Uitspraak
vonnis
RECHTBANK OVERIJSSEL
Team kanton en handelsrecht
Zittingsplaats Zwolle
zaaknummer / rolnummer: C/08/264024 / HA ZA 21-141
Vonnis in hoofdzaak van 9 maart 2022
in de zaak van
[eiseres] , H.O.D.N. COTTONCOUNTS,
wonende te [woonplaats] ,
eiseres,
advocaat mr. F.J.H. Krumpelman te Rotterdam,
tegen
de besloten vennootschap
CCG RETAIL B.V.,
statutair gevestigd te Apeldoorn en kantoorhoudende te Deventer,
gedaagde,
advocaat mr. S.R. van der Boom te Alkmaar.
Partijen zullen hierna Cottoncounts en CCG Retail genoemd worden.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- het (tussen)vonnis van 11 augustus 2021 waarbij een mondelinge behandeling is bevolen;
- de akte overlegging aanvullende producties (11 t/m 13) van Cottoncounts;
- het B8-formulier van CCG Retail met productie 2 en 3;
- het B8-formulier van CCG Retail met productie 4 t/m 6;
- het B8-formulier van CCG Retail met productie 7;
- de akte overlegging aanvullende producties (14) van Cottoncounts;
- de spreekaantekeningen van Cottoncounts;
- de mondelinge behandeling op 20 januari 2022 waarvan de griffier zittingsaantekeningen heeft gemaakt.
1.2.
Nadat partijen geen schikking hadden bereikt, hebben zij vonnis gevraagd.
2.Waar gaat deze zaak over?
2.1.
Cottoncounts heeft te maken gehad met een hack, waarbij haar bestanden door ransomware zijn versleuteld. Cottoncounts zou daardoor ook een zeer groot aantal product- en sfeerfoto’s kwijt zijn geraakt. Cottoncounts vordert schadevergoeding van CCG Retail, omdat zij de IT-infrastructuur heeft aangelegd (althans laten aanleggen) en deze onvoldoende heeft beveiligd (althans laten beveiligen). Deze vordering zal (deels) worden toegewezen. De rechtbank zal haar oordeel hieronder toelichten. In dat kader zijn de volgende feiten relevant.
3.De feiten
3.1.
Cottoncounts – een eenmanszaak van [eiseres] – is een groothandel in huismeubilair en kleinhandel (verkoop via internet) in luxe bad-, bedlinnen en woonaccessoires.
3.2.
CCG Retail heeft een onderneming op het gebied van (voornamelijk) het leveren van afrekenoplossingen en het koppelen daaraan van financiële software.
3.3.
Op 5 december 2016 hebben partijen een koopovereenkomst gesloten uit hoofde waarvan CCG Retail aan Cottoncounts software (Exact Globe), hardware en een Magento koppeling heeft verkocht en geleverd (inclusief installatie) tegen een netto prijs van
€ 17.000,00 exclusief btw. Daarnaast heeft Cottoncounts met CCG Retail een dienstverleningsovereenkomst gesloten voor het onderhoud van de software, de Magento-koppeling en telefonische support. Tot dit onderhoud behoren ook de hostingkosten
(€ 185,00 per maand). Het onderhoud wordt rechtstreeks door de leveranciers aan Cottoncounts gefactureerd. In de offertes van CCG Retail van 5 december 2016 staat onderaan het volgende vermeld:
“Op al onze aanbiedingen en overeenkomsten zijn de ICT Office Voorwaarden, modules Algemeen, module 1 t/m 4, module 8 t/m 11, module 13 en 14 gedeponeerd bij de Kamer van Koophandel Midden-Nederland onder nummer 30174840, van toepassing. Een exemplaar zenden wij u desgewenst kosteloos toe.”
3.4.
CCG Retail heeft de hosting van de door haar aan Cottoncounts geleverde server uitbesteed aan Xaris ICT B.V. te Wognum (hierna: Xaris).
3.5.
Op of omstreeks 7 september 2020 is de server van Cottoncounts gehackt waarna alle bedrijfsdata van Cottoncounts door middel van ransomware is versleuteld. Partijen hebben daarna met elkaar gecorrespondeerd over de oorzaak van de hack en de mogelijkheden van herstel.
3.6.
Op 8 september 2020 heeft Cottoncounts de server bij het datacenter van Xaris fysiek opgehaald, waarna Cottoncounts deze door WCCS BV nader heeft laten onderzoeken.
