ECLI:NL:RBMNE:2020:3239

• Datum uitspraak: 29 juli 2020
• Publicatiedatum: 11 augustus 2020
• Zaaknummer: C/16/496869 / HA ZA 20-103
• Instantie: Rechtbank Midden-Nederland
• Type: Uitspraak
• Rechtsgebied: Civiel recht; Verbintenissenrecht
• Procedures: Eerste aanleg - enkelvoudig
• Rechters: H.A. Brouwer
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Onrechtmatige daad en schending van overeenkomst in IT-beheer geschil

In deze zaak heeft de rechtbank Midden-Nederland op 29 juli 2020 uitspraak gedaan in een civiele procedure tussen een culturele instelling, eiseres, en een IT-beheerder, gedaagde. Eiseres had een vordering ingesteld tegen gedaagde, waarin zij stelde dat gedaagde onrechtmatig had gehandeld door toegang te verkrijgen tot de mailbox van haar systeembeheerder, [A]. Eiseres vorderde een verklaring voor recht dat gedaagde onrechtmatig had gehandeld, alsook schadevergoeding en een contractuele boete op grond van een overeenkomst tussen partijen.

De rechtbank heeft vastgesteld dat de eiseres de stelplicht en bewijslast draagt met betrekking tot haar vorderingen. Eiseres heeft gesteld dat gedaagde de mailbox van [A] heeft 'gehackt', maar de rechtbank oordeelt dat eiseres niet voldoende feitelijke en concrete informatie heeft aangeleverd om deze stelling te onderbouwen. Gedaagde heeft betwist dat zij de mailbox heeft gekopieerd en heeft uitgelegd dat zij een beperkt onderzoek heeft uitgevoerd naar de mailbox van [A], zonder toegang te hebben gehad tot de inhoud van de e-mails.

De rechtbank concludeert dat gedaagde niet onrechtmatig heeft gehandeld en dat er geen sprake is van een schending van de overeenkomst. De vorderingen van eiseres worden afgewezen, en eiseres wordt veroordeeld in de proceskosten. De kosten aan de zijde van gedaagde worden begroot op € 7.545,00. Dit vonnis is openbaar uitgesproken op 29 juli 2020.

Uitspraak

vonnis

RECHTBANK MIDDEN-NEDERLAND

Civiel recht

handelskamer

locatie Utrecht

zaaknummer / rolnummer: C/16/496869 / HA ZA 20-103

Vonnis van 29 juli 2020

in de zaak van

de stichting

[eiseres] ,

gevestigd te [vestigingsplaats 1] ,

eiseres,

advocaat mr. E. Doornbos,

tegen

de besloten vennootschap met beperkte aansprakelijkheid

[gedaagde] B.V. ,

gevestigd te [vestigingsplaats 2] ,

gedaagde,

advocaat mr. J.A. Endtz (procesadvocaat mr. I.M.CA. Reinders-Folmer).

Partijen zullen hierna [eiseres] en [gedaagde] genoemd worden.

1. De procedure

[eiseres] heeft een dagvaarding met producties 1 tot en met 3 ingediend. [gedaagde] heeft een conclusie van antwoord met producties 1 tot en met 7 ingediend. Op 18 juni 2020 heeft een comparitie na antwoord plaatsgevonden. Vervolgens is bepaald dat op 29 juli 2020 een vonnis zal worden uitgesproken.

2. Waar gaat deze zaak over?

2.1.

[eiseres] is een [.] culturele instelling. [gedaagde] is een IT-beheerder. Vanaf 2014 heeft [gedaagde] het IT-beheer van [gedaagde] verzorgd. Daarbij werkte zij onder meer samen met de heer [A] (hierna: [A] ), de systeembeheerder van [eiseres] . Partijen hebben hun afspraken vastgelegd in een schriftelijke overeenkomst (productie 1
van [eiseres] ) (hierna: de overeenkomst).

2.2.

Op 26 oktober 2018 heeft [eiseres] de overeenkomst opgezegd per 1 november 2019. Zij ging het IT-beheer opnieuw aanbesteden, in welk verband ook [gedaagde] in aanmerking kwam. Op 16 oktober 2019 liet [eiseres] aan [gedaagde] weten dat de overeenkomst met [gedaagde] definitief niet zou worden verlengd. Naar aanleiding daarvan zijn partijen (verder) in overleg getreden over een overdracht van het beheer.

2.3.

