportioneel dat hierdoor een beroep op de aansprakelijkheidsbeperking onaanvaardbaar zou zijn. Ten tweede komt de btw (ad € 80.984,65) die is inbegrepen in de vordering, zoals I-Beheer terecht heeft opgemerkt, niet voor schadevergoeding in aanmerking. Ten derde komen de kosten van forensisch onderzoek en mitigatie door NFIR (€ 206.499,00) niet voor schadevergoeding in aanmerking. Dienaangaande overweegt de rechtbank als volgt.

Volgens I-Beheer c.s. is onderzoeksbureau NFIR niet onafhankelijk omdat NFIR partnerschapsbanden heeft met de firma Guardian360 die de ICT-beveiliging binnen Enviem monitort en met First Lawyers, het advocatenkantoor dat Enviem c.s. bijstaat, en met Bizway, de nieuwe IT-leverancier van Enviem. Enviem c.s. heeft de gestelde partnerschapsbanden niet betwist zodat de rechtbank hiervan uitgaat. Enviem heeft geweigerd om aan I-Beheer een exemplaar van het NFIR-onderzoeksrapport ter beschikking te stellen. In de onderhavige procedure heeft Enviem c.s. slechts de management-samenvatting van het NFIR-rapport overgelegd waardoor de totstandkoming van de bevindingen en van de conclusies van NFIR niet verifieerbaar is. De kosten van NFIR zijn erg hoog zonder dat van een noodzaak voor dergelijk hoge kosten is gebleken. Onder al die omstandigheden kunnen de kosten van NFIR niet worden beschouwd als redelijke kosten ter voorkoming of beperking van schade die als gevolg van de gebeurtenis waarop de aansprakelijkheid berust, mocht worden verwacht of redelijke kosten ter vaststelling van schade en aansprakelijkheid als bedoeld in artikel 6:96 lid 2 BW.

Het verschil tussen het bedrag van de aansprakelijkheidsbeperking en de omvang van de schade is dan ook aanmerkelijk kleiner dan Enviem veronderstelt.

4.48. Iedere tekortkoming van een partij in de nakoming van een van haar verbintenissen geeft aan de wederpartij de bevoegdheid om de overeenkomst geheel of gedeeltelijk te ontbinden, tenzij de tekortkoming, gezien haar bijzondere aard of geringe betekenis, deze ontbinding met haar gevolgen niet rechtvaardigt (artikel 6:265 lid 1 BW).
I-Beheer is toerekenbaar tekortgeschoten in de nakoming van haar verplichtingen uit de netwerkbeheerovereenkomst. De rechtbank verwijst naar hetgeen zij daarover in conventie onder 4.5tot en met 4.8 heeft overwogen. Nu geen sprake is van tekortkomingen van geringe betekenis en ook niet is gebleken van enige bijzondere aard waardoor een ontbinding niet gerechtvaardigd zou zijn, was Enviem bevoegd de overeenkomst te ontbinden. I-Beheer voert aan dat zij niet in gebreke is gesteld. Een ingebrekestelling was echter niet nodig. Het gaat hier zoals gezegd om een overeenkomst, die voor beide partijen voortdurende verplichtingen inhoudt. Zelfs als I-Beheer na de ransomware aanval van 12 oktober 2019 haar verplichtingen uit de netwerkbeheer-overeenkomst alsnog had kunnen nakomen, wordt daarmee de tekortkoming in het verleden niet ongedaan gemaakt en wat deze tekortkoming betreft is nakoming dan ook niet meer mogelijk. Dit brengt mee dat ontbinding van de overeenkomst mogelijk is ook zonder verzuim.9
De door Enviem ingeroepen ontbinding van de netwerkbeheerovereenkomst is dan ook rechtsgeldig.