Uitspraak
RECHTBANK Noord-Nederland
Civiel recht
zittingsplaats Assen
Zaaknummer: C/19/131097 / HA ZA 20-82
Vonnis van 21 september 2022
in de zaak van
1.ENVIEM HOLDING B.V.,
te Harderwijk,
2.
ENVIEM B.V.,
2.
ENVIEM B.V.,
te Harderwijk,
3.
TRANSNATIONAL BLENDERS B.V.,
3.
TRANSNATIONAL BLENDERS B.V.,
te Dordrecht,
4.
ENVIEM RETAIL HOLDING B.V.,
4.
ENVIEM RETAIL HOLDING B.V.,
te Harderwijk,
5.
ENVIEM RETAIL NEDERLAND B.V.,
5.
ENVIEM RETAIL NEDERLAND B.V.,
te Harderwijk,
6.
ENVIEM RETAIL B.V.,
6.
ENVIEM RETAIL B.V.,
te Harderwijk,
7.
FASE FACILITY SERVICES B.V,
7.
FASE FACILITY SERVICES B.V,
te Harderwijk,
8.
OLIEHANDEL NEDERLAND B.V.,
8.
OLIEHANDEL NEDERLAND B.V.,
te Harderwijk,
9.
MAIN B.V.,
9.
MAIN B.V.,
te Amsterdam,
10.
ENVIEM WHOLESALE HOLDING B.V.,
10.
ENVIEM WHOLESALE HOLDING B.V.,
te Den Helder,
eisers in conventie,
verweerders in reconventie,
hierna samen te noemen: Enviem c.s.,
advocaat mr. A.W. Duthler te 's-Gravenhage,
tegen
1.I-BEHEER ICT B.V.,
te Coevorden,
hierna ook te noemen: I-Beheer,
2.
I-BEHEER GROEP B.V.,
hierna ook te noemen: I-Beheer,
2.
I-BEHEER GROEP B.V.,
te Coevorden,
gedaagden in conventie,
eisers in reconventie,
hierna samen te noemen: I-Beheer c.s.,
advocaat mr. G.A.C. van den Hout te Groningen.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- het tussenvonnis van 19 januari 2022 en de daarin genoemde stukken;
- de akte overlegging aanvullende producties genummerd 111 tot en met 114 van I-Beheer c.s. van 30 maart 2022
- het proces-verbaal van de mondelinge behandeling van 30 maart 2022
- de akte overlegging aanvullende producties genummerd 115 tot en met 119 van I-Beheer c.s. van 13 april 2022
- de antwoordakte van Enviem c.s. van 11 mei 2022.
- het proces-verbaal van de mondelinge behandeling van 30 maart 2022
- de akte overlegging aanvullende producties genummerd 115 tot en met 119 van I-Beheer c.s. van 13 april 2022
- de antwoordakte van Enviem c.s. van 11 mei 2022.
1.2.
Ten slotte is vonnis bepaald.
2.De feiten in conventie en reconventie
2.1.
Enviem Holding B.V. is enig aandeelhouder en bestuurder van Enviem B.V. Enviem B.V. staat op haar beurt aan het hoofd van een groep vennootschappen, waaronder eisers in conventie sub 3 tot en met 10, die werkzaamheden verrichten en diensten verlenen in de olie- en brandstoffensector waaronder de exploitatie van 420 tankstations. Het hoofdkantoor van Enviem c.s. is gevestigd in Harderwijk, alwaar circa 60 mensen werkzaam zijn.
2.2.
I-Beheer B.V. drijft een onderneming die zich richt op ICT beheer dienstverlening voor de zakelijke markt.
2.3.
Per 1 januari 2010 is een overeenkomst gesloten met betrekking tot netwerkbeheer tussen I-Beheer ICT B.V. enerzijds en Gulf Harderwijk, die later is opgegaan in Enviem Retail B.V., anderzijds. Deze overeenkomst werd tot 2016 steeds stilzwijgend verlengd.
2.4.
Op 13 januari 2016 is een nieuwe overeenkomst voor netwerkbeheer gesloten. Partijen bij deze nieuwe overeenkomst waren enerzijds I-Beheer ICT B.V. en anderzijds Enviem B.V. Deze overeenkomst is per 1 januari 2018 schriftelijk met twee jaar verlengd tot 31 december 2019, waarbij de omschrijving van de werkzaamheden en het aantal uren is uitgebreid. De overeenkomst behelsde preventief onderhoud, remote health check en 24x7 monitoring, voor een vast aantal uren per jaar. De tekst van deze verlengde overeenkomst luidt, voor zover hier van belang als volgt:
Uitvoerder : I-Beheer ICT B.V.
Opdrachtgever : Enviem B.V. Locatie Harderwijk (Gulf, ITTS), Dordrecht
Opdrachtgever : Enviem B.V. Locatie Harderwijk (Gulf, ITTS), Dordrecht
(TNB), Amsterdam en Den Helder
Ingangsdatum : 1 januari 2018
Einddatum : 31 december 2019
Totaal overeengekomen uren : 1228 uur
(…)
Omschrijving werkzaamheden binnen overeengekomen uren:
Preventief onderhoud: 1000 uur per jaar, 19 uur per week, waarvan om de week op locatie en om de week op afstand en waarvan 4 uur per week PO op afstand voor TNB en 7 uur per week op locatie TNB, Dordrecht voor algemene werkzaamheden. Tevens ook 1 uur per maand locatie Nigtevecht in combinatie met PO Main.
Dit houdt het volgende in:
- Back-up controle servers
- Harddisk controle servers
- Virusdefinities servers/werkstations
- Service pack / beveiligingsupdates
- Schoonmaak servers
- Inventarisatie gegevens bijwerken ASP
24*7 monitoring: 52 servers
- Monitoring van de capaciteit van het geheugen en beschikbaarheid
- Indien er een capaciteit probleem is, zal op Uitvoerder de Opdrachtgever schriftelijk adviseren over welke mogelijk (preventieve) oplossingen er zijn.
Remote health checkop 38 servers: 228 uur per jaar, 19 uur per maand
- Controle op de serverlogs
- Controle op de server capaciteit
- Beveiliging van de ICT omgeving
- Back up
- Betrouwbaarheid/capaciteit
Remote Health Checks worden uitgevoerd op de volgende 38 servers:
Harderwijk: 19 servers
(…)
Dordrecht: 8 servers
(…)
Main: 8 servers
(…)
Enviem Wholesale Den Helder: 3 servers
(…)
Monitoring wordt op de volgende 52 servers uitgevoerd:
Harderwijk: 25 servers
(…)
Dordrecht: 12 servers
(…)
Main: 11 servers
(…)
Enviem Wholesale Den Helder: 4 servers
(…)
2.Uitvoering van de overeenkomst
A) Uitvoerder moet bij zijn werkzaamheden de zorgen van een goed opdrachtnemer in acht nemen.
B) Voor het overige is de wijze van uitvoering van de opdracht geheel overgelaten aan de Uitvoerder.
(…)
(…)
4.Duur en beëindiging van de overeenkomst
A) Deze overeenkomst is aangegaan voor de duur van 1 jaar, ingaande op 1 januari 2016.
B) Na afloop van de periode van 1 jaar van artikel 4.A) wordt de overeenkomst telkens stilzwijgend verlengd met 2 jaar, behoudens opzegging.
(…)
7.Security
A) Aangaande security dienen minimaal door Opdrachtgever de volgende maatregelen te zijn getroffen:
Deugdelijke antivirusbeveiliging;
Firewall.
B) Uitvoerder zal de deugdelijkheid van de security beoordelen en haar bevindingen aan Opdrachtgever mededelen.
C) Indien de security door Uitvoerder als niet deugdelijk wordt beschouwd, dan is Uitvoerder niet aansprakelijk voor enige schade die als gevolg van de niet deugdelijke security is ontstaan of in de toekomst kan ontstaan.
D) Uitvoerder kan op verzoek/aanvraag van Opdrachtgever zorgdragen voor een deugdelijke security. Deze aanvraag/opdracht zal worden behandeld als zijnde meerwerk als in art. 8 van deze overeenkomst.
(…)
12. Overige bepalingen
A) Opdrachtgever verklaart door ondertekening tevens bekend te zijn en akkoord te gaan met de algemene voorwaarden van Uitvoerder, welke exclusief op deze overeenkomst van toepassing zijn.
B) Deze overeenkomst bevat alle afspraken welke tussen partijen zijn gemaakt omtrent de in deze overeenkomst genoemde onderwerpen en treedt in de plaats van alle eerdere overeenkomsten welke tussen partijen daaromtrent zijn gesloten.
(…)
Begrippenlijst
BeheerHet in stand houden van de ICT objecten, het herstellen van geconstateerde gebreken en het aanpassen van ICT voorzieningen aan gewijzigde omstandigheden. Ook het implementeren van nieuwe versies van applicatie- en systeemprogrammatuur behoort tot het beheer.
(…)
BeveiligingDe mate waarin de authenticiteit, vertrouwelijkheid, integriteit en exclusiviteit van gegevens wordt gewaarborgd.
(…)
2.5.
Verticaal in de kantlijn staat op de verlengingsovereenkomst van 1 januari 2018 vermeld: “
Levering en betaling geschieden uitsluitend volgens onze voorwaarden gedeponeerd bij de Kamer van Koophandel te Meppel 05066725”.
Levering en betaling geschieden uitsluitend volgens onze voorwaarden gedeponeerd bij de Kamer van Koophandel te Meppel 05066725”.
2.6.
De algemene voorwaarden van I-Beheer ICT B.V. die zij heeft gedeponeerd bij de Kamer van Koophandel op 24 januari 2017 onder nummer 05066752 luiden, voor zover relevant, als volgt:
2.Prijs en betaling
(…)
2.6 Indien Cliënt de verschuldigde bedragen niet binnen de overeengekomen termijn betaalt, zal Cliënt, zonder dat enige ingebrekestelling nodig is, over het openstaande bedrag de wettelijke rente bij handelsovereenkomsten verschuldigd zijn. Indien Cliënt na ingebrekestelling nalatig blijft de vordering te voldoen, kan de vordering uit handen worden gegeven, in welk geval Cliënt naast het al dan verschuldigde totale bedrag tevens gehouden zal zijn tot volledige vergoeding van buitengerechtelijke en gerechtelijke kosten, waaronder alle kosten berekend door externe deskundigen naast de in rechte vastgestelde kosten, verband houdende met de inning van deze vordering of van rechtsuitoefening anderszins, waarvan de hoogte wordt bepaald op minimaal 15% van het totale bedrag.