3.7.
Bij e-mail van 23 december 2020 heeft Cottoncounts CCG Retail aansprakelijk gesteld voor de door haar geleden schade die volgens Cottoncounts door Xaris als hulppersoon van CCG Retail is veroorzaakt. Daarbij heeft Cottoncounts de vernietiging ingeroepen van de algemene voorwaarden van CCG Retail en ook de overeenkomst met CCG Retail opgezegd c.q. ontbonden per 31 december 2020.
3.8.
Nadat de rechtbank dit bij vonnis in incident van 30 juni 2021 had toegestaan, heeft CCG Retail op 8 juli 2021 Xaris in vrijwaring gedagvaard.
4.Het geschil
4.1.
Cottoncounts vordert ten titel van schadevergoeding betaling van CCG Retail van een bedrag van € 29.246,94, van buitengerechtelijke incassokosten van € 1.787,81 en van de proceskosten.
4.2.
Aan haar vorderingen legt Cottoncounts, samengevat, ten grondslag dat CCG Retail tegenover haar toerekenbaar is tekort geschoten in haar verplichtingen voortvloeiende uit de tussen partijen gesloten koop- en dienstverleningsovereenkomst doordat CCG Retail geen volledige backups heeft gemaakt van haar servers met als gevolg dat door een computerhack haar bestanden zijn versleuteld en duizenden product- en sfeerfoto’s van artikelen uit haar assortiment verloren zijn gegaan. Cottoncounts betoogt dat CCG Retail jegens haar aansprakelijk is, ook als het handelen of nalaten betreft van Xaris als hulppersoon van CCG Retail.
4.3.
CCG Retail betwist dat zij en/of Xaris wanprestatie heeft geleverd. Daartoe voert CCG Retail aan dat Cottoncounts zeer waarschijnlijk een zogenoemde phishing e-mail heeft geopend waardoor een hacker toegang heeft verkregen tot de servers van Cottoncounts, hetgeen CCG Retail en/of Xaris niet kan worden verweten. Ook betwist CCG Retail dat sprake is van een bijzondere zorgplicht, laat staan dat zij die heeft geschonden. Voor zover CCG Retail wel tekort zou zijn geschoten, dan verkeert CCG Retail niet in verzuim. Volgens CCG Retail heeft Cottoncounts haar nimmer gelegenheid tot herstel geboden en is zij ook niet door Cottoncounts in gebreke gesteld. Bovendien ontbreekt causaal verband tussen de hack en de beweerdelijke schade en heeft Cottoncounts ook de omvang van de schade niet onderbouwd. In dat kader beroept CCG Retail zich op haar algemene voorwaarden, alsmede eigen schuld van Cottoncounts.
4.4.
Op de stellingen van partijen zal de rechtbank hierna, voor zover van belang voor de beoordeling van het geschil, nader ingaan.
5.De beoordeling
5.1.
Tussen partijen staat niet ter discussie dat de rechtbank bevoegd is om kennis te nemen van de vorderingen van Cottoncounts.
Reikwijdte koop- en dienstverleningsovereenkomst
5.2.
Partijen verschillen van mening over de reikwijdte van de koop- en dienstverleningsovereenkomst. Cottoncounts betoogt dat CCG Retail ook gehouden was om zorg te dragen voor een veilig netwerk, terwijl CCG Retail meent dat partijen geen specifieke afspraken hebben gemaakt over beveiliging en back-ups. De rechtbank overweegt als volgt.
5.3.
CCG Retail heeft ter zitting erkend dat zij ten behoeve van Cottoncounts een volledige IT-infrastructuur heeft aangelegd en het beheer en onderhoud daarvan verzorgde. Dat tussen partijen een afspraak bestond die inhield dat CCG Retail een ‘totaalpakket’ zou leveren, is dus niet in geschil. De vraag die partijen wel verdeeld houdt, is of ook de beveiliging van het netwerk deel uitmaakte van dat totaalpakket. Nu partijen hun afspraken niet (volledig) op papier hebben gesteld, moet het antwoord op die vraag uit andere feiten en omstandigheden worden afgeleid. Daarbij is van belang wat partijen redelijkerwijs over de omvang van de koop- en dienstverleningsovereenkomst hebben kunnen begrijpen en wat zij over en weer van elkaar mochten verwachten. De stelplicht (en eventuele bewijslast) dat deze overeenkomst ook zag op het aanleggen van een adequate beveiliging rust op Cottoncounts, omdat zij zich beroept op de rechtgevolgen hiervan.
