ECLI:NL:GHARL:2018:7967

• Datum uitspraak: 4 september 2018
• Publicatiedatum: 4 september 2018
• Zaaknummer: 200.194.492
• Instantie: Gerechtshof Arnhem-Leeuwarden
• Type: Uitspraak
• Rechtsgebied: Civiel recht
• Procedures: Hoger beroep
• Rechters: L.M. Croes; H. Wammes; J.G.J. Rinkes
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Tekortkoming in nakoming overeenkomst tussen De Politie en [geïntimeerde] met betrekking tot netwerkbeveiliging en tokens

In deze zaak, die voorligt bij het Gerechtshof Arnhem-Leeuwarden, gaat het om een geschil tussen de publiekrechtelijke rechtspersoon De Politie en de besloten vennootschap [geïntimeerde] over de nakoming van een overeenkomst betreffende netwerkbeveiliging. De Politie had in 2003 een SecurID systeem aangeschaft bij een wederverkoper, en in 2006 een Raamovereenkomst gesloten met [geïntimeerde] voor aanvullende diensten. Na een hack bij de leverancier [bedrijf] in 2011, waarbij mogelijk seeds van tokens zijn buitgemaakt, vorderde De Politie schadevergoeding van [geïntimeerde], stellende dat deze tekortgeschoten was in haar verplichtingen. De rechtbank Midden-Nederland had de vorderingen van De Politie afgewezen, waarna De Politie in hoger beroep ging.

Het hof oordeelt dat de tokens op het moment van levering aan de overeenkomst beantwoordden en dat de hack geen gebrek in de tokens zelf met zich meebracht. De Politie had het beveiligingssysteem zelf aangeschaft en [geïntimeerde] was niet betrokken bij de keuze of de aanschaf. Het hof concludeert dat [geïntimeerde] niet aansprakelijk kan worden gehouden voor de gevolgen van de hack, aangezien de omstandigheden die tot het probleem leidden zich in de risicosfeer van [bedrijf] bevonden. De vorderingen van De Politie worden afgewezen, en het hof bekrachtigt het vonnis van de rechtbank.

De kosten van het hoger beroep worden aan De Politie opgelegd, en het arrest is uitvoerbaar bij voorraad. De uitspraak is gedaan op 4 september 2018 door de rechters L.M. Croes, H. Wammes en J.G.J. Rinkes.

Uitspraak

GERECHTSHOF ARNHEM-LEEUWARDEN

locatie Arnhem

afdeling civiel recht, handel

zaaknummer gerechtshof 200.194.492

(zaaknummer rechtbank Midden-Nederland, locatie Utrecht, 344721)

arrest van 4 september 2018

in de zaak van

de publiekrechtelijke rechtspersoon

De Politie ,

gevestigd te [kantoorplaats] ,

appellante in het principaal hoger beroep,

geïntimeerde in het incidenteel hoger beroep,

in eerste aanleg: eiseres,

hierna: De Politie,

advocaat: mr. H.R. Quint,

tegen:

de besloten vennootschap met beperkte aansprakelijkheid

[geïntimeerde] ,

gevestigd te [kantoorplaats] ,

geïntimeerde in het principaal hoger beroep,

appellante in het incidenteel hoger beroep,

in eerste aanleg: gedaagde,

hierna: [geïntimeerde] ,

advocaat: mr. J. Slager.

1. Het verdere verloop van het geding in hoger beroep

1.1

Het hof neemt de inhoud van het tussenarrest van 2 januari 2018 hier over. Bij formulier van 12 maart 2018 heeft De Politie een akte overlegging producties ingediend, vergezeld van de producties 4 tot en met 9. Vervolgens is op 28 maart 2018 een comparitie van partijen gehouden, waarvan griffiersaantekeningen zijn gemaakt. [geïntimeerde] heeft ter comparitie bezwaar gemaakt tegen de producties, omdat daarin veel technische informatie staat. Het hof heeft het bezwaar afgewezen, omdat de stukken tijdig voor de comparitie zijn ingezonden.

1.2

Partijen hebben arrest gevraagd en het hof heeft arrest bepaald.

3. De vaststaande feiten

Het hof gaat in hoger beroep uit van de feiten zoals beschreven in de rechtsoverwegingen 2.1 tot en met 2.12 van het vonnis van 30 maart 2016.