2.6 Indien Cliënt de verschuldigde bedragen niet binnen de overeengekomen termijn betaalt, zal Cliënt, zonder dat enige ingebrekestelling nodig is, over het openstaande bedrag de wettelijke rente bij handelsovereenkomsten verschuldigd zijn. Indien Cliënt na ingebrekestelling nalatig blijft de vordering te voldoen, kan de vordering uit handen worden gegeven, in welk geval Cliënt naast het al dan verschuldigde totale bedrag tevens gehouden zal zijn tot volledige vergoeding van buitengerechtelijke en gerechtelijke kosten, waaronder alle kosten berekend door externe deskundigen naast de in rechte vastgestelde kosten, verband houdende met de inning van deze vordering of van rechtsuitoefening anderszins, waarvan de hoogte wordt bepaald op minimaal 15% van het totale bedrag.
10.Aansprakelijkheid van I-Beheer; vrijwaring
10.1
I-Beheer aanvaardt wettelijke verplichtingen tot schadevergoeding voor zover dat uit dit artikel 10 blijkt.
10.2
De totale beroepsaansprakelijkheid van I-Beheer wegens toerekenbare tekortkoming in de nakoming van de overeenkomst is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de voor die overeenkomst bedongen prijs (excl. BTW). Indien de overeenkomst hoofdzakelijk een duurovereenkomst is met een looptijd van meer dan één jaar, wordt de bedongen prijs gesteld op het totaal van de vergoedingen (excl. BTW) bedongen voor één jaar. In geen geval zal de totale vergoeding voor directe schade echter meer bedragen dan € 50.000,00 (vijftigduizend euro).
Onder directe schade wordt uitsluitend verstaan:
a. de redelijke kosten die Cliënt zou moeten maken om de prestatie van I-Beheer aan de overeenkomst te laten beantwoorden. Deze schade wordt echter niet vergoed indien Cliënt de overeenkomst heeft ontbonden;
b. de kosten die Cliënt heeft gemaakt voor het noodgedwongen langer operationeel houden van zijn oude systeem of systemen en daarmee samenhangende voorzieningen doordat I-Beheer op een voor hem bindende leverdatum niet heeft geleverd, verminderd met eventuele besparingen die het gevolg zijn van de vertraagde levering;
c. redelijke kosten, gemaakt ter vaststelling van de oorzaak en de omvang van de schade, voor zover de vaststelling betrekking heeft op directe schade in de zin van deze voorwaarden;
d. redelijke kosten, gemaakt ter voorkoming of beperking van schade, voor zover Cliënt aantoont dat deze kosten hebben geleid tot beperking van directe schade in de zin van deze voorwaarden.
10.3
De totale aansprakelijkheid van I-Beheer voor schade door dood of lichamelijk letsel of voor materiële beschadiging van zaken bedragen per incident € 500.000,00
(vijfhonderdduizend euro) en zal in geen geval meer bedragen dan € 2.000.000,00 (twee.
miljoen euro) per jaar.
10.4
Aansprakelijkheid van I-Beheer voor indirecte schade, daaronder begrepen gevolgschade, gederfde winst, gemiste besparingen en schade door bedrijfsstagnatie, is uitgesloten.
10.5
Buiten de in artikel 10.2 en 10.3 genoemde gevallen rust op I-Beheer geen enkele aansprakelijkheid voor schadevergoeding, ongeacht de grond waarop een actie tot schadevergoeding zou worden gebaseerd.
De in artikel 10.2 en 10.3 genoemde maximumbedragen komen echter te vervallen indien en voor zover de schade het gevolg is van opzet of grove schuld van I-Beheer.
(…)
(…)
2.7.
De voorgaande versie van algemene voorwaarden van I-Beheer, gedeponeerd bij de Kamer van Koophandel op 11 september 2012, luidt ten aanzien van de geciteerde artikelen 2.6 en 10 hetzelfde.
2.8.
Naast de overeenkomst voor netwerkbeheer, waarbij I-Beheer op basis van een vooraf vastgesteld aantal uren werkzaamheden voor Enviem c.s. verrichtte, nam Enviem c.s. werkuren af bij I-Beheer op basis van zogenoemde strippenkaarten. Een strippenkaart van I-Beheer bestaat uit 100 uren, die door de klant vooraf worden afgenomen en betaald, en waar de door I-Beheer gewerkte uren vervolgens van worden afgeschreven.
2.9.
Enviem B.V. is op 12 oktober 2019 getroffen door een
ransomwareaanval waarbij haar gegevensbestanden en ook haar back-up bestanden werden versleuteld. Hierdoor kon Enviem enige tijd niet meer bij haar bedrijfsgegevens en werd de bedrijfsvoering belemmerd. Enviem c.s. heeft de versleuteld geraakte bedrijfsinformatie deels kunnen laten reconstrueren uit snapshots die anderhalve week tevoren door I-Beheer waren gemaakt. Enviem c.s. heeft de aanvaller geen losgeld betaald.
ransomwareaanval waarbij haar gegevensbestanden en ook haar back-up bestanden werden versleuteld. Hierdoor kon Enviem enige tijd niet meer bij haar bedrijfsgegevens en werd de bedrijfsvoering belemmerd. Enviem c.s. heeft de versleuteld geraakte bedrijfsinformatie deels kunnen laten reconstrueren uit snapshots die anderhalve week tevoren door I-Beheer waren gemaakt. Enviem c.s. heeft de aanvaller geen losgeld betaald.
2.10.
Enviem c.s. heeft forensisch onderzoeksbureau NFIR ingeschakeld om onderzoek te verrichten naar de oorzaak en omvang van de ransomware aanval.
2.11.
Per brief van 21 februari 2020 heeft Enviem c.s. I-Beheer in gebreke gesteld en de ontbinding ingeroepen van de overeenkomst voor netwerkbeheer. Ten aanzien van de contractuele verhouding tussen partijen staat in deze brief van Enviem vermeld:
“ I-Beheer verzorgde voor Enviem het beheer van haar netwerk, waartoe ook de beveiliging van de ICT-omgeving van Enviem behoorde. Het contract tussen Enviem en I-Beheer bestond uit in ieder geval de volgende documenten:
Overeenkomst netwerkbeheer Enviem Nr 510231234 d.d. 1 januari 2016;
Verlenging netwerkbeheercontract Enviem BV d.d. 1 januari 2018;
Algemene voorwaarden van I-Beheer ICT B.V. zoals laatstelijk gedeponeerd op 24 januari 2017 bij de Kamer van Koophandel.
Aanvullend op deze documenten zijn mondeling nadere afspraken gemaakt (…).”
2.12.
Enviem c.s. hebben 43 facturen van I-Beheer ICT B.V., totaal ten bedrage van € 167.683,36, onbetaald gelaten.
3.Het geschil
in conventie
3.1.
Enviem c.s. vordert na wijziging eis om bij vonnis voor zover mogelijk uitvoerbaar bij voorraad:
1. Primair: I-Beheer ICT B.V. te veroordelen tot vergoeding van de schade € 533.008,49 incl. BTW en € 452.023,84 excl. BTW aan Enviem B.V. als gevolg van toerekenbare tekortkoming in de nakoming van de Overeenkomst netwerkbeheer of een door de rechtbank in goede justitie te bepalen bedrag;
Subsidiair: I-Beheer ICT B.V. te veroordelen tot vergoeding van de schade € 296.213,39 incl. BTW en € 244.804,45 excl. BTW aan Enviem B.V. als gevolg van toerekenbare tekortkoming in de nakoming van de Overeenkomst netwerkbeheer of een door de rechtbank in goede justitie te bepalen bedrag;
Meer subsidiair: I-Beheer ICT B.V. te veroordelen tot vergoeding van de schade € 50.000,- excl. BTW aan Enviem B.V. als gevolg van toerekenbare tekortkoming in de nakoming van de Overeenkomst netwerkbeheer of een door de rechtbank in goede justitie te bepalen bedrag;
2. I-Beheer ICT B.V. te veroordelen tot vergoeding van de schade € 7.731,90 incl. BTW en € 6.390,00 excl. BTW aan Transnational Blenders B.V. als gevolg van toerekenbare tekortkoming in de nakoming van de overeenkomst tot creditering van genoemd bedrag.
3. I-Beheer ICT B.V. te veroordelen tot vergoeding van de schade € 533.008,49 aan Enviem B.V., Enviem Retail B.V., Fase Facility Services B.V., Main B.V., Enviem Wholesale Holding B.V. als gevolg van de onrechtmatige daad die I-Beheer ICT B.V. jegens deze vennootschappen heeft gepleegd of een door de rechtbank in goede justitie te bepalen bedrag;
4. I-Beheer ICT B.V. te veroordelen tot vergoeding van een totaalbedrag van € 170.005,36 incl. BTW en € 140.500,29 excl. BTW aan Enviem c.s., waarvan aan:
- Enviem Holding B.V. een bedrag van € 19.852,88 incl. BTW en € 16.407,34 excl. BTW
- Enviem Retail B.V. een bedrag van € 22.487,85 incl. BTW en € 18.585,00 excl. BTW
- Transnational Blenders B.V. een bedrag van € 25.782,08 incl. BTW en € 21.307,50 excl. BTW
- Enviem B.V. een bedrag van € 101.882,55 incl. BTW en € 84.200,45 excl. BTW
ten titel van onverschuldigde betaling of een door de rechtbank in goede justitie te bepalen bedrag;
5. I-Beheer ICT B.V. te veroordelen tot betaling van de door Enviem c.s. bij inleidende dagvaarding gevorderde buitengerechtelijke en gerechtelijke kosten, waaronder maar niet uitsluitend de proceskosten, het salaris gemachtigde, de nakosten, de kosten van beslaglegging en de wettelijke handelsrente over dat gedeelte van de hoofdsom dat betrekking heeft op de schade die is ontstaan als gevolg van de toerekenbare tekortkoming in de nakoming van de overeenkomst en de onrechtmatige daad vanaf 12 oktober 2019 tot aan de dag der algehele voldoening en de wettelijke handelsrente over dat gedeelte van de hoofdsom dat betrekking heeft op de onverschuldigde betaling vanaf datum dagvaarding tot aan de dag der algehele voldoening.
3.2.
Enviem c.s. legt aan haar vorderingen ten grondslag dat de ransomware aanval heeft kunnen plaatsvinden doordat I-Beheer toerekenbaar tekort is geschoten in haar contractuele verplichtingen jegens Enviem B.V. en in de op haar als opdrachtnemer rustende zorgplicht. I-Beheer is aansprakelijk voor de hierdoor ontstane schade.
I-Beheer heeft daarnaast jegens Enviem c.s. onrechtmatig gehandeld door haar bloot te stellen aan onaanvaardbaar grote ICT beveiligingsrisico’s. I-Beheer heeft nagelaten de noodzakelijke maatregelen te nemen en Enviem c.s. te waarschuwen voor deze risico’s. I-Beheer is aansprakelijk voor de schade die Enviem c.s. heeft geleden ten gevolge van de verwezenlijking van de risico’s waaraan I-Beheer haar heeft blootgesteld. De schade bestaat uit de kosten van doorbetaling van niet-productieve werknemers, overuren van personeel voor herstelwerkzaamheden, kosten forensisch onderzoek en mitigatie door NFIR en kosten voor het inschakelen van derden.