5.4.
Cottoncounts voert in dit kader aan dat zij (de inrichting van) haar IT-infrastructuur volledig in handen van CCG Retail heeft gelegd en dat de beveiliging daarvan vanzelfsprekend deel uitmaakte. Cottoncounts stelt dat een adequate beveiliging voor haar van groot belang is en dat CCG Retail hiervan op de hoogte was. Daarbij is Cottoncounts geheel afgegaan op de deskundigheid en adviezen van CCG Retail.
5.5.
CCG Retail voert als verweer aan dat de overeenkomsten geen enkele bepaling bevat over een correcte uitvoering van de hosting, ondersteuning en beveiliging. CCG Retail betwist dat op haar een bijzondere zorgplicht rust. In dat verband verwijst zij naar de uitspraken van het gerechtshof Amsterdam van 28 april 2015 (ECLI:NL:GHAMS:2015:1635) en de rechtbank Limburg van 21 juni 2017 (ECLI:NL:RBLIM:2017:6454). Als deze zorgplicht zou bestaan, dan geldt die plicht voor Xaris tegenover Cottoncounts en/of CCG Retail, aldus CCG Retail.
5.6.
De rechtbank is van oordeel dat CCG Retail hiermee onvoldoende gemotiveerd heeft betwist dat Cottoncounts er vanuit is gegaan en mocht gaan dat CCG Retail bij de uitvoering van de koop- en dienstverleningsovereenkomst een volledige IT-infrastructuur aan te leggen, tevens zorg zou dragen voor een adequate beveiliging van haar gegevens. Daarbij overweegt de rechtbank dat het gelet op het gestelde en niet betwiste belang hiervan, moeilijk voorstelbaar is hoe onder de overeenkomst een totaalpakket te leveren niet tevens de aanleg van de daarbij behorende beveiliging kan zijn begrepen. CCG Retail mocht er dus niet zonder meer vanuit gaan dat Cottoncounts geen prijs stelde op adequate beveiliging, als onderdeel van het door haar afgenomen totaalpakket. CCG Retail heeft ook niet gesteld dat zij van Cottoncounts heeft begrepen of mogen begrijpen dat Cottoncounts beveiliging
nietbelangrijk vond. Aldus had CCG Retail bij deze stand van zaken de verantwoordelijkheid tegenover Cottoncounts om ofwel (adequate) beveiliging onderdeel van het totaalpakket te maken, of anders met Cottoncounts uitdrukkelijk te bespreken dat CCG Retail daar juist niet voor zou zorgen; Cottoncounts zou dan de mogelijkheid hebben daar zelf op een andere manier voor te zorgen. Zonder het gesprek over beveiliging aan te gaan, mocht Cottoncounts er dus op vertrouwen dat CCG Retail dit als onderdeel van de koop- en dienstverleningsovereenkomst zou regelen. De omstandigheid dat CCG Retail de hosting van de server heeft uitbesteed aan Xaris, ontsloeg CCG Retail niet van haar verantwoordelijkheid om zorg te dragen voor een adequate beveiliging van de gegevens van Cottoncounts. De stelling van Cottoncounts dat de overeenkomst tevens het aanleggen van een adequaat beveiligings- en back-upsysteem inhield, slaagt dus.
nietbelangrijk vond. Aldus had CCG Retail bij deze stand van zaken de verantwoordelijkheid tegenover Cottoncounts om ofwel (adequate) beveiliging onderdeel van het totaalpakket te maken, of anders met Cottoncounts uitdrukkelijk te bespreken dat CCG Retail daar juist niet voor zou zorgen; Cottoncounts zou dan de mogelijkheid hebben daar zelf op een andere manier voor te zorgen. Zonder het gesprek over beveiliging aan te gaan, mocht Cottoncounts er dus op vertrouwen dat CCG Retail dit als onderdeel van de koop- en dienstverleningsovereenkomst zou regelen. De omstandigheid dat CCG Retail de hosting van de server heeft uitbesteed aan Xaris, ontsloeg CCG Retail niet van haar verantwoordelijkheid om zorg te dragen voor een adequate beveiliging van de gegevens van Cottoncounts. De stelling van Cottoncounts dat de overeenkomst tevens het aanleggen van een adequaat beveiligings- en back-upsysteem inhield, slaagt dus.