Eén van de onderwerpen waarover partijen hebben gesproken, is de firewall. De firewall die [gedaagde] onder de overeenkomst beschikbaar stelde, was geïnstalleerd op een router die was geplaatst in een afgesloten ruimte bij [eiseres] die beperkt toegankelijk was. [eiseres] had interesse in het verdere gebruik van de firewall na de overdracht. [gedaagde] heeft [eiseres] een exemplaar van de firewall aangeboden, maar de kosten daarvan vond [eiseres] te hoog. Dat deed haar besluiten om elders een firewall aan te schaffen. Om de andere firewall te installeren, wilde [eiseres] gebruikmaken van de configuratiegegevens die voor de bestaande firewall werden gebruikt, en die zij volgens [eiseres] voor het grootste deel zelf aan [gedaagde] heeft verstrekt. [gedaagde] wilde de configuratiegegevens echter niet aan [eiseres] verstrekken, omdat zij zich op het standpunt stelde dat deze vertrouwelijke informatie van [gedaagde] bevatten.

2.4.

Op of omstreeks 24 oktober 2019 heeft [A] in de afgesloten ruimte waar de router stond de configuratiegegevens gekopieerd. [gedaagde] kwam te weten dat iemand zich toegang had verschaft tot de router en de firewall en beschouwde dat als een ‘hack’. Vervolgens heeft zij onderzoek gedaan naar dat voorval en daarover met [eiseres] contact gehad. Partijen zijn het niet helemaal eens over wat er in verband met dat onderzoek is gebeurd. Volgens [eiseres] heeft [gedaagde] de mailbox van [A] ‘gehackt’ en is dit een onrechtmatige daad van [gedaagde] . Verder betoogt [eiseres] dat als [gedaagde] zichzelf toegang heeft verschaft tot de mailbox en de inhoud van de e-mails heeft ingezien, dit in strijd is met artikel VIII van de overeenkomst, op grond waarvan [gedaagde] een contractuele boete van
€ 100.000 verbeurt. Die bepaling luidt, voor zover van belang, als volgt: “
Partijen verplichten zich over en weer om alle informatie en gegevens waarvan partijen kennisnemen bij de uitvoering van deze Overeenkomst, met inbegrip van bedrijfsgegevens, klantgegevens, aankoop- en verkoopgegevens vertrouwelijk te behandelen. ”

2.5.

In deze procedure vordert [eiseres] een verklaring voor recht dat [gedaagde] onrechtmatig ten opzichte van [eiseres] heeft gehandeld, € 15.000 aan schadevergoeding en
€ 100.000 aan verbeurde contractuele boetes, een en ander met rente en kosten.

3. De beoordeling

3.1.

De centrale vraag in deze zaak is of [gedaagde] onrechtmatig en/of in strijd met artikel VIII van de overeenkomst heeft gehandeld. De rechtbank komt tot de conclusie dat het antwoord ‘nee’ is. Het volgende heeft de rechtbank tot deze conclusie geleid.

3.2.

De stelplicht en de bewijslast ten aanzien van onrechtmatige daad en/of de schending van de overeenkomst rusten op [eiseres] . Het is in de eerste plaats aan [eiseres] om voldoende feitelijk en concreet te stellen wat de feitelijke grondslag is van haar vordering. Vervolgens is het aan [gedaagde] om die stellingen voldoende gemotiveerd te betwisten. Aan bewijs wordt pas toegekomen als een stelling enerzijds voldoende feitelijk en concreet is en anderzijds voldoende gemotiveerd is betwist.

3.3.

Tussen partijen staat vast dat de firewall bij [eiseres] van [gedaagde] was. Ook heeft [eiseres] erkend dat er op de firewall vertrouwelijke gegevens van [gedaagde] staan. Tot slot staat vast dat een persoon (naar later bleek: [A] ), zonder toestemming van [gedaagde] , de firewall heeft uitgeschakeld en configuratiegegevens heeft gekopieerd naar een ander apparaat. De rechtbank is het met [gedaagde] eens – en dat heeft [eiseres] ook niet betwist – dat [gedaagde] gerechtigd was (en waarschijnlijk ook verplicht op grond van de overeenkomst) om onderzoek te doen naar dat voorval.

3.4.

Partijen zijn het niet erover eens wat [gedaagde] bij haar onderzoek precies heeft gedaan. Volgens [eiseres] heeft [gedaagde] een kopie gemaakt van de mailbox van [A] en de inhoud van de e-mails bekeken. [gedaagde] betwist dat.

3.5.