Daarnaast stelt Enviem c.s. dat I-Beheer onjuiste en onterechte facturen aan Enviem heeft verstuurd, welke facturen Enviem onverschuldigd heeft voldaan, en dat I-Beheer ten onrechte heeft nagelaten toegezegde creditfacturen te versturen en toegezegde kortingen te verrekenen.
I-Beheer heeft daarnaast jegens Enviem c.s. onrechtmatig gehandeld door haar bloot te stellen aan onaanvaardbaar grote ICT beveiligingsrisico’s. I-Beheer heeft nagelaten de noodzakelijke maatregelen te nemen en Enviem c.s. te waarschuwen voor deze risico’s. I-Beheer is aansprakelijk voor de schade die Enviem c.s. heeft geleden ten gevolge van de verwezenlijking van de risico’s waaraan I-Beheer haar heeft blootgesteld. De schade bestaat uit de kosten van doorbetaling van niet-productieve werknemers, overuren van personeel voor herstelwerkzaamheden, kosten forensisch onderzoek en mitigatie door NFIR en kosten voor het inschakelen van derden.
Daarnaast stelt Enviem c.s. dat I-Beheer onjuiste en onterechte facturen aan Enviem heeft verstuurd, welke facturen Enviem onverschuldigd heeft voldaan, en dat I-Beheer ten onrechte heeft nagelaten toegezegde creditfacturen te versturen en toegezegde kortingen te verrekenen.
3.3.
I-Beheer c.s. voert verweer. Zij stelt haar verplichtingen jegens Enviem c.s. te hebben nageleefd zodat van toerekenbaar tekortschieten of onrechtmatig handelen geenszins sprake is geweest. Niet I-Beheer maar een ander bedrijf, Guardian 360, was verantwoordelijk voor de beveiliging van het netwerk van Enviem c.s. Causaal verband met de beweerde schade ontbreekt aangezien de oorzaak van de schade niet vast staat. Voorts geldt een beperking van aansprakelijkheid op grond van de toepasselijke algemene voorwaarden.
De betalingen die I-Beheer van Enviem c.s. heeft ontvangen, waren wel degelijk verschuldigd, behoudens een tweetal facturen die Enviem per abuis dubbel heeft voldaan. Er is sprake van rechtsverwerking.
I-Beheer c.s. concluderen tot niet-ontvankelijkheid van Enviem c.s., dan wel tot afwijzing van de vorderingen van Enviem c.s., met uitvoerbaar bij voorraad te verklaren veroordeling van Enviem c.s. in de kosten van deze procedure.
De betalingen die I-Beheer van Enviem c.s. heeft ontvangen, waren wel degelijk verschuldigd, behoudens een tweetal facturen die Enviem per abuis dubbel heeft voldaan. Er is sprake van rechtsverwerking.
I-Beheer c.s. concluderen tot niet-ontvankelijkheid van Enviem c.s., dan wel tot afwijzing van de vorderingen van Enviem c.s., met uitvoerbaar bij voorraad te verklaren veroordeling van Enviem c.s. in de kosten van deze procedure.
3.4.
Op de stellingen van partijen in conventie wordt hierna, voor zover nodig, nader ingegaan.
in reconventie
3.5.
I-Beheer c.s. vordert in reconventie na wijziging eis om bij vonnis voor zover mogelijk uitvoerbaar bij voorraad:
I. Enviem te veroordelen tot nakoming van de met I-Beheer gesloten overeenkomsten, door middel van betaling van € 157.384,12, te vermeerderen met 15% buitengerechtelijke incassokosten en de wettelijke handelsrente;
II. De tussen I-Beheer en Enviem gesloten overeenkomsten partieel per 21 februari 2020 te ontbinden, als verzocht;
III.
Primair: Enviem te veroordelen tot vergoeding van de door I-Beheer geleden schade als gevolg van de partiële ontbinding, begroot op € 335.659,50, te vermeerderen met 15% buitengerechtelijke incassokosten en de wettelijke handelsrente;
Primair: Enviem te veroordelen tot vergoeding van de door I-Beheer geleden schade als gevolg van de partiële ontbinding, begroot op € 335.659,50, te vermeerderen met 15% buitengerechtelijke incassokosten en de wettelijke handelsrente;
Subsidiair: Enviem te veroordelen tot vergoeding van de door I-Beheer geleden schade als gevolg van de partiële ontbinding, begroot op € 258.340,50, te vermeerderen met 15% buitengerechtelijke incassokosten en de wettelijke handelsrente;
Meer subsidiair: Enviem te veroordelen tot vergoeding van de door I-Beheer c.s. geleden schade als gevolg van de partiële ontbinding, nader op te maken bij staat en te vereffenen volgens de wet;
IV. het door Enviem c.s. gelegde conservatoire beslag op te heffen;
en Enviem c.s. te veroordelen in de kosten van de procedure.
3.6.
I-Beheer c.s. legt aan haar vorderingen ten grondslag dat Enviem c.s. sinds juni 2019 diverse openstaande facturen ten onrechte onbetaald laat, zowel voor de netwerkbeheerovereenkomst als voor de strippenkaarten en andere opdrachten. Daarnaast stelt I-Beheer c.s. zich op het standpunt dat Enviem c.s. aansprakelijk is voor schade die zij lijdt ten gevolge van de ontbinding van de overeenkomst.
3.7.
Enviem c.s. voert verweer. Enviem c.s. concludeert tot niet-ontvankelijkheid van I-Beheer c.s., dan wel tot afwijzing van de vorderingen van I-Beheer c.s., met uitvoerbaar bij voorraad te verklaren veroordeling van I-Beheer c.s. in de kosten van deze procedure.
3.8.
Op de stellingen van partijen in reconventie wordt hierna, voor zover nodig, nader ingegaan.
4.De beoordeling
in conventie
4.1.
De vorderingen van Enviem c.s. hebben ten eerste betrekking op schadevergoeding ten gevolge van de
ransomwareaanval en ten tweede op terugvordering van bedragen die volgens Enviem c.s. gecrediteerd zouden worden of onverschuldigd zijn voldaan. De vorderingen zullen in die volgorde worden beoordeeld.
ransomwareaanval en ten tweede op terugvordering van bedragen die volgens Enviem c.s. gecrediteerd zouden worden of onverschuldigd zijn voldaan. De vorderingen zullen in die volgorde worden beoordeeld.
Ten aanzien van de vordering onder 1.
Is I-Beheer tekortgeschoten in de nakoming van haar contractuele verplichtingen?
4.2.
Enviem B.V. vordert van I-Beheer ICT B.V. vergoeding van schade als gevolg van toerekenbare tekortkoming in de nakoming van de netwerkbeheerovereenkomst. Enviem stelt dat de
ransomwareaanval heeft kunnen plaatsvinden door een zestal risicofactoren, te weten: er stonden RDP-poorten open; er werd geen zogenoemde
whitelistingtoegepast (waarbij alleen vooraf goedgekeurde IP-adressen toegang kunnen krijgen); de wachtwoorden die I-Beheer gebruikte voor het uitvoeren van het beheer voor de servers waren één en dezelfde en bovendien gemakkelijk te achterhalen; er was geen netwerksegmentatie doorgevoerd; updates van servers waren niet doorgevoerd; en een server die al jaren buiten service was en niet meer werd gebruikt, was niet uitgezet, maar hing nog steeds onbeveiligd aan het internet.
ransomwareaanval heeft kunnen plaatsvinden door een zestal risicofactoren, te weten: er stonden RDP-poorten open; er werd geen zogenoemde
whitelistingtoegepast (waarbij alleen vooraf goedgekeurde IP-adressen toegang kunnen krijgen); de wachtwoorden die I-Beheer gebruikte voor het uitvoeren van het beheer voor de servers waren één en dezelfde en bovendien gemakkelijk te achterhalen; er was geen netwerksegmentatie doorgevoerd; updates van servers waren niet doorgevoerd; en een server die al jaren buiten service was en niet meer werd gebruikt, was niet uitgezet, maar hing nog steeds onbeveiligd aan het internet.
4.3.
I-Beheer betwist dat zij dezelfde of zwakke wachtwoorden hanteerde en stelt dat updates van de servers wel waren doorgevoerd. I-Beheer erkent dat er RDP poorten open stonden, dat geen whitelisting werd toegepast en dat netwerksegmentatie ontbrak hoewel dit volgens I-Beheer wel nodig is. I-Beheer heeft tijdens de mondelinge behandeling aangegeven dat zij voor het backupsysteem hetzelfde wachtwoord gebruikte als voor het administrator account van de servers.
I-Beheer stelt dat zij Enviem heeft geadviseerd over deze risico’s en dat Enviem haar adviezen en belangrijke offertes heeft genegeerd. I-Beheer betwist voorts dat de genoemde zes risicofactoren de oorzaak zijn geweest van de ransomware aanval. Volgens I-Beheer moet de oorzaak eerder worden gezocht in het binnenhalen van een virus door het openklikken van een besmette e-mail.
I-Beheer stelt dat zij Enviem heeft geadviseerd over deze risico’s en dat Enviem haar adviezen en belangrijke offertes heeft genegeerd. I-Beheer betwist voorts dat de genoemde zes risicofactoren de oorzaak zijn geweest van de ransomware aanval. Volgens I-Beheer moet de oorzaak eerder worden gezocht in het binnenhalen van een virus door het openklikken van een besmette e-mail.
4.4.
Enviem heeft ter onderbouwing van haar vorderingen slechts een managementsamenvatting overgelegd van het onderzoeksrapport van NFIR, hoewel zij beschikt over het volledige onderzoeksrapport. NFIR vermeldt in de managementsamenvatting dat het door de hoeveelheid mogelijke manieren van toetreding niet meer mogelijk is om precies vast te stellen via welke servers de hackers zijn binnengekomen. NFIR noemt als ‘veelgebruikte methodes’ het verspreiden van de malware middels een
brute force- aanval op het Remote Desktop Protocol (RDP) of het uitbuiten van kwetsbaarheden in verouderde programmatuur, en schetst vervolgens welke factoren de netwerkomgeving van Enviem kwetsbaar maakten voor ongeautoriseerde toegang. Uit de NFIR managementsamenvatting volgt echter niet dat een van de genoemde zes risicofactoren of een combinatie daarvan
daadwerkelijkde oorzaak is geweest van de ransomware aanval.
brute force- aanval op het Remote Desktop Protocol (RDP) of het uitbuiten van kwetsbaarheden in verouderde programmatuur, en schetst vervolgens welke factoren de netwerkomgeving van Enviem kwetsbaar maakten voor ongeautoriseerde toegang. Uit de NFIR managementsamenvatting volgt echter niet dat een van de genoemde zes risicofactoren of een combinatie daarvan
daadwerkelijkde oorzaak is geweest van de ransomware aanval.