Tekortkoming CCG Retail?
5.7.
De rechtbank is van oordeel dat Xaris als hulppersoon als bedoeld in artikel 6:76 BW van CCG Retail moet worden gekwalificeerd. Daartoe overweegt de rechtbank dat CCG Retail Xaris heeft ingeschakeld bij de uitvoering van de tussen partijen gesloten overeenkomsten ten aanzien waarvan de aansprakelijkheid in het geding is. CCG Retail heeft immers de hosting aan Xaris uitbesteed. Gevolg is dat CCG Retail voor de gedragingen van Xaris op gelijke wijze aansprakelijk is als voor eigen gedragingen.
5.8.
Cottoncounts stelt dat Xaris haar server back-ups niet op orde had. De meest recente back-up dateerde van 21 augustus 2020, wat ruim twee weken voor de hack was. Daarnaast waren de back-ups incompleet, omdat daarop alleen de SQL-database te vinden was. De gegevens die opgeslagen waren op de virtuele FTP-server, waaronder duizenden product- en sfeerfoto’s van het assortiment van Cottoncounts, zijn geheel verloren gegaan, aldus Cottoncounts.
5.9.
CCG Retail sluit zich aan bij het verweer van Xaris in vrijwaring, dat van een tekortkoming geen sprake is, en maakt dat tot het hare. Dat verweer houdt in dat uit de overeenkomst van opdracht van 6 december 2016 tussen Xaris en CCG Retail blijkt dat Xaris met betrekking tot de “
Eigen server in hostedrack” (van Cottoncounts) zal zorgdragen voor onder meer “
Backup Online 50Gb data” en “
N-Able management en virusscanner”. Volgens Xaris was de back-up van de SQL-server (met daarop de bestanden van Cottoncounts met alleen platte tekst, lees: de bedrijfsadministratie) die zij fysiek aan Cottoncounts heeft verstrekt nog geen twee weken oud en was er niets afgesproken over de frequentie waarmee back-ups gemaakt moesten worden. Zonder daartoe gehouden te zijn, maakte Xaris echter dagelijks back-ups van alle bestanden van Cottoncounts op de SQL-server naar een externe NAS-server in het datacenter in Amsterdam. Volgens Xaris wordt van deze server periodiek nog een extra kopie gemaakt naar een NAS-server in haar bedrijfspand in Wognum. Verder heeft Xaris erop gewezen dat op haar slechts een inspanningsverplichting rust ten aanzien van de beveiliging en de back-ups en dat Cottoncounts, gelet op de niet al te kostbare virusscanner voor de server (€ 12,50 per maand), niet mocht verwachten dat zij een gegarandeerd virusvrije werkomgeving zou hebben, hetgeen overigens in de praktijk niet mogelijk is. Bij een hack waarbij de hacker als administrator aangemeld is kan deze ook acties uitvoeren om services stop te zetten en zo antivirussoftware omzeilen, aldus Xaris.
Eigen server in hostedrack” (van Cottoncounts) zal zorgdragen voor onder meer “
Backup Online 50Gb data” en “
N-Able management en virusscanner”. Volgens Xaris was de back-up van de SQL-server (met daarop de bestanden van Cottoncounts met alleen platte tekst, lees: de bedrijfsadministratie) die zij fysiek aan Cottoncounts heeft verstrekt nog geen twee weken oud en was er niets afgesproken over de frequentie waarmee back-ups gemaakt moesten worden. Zonder daartoe gehouden te zijn, maakte Xaris echter dagelijks back-ups van alle bestanden van Cottoncounts op de SQL-server naar een externe NAS-server in het datacenter in Amsterdam. Volgens Xaris wordt van deze server periodiek nog een extra kopie gemaakt naar een NAS-server in haar bedrijfspand in Wognum. Verder heeft Xaris erop gewezen dat op haar slechts een inspanningsverplichting rust ten aanzien van de beveiliging en de back-ups en dat Cottoncounts, gelet op de niet al te kostbare virusscanner voor de server (€ 12,50 per maand), niet mocht verwachten dat zij een gegarandeerd virusvrije werkomgeving zou hebben, hetgeen overigens in de praktijk niet mogelijk is. Bij een hack waarbij de hacker als administrator aangemeld is kan deze ook acties uitvoeren om services stop te zetten en zo antivirussoftware omzeilen, aldus Xaris.