4. Het geschil en de beslissing in eerste aanleg

4.1

Het gaat in deze zaak kort samengevat om het volgende. (Een rechtsvoorganger van) De Politie heeft in 2003 bij een wederverkoper van [bedrijf] (hierna: [bedrijf] ) een SecurID systeem gekocht met bijbehorende tokens. Dit systeem werkt aldus dat medewerkers van De Politie op afstand kunnen inloggen op het computersysteem van De Politie via een beveiligde verbinding, door een passcode in te voeren bestaande uit hun persoonlijke pincode in combinatie met een door een token gegenereerde cijfercode. Deze passcode wordt gecontroleerd door de software van [bedrijf] . Ieder token heeft een eigen ‘seed’; een bestand dat fungeert als sleutel, waarmee unieke cijfercodes worden geproduceerd. Voor het gebruik van het systeem heeft De Politie een licentieovereenkomst gesloten met [bedrijf] , welke sindsdien steeds is verlengd dan wel vernieuwd.

In vervolg op een aanbesteding heeft De Politie in 2006 met [geïntimeerde] een Raamovereenkomst en een Nadere Overeenkomst gesloten met betrekking tot netwerkbeveiliging. De Politie heeft vervolgens meermalen bestelopdrachten geplaatst bij [geïntimeerde] met betrekking tot tokens en (software)uitbreidingen, die [geïntimeerde] bij [bedrijf] betrok. In de offertes die [geïntimeerde] terzake aan De Politie zond, werden de contractvoorwaarden van de Raamovereenkomst van toepassing verklaard.

In 2011 heeft bij [bedrijf] in Amerika een computerhack (hierna: de hack) plaatsgevonden, waarbij waarschijnlijk seeds zijn buitgemaakt. Daardoor ontstond de mogelijkheid dat buitenstaanders de door de tokens gegenereerde cijfercodes zouden kunnen reproduceren. De Politie zag daarin aanleiding de mogelijk gecompromitteerde tokens versneld te vervangen door nieuwe, die [bedrijf] kosteloos aanbood. De Politie heeft voor die vervanging aanzienlijke kosten gemaakt.

4.2

Op grond van haar stelling dat de door [geïntimeerde] aan haar geleverde tokens niet meer voldeden aan wat De Politie daarvan mocht verwachten, en [geïntimeerde] aldus was tekortgeschoten in de nakoming van haar verplichtingen, vordert De Politie een verklaring voor recht en schadevergoeding. De rechtbank heeft de vorderingen afgewezen.

5. De motivering van de beslissing in hoger beroep

5.1

Tegen die beslissing komt De Politie op met 14 grieven. Van haar kant voert [geïntimeerde] in incidenteel appel één grief aan.

5.2

Met de grieven in principaal appel wordt het geschil in volle omvang opnieuw voorgelegd. Het hof zal de zaak opnieuw beoordelen, te beginnen met de vraag of er sprake is van een tekortkoming. Het hof gaat daarbij veronderstellenderwijs uit van de juistheid van de stelling van De Politie dat hier sprake is van verkoop van roerende zaken van [geïntimeerde] aan De Politie.

5.3

Tussen partijen staat vast dat de door [geïntimeerde] geleverde tokens op het moment van levering de eigenschappen hadden die De Politie mocht verwachten. Echter is door de hack bij [bedrijf] , volgens De Politie, het veiligheidsniveau van het systeem afgenomen. Eén van de vragen die partijen verdeeld houdt, is of het bij die verandering gaat om een gebrek van de tokens.

5.4

Het hof stelt vast dat aan de tokens zelf door de hack niets is veranderd. Zij functioneerden voordien naar behoren, en zijn dat sindsdien blijven doen. Dat door de hack de mogelijkheid is ontstaan dat de in de tokens vervatte seeds bij de hackers bekend zijn, vormt op zichzelf geen gebrek van de tokens, maar mogelijkerwijs wel van het gehele beveiligingssysteem, dus het samenstel van tokens, computers en software dat de beveiligde toegang mogelijk maakt. De tokens zelf zijn dus niet gebrekkig geworden door de hack.

5.5

Het complete systeem, dat mogelijkerwijs door de hack niet meer de eigenschappen (het veiligheidsniveau) bezit dat De Politie mocht verwachten en aldus wellicht nonconform is geworden, is evenwel niet geleverd door [geïntimeerde] . De Politie had dat systeem immers zelf bij [bedrijf] aangeschaft, lang voordat de overeenkomsten tussen De Politie en [geïntimeerde] werden gesloten. [geïntimeerde] heeft slechts aanvullende/vervangende tokens en software-updates geleverd, maar is bij de keuze en de aanschaf van het systeem niet betrokken geweest. Als er sprake zou zijn van een (later opgetreden) gebrek in het systeem, zou [geïntimeerde] daarvoor dus niet aansprakelijk zijn.

5.6

De Politie heeft zelf de kwestie treffend vergeleken (memorie van grieven sub 49) met de koop van een slot dat op zichzelf goed functioneert, maar waarvan derden door een inbraak bij de fabrikant kopieën van de sleutels in handen hebben gekregen. De Politie legt evenwel niet uit waarom in die situatie zou moeten worden aangenomen dat de winkelier bij wie (alleen) het slot is gekocht, ook zou moeten instaan voor de gevolgen van een (latere) inbraak bij de fabrikant, zodat dit voorbeeld niet leidt tot de door De Politie gewenste oplossing.

5.7

Zou het voorgaande anders zijn in die zin dat wel zou moeten worden aangenomen dat de hack ertoe heeft geleid dat de tokens niet langer aan de overeenkomst beantwoordden, dan moet worden beoordeeld of [geïntimeerde] daarvoor aansprakelijk is te houden. In dit verband is van belang dat een tekortkoming bestaande in een gebrek in een verkocht product in beginsel voor rekening van de verkoper komt, ook als deze het gebrek kende noch behoorde te kennen. Dat kan anders zijn in geval van bijzondere omstandigheden, die niet snel mogen worden aangenomen (HR27 april 2001, ECLI:NL:HR:2001:AB1338).

5.8

Het hof acht dergelijke bijzondere omstandigheden in dit geval aanwezig. Daarbij is van belang dat De Politie het bewuste beveiligingssysteem zelf, zonder bemoeienis of advies van [geïntimeerde] , heeft uitgekozen en dat de tokens ten tijde van de levering in ieder geval wel aan de overeenkomst beantwoordden. Dat desalniettemin (in deze lezing) later een gebrek in de tokens is ontstaan, is toe te schrijven aan omstandigheden die zich geheel in de risicosfeer van [bedrijf] bevonden (te weten de hack en het feit dat er kennelijk seeds zijn bewaard, waardoor die konden worden gekopieerd) en die [geïntimeerde] niet kon beïnvloeden of voorkomen. Daar komt dan nog bij dat ieder computersysteem uiteindelijk kan worden gehackt, zodat De Politie ook geen volledig ‘hackfree’ systeem mocht verwachten. Die bijzondere omstandigheden brengen mee dat [geïntimeerde] niet behoeft in te staan voor de gevolgen van het beweerdelijk later opgetreden gebrek in de tokens.

5.9

Het voorgaande voert tot de slotsom dat [geïntimeerde] niet is tekortgeschoten in de nakoming van haar verplichtingen door tokens aan De Politie te leveren die later zouden blijken niet meer het niveau van beveiliging te kunnen bieden dat De Politie naar haar stelling op grond van de overeenkomst zou mogen verwachten. Aangezien de vorderingen van De Politie uitsluitend op die tekortkoming zijn gebaseerd, kunnen die vorderingen niet slagen.

5.1

Aangezien de vordering van De Politie reeds op grond van het voorgaande niet voor toewijzing in aanmerking komt, kunnen de overige vele geschilpunten tussen partijen in het midden blijven. De grieven behoeven geen afzonderlijke bespreking meer. Nu de vorderingen van De Politie in eerste aanleg geheel zijn afgewezen en die uitspraak in stand blijft, heeft [geïntimeerde] geen belang bij haar incidenteel appel.

6. De slotsom

6.1

Het voorgaande voert tot de slotsom dat de vordering van De Politie niet kan worden toegewezen. Het bestreden vonnis dient te worden bekrachtigd.

6.2

Als de in het ongelijk te stellen partij zal het hof De Politie veroordelen in de kosten van het principaal hoger beroep. Die kosten worden aan de zijde van [geïntimeerde] vastgesteld op:

- griffierecht € 5.213

- salaris advocaat € 16.503 (3 punten x tarief VIII).

Nu het incidenteel appel (in verband met de devolutieve werking van het principaal appel) overbodig was, blijft een kostenveroordeling in incidenteel appel achterwege.

7. De beslissing

Het hof, recht doende in hoger beroep:

bekrachtigt het vonnis van de rechtbank Midden-Nederland, locatie Utrecht, van 30 maart 2016;

veroordeelt De Politie in de kosten van het principaal hoger beroep, tot aan deze uitspraak aan de zijde van [geïntimeerde] vastgesteld op € 5.213 voor verschotten en op € 16.503 voor salaris overeenkomstig het liquidatietarief;

verklaart dit arrest ten aanzien van de daarin vervatte veroordeling uitvoerbaar bij voorraad.

Dit arrest is gewezen door mrs. L.M. Croes, H. Wammes en J.G.J. Rinkes en is in tegenwoordigheid van de griffier in het openbaar uitgesproken op 4 september 2018.