4.5.
Hoe de hackers het netwerk van Enviem zijn binnengedrongen, kan naar het oordeel van de rechtbank echter in het midden blijven. Van belang is dat schade is ontstaan doordat bij de aanval niet alleen de werkbestanden maar ook de back-up bestanden van Enviem versleuteld zijn geraakt. Niet in geschil is dat de bedrijfsvoering van Enviem enige tijd belemmerd is geweest doordat Enviem niet meer bij haar systemen en bestanden kon, en dat hierdoor schade is ontstaan. Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden dat kunnen voorkomen.
4.6.
Op grond van de netwerkbeheerovereenkomst was I-Beheer ICT B.V. verplicht om maandelijks de beveiliging van de ICT omgeving van Enviem B.V. en haar dochter-vennootschappen in Harderwijk, Dordrecht, Amsterdam en Den Helder te controleren en was zij ook verplicht om de deugdelijkheid van de security te beoordelen en haar bevindingen aan Enviem B.V. mee te delen. Gezien deze contractuele verplichtingen mocht van I-Beheer worden verwacht dat zij het ontbreken van netwerksegmentatie, de kwetsbaarheid van de back-up voorziening en het gebrekkige wachtwoordbeleid, en de daarmee gepaard gaande risico’s, tijdig zou signaleren en haar bevindingen aan Enviem zou meedelen.
4.7.
I-Beheer stelt weliswaar dat zij netwerksegmentatie en een beter wachtwoordbeleid heeft geadviseerd, maar gezien de betwisting door Enviem heeft I-Beheer dit verweer onvoldoende onderbouwd. I-Beheer heeft niet gesteld
wievan Enviem zij heeft geadviseerd over een beter wachtwoordbeleid,
hoezij dat heeft gedaan en
wathet advies concreet behelsde. I-Beheer verwijst naar een e-mail van 3 oktober 2019 waarin staat vermeld: “
Wachtwoordbeleid nakijken Done, geen eenduidig beleid”
wievan Enviem zij heeft geadviseerd over een beter wachtwoordbeleid,
hoezij dat heeft gedaan en
wathet advies concreet behelsde. I-Beheer verwijst naar een e-mail van 3 oktober 2019 waarin staat vermeld: “
Wachtwoordbeleid nakijken Done, geen eenduidig beleid”
Daaruit blijkt niet dat I-Beheer Enviem heeft gewezen op de noodzaak om een beter wachtwoordbeleid toe te passen, heeft geadviseerd welke verbeteringen nodig zijn en heeft gewezen op de urgentie voor het nemen van maatregelen. Bovendien heeft I-Beheer voor de back-up gelijkluidende wachtwoorden gebruikt als voor het administrator account van de servers, zodat I-Beheer naar het oordeel van de rechtbank zelf heeft bijgedragen aan de kwetsbaarheid van de ICT voorziening.
Uit de stellingen van I-Beheer blijkt ook niet hoe en bij wie I-Beheer de noodzaak tot netwerksegmentatie bij Enviem heeft aangekaart. I-Beheer heeft verwezen naar een offerte van 14 maart 2019 die zij heeft uitgebracht aan Enviem Retail Nederland B.V. Deze offerte behelst de installatie en configuratie van een nieuwe ICT-omgeving met nieuwe hardware en de aansluiting op de bestaande netwerk. Blijkens het bijbehorende werkplan is een vorm van netwerksegmentatie en een veiligere back-upvoorziening weliswaar onderdeel van de geoffreerde nieuwe ICT-omgeving, maar uit de offerte blijkt niet dat I-Beheer de ondeugdelijkheid van de bestaande beveiliging en de noodzaak tot het nemen van maatregelen, laat staan de urgentie daarvan, aan Enviem heeft meegedeeld.
4.8.
De rechtbank is van oordeel dat I-Beheer ICT B.V. jegens Enviem B.V. is toerekenbaar tekortgeschoten in haar verplichtingen uit de netwerkbeheerovereenkomst door Enviem niet in duidelijke bewoordingen te wijzen op het ontbreken van netwerksegmentatie, de kwetsbaarheid van de back-up voorziening en het gebrekkige wachtwoordbeleid, en de daarmee gepaard gaande beveiligingsrisico’s. I-Beheer ICT B.V. is dan ook aansprakelijk voor de schade die Enviem B.V. ten gevolge van deze tekortkoming heeft geleden.
4.9.
De rechtbank begrijpt uit de stelling van I-Beheer dat zij niet in gebreke is gesteld, dat I-Beheer meent dat zij niet in verzuim is komen te verkeren en daarom niet schadeplichtig is. Dat standpunt is onjuist. Het gaat hier om een netwerkbeheer-overeenkomst, die voor beide partijen voortdurende verplichtingen inhoudt. Indien een partij is tekortgeschoten in de nakoming van een dergelijke verplichting, kan deze – wellicht – in de toekomst alsnog worden nagekomen, maar daarmee wordt de tekortkoming in het verleden niet ongedaan gemaakt en wat deze tekortkoming betreft is nakoming dan ook niet meer mogelijk (vgl. HR 11 januari 2002, ECLI:NL:HR:2002:AD4925, NJ 2003, 255).
I-Beheer is gezien het bepaalde in artikel 6:74 BW dan ook wel degelijk schadeplichtig zonder dat daartoe – kort gezegd – een ingebrekestelling vereist is.
I-Beheer is gezien het bepaalde in artikel 6:74 BW dan ook wel degelijk schadeplichtig zonder dat daartoe – kort gezegd – een ingebrekestelling vereist is.
4.10.
Dat ook de firma Guardian360 een rol had bij de ICT-beveiliging van Enviem, en daarin wellicht tekort is geschoten, doet niets af aan de eigen aansprakelijkheid van I-Beheer aangezien de schade in elk geval (ook) een gevolg is van het tekortschieten van I-Beheer (artikel 6:99 BW). Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden immers kunnen voorkomen dat bij de ransomware aanval ook de back-up bestanden versleuteld zouden raken.
4.11.
De geleden schade bestaat volgens Enviem uit de kosten van doorbetaling van niet-productieve werknemers, overuren van personeel voor herstelwerkzaamheden, kosten van forensisch onderzoek en schadebeperking door NFIR en kosten voor het inschakelen van derden. Indien de rechtbank oordeelt dat op grond van de algemene voorwaarden de aansprakelijkheid van I-Beheer is beperkt tot € 50.000,- dan erkent I-Beheer dat de geleden schade in elk geval € 50.000,- bedraagt, zo gaf zij ter gelegenheid van de zitting te kennen. De rechtbank ziet daarin aanleiding om eerst het beroep op de exoneratieclausule te beoordelen alvorens te oordelen over de hoogte van de door I-Beheer verschuldigde schadevergoeding.
Is aansprakelijkheid van I-Beheer beperkt op grond van haar algemene voorwaarden?
4.12.
Volgens I-Beheer is haar aansprakelijkheid beperkt tot maximaal € 50.000,-. Zij beroept zich daarbij op artikel 10 van haar algemene voorwaarden die zij heeft gedeponeerd bij de Kamer van Koophandel op 24 januari 2017 onder nummer 05066752. Enviem heeft aanvankelijk bij dagvaarding deze voorwaarden als zijnde de toepasselijke voorwaarden zelf overgelegd, maar heeft zich bij conclusie van repliek in conventie alsnog op het standpunt gesteld dat een oudere versie van algemene voorwaarden uit 2005 – waarin deze exoneratieclausule niet is opgenomen – van toepassing is. Voor het geval de versie van 24 januari 2017, of de vorige versie van de algemene voorwaarden uit 2012, wel van toepassing is, betoogt Enviem dat de aansprakelijkheidsbeperking is komen te vervallen omdat de schade het gevolg is van opzet of grove schuld van I-Beheer (artikel 10.5 van de algemene voorwaarden). Daarnaast meent Enviem dat een beroep op de exoneratieclausule in strijd is met de eisen van redelijkheid en billijkheid. De rechtbank oordeelt daarover als volgt.
4.13.
In de overeenkomst tussen partijen gedateerd 13 januari 2016 is toepasselijkheid van de algemene voorwaarden van I-Beheer overeengekomen. Partijen hebben deze overeenkomst per 1 januari 2018 schriftelijk verlengd onder handhaving van de bepalingen van de eerdere overeenkomst. Verticaal in de kantlijn van de verlengingsovereenkomst van 1 januari 2018 staat vermeld “
Levering en betaling geschieden uitsluitend volgens onze voorwaarden gedeponeerd bij de Kamer van Koophandel te Meppel 05066725”.
Levering en betaling geschieden uitsluitend volgens onze voorwaarden gedeponeerd bij de Kamer van Koophandel te Meppel 05066725”.
Dat daarmee werd gedoeld op de meest recent gedeponeerde versie van de algemene voorwaarden van I-Beheer was voor partijen volstrekt helder. Dat blijkt zowel uit de brief van 21 februari 2020 van de advocaat van Enviem waarin staat vermeld dat op de contractuele relatie tussen partijen de algemene voorwaarden van 24 januari 2017 van toepassing zijn, als ook uit de inleidende dagvaarding waarin Enviem deze versie van de voorwaarden als productie 19 overlegt als zijnde de algemene voorwaarden behorende bij de overeenkomst.
4.14.
Enviem heeft nog betoogd dat de algemene voorwaarden vernietigbaar zijn omdat ze niet aan Enviem ter hand zijn gesteld. Enviem ziet daarbij over het hoofd dat de betreffende wettelijke regeling niet van toepassing is op grote bedrijven in de zin van artikel 6:235 BW. Uit de eigen stellingen van Enviem volgt immers dat bij haar concern tenminste 60 medewerkers werkzaam zijn.
Een wederpartij is ook dan aan de algemene voorwaarden gebonden als bij het sluiten van de overeenkomst de gebruiker begreep of moest begrijpen dat zij de inhoud daarvan niet kende (artikel 6:232 BW). De algemene voorwaarden van I-Beheer van 24 januari 2017 zijn dan ook wel degelijk van toepassing.
Een wederpartij is ook dan aan de algemene voorwaarden gebonden als bij het sluiten van de overeenkomst de gebruiker begreep of moest begrijpen dat zij de inhoud daarvan niet kende (artikel 6:232 BW). De algemene voorwaarden van I-Beheer van 24 januari 2017 zijn dan ook wel degelijk van toepassing.
4.15.
Overigens is artikel 10 van de algemene voorwaarden van 2017 gelijk aan de versie van 2012 die op de voorgaande netwerkbeheerovereenkomst van 13 januari 2016 van toepassing was. De rechtbank verwerpt de stelling van Enviem dat oude algemene voorwaarden uit 2005 van toepassing zouden zijn omdat de samenwerking is aangevangen in 2010. De vroegere overeenkomsten, voorafgaand aan de netwerkbeheerovereenkomst van 13 januari 2016, waren gesloten met een andere Enviem vennootschap zodat die voor de beoordeling van de vorderingen in de onderhavige procedure niet relevant zijn.