5.10.
De rechtbank is van oordeel dat Cottoncounts dit gemotiveerde standpunt, dat CCG Retail als gezegd tot het hare heeft gemaakt – onvoldoende heeft weersproken. Daarbij is van belang dat Cottoncounts niet heeft weersproken dat het maken van een fysieke back-up met intervallen van ongeveer twee weken juist tot doel heeft te beschermen tegen het algehele verlies van bedrijfsgegevens, bijvoorbeeld als gevolg van een hack zoals die in deze zaak heeft plaatsgevonden. Doordat er namelijk een fysieke back-up beschikbaar was met bedrijfsgegevens van vóór de hack, kon überhaupt nog over bedrijfsgegevens worden beschikt. Het verlies was, ten aanzien van de bedrijfsgegevens, beperkt tot de gegevens van de twee weken vóór de hack. Als er recentere back-ups zouden zijn gemaakt, bijvoorbeeld dagelijks, dan zou die back-up hoogstwaarschijnlijk ook versleutelde gegevens bevatten (omdat van de door de hack versleutelde gegevens dan een back-up zou worden gemaakt), zodat die back-up dan effectief waardeloos zou zijn, zoals in deze zaak bijvoorbeeld het geval was met de – veel recentere – back-up uit het datacenter. CCG Retail heeft onweersproken gesteld dat een dergelijke werkwijze met betrekking tot de beveiliging van gegevens (tweewekelijkse back-ups) in de ICT-branche niet ongebruikelijk is. Kortom: het twee weken oud zijn van de fysieke back-up, heeft in dit geval juist ervoor gezorgd dat voor Cottoncounts bedrijfsgegevens werden behouden, zodat het verlies van gegevens niet algeheel was, maar tot twee weken werd beperkt. Cottoncounts heeft dit niet (gemotiveerd) weersproken. Dit betekent dat niet gezegd kan worden dat CCG Retail met betrekking tot de beveiliging van de SQL-server van Cottoncounts is tekortgeschoten.
5.11.
Dit ligt anders als het gaat om de beveiliging van de FTP-server van Cottoncounts. Daartoe overweegt de rechtbank het volgende.
5.12.
Eerst in 2018 heeft Xaris in opdracht van CCG Retail een FTP-server (als ‘doorgeefluik’) ter beschikking gesteld voor gebruik door Cottoncounts ten behoeve van de digitale opslag van product- en sfeerfoto’s. Anders dan in het geval van de SQL-server, heeft CCG Retail met Xaris geen enkele afspraak gemaakt over de beveiliging van de FTP-server. Xaris was dus tegenover CCG Retail contractueel niet verplicht om back-ups te maken van de FTP-schijf. In het licht van deze omstandigheden, en gelet op de in rechtsoverweging 5.6 besproken verplichting van CCG Retail om voor een adequate beveiliging van de (bedrijfs-)gegevens van Cottoncounts zorg te dragen, is de rechtbank van oordeel dat CCG Retail hiermee tegenover Cottoncounts toerekenbaar is tekortgeschoten in haar verplichtingen. Daarbij betrekt de rechtbank dat CCG Retail wist, althans behoorde te weten, dat het behoud en de beveiliging van de product- en sfeerfoto’s van groot belang is voor de bedrijfsvoering van Cottoncounts, dat CCG Retail bekend was met de wensen en behoeftes van Cottoncounts en dat Cottoncounts volledig is afgegaan op het deskundige advies van CCG Retail om een FTP-server te gebruiken voor de (tijdelijke) opslag van product- en sfeerfoto's.
Schade?
5.13.
Het voorgaande betekent dat CCG Retail op grond van artikel 6:74 BW in beginsel aansprakelijk is voor de schade die Cottoncounts door haar tekortkoming heeft geleden.
5.14.
Ter afwering van haar aansprakelijkheid beroept CCG Retail zich op artikel 12 van haar algemene voorwaarden. In dat artikel is onder meer bepaald dat de totale aansprakelijkheid van CCG Retail wegens wanprestatie is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de voor de overeenkomst bedongen prijs en dat, indien de overeenkomst hoofdzakelijk een duurovereenkomst is met een looptijd van meer dan één jaar, de voor de overeenkomst bedongen prijs gesteld wordt op het totaal van de vergoedingen (exclusief btw) bedongen voor één jaar. Voorts is in hetzelfde artikel bepaald dat de aansprakelijkheid van CCG Retail voor, onder meer, indirecte schade en gevolgschade is uitgesloten.