De rechtbank oordeelt als volgt. [gedaagde] heeft in deze procedure gedetailleerd uitgelegd welk onderzoek zij heeft gedaan en waarom. [gedaagde] stelt dat zij het vermoeden had dat [A] zich toegang had verschaft tot de router en de firewall. Dat vermoeden was gestoeld op een mededeling van [A] tegenover een medeweker van [gedaagde] dat hij de gewenste configuratiegegevens zelf van de router zou halen. Een externe hack moest echter ook worden uitgesloten, aldus [gedaagde] . Volgens [gedaagde] is een beperkt onderzoek, een ‘ComplianceSearch’, uitgevoerd naar de mailbox van [A] . Daarbij konden volgens [gedaagde] alleen gegevens bekend worden over het aantal
items in de mailbox en, bij een ‘export’ die volgens [gedaagde] niet daadwerkelijk heeft plaatsgevonden, de inhoud van de ‘regels’ (afzender/ontvanger, onderwerp, tijdstip), maar niet de inhoud van de e-mails. Dat type onderzoek heeft zij laten repliceren door de heer [B] , waarvan verslag is gedaan (productie 7 van [gedaagde] ). [gedaagde] zou niet zonder toestemming van [eiseres] of een bevoegde derde naar de inhoud van de e-mails kijken, aldus [gedaagde] .

3.6.

Tegen de achtergrond van wat [gedaagde] over het onderzoek naar voren heeft gebracht, kon van [eiseres] worden verlangd dat zij feitelijke en concrete informatie zou aanleveren waaruit volgens haar volgt dat [gedaagde] een kopie heeft gemaakt van de mailbox van [A] en de inhoud van de e-mails heeft bekeken of kunnen bekijken. Feitelijke en concrete aanwijzingen heeft [eiseres] niet gegeven. Zo’n aanwijzing kan niet worden gevonden in de stelling dat het beperkte onderzoek, dat volgens [gedaagde] heeft plaatsgevonden, nutteloos is. [gedaagde] heeft uitgelegd dat zij met haar onderzoek als het ware ‘aan de poort’ kwam te staan en, zodra zij wel toegang zou (moeten) krijgen tot de mailbox, zou kunnen nagaan wat er in de mailbox in de tussentijd is gewijzigd. Daarop heeft [eiseres] niet onderbouwd gereageerd. Een aanwijzing dat [gedaagde] wel degelijk inzage heeft gehad in de inhoud van de e-mails kan evenmin worden gevonden in de stelling van [eiseres] dat [gedaagde] uit de mailbox te weten is gekomen dat [eiseres] met een andere ICT-dienstverlener in zee zou gaan nu zij dat niet op een andere manier kon weten. Die redenering begrijpt de rechtbank zonder nadere uitleg, die ontbreekt, niet. Tussen partijen staat immers vast dat [eiseres] de overeenkomst op 26 oktober 2018 heeft opgezegd en dat zij op 16 oktober 2019 aan [gedaagde] heeft laten weten dat de overeenkomst (definitief) niet zou worden verlengd. Het onderzoek van [gedaagde] vond ná 24 oktober 2019, de dag waarop [gedaagde] erachter kwam dat iemand toegang had gehad tot de router, plaats, zodat zonder uitleg niet valt in te zien dat [gedaagde] uit dat onderzoek heeft moeten afleiden dat [eiseres] met een ander in zee ging. Ook voor het overige heeft [eiseres] haar versie van gebeurde onvoldoende concreet onderbouwd.

3.7.

De onrechtmatige gedraging die [eiseres] [gedaagde] verwijt, is daarmee niet komen vast te staan. Evenmin is, naar de eigen uitleg van [eiseres] , artikel VIII van de overeenkomst geschonden. [eiseres] heeft immers ter zitting naar voren gebracht dat als de stellingen van [gedaagde] over het beperkte onderzoek kloppen, de bewuste contractsbepaling niet is geschonden. Nu geen sprake is van een onrechtmatige gedraging of schending van de overeenkomst door [gedaagde] , is er ook geen verschuldigdheid van buitengerechtelijke kosten. De vorderingen van [eiseres] zullen dus worden afgewezen.

3.8.

[eiseres] krijgt ongelijk en wordt in de proceskosten veroordeeld. De kosten aan de zijde van [gedaagde] worden begroot op:

- griffierecht € 4.131,00

- salaris advocaat €
3.414,00 (2 punten × tarief € 1.707,00)

Totaal € 7.545,00

4. De beslissing

De rechtbank

4.1.

wijst de vorderingen af,

4.2.

veroordeelt [eiseres] in de proceskosten, aan de zijde van [gedaagde] tot op heden begroot op € 7.545,00,

4.3.

verklaart dit vonnis wat betreft de kostenveroordeling uitvoerbaar bij voorraad.

Dit vonnis is gewezen door mr. H.A. Brouwer, bijgestaan door mr. R. Bloemink als griffier, en in het openbaar uitgesproken op 29 juli 2020. ^[1]

Voetnoten

1. type: RB (5128)