4.16.
Enviem c.s. stelt zich op het standpunt dat de aansprakelijkheidsbeperking, gezien het bepaalde in artikel 10.5 van de algemene voorwaarden, is komen te vervallen omdat de schade het gevolg is van grove schuld van I-Beheer.
Anders dan Enviem betoogt, valt onder ‘grove schuld’ niet tevens grove onachtzaamheid. Onder ‘grove schuld’ moet worden verstaan een in laakbaarheid aan opzet grenzende schuld. [1] Het moet gaan om een handelen of nalaten van I-Beheer dat roekeloos, en met de wetenschap dat schade er waarschijnlijk uit zou voortvloeien, is geschied. [2] Niet gesteld of gebleken is dat de bedrijfsleiding van I-Beheer zelf in haar taak is tekortgeschoten, zodat reeds daarom niet kan niet worden aangenomen dat sprake is van grove schuld van I-Beheer. Reeds om die reden vindt artikel 10.5 van de algemene voorwaarden geen toepassing.
Het tekortschieten van I-Beheer was onzorgvuldig, maar kan naar het oordeel van de rechtbank niet worden gelijkgesteld aan een in laakbaarheid aan opzet grenzende schuld omdat het ontbreken van netwerksegmentatie, deugdelijk wachtwoordbeleid en goed afgescheiden back-upvoorziening op zichzelf niet tot schade hoeft te leiden; daarvoor is in de eerste plaats noodzakelijk dat hackers toegang hebben weten te verkrijgen tot het netwerk. Hoe de ongeautoriseerde toegang heeft plaatsgevonden is echter niet vast komen te staan.
4.17.
Enviem heeft betoogd dat de ongeautoriseerde toegang tot het netwerk is verkregen doordat RDP-poorten in de firewall open stonden of doordat server Lodder-TS01 die al jaren buiten service was en niet meer werd gebruikt, was niet uitgezet, maar nog steeds onbeveiligd aan het internet hing. Volgens Enviem is dat de schuld van I-Beheer.
Zelfs indien zou komen vast te staan dat toegang is verkregen via openstaande RDP poorten of via server Lodder-TS01, dan nog is naar het oordeel van de rechtbank geen sprake van grove schuld aan de zijde van I-Beheer. I-Beheer heeft Enviem namelijk wel gewezen op het feit dat de RDP-poorten open stonden. Zo heeft I-Beheer in een onderhoudsverslag van 6 februari 2019 [3] geschreven:
Zelfs indien zou komen vast te staan dat toegang is verkregen via openstaande RDP poorten of via server Lodder-TS01, dan nog is naar het oordeel van de rechtbank geen sprake van grove schuld aan de zijde van I-Beheer. I-Beheer heeft Enviem namelijk wel gewezen op het feit dat de RDP-poorten open stonden. Zo heeft I-Beheer in een onderhoudsverslag van 6 februari 2019 [3] geschreven:
“
Poorten dicht zetten? Zie risico (Overleg met [naam 1] !!!)”
Poorten dicht zetten? Zie risico (Overleg met [naam 1] !!!)”
(…) “
Dicht zetten RDP-poorten van alle servers! Of gaan whitelisten. Zie Risico.”
Dicht zetten RDP-poorten van alle servers! Of gaan whitelisten. Zie Risico.”
(…)
“
Risico:
“
Risico:
De volgende servers hebben RDP poort openstaan voor het internet:[namen servers, vier met X er achter]
Servers met een X worden constant op RDP poort aangevallen.”
“
Dicht zetten RDP-poorten van alle servers! Of gaan whitelisten. Zie Risico.”
Dicht zetten RDP-poorten van alle servers! Of gaan whitelisten. Zie Risico.”
(…)
“
Risico:
“
Risico:
De volgende servers hebben RDP poort openstaan voor het internet:[namen servers, vier met X er achter]
Servers met een X worden constant op RDP poort aangevallen.”
Met deze waarschuwingen moet het voor Enviem duidelijk genoeg zijn geweest dat zij een serieus beveiligingsrisico liep ten aanzien van openstaande RDP-poorten, te meer nu Enviem geen volledige leek op ICT gebied was, maar over een eigen ICT-afdeling beschikte. Enviem had immers een eigen ICT manager ( [naam 2] , een interim IT manager ( [naam 3] ), een systeembeheerder ICT ( [naam 4] ), en een IT medewerker ( [naam 5] ). Dat blijkt niet alleen uit de eigen functieomschrijving van [naam 2] , [naam 5] en [naam 3] op hun (door Enviem niet betwiste) LinkedIn profielen [5] , maar ook uit de e-mail handtekeningen van [naam 4] en [naam 3] onder de bedrijfsmails die zij vanuit Enviem verzonden. [6] De ICT-medewerkers van Enviem hadden de aard en de ernst van de hierboven geciteerde waarschuwingen van I-Beheer moeten begrijpen en hadden eenvoudig zelf maatregelen kunnen treffen ten aanzien van de openstaande RDP-poorten.
Onder die omstandigheden kan dan ook niet gesproken worden van grove schuld van I-Beheer met betrekking tot het open laten staan van RDP-poorten.
4.18.
Een ander verwijt dat Enviem I-Beheer maakt en waar zij grove schuld van I-Beheer in ziet, betreft de oude Lodder-TS01 server die allang niet meer ondersteund werd door updates van Microsoft. Ook als de stelling van Enviem correct zou zijn dat deze server nog met het bedrijfsnetwerk verbonden was, dan brengt dat geen grove schuld mee aan de zijde van I-Beheer. I-Beheer heeft in rapportages gewezen op het feit dat deze server ‘end of life’ was en niet geüpdatet werd. I-Beheer heeft geadviseerd deze server uit te faseren of te migreren. [7] Het was weliswaar onzorgvuldig van I-Beheer om Enviem niet op de risico’s te wijzen, maar van een in laakbaarheid aan opzet grenzende schuld is geen sprake.
4.19.
I-Beheer kan zich dan ook met vrucht beroepen op artikel 10.2 van de algemene voorwaarden.
4.20.
Enviem stelt zich voorts op het standpunt dat een beroep op de exoneratieclausule naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is.
Een beroep op een exoneratiebeding dient buiten toepassing te blijven voor zover die toepassing in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn. Daarvan is sprake als de schade te wijten is aan opzet of bewuste roekeloosheid van de schuldenaar of van met de leiding van zijn bedrijf belaste personen (HR 12 december 1997, ECLI:NL:HR:1997:ZC2524 (Gemeente Stein/Driessen)). Of een beroep op een exoneratiebeding geoorloofd is, hangt af van de omstandigheden van het geval. Daarbij zal de rechter rekening moeten houden met alle omstandigheden waarop door de partij die het beding buiten toepassing gelaten wil zien, zich heeft beroepen. [8]
Enviem heeft gewezen op de volgende omstandigheden die in haar visie maken dat aan I-Beheer geen beroep op de exoneratieclausule toekomt:
- de onderlinge verhouding van partijen
- de zwaarte van de schuld
- ernstige schending van de zorgplicht
- disproportionaliteit tussen de aansprakelijkheidsbeperking en de voorzienbare schade
- professionaliteit en deskundigheid van I-Beheer versus niet-deskundigheid van Enviem
- I-Beheer heeft zelf aan het ontstaan van de schade bijgedragen
- de aard van de overeenkomst en de algemene voorwaarden waarin de exoneratie is opgenomen
- de (on)mogelijkheid tot het afdekken van schadeposten middels een verzekering.
4.21.
De beoordeling van de door Enviem genoemde omstandigheden vindt plaats in het kader van de door de rechtbank vastgestelde relevante tekortkomingen van I-Beheer, te weten het niet tijdig signaleren en aan Enviem meedelen van de beveiligingsrisico’s van het ontbreken van netwerksegmentatie, de kwetsbaarheid van de back-up voorziening en het gebrekkige wachtwoordbeleid. Ten aanzien van de door Enviem aangedragen omstandigheden overweegt de rechtbank als volgt.
4.22.
Zowel Enviem als I-Beheer zijn professionele partijen, voor wie het uitsluiten of beperken van aansprakelijkheid in contracten niet ongebruikelijk is. Dat de omzet die gemoeid was met de dienstverlening door I-Beheer aanzienlijk was, maakt niet dat beperking van aansprakelijkheid onredelijk is. Anders dan Enviem stelt, valt aan een deskundige partij die een fout maakt niet zonder meer een ernstig verwijt te maken omdát hij deskundig is. Pas als sprake is van een opzettelijke fout of bewuste roekeloosheid van de schuldenaar of van met de leiding van zijn bedrijf belaste personen, is een beroep op aansprakelijkheidsbeperking onaanvaardbaar.
4.23.
Volgens Enviem is sprake van ernstige schending van zorgplicht, en heeft I-Beheer zelf aan het ontstaan van de schade bijgedragen, in welk kader zij verwijst naar (gestelde) verwijtbaarheid met betrekking tot de openstaande RDP poorten. De rechtbank verwijst naar hetgeen zij daarover onder punt 4.17 heeft overwogen. Van ernstige schending van zorgplicht is naar het oordeel van de rechtbank geen sprake. Voorts staat zoals gezegd niet vast dat openstaande RDP-poorten de oorzaak zijn geweest van de ransomware aanval.
4.24.
De rechtbank volgt Enviem niet in haar stelling dat het bedrag waartoe aansprakelijkheid is beperkt (€ 50.000,-) niet in verhouding staat tot de schade die Enviem stelt te hebben geleden (€ 600.000,-). Ten eerste zijn de door Enviem genoemde bedragen niet zodanig disproportioneel dat hierdoor een beroep op de aansprakelijkheidsbeperking onaanvaardbaar zou zijn. Ten tweede komt de btw (ad € 80.984,65) die is inbegrepen in de vordering, zoals I-Beheer terecht heeft opgemerkt, niet voor schadevergoeding in aanmerking. Ten derde komen de kosten van forensisch onderzoek en mitigatie door NFIR (€ 206.499,00) niet voor schadevergoeding in aanmerking. Dienaangaande overweegt de rechtbank als volgt.