5.15.
Cottoncounts heeft de vernietiging van de algemene voorwaarden van CCG Retail ingeroepen, omdat CCG Retail haar niet een redelijke mogelijkheid heeft geboden om daarvan kennis te nemen (artikel 6:233 sub b jo. artikel 6:234 lid 1 BW).
5.16.
De rechtbank stelt vast dat CCG Retail een dienstverrichter als bedoeld in artikel 6:230a BW is en dat CCG Retail in de offertes heeft volstaan met de mededeling dat haar algemene voorwaarden van toepassing zijn en dat deze op verzoek zullen worden toegezonden. Eerst in de conclusie van antwoord heeft CCG Retail kenbaar gemaakt dat de algemene voorwaarden “
vanwege de enorme omvang daarvan” elektronisch toegankelijk zijn op www.ccg-retail.nl en www.mykassa.nl. Naar het oordeel van de rechtbank heeft CCG Retail daarmee niet tijdig aan de ingevolge artikel 6:230c jo. artikel 6:230e jo. artikel 6:234 lid 1 BW op haar rustende informatieplicht voldaan. De stelling van CCG Retail dat Cottoncounts met de ondertekening van de offerte akkoord is gegaan met haar algemene voorwaarden, doet hier niet aan af. Dit betekent dat Cottoncounts de algemene voorwaarden van CCG Retail rechtsgeldig heeft vernietigd.
vanwege de enorme omvang daarvan” elektronisch toegankelijk zijn op www.ccg-retail.nl en www.mykassa.nl. Naar het oordeel van de rechtbank heeft CCG Retail daarmee niet tijdig aan de ingevolge artikel 6:230c jo. artikel 6:230e jo. artikel 6:234 lid 1 BW op haar rustende informatieplicht voldaan. De stelling van CCG Retail dat Cottoncounts met de ondertekening van de offerte akkoord is gegaan met haar algemene voorwaarden, doet hier niet aan af. Dit betekent dat Cottoncounts de algemene voorwaarden van CCG Retail rechtsgeldig heeft vernietigd.
5.17.
Vervolgens dient de vraag beantwoord te worden of Cottoncounts door de tekortkoming van CCG Retail schade heeft geleden en, zo ja, tot welk bedrag deze schade voor vergoeding in aanmerking komt.
5.18.
Cottoncounts vordert in de eerste plaats vergoeding van de kosten van de herstelwerkzaamheden van Optimizers en WCCS van in totaal € 3.452,50 exclusief btw
(€ 1.350,00 respectievelijk € 2.102,50).
5.19.
Uit de facturen van Optimizers en de daarbij behorende specificaties blijkt dat haar werkzaamheden betrekking hadden op “een export gemaakt van alle productafbeeldingen en deze beschikbaar gemaakt” (1 uur), “Herinstallatie + inrichting App4Sales-component op nieuwe server + installatie benodigde Windows-onderdelen” (4 uur), het versturen van order- en artikeldata (2 uur), hulp bij het insturen van verkooporders (1 uur), het doen van een aanpassing (0,5 uur) en “ondersteuning door Martijn Bais bij het koppelen van afbeeldingen op de FTP” (0,5 uur), waarbij een uurtarief van € 150,00 exclusief btw is gehanteerd. Blijkens de omschrijving op de factuur van WCCS heeft WCCS “werkzaamheden verricht naar aanleiding van de ransomware/hack van de remote Exact server. Onder andere poging herstel bestanden, inrichten lokale nood server.” (in totaal 29 uur tegen een uurtarief van € 72,50).
5.20.
Zoals de rechtbank hiervoor heeft overwogen, is CCG Retail niet tekortgeschoten in de beveiliging van de SQL-server. Voor zover de werkzaamheden van Optimizers en WCCS hierop zien, komen de kosten daarvan niet voor vergoeding in aanmerking. Wel toewijsbaar zijn de kosten van de werkzaamheden van Optimizers, voor zover deze samenhangen met het verlies van de product- en sfeerfoto’s van Cottoncounts op de FTP-server. Omdat nakoming blijvend onmogelijk is, is verzuim van CCG Retail niet vereist. De rechtbank zal een bedrag van € 272,25 inclusief btw toewijzen (1,5 uur x uurtarief € 150,00 exclusief btw).
5.21.
Voorts vordert Cottoncounts vergoeding van de interne uren die zij heeft moeten besteden aan “
het oplossen van de problemen zoals maar niet beperkt tot het opnieuw inrichten van de server en het weer op peil brengen van de administratie.” Volgens Cottoncounts gaat het om 32 uur à € 70,00 voor [eiseres] , 15 uur à € 70,00 voor
het oplossen van de problemen zoals maar niet beperkt tot het opnieuw inrichten van de server en het weer op peil brengen van de administratie.” Volgens Cottoncounts gaat het om 32 uur à € 70,00 voor [eiseres] , 15 uur à € 70,00 voor
[A] en 43 uur à € 40,00 voor [B] , in totaal € 4.490,00.
5.22.
Nu Cottoncounts deze schadepost onvoldoende heeft onderbouwd, zal de gevorderde vergoeding van de interne uren worden afgewezen. Zo heeft Cottoncounts de beweerdelijke (herstel)werkzaamheden van [eiseres] , [A] en [B] niet nader gespecificeerd en evenmin duidelijk gemaakt waarop hun (verschillend) uurtarief is gebaseerd.
5.23.
Ook vordert Cottoncounts restitutie van de reeds door haar betaalde kosten van serverbeheer over de periode van september t/m december 2020 ad € 1.004,44.
5.24.
Nu Cottoncounts de overeenkomst met CCG Retail eerst per 31 december 2020 heeft opgezegd c.q. ontbonden (zie 3.7), valt niet in te zien waarom CCG Retail gehouden zou zijn om de reeds betaalde kosten van serverbeheer over de periode van september t/m december 2020 aan Cottoncounts te restitueren. De gevorderde terugbetaling van deze kosten moet daarom worden afgewezen.
5.25.
Ten aanzien van de gevorderde restitutie van teveel betaalde telefonische support over de jaren 2018 t/m 2020 ad € 300,00 inclusief btw stelt de rechtbank vast dat CCG Retail dit bedrag op 31 december 2021 ten gunste van Cottoncounts heeft gecrediteerd.
5.26.
Tot slot vordert Cottoncounts vergoeding van het verlies van product- en sfeerfoto's, door haar begroot op een bedrag van € 20.000,00. Volgens Cottoncounts gaat het om ruim 7.000 professionele foto’s van haar gehele assortiment die op advies van CCG Retail op de FTP-server waren opgeslagen. Cottoncounts stelt dat de specialisten van Optimizers een klein deel van de foto’s uit de website hebben kunnen inlezen waardoor zij een aantal bruikbare foto’s heeft overgehouden. Deze foto’s zijn echter van mindere kwaliteit dan dat zij van oorsprong waren. Hoewel Cottoncounts op deze manier haar schade heeft kunnen beperken, is het merendeel van de foto’s permanent verloren gegaan. Volgens Cottoncounts dient vrijwel haar hele productenbestand opnieuw gefotografeerd te worden en zullen de kosten hiervan veel hoger zijn dan het gevorderde bedrag van € 20.000,00, zodat toewijzing van dat bedrag alleszins redelijk is.
5.27.
Zoals de rechtbank hiervoor in 5.12 heeft overwogen, is CCG Retail toerekenbaar tekortgeschoten in de beveiliging van de FTP-server. Dat er door de hack product- en sfeerfoto’s van Cottoncounts op deze server verloren zijn gegaan, is naar het oordeel van de rechtbank voldoende komen vast te staan. Voor zover CCG Retail met de vergelijking van de homepage en de handdoekenpagina van de website van Cottoncounts vóór en nà de hack betoogt dat er helemaal geen foto’s verloren zijn gegaan, is de rechtbank van oordeel dat die conclusie op basis van enkel deze vergelijkingen niet kan worden getrokken. Cottoncounts heeft immers toegelicht dat zij een klein deel van de foto’s uit haar website heeft kunnen inlezen, zodat deze weer bruikbaar waren, zij het van minder kwaliteit. De vraag is dan ook hoeveel foto’s als verloren moeten worden beschouwd. Doordat geen back-ups van de FTP-server werden gemaakt en Cottoncounts ten tijde van de hack geen eigen/lokaal fotobestand had, bijvoorbeeld op een losse CD of anderszins, kan dit aantal niet worden achterhaald. Ook heeft Cottoncounts de waarde van de foto's niet op enige wijze inzichtelijk gemