ECLI:NL:GHAMS:2020:1308

• Datum uitspraak: 14 april 2020
• Publicatiedatum: 25 mei 2020
• Zaaknummer: 200.239.540/01
• Instantie: Gerechtshof Amsterdam
• Type: Uitspraak
• Rechtsgebied: Civiel recht
• Procedures: Hoger beroep
• Rechters: J.M. de Jongh; P.F.G.T. Hofmeijer-Rutten; J.B. Huizink
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Aansprakelijkheid voor schade door ransomware na beëindiging ICT-onderhoudscontract

In deze zaak gaat het om een hoger beroep van [appellante] tegen een vonnis van de kantonrechter in de rechtbank Noord-Holland. De zaak betreft een geschil over de aansprakelijkheid van [geïntimeerde] voor schade die [appellante] heeft geleden na een ransomware-aanval op haar ICT-systeem. De ransomware-aanval vond plaats kort na de beëindiging van een ICT-onderhoudscontract tussen [appellante] en [geïntimeerde]. De kantonrechter had de vordering van [appellante] afgewezen en die van [geïntimeerde] toegewezen. [appellante] stelt dat [geïntimeerde] tekort is geschoten in de uitvoering van de Service Level Agreement (SLA) door niet te zorgen voor adequate back-ups, waardoor het systeem niet hersteld kon worden na de hack. [geïntimeerde] betwist deze aansprakelijkheid en vordert betaling van een openstaande factuur.

De feiten zijn als volgt: [geïntimeerde] heeft vanaf mei 2014 het ICT-systeem van [appellante] beheerd op basis van een SLA. In maart 2016 heeft [appellante] aangegeven de overeenkomst te willen beëindigen en heeft zij een nieuwe overeenkomst gesloten met [Y] IT. De SLA met [geïntimeerde] is op 21 juni 2016 beëindigd. Kort daarna, op 19 juli 2016, werd [appellante] getroffen door een ransomware-aanval. [appellante] heeft losgeld betaald om toegang tot haar systeem te herstellen, maar stelt dat er geen bruikbare back-ups waren, wat [geïntimeerde] verweten wordt.

Het hof heeft in deze zaak behoefte aan een kopie van de SLA om de rechten en verplichtingen van partijen vast te stellen. Het hof heeft de zaak aangehouden voor verdere bewijslevering en zal de partijen in de gelegenheid stellen om hun stellingen te preciseren aan de hand van de SLA. De beslissing van het hof is dat de zaak naar de rol van 28 april 2020 wordt verwezen voor het nemen van de bedoelde akte door [geïntimeerde].

Uitspraak

GERECHTSHOF AMSTERDAM

afdeling civiel recht en belastingrecht, team I

zaaknummer : 200.239.540/01

zaak-/rolnummer rechtbank Noord-Holland : 5917691 \ CV EXPL 17-3426 (PA)

arrest van de meervoudige burgerlijke kamer van 14 april 2020

[appellante] ,

gevestigd te [vestigingsplaats] ,

appellante,

advocaat: mr. B.R. Capaan te Amsterdam,

tegen

[geïntimeerde] ,

gevestigd te [vestigingsplaats] ,

geïntimeerde,

advocaat: mr. J. Veninga te Leeuwarden.

1. Het geding in hoger beroep

Partijen worden hierna [appellante] en [geïntimeerde] genoemd.

[appellante] is bij dagvaarding van 26 februari 2018 in hoger beroep gekomen van een vonnis van de kantonrechter in de rechtbank Noord-Holland (hierna: de kantonrechter), van 13 december 2017, onder bovenvermeld zaak-/rolnummer gewezen tussen [appellante] als eiseres in conventie, tevens verweerster in reconventie en [geïntimeerde] als gedaagde in conventie tevens eiseres in reconventie.

Bij tussenarrest van 5 juni 2018 heeft dit hof bepaald dat een comparitie na aanbrengen plaatsvindt. Deze is op 11 oktober 2018 gehouden. Een schikking is niet bereikt.

Partijen hebben daarna de volgende stukken ingediend:

- memorie van grieven, met producties;

- memorie van antwoord.

Ten slotte is arrest gevraagd.

[appellante] heeft geconcludeerd dat het hof het bestreden vonnis zal vernietigen en – uitvoerbaar bij voorraad – [geïntimeerde] zal veroordelen tot betaling van (i) € 17.262,27 exclusief btw aan schadevergoeding met rente, (ii) € 947,62 exclusief btw aan buitengerechtelijke incassokosten, (iii) € 6.034,88 incl. btw aan onderzoekskosten, met rente, een en ander met veroordeling van [geïntimeerde] in de kosten van het geding in beide instanties met nakosten en rente.

[geïntimeerde] heeft geconcludeerd tot bekrachtiging, met – uitvoerbaar bij voorraad – veroordeling van [appellante] in de kosten van het geding in hoger beroep.

Beide partijen hebben in hoger beroep bewijs van hun stellingen aangeboden.

2. Feiten

De kantonrechter heeft in het bestreden vonnis onder 2 de feiten weergegeven die zij als vaststaand heeft aangenomen. Voor zover met
grief 5 wordt geklaagd over de juistheid van de door de kantonrechter vastgestelde feiten zal het hof deze klachten in aanmerking nemen bij onderstaande samenvatting van de feiten. Voor zover met grief 5 wordt geklaagd over de onvolledigheid van de feiten overweegt het hof dat het aan de kantonrechter is om de naar haar oordeel voor haar beslissing relevante feiten te selecteren. Samengevat en waar nodig aangevuld met andere feiten die als enerzijds gesteld en anderzijds niet of onvoldoende betwist zijn komen vast te staan, zal van de volgende feiten worden uitgegaan.

2.1.

[geïntimeerde] is een automatiseringsbedrijf dat [X] V.O.F. (hierna: [X] ) soft- en hardware heeft geleverd. [X] had met [geïntimeerde] een overeenkomst ter zake het onderhoud- en beheer van het ICT-systeem. Sinds mei 2014 is [geïntimeerde] het ICT-systeem gaan beheren en onderhouden op basis van een Service Level Agreement (SLA). Tot dat beheer en onderhoud behoorde onder meer de verantwoordelijkheid voor het instandhouden van een adequaat back up-systeem.

2.2.

Begin 2015 heeft [A] de onderneming van [X] overgenomen en heeft hij de onderneming ondergebracht in [appellante] .

2.3.

Vanaf februari 2015 heeft [appellante] de SLA met [geïntimeerde] voortgezet. [appellante] betaalde daarvoor aan [geïntimeerde] een vaste vergoeding van laatstelijk € 853,05 per maand.

2.4.

In maart 2016 heeft [appellante] aan [geïntimeerde] kenbaar gemaakt dat zij de overeenkomst met [geïntimeerde] wilde beëindigen. [geïntimeerde] is vanaf maart 2016 de overdracht van het beheer en onderhoud van het ICT-systeem gaan voorbereiden.

2.5.

In april 2016 heeft [appellante] aan [geïntimeerde] kenbaar gemaakt dat zij met [Y] IT (hierna: [Y] ) een nieuwe overeenkomst zou gaan sluiten.

2.6.

Op 21 juni 2016 is de SLA met [geïntimeerde] beëindigd. Ten behoeve van de overdracht van het beheer aan [Y] heeft [geïntimeerde] aan [appellante] de toegangscodes tot het systeem verstrekt en heeft [geïntimeerde] een overdrachtsrapport opgesteld waarin het ICT-systeem was beschreven. Dat overdrachtsrapport had mede betrekking op het back-up systeem.

2.7.

Op 19 juli 2016 is [appellante] getroffen door een ransomsoftware-blokkade.

2.8.

Op 26 juli 2016 heeft [appellante] € 1.371,21 aan bitcoins gekocht en losgeld betaald.

2.9.

Op 28 juli 2016 heeft [appellante] de de-encryptie-code ontvangen en op 29 juli 2016 is de blokkade opgeheven en het ICT-systeem van [appellante] weer opgestart en gecontroleerd.

2.10.

[Y] heeft op 1 augustus 2016 een aanvang gemaakt met haar werkzaamheden.

2.11.

Naar aanleiding van de onder 2.7 bedoelde hack heeft [geïntimeerde] werkzaamheden ten behoeve van [appellante] verricht. De factuur van 1 augustus 2016 van € 236,55 heeft [appellante] onbetaald gelaten.

3. Beoordeling

3.1.

[appellante] vordert in deze procedure, samengevat, dat [geïntimeerde] wordt veroordeeld tot betaling van € 18.209,89 met nevenvorderingen. [geïntimeerde] is volgens [appellante] tekortgeschoten in de uitvoering van de SLA en is daarmee aansprakelijk voor de schade die [appellante] daardoor heeft geleden. Die schade is met name het gevolg van het tekort schieten in de verplichting om naar behoren te zorgen voor adequate back ups. [appellante] betoogt dat er ten tijde van de onder 2.7 bedoelde hack geen bruikbare back-ups waren waardoor het gegijzelde systeem niet hersteld kon worden.

[geïntimeerde] vordert op haar beurt de betaling van de factuur van 1 augustus 2016.

3.2.

De kantonrechter heeft de vordering van [appellante] afgewezen en die van [geïntimeerde] toegewezen. Samengevat heeft de kantonrechter het volgende overwogen. De stelling dat [geïntimeerde] voor het laatst in juni 2013 een back-up heeft gemaakt is onvoldoende onderbouwd. [appellante] heeft erkend dat [geïntimeerde] nog in 2015 bij [appellante] is langs geweest om een back-up terug te zetten. (rov. 5.2) Niet in geschil is dat de samenwerking tussen partijen op 21 juni 2016 is geëindigd en dat [Y] vanaf april 2016 betrokken was bij de overdracht van het (onderhoud en beheer van het) ICT-systeem van [geïntimeerde] naar [Y] . Verder staat vast dat [Y] per 1 augustus 2016 met werkzaamheden voor [appellante] is begonnen. (rov. 5.3) De keuze van [appellante] om de overeenkomst met [Y] niet op 21 juni 2016 te laten ingaan maar op een later tijdstip, komt voor rekening en risico van [appellante] . Niet valt in te zien waarom [geïntimeerde] verantwoordelijk zou moeten blijven voor het onderhoud en beheer van het ICT-systeem, terwijl de overeenkomst met [geïntimeerde] al was geëindigd. (rov. 5.4) Daarom is geen sprake van een tekortkoming van [geïntimeerde] (rov. 5.5).

Wat de tegenvordering betreft, heeft [appellante] niet betwist dat [geïntimeerde] de in rekening gebrachte werkzaamheden heeft verricht. Wat [appellante] heeft aangevoerd, is onvoldoende om te concluderen dat sprake is van een tekortkoming in de nakoming van de SLA. (rov. 5.9)

Tegen deze beslissing en de daaraan ten grondslag gelegde motivering komt [appellante] met haar grieven op.

3.3.

Partijen strijden in deze zaak over de vraag of [geïntimeerde] is tekortgeschoten in de nakoming van haar verplichtingen uit hoofde van de SLA. Tussen partijen staat vast dat de SLA in mei 2014 is aangegaan tussen [geïntimeerde] en [X] . Verder staat vast dat [appellante] de rechten en verplichtingen van [X] uit hoofde van de SLA vanaf februari 2015 heeft overgenomen. Tussen partijen staat verder vast dat [geïntimeerde] op grond van de SLA verantwoordelijk was voor het functioneren van het back-upsysteem.

3.4.

Om de rechten en verplichtingen op dit punt concreter te kunnen vaststellen heeft het hof behoefte aan een kopie van de SLA. Een kopie daarvan is evenwel niet in het geding gebracht. Uit de stellingen van [appellante] volgt dat zij hierover niet beschikt (zie onder meer proces-verbaal van comparitie in eerste aanleg, p. 5 en memorie van grieven onder 28 en 58). Tegen deze achtergrond ziet het hof aanleiding om [geïntimeerde] op de voet van art. 22 Rv te gelasten om op 19 mei 2020 een kopie van de SLA met eventuele bijlages bij akte in het geding te brengen. [appellante] zal vervolgens op 16 juni 2020 een antwoordakte kunnen nemen waarin zij haar reeds ingenomen stellingen met betrekking tot de tekortkoming kan preciseren aan de hand van de SLA, waarop [geïntimeerde] vervolgens op 14 juli 2020 kan reageren.

3.5.

Het hof overweegt nog het volgende. De stelplicht met betrekking tot de tekortkoming en de hieruit voortvloeiende schade rust op [appellante] . In dit stadium van de procedure kan niet worden uitgesloten dat nog nadere bewijslevering op het punt van de tekortkoming en/of de geleden schade nodig zal zijn. Daar komt bij dat [geïntimeerde] zich erop beroept dat de (gestelde) schade mede een gevolg is van omstandigheden die aan [appellante] moeten worden toegerekend. Als het hof daaraan toekomt is mogelijk ook op dat punt bewijslevering nodig. Het hof overweegt tegen die achtergrond en mede met het oog op een regeling, een mondelinge behandeling te gelasten; partijen kunnen zich daarover in hun akte uitlaten.

3.6.

Het hof zal iedere verdere beslissing aanhouden.

4. Beslissing

Het hof:

4.1.

verwijst de zaak naar de rol van 28 april 2020 voor het nemen van de onder 3.4 bedoelde akte aan de zijde van [geïntimeerde] ;

4.2.

houdt iedere verdere beslissing aan.

Dit arrest is gewezen door mrs. J.M. de Jongh, P.F.G.T. Hofmeijer-Rutten en J.B. Huizink en door de rolraadsheer in het openbaar uitgesproken op 14 april 2020.