Volgens I-Beheer c.s. is onderzoeksbureau NFIR niet onafhankelijk omdat NFIR partnerschapsbanden heeft met de firma Guardian360 die de ICT-beveiliging binnen Enviem monitort en met First Lawyers, het advocatenkantoor dat Enviem c.s. bijstaat, en met Bizway, de nieuwe IT-leverancier van Enviem. Enviem c.s. heeft de gestelde partnerschapsbanden niet betwist zodat de rechtbank hiervan uitgaat. Enviem heeft geweigerd om aan I-Beheer een exemplaar van het NFIR-onderzoeksrapport ter beschikking te stellen. In de onderhavige procedure heeft Enviem c.s. slechts de management-samenvatting van het NFIR-rapport overgelegd waardoor de totstandkoming van de bevindingen en van de conclusies van NFIR niet verifieerbaar is. De kosten van NFIR zijn erg hoog zonder dat van een noodzaak voor dergelijk hoge kosten is gebleken. Onder al die omstandigheden kunnen de kosten van NFIR niet worden beschouwd als redelijke kosten ter voorkoming of beperking van schade die als gevolg van de gebeurtenis waarop de aansprakelijkheid berust, mocht worden verwacht of redelijke kosten ter vaststelling van schade en aansprakelijkheid als bedoeld in artikel 6:96 lid 2 BW.
Het verschil tussen het bedrag van de aansprakelijkheidsbeperking en de omvang van de schade is dan ook aanmerkelijk kleiner dan Enviem veronderstelt.
4.25.
Enviem verwijt I-Beheer dat zij haar aansprakelijkheid niet heeft afgedekt met een verzekering in plaats van deze te beperken in haar algemene voorwaarden. Tegelijkertijd stelt Enviem “dat de schade die Enviem heeft geleden nagenoeg niet verzekerbaar was”, zodat zij naar het oordeel van de rechtbank niet van I-Beheer kan verlangen dat die zich voor dit soort schade (toch) verzekert.
4.26.
Naar het oordeel van de rechtbank is toepassing van de aansprakelijkheidsbeperking als vermeld in de toepasselijke algemene voorwaarden in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid niet onaanvaardbaar. De vordering van Enviem B.V. onder 1. zal worden toegewezen tot een bedrag groot € 50.000,00.
Ten aanzien van de vordering onder 3.
4.27.
Enviem vordert I-Beheer ICT B.V. te veroordelen tot vergoeding van de schade van € 533.008,49 aan Enviem B.V., Enviem Retail B.V., Fase Facility Services B.V., Main B.V., Enviem Wholesale Holding B.V. als gevolg van de onrechtmatige daad die I-Beheer ICT B.V. volgens Enviem jegens deze vennootschappen heeft gepleegd.
4.28.
Hij die jegens een ander een onrechtmatige daad pleegt, welke hem kan worden toegerekend, is verplicht de schade die de ander dientengevolge lijdt, te vergoeden (artikel 6:162 BW). Uit de stellingen van Enviem valt echter niet af te leiden welke onrechtmatige handeling of nalatigheid I-Beheer jegens de vennootschappen Enviem Retail B.V., Fase Facility Services B.V., Main B.V., Enviem Wholesale Holding B.V. heeft gepleegd. Dat geldt temeer nu de rechtbank uit de nadere stellingen van Enviem c.s. bij conclusie van repliek begrijpt dat niet alle Enviem-vennootschappen die in deze procedure als eiser optreden, zijn getroffen door de ransomware aanval. Zo is Transnational Blenders B.V. buiten het bereik van de ransomware aanval gebleven en heeft de aanval ook niet plaatsgevonden bij Enviem Retail Nederland B.V., Main B.V. en Enviem Wholesale B.V. Enviem heeft niet duidelijk gemaakt of en in hoeverre Enviem Retail B.V., Fase Facility Services B.V., Main B.V., Enviem Wholesale Holding B.V. dan wél (of toch) zijn getroffen en in welk opzicht I-Beheer jegens deze vennootschappen onrechtmatig heeft gehandeld. De vorderingen tot schadevergoeding uit onrechtmatige daad van deze vennootschappen zullen dan ook worden afgewezen.
4.29.
Ook de vordering van Enviem B.V. tot schadevergoeding op grond van art. 6:162 BW is niet toewijsbaar. Enviem B.V. is immers contractspartij bij de netwerkbeheer-overeenkomst. Aansprakelijkheid uit wanprestatie (artikel 6:74 BW) heeft exclusieve werking. De niet-nakoming van een op de schuldenaar rustende contractuele verbintenis levert in beginsel geen onrechtmatige daad op (vgl. TM, Parl. Gesch. BW Boek 6 1981, p. 614-615). Slechts indien een wanprestatie ook los van de rechtsverhouding waaruit de verbintenis voortvloeit onrechtmatig is, kan een keuze tussen de beide grondslagen worden gemaakt (zie bijv. Asser/Sieburgh 6-IV 2019/9 e.v.). Er is pas aansprakelijkheid op grond van onrechtmatige daad van een contractspartij indien onafhankelijk van het schenden van de contractuele verbintenis sprake is van schending van een verplichting die geen verbintenis is. Dat is hier niet aan de orde. De rechtbank verwerpt het betoog van Enviem dat I-Beheer los van haar contractuele verplichtingen een zelfstandige zorgplicht had op grond waarvan zij Enviem B.V. op ICT-veiligheidsrisico’s had moeten wijzen of maatregelen had moeten treffen. Indien en voor zover I-Beheer dergelijke verplichtingen had, bestaan deze uitsluitend door of vanwege de contractuele afspraken tussen partijen.
4.30.
De vorderingen van Enviem c.s. onder 3. zullen dan ook worden afgewezen.
Ten aanzien van de vordering onder 2.
4.31.
Enviem c.s. heeft gevorderd I-Beheer ICT B.V. te veroordelen tot vergoeding van de schade € 7.731,90 incl. BTW en (de rechtbank verstaat:
subsidiair) € 6.390,00 excl. BTW aan Transnational Blenders B.V. als gevolg van toerekenbare tekortkoming in de nakoming van de overeenkomst tot creditering van genoemd bedrag.
subsidiair) € 6.390,00 excl. BTW aan Transnational Blenders B.V. als gevolg van toerekenbare tekortkoming in de nakoming van de overeenkomst tot creditering van genoemd bedrag.
4.32.
Enviem baseert deze vordering op de stelling dat I-Beheer aan Transnational Blenders B.V. een creditnota heeft toegezegd voor een bedrag van € 6.390,- ter zake van werkzaamheden van iVanti. Omzetbelasting maakt geen deel uit van de geleden schade zodat deze niet kan worden toegewezen.
I-Beheer heeft de beloofde creditering erkend, maar doet een beroep op verrekening. Zoals hierna in reconventie onder 4.55 zal komen vast te staan heeft I-Beheer inderdaad een tegenvordering op Transnational Blenders B.V. en slaagt het beroep op verrekening zodat de vordering van Enviem onder 2. zal worden afgewezen.
I-Beheer heeft de beloofde creditering erkend, maar doet een beroep op verrekening. Zoals hierna in reconventie onder 4.55 zal komen vast te staan heeft I-Beheer inderdaad een tegenvordering op Transnational Blenders B.V. en slaagt het beroep op verrekening zodat de vordering van Enviem onder 2. zal worden afgewezen.
Ten aanzien van de vordering onder 4.
4.33.
Enviem c.s vorderen kort gezegd om I-Beheer ICT B.V. te veroordelen tot vergoeding aan:
- Enviem Holding B.V. een bedrag van € 19.852,88 incl. BTW en (de rechtbank verstaat:
subsidiair) € 16.407,34 excl. BTW
subsidiair) € 16.407,34 excl. BTW
- Enviem Retail B.V. een bedrag van € 22.487,85 incl. BTW en (de rechtbank verstaat:
subsidiair) € 18.585,00 excl. BTW
subsidiair) € 18.585,00 excl. BTW
- Transnational Blenders B.V. een bedrag van € 25.782,08 incl. BTW en (de rechtbank verstaat:
subsidiair) € 21.307,50 excl. BTW
subsidiair) € 21.307,50 excl. BTW
- Enviem B.V. een bedrag van € 101.882,55 incl. BTW en (de rechtbank verstaat:
subsidiair) € 84.200,45 excl. BTW
subsidiair) € 84.200,45 excl. BTW
ten titel van onverschuldigde betaling. De rechtbank overweegt daarover het volgende.
4.34.
Degene die een ander zonder rechtsgrond een goed heeft gegeven, is gerechtigd dit van de ontvanger als onverschuldigd betaald terug te vorderen. Betreft de onverschuldigde betaling een geldsom, dan strekt de vordering tot teruggave van een gelijk bedrag. Aldus artikel 6:203 lid 1 en 2 BW. De bedragen worden zowel inclusief btw als (naar de rechtbank begrijpt:
subsidiair) exclusief btw gevorderd. Indien en voor zover bedragen onverschuldigd aan I-Beheer zijn betaald, zullen deze inclusief de betaalde btw moeten worden terugbetaald.
subsidiair) exclusief btw gevorderd. Indien en voor zover bedragen onverschuldigd aan I-Beheer zijn betaald, zullen deze inclusief de betaalde btw moeten worden terugbetaald.
4.35.
Enviem heeft haar vorderingen onder 4. onderbouwd met een overzicht voorzien van bijlagen dat is overgelegd als productie 18 bij conclusie van repliek in conventie. De rechtbank hanteert bij de beoordeling de volgorde van dit overzicht.
4.36.
I-Beheer erkent dat factuur nummer 607204 van 17 september 2018 ten bedrage van € 22.487,85 inclusief btw, die was gericht aan Enviem B.V., per abuis ook door Transnational Blenders B.V. is voldaan. I-Beheer stelt dat deze dubbele betaling is afgeboekt op andere openstaande facturen en doet een beroep op verrekening. Nu I-Beheer niet aangeeft met welke concrete vorderingen is verrekend en ook niet of is voldaan aan het vereiste van wederkerig schuldenaarschap, gaat de rechtbank aan dit ongefundeerde beroep op verrekening voorbij (artikel 6:136 BW). De vordering is voor
€ 22.487,85toewijsbaar aan
Transnational Blenders B.V.
€ 22.487,85toewijsbaar aan
Transnational Blenders B.V.
4.37.
I-Beheer erkent dat factuur nummer 607279 van 1 oktober 2018 ten bedrage van € 11.184,44 inclusief btw, die was gericht aan Enviem Retail Nederland B.V., per abuis ook door Enviem Holding B.V. is voldaan. Het verrekeningsberoep van I-Beheer wordt verworpen op de gronden als vermeld onder 4.36. De vordering is voor
€ 11.184,44toewijsbaar aan
Enviem Holding B.V.
€ 11.184,44toewijsbaar aan
Enviem Holding B.V.
4.38.
Ten aanzien van factuurnummer 609805 ten bedrage van € 1.715,18 stelt Enviem slechts dat deze als ‘onbekende ontvangst’ staat opgenomen in een lijst van I-Beheer zodat de vordering op dit onderdeel onvoldoende is onderbouwd en dit bedrag niet voor toewijzing in aanmerking komt.
4.39.
Enviem stelt dat de facturen met nummers 608385 en 608431 groot € 8.668,44, beide gericht aan Enviem B.V., betrekking hebben op een en dezelfde levering. Nu I-Beheer dit gemotiveerd betwist en Enviem zich op de rechtsgevolgen van deze stelling beroept, rust de bewijslast daarvan op Enviem. Enviem zal daartoe een bewijsopdracht krijgen.
4.40.
Volgens Enviem heeft Transnational Blenders B.V. facturen ten bedrage van totaal € 24.066,90 ter zake van een SLA Gold onverschuldigd betaald, omdat de betreffende Service Level Agreement volgens haar nooit is gesloten en in dat kader ook geen werkzaamheden zijn verricht door I-Beheer. I-Beheer heeft dit gemotiveerd betwist en aangegeven dat wel degelijk een SLA Gold overeenkomst tot stand is gekomen. Gezien deze betwisting en het feit dat Enviem zich beroept op de rechtsgevolgen van het beweerdelijk ontbreken van de opdracht, ligt het op de weg van Enviem om te bewijzen dat geen SLA Gold overeenkomst tot stand is gekomen. Enviem zal daartoe een bewijsopdracht krijgen.
4.41.
De vordering van Enviem tot terugbetaling van werkuren van iVanti ten bedrage van € 7.731,90 inclusief btw (€ 6.390,- exclusief btw) heeft de rechtbank reeds beoordeeld bij de vordering van Enviem onder 2.
4.42.
Enviem B.V. stelt zich op het standpunt dat zij ten onrechte geen bonuskortingen heeft ontvangen over de omzet die Enviem c.s. bij I-Beheer heeft gerealiseerd buiten de netwerkbeheerovereenkomst en de strippenkaarten om. Volgens Enviem heeft zij nog recht op bonuskortingen over de jaren 2016 tot en met 2019 ten bedrage van € 101.882,55 inclusief btw. I-Beheer betwist de vordering. Volgens I-Beheer werden alleen in de eerdere jaren van de samenwerking separate creditfacturen verzonden voor de bonuskorting. De overeengekomen korting was volgens I-Beheer destijds niet standaard 10%, maar kon oplopen tot 10%. Zij stelt dat de kortingen in latere jaren niet meer separaat werden toegepast, maar dat deze werden verdisconteerd in de facturen. Ter onderbouwing van deze betwisting heeft I-Beheer enkele voorbeeldfacturen overgelegd.
Gezien deze gemotiveerde betwisting lag het op de weg van Enviem om haar stellingen te concretiseren en te onderbouwen. Enviem heeft echter volstaan met een algemeen omzet-overzicht en heeft nagelaten om de facturen waarover zij aanspraak maakt op korting te overleggen. Enviem heeft ook geen overzicht met factuurnummers en bedragen overgelegd ter onderbouwing van haar aanspraak op bonuskorting. Nu Enviem onvoldoende feiten en omstandigheden heeft gesteld waaruit volgt dat Enviem te weinig bonuskortingen heeft ontvangen, zal deze vordering worden afgewezen.
Gezien deze gemotiveerde betwisting lag het op de weg van Enviem om haar stellingen te concretiseren en te onderbouwen. Enviem heeft echter volstaan met een algemeen omzet-overzicht en heeft nagelaten om de facturen waarover zij aanspraak maakt op korting te overleggen. Enviem heeft ook geen overzicht met factuurnummers en bedragen overgelegd ter onderbouwing van haar aanspraak op bonuskorting. Nu Enviem onvoldoende feiten en omstandigheden heeft gesteld waaruit volgt dat Enviem te weinig bonuskortingen heeft ontvangen, zal deze vordering worden afgewezen.
Ten aanzien van de vordering onder 5.
De vordering van Enviem tot betaling van buitengerechtelijke kosten zal als onvoldoende onderbouwd worden afgewezen. De beslissing met betrekking tot de gevorderde proceskosten en rente zal worden aangehouden.
Overig
4.43.
De eisers Enviem Retail Holding B.V., Enviem Retail Nederland B.V. en Oliehandel Nederland B.V. hebben geen enkele vordering ingesteld, afgezien van de algemene vordering onder punt 5. tot vergoeding van buitengerechtelijke en gerechtelijke kosten en rente aan welke vordering deze vennootschappen niets ten grondslag hebben gelegd. De rechtbank zal Enviem Retail Holding B.V., Enviem Retail Nederland B.V. en Oliehandel Nederland B.V. daarom bij eindvonnis niet-ontvankelijk verklaren.
4.44.
Enviem c.s. hebben niet alleen I-Beheer ICT B.V. gedagvaard maar ook I-Beheer Groep B.V., echter zonder een vordering in te stellen tegen laatstgenoemde vennootschap. Enviem c.s. heeft I-Beheer Groep B.V. ten onrechte als gedaagde opgeroepen in het geding en zal daarom bij eindvonnis veroordeeld worden in de kosten van de procedure van I-Beheer Groep B.V. Tot op heden worden deze kosten begroot op nihil.
4.45.
Iedere verdere beslissing zal worden aangehouden.
in reconventie
4.46.
I-Beheer stelt zich op het standpunt dat Enviem de netwerkbeheerovereenkomst ten onrechte heeft ontbonden, en wenst op haar beurt (partieel) te ontbinden. I-Beheer vordert in reconventie, kort gezegd, I. betaling van openstaande facturen vermeerderd met 15% incassokosten en rente, II. partiële ontbinding per 21 februari 2020 van de met Enviem gesloten overeenkomsten, III. vergoeding van schade als gevolg van deze ontbinding, IV. opheffing van conservatoir beslag, en veroordeling in de proceskosten.
4.47.
Voor de beoordeling van de vorderingen van I-Beheer zal eerst de vraag beantwoord moeten worden of Enviem de netwerkbeheerovereenkomst rechtsgeldig heeft ontbonden. Daarover overweegt de rechtbank als volgt.
4.48.
Iedere tekortkoming van een partij in de nakoming van een van haar verbintenissen geeft aan de wederpartij de bevoegdheid om de overeenkomst geheel of gedeeltelijk te ontbinden, tenzij de tekortkoming, gezien haar bijzondere aard of geringe betekenis, deze ontbinding met haar gevolgen niet rechtvaardigt (artikel 6:265 lid 1 BW).
I-Beheer is toerekenbaar tekortgeschoten in de nakoming van haar verplichtingen uit de netwerkbeheerovereenkomst. De rechtbank verwijst naar hetgeen zij daarover in conventie onder 4.5tot en met 4.8 heeft overwogen. Nu geen sprake is van tekortkomingen van geringe betekenis en ook niet is gebleken van enige bijzondere aard waardoor een ontbinding niet gerechtvaardigd zou zijn, was Enviem bevoegd de overeenkomst te ontbinden. I-Beheer voert aan dat zij niet in gebreke is gesteld. Een ingebrekestelling was echter niet nodig. Het gaat hier zoals gezegd om een overeenkomst, die voor beide partijen voortdurende verplichtingen inhoudt. Zelfs als I-Beheer na de ransomware aanval van 12 oktober 2019 haar verplichtingen uit de netwerkbeheer-overeenkomst alsnog had kunnen nakomen, wordt daarmee de tekortkoming in het verleden niet ongedaan gemaakt en wat deze tekortkoming betreft is nakoming dan ook niet meer mogelijk. Dit brengt mee dat ontbinding van de overeenkomst mogelijk is ook zonder verzuim. [9] De door Enviem ingeroepen ontbinding van de netwerkbeheerovereenkomst is dan ook rechtsgeldig.
I-Beheer is toerekenbaar tekortgeschoten in de nakoming van haar verplichtingen uit de netwerkbeheerovereenkomst. De rechtbank verwijst naar hetgeen zij daarover in conventie onder 4.5tot en met 4.8 heeft overwogen. Nu geen sprake is van tekortkomingen van geringe betekenis en ook niet is gebleken van enige bijzondere aard waardoor een ontbinding niet gerechtvaardigd zou zijn, was Enviem bevoegd de overeenkomst te ontbinden. I-Beheer voert aan dat zij niet in gebreke is gesteld. Een ingebrekestelling was echter niet nodig. Het gaat hier zoals gezegd om een overeenkomst, die voor beide partijen voortdurende verplichtingen inhoudt. Zelfs als I-Beheer na de ransomware aanval van 12 oktober 2019 haar verplichtingen uit de netwerkbeheer-overeenkomst alsnog had kunnen nakomen, wordt daarmee de tekortkoming in het verleden niet ongedaan gemaakt en wat deze tekortkoming betreft is nakoming dan ook niet meer mogelijk. Dit brengt mee dat ontbinding van de overeenkomst mogelijk is ook zonder verzuim. [9] De door Enviem ingeroepen ontbinding van de netwerkbeheerovereenkomst is dan ook rechtsgeldig.
Ten aanzien van de vordering onder I.
I-Beheer vordert betaling van de volgende facturen:
[zie volgende pagina]
4.49.
De facturen met nummers 610477, 610479, 610478, 610475, 610476, 610297, 610709 en 610466 ten bedrage van € 5.242,11 hebben betrekking op hardware die I-Beheer in opdracht van Enviem B.V. heeft geleverd en op storingsdienst activiteiten. Dat staat los van de netwerkbeheerovereenkomst, zodat de ontbinding op deze verbintenissen geen effect sorteert. Enviem heeft de verschuldigdheid van deze factuurbedragen inhoudelijk niet betwist. Aangezien het gaat om verbintenissen die aan de zijde van I-Beheer reeds zijn nagekomen, zijn deze factuurbedragen toewijsbaar. Aan I-Beheer zal ten laste van Enviem B.V
. € 5.242,11worden toegewezen.
. € 5.242,11worden toegewezen.
4.50.
Factuur 610503 ten bedrage van € 37.156,08 betreft werkzaamheden die I-Beheer na de ransomware aanval heeft uitgevoerd ter beperking van de schade. Aangezien de schade juist voortvloeit uit het tekortschieten van I-Beheer, blijven deze (herstel-) werkzaamheden voor haar eigen rekening. De vordering tot betaling van factuur 610503 zal worden afgewezen.
4.51.
I-Beheer heeft in de periode augustus tot en met november 2019 vijfmaal een strippenkaart in rekening gebracht aan Enviem. Het betreft de facturen met nummers 609800, 609960, 610284, 610432 en 610468, totaal ten bedrage van € 38.659,50. Een strippenkaart van I-Beheer bestaat uit 100 uren, die door de klant vooraf worden afgenomen en betaald, en waar de door I-Beheer gewerkte uren vervolgens van worden afgeschreven. Enviem betwist de verschuldigdheid van deze facturen. Zij stelt dat I-Beheer een deel van de werkzaamheden dubbel in rekening heeft gebracht door deze af te boeken zowel van de netwerkbeheer-contracturen als van de strippenkaarten. Aangezien I-Beheer zich beroept op de rechtsgevolgen van de beweerdelijk afgenomen strippenkaarturen, ligt op haar de bewijslast daarvan. I-Beheer zal een bewijsopdracht krijgen.
4.52.
De facturen genummerd 610329, 610542, 610836, en 610836 ten bedrage van € 8.817,52 hebben betrekking op upgrade en uitbreiding van de uitwijklocatie in Coevorden. Enviem heeft de vordering gemotiveerd betwist. Volgens Enviem valt de uitwijklocatie onder de netwerkbeheerovereenkomst en had deze niet separaat gefactureerd mogen worden. In het licht van deze gemotiveerde betwisting lag het op de weg van I-Beheer om te stellen en met stukken te onderbouwen dat upgrade en uitbreiding van de uitwijklocatie (separaat) met Enviem B.V. is overeengekomen. Het overleggen van een opdracht-bevestiging uit 2011 gericht aan Gulf Nederland B.V. volstaat daartoe niet. Dat geldt temeer nu in artikel 12 van de netwerkbeheerovereenkomst is bepaald dat deze alle afspraken bevat welke tussen partijen zijn gemaakt omtrent de in die overeenkomst genoemde onderwerpen en in dat deze de plaats treedt van alle eerdere overeenkomsten welke tussen partijen daaromtrent zijn gesloten. I-Beheer heeft onvoldoende feiten en omstandigheden gesteld die tot toewijzing van de factuurbedragen kunnen leiden, zodat de vordering voor dit deel zal worden afgewezen.
4.53.
De facturen genummerd 610357, 610570 en 610864 voor de maandelijkse termijnen van de netwerkbeheerovereenkomst zijn geadresseerd aan Enviem Retail Nederland B.V. in plaats van aan contractspartij Enviem B.V. Wat daar verder ook van zij, vast staat dat I-Beheer na de hack van 12 oktober 2019 geen uitvoering meer heeft gegeven aan de overeenkomst. I-Beheer heeft in de periode na de hack tot aan ontbinding van de overeenkomst ook geen aanspraak gemaakt op het mogen verrichten van beheerwerkzaam-heden. Doordat alle bestanden inclusief de back-upbestanden versleuteld zijn geraakt, was nakoming van de netwerkbeheerovereenkomst bovendien blijvend onmogelijk geworden.
Een ontbinding bevrijdt de partijen van “de daardoor getroffen verbintenissen” (eerste zin van art. 6:271 BW), en blijkens de tweede zin van art. 6:271 BW kan een partij door ontbinding van de overeenkomst ook over een reeds verstreken periode van haar verbintenissen bevrijd worden, namelijk voor zover deze nog niet waren nagekomen. [10]
Aangezien na 12 oktober 2019 geen beheerwerkzaamheden meer zijn verricht, is Enviem de factuurbedragen voor netwerkbeheer niet verschuldigd. De vordering tot betaling van de netwerkbeheertermijnen zal dan ook worden afgewezen.
4.54.
Enviem heeft de verschuldigdheid van facturen genummerd 610064, 610364, 610576, 610871 en IB 610987, totaal ten bedrage van
€ 5.406,60niet betwist, zodat dit bedrag ten laste van Enviem Retail Nederland B.V. zal worden toegewezen.
€ 5.406,60niet betwist, zodat dit bedrag ten laste van Enviem Retail Nederland B.V. zal worden toegewezen.
4.55.
Ook de verschuldigdheid van de facturen aan Transnational Blenders B.V. met nummers 610352, 610564, 610859, IB 610978, 610187, 610374, 610587, 610882 en IB610996 ten bedrage van € 6.724,11voor internetverbinding en managementrapportage is niet betwist, Daarop strekt in mindering de vordering van Transnational Blenders B.V. als bedoeld onder 4.32 ten bedrage van € 6.390,- zodat ter zake
€ 334,11zal worden toegewezen ten laste van Transnational Blenders B.V.
€ 334,11zal worden toegewezen ten laste van Transnational Blenders B.V.
4.56.
De facturen 610376, 610589, 610884 en IB 610998 aan Transnational Blenders B.V. ten bedrage van € 17.147,16 hebben betrekking op een “SLA Gold”, een zogenoemd Service Level Agreement. Enviem heeft in reconventie geen verweer gevoerd tegen de verschuldigdheid van de genoemde facturen. Aangezien de vordering niet gemotiveerd is betwist, zal
€ 17.147,16worden toegewezen ten laste van Transnational Blenders B.V.
€ 17.147,16worden toegewezen ten laste van Transnational Blenders B.V.
4.57.
De facturen 610544, 610838 en IB 610966 ten bedrage van € 1.559,28 hebben betrekking op een online back-up voorziening voor Fase Facility Services B.V. Enviem heeft de verschuldigdheid van deze factuurbedragen niet weersproken. Ook is niet gesteld of gebleken dat de online back-up voorziening van Fase Facility Services is getroffen door de ransomware aanval en dat I-Beheer terzake verwijtbaar heeft gehandeld. De vordering ten bedrage van
€ 1.559,28zal dan ook worden toegewezen ten laste van Fase Facility Services B.V.
€ 1.559,28zal dan ook worden toegewezen ten laste van Fase Facility Services B.V.
4.58.
De beoordeling van de vordering van I-Beheer tot betaling van buitengerechtelijke incassokosten en vertragingsrente zal worden aangehouden in afwachting van de uitkomst van de procedure in conventie en reconventie.
Ten aanzien van de vorderingen onder II en III.
4.59.
I-Beheer vordert de tussen I-Beheer en Enviem gesloten overeenkomsten partieel per 21 februari 2020 te ontbinden. Aangezien Enviem reeds rechtsgeldig de ontbinding heeft ingeroepen per 21 februari 2020, valt er niets meer te ontbinden en zal de vordering van I-Beheer worden afgewezen. De vordering onder III tot vergoeding van schade als gevolg van de gevorderde partiële ontbinding treft hetzelfde lot.
Ten aanzien van de vordering onder IV.
4.60.
De beoordeling van de vordering van I-Beheer tot opheffing van het door Enviem c.s. gelegde conservatoire beslag zal worden aangehouden in afwachting van de uitkomst van de procedure in conventie en reconventie.
4.61.
Iedere verdere beslissing zal worden aangehouden.
5.De beslissing
De rechtbank
in conventie
5.1.
draagt Enviem c.s. op te bewijzen
- dat de facturen met nummers 608385 en 608431 ten bedrage van € 8.668,44, beide gericht aan Enviem B.V., betrekking hebben op één en dezelfde levering;
- dat de facturen 609145, 609353, 609543, 609749, 609913 en 610079 zijn voldaan zonder dat daarvoor een rechtsgrond bestond, in het bijzonder dat geen SLA Gold overeenkomst tot stand is gekomen;
5.2.
bepaalt dat de zaak weer op de rol zal komen van
5 oktober 2022voor uitlating door Enviem c.s. of zij bewijs wil leveren door het overleggen van bewijsstukken, door het horen van getuigen en/of door een ander bewijsmiddel,
5 oktober 2022voor uitlating door Enviem c.s. of zij bewijs wil leveren door het overleggen van bewijsstukken, door het horen van getuigen en/of door een ander bewijsmiddel,
5.3.
bepaalt dat, als Enviem c.s. geen bewijs door het horen van getuigen wil leveren maar wel
bewijsstukkenwil overleggen, zij die stukken dan direct in het geding moet brengen,
bewijsstukkenwil overleggen, zij die stukken dan direct in het geding moet brengen,
5.4.
bepaalt dat, als Enviem c.s.
getuigenwil laten horen, zij de getuigen en de verhinderdagen van de partijen en hun advocaten in de maanden
november 2022tot en met
februari 2023dan direct moet opgeven, waarna dag en uur van het getuigenverhoor zullen worden bepaald,
getuigenwil laten horen, zij de getuigen en de verhinderdagen van de partijen en hun advocaten in de maanden
november 2022tot en met
februari 2023dan direct moet opgeven, waarna dag en uur van het getuigenverhoor zullen worden bepaald,
5.5.
bepaalt dat het getuigenverhoor zal plaatsvinden op de zitting van de daartoe tot rechter-commissaris benoemde mr. S. van Gessel in het gerechtsgebouw te Assen, Brinkstraat 4,
5.6.
bepaalt dat
alle partijenuiterlijk twee weken voor het eerste getuigenverhoor
alle beschikbare bewijsstukkenaan de rechtbank en de wederpartij moeten toesturen,
alle partijenuiterlijk twee weken voor het eerste getuigenverhoor
alle beschikbare bewijsstukkenaan de rechtbank en de wederpartij moeten toesturen,
5.7.
houdt iedere verdere beslissing aan,
in reconventie
5.8.
draagt I-Beheer c.s. op te bewijzen
- dat Enviem B.V. de strippenkaarten als vermeld op de facturen 609800, 609960, 610284, 610432 en 610468 heeft afgenomen,
5.9.
bepaalt dat de zaak weer op de rol zal komen van
5 oktober 2022voor uitlating door I-Beheer c.s. of zij bewijs willen leveren door het overleggen van bewijsstukken, door het horen van getuigen en/of door een ander bewijsmiddel,
5 oktober 2022voor uitlating door I-Beheer c.s. of zij bewijs willen leveren door het overleggen van bewijsstukken, door het horen van getuigen en/of door een ander bewijsmiddel,
5.10.
bepaalt dat, als I-Beheer c.s. geen bewijs door het horen van getuigen willen leveren maar wel
bewijsstukkenwillen overleggen, zij die stukken dan direct in het geding moeten brengen,
bewijsstukkenwillen overleggen, zij die stukken dan direct in het geding moeten brengen,
5.11.
bepaalt dat, als I-Beheer c.s.
getuigenwillen laten horen, zij de getuigen en de verhinderdagen van de partijen en hun advocaten in de maanden
november 2022tot en met
februari 2023dan direct moeten opgeven, waarna dag en uur van het getuigenverhoor zullen worden bepaald,
getuigenwillen laten horen, zij de getuigen en de verhinderdagen van de partijen en hun advocaten in de maanden
november 2022tot en met
februari 2023dan direct moeten opgeven, waarna dag en uur van het getuigenverhoor zullen worden bepaald,
5.12.
bepaalt dat het getuigenverhoor zal plaatsvinden op de zitting van de daartoe tot rechter-commissaris benoemde mr. S. van Gessel, in het gerechtsgebouw te Assen, Brinkstraat 4,
5.13.
bepaalt dat
alle partijenuiterlijk twee weken voor het eerste getuigenverhoor
alle beschikbare bewijsstukkenaan de rechtbank en de wederpartij moeten toesturen,
alle partijenuiterlijk twee weken voor het eerste getuigenverhoor
alle beschikbare bewijsstukkenaan de rechtbank en de wederpartij moeten toesturen,
5.14.
houdt iedere verdere beslissing aan.
Dit vonnis is gewezen door mrs. L. Groefsema, voorzitter, C.J.R. de Locht en S. van Gessel en uitgesproken op 21 september 2022 door de voorzitter in tegenwoordigheid van de griffier mr. K.M.N. Baurdoux.
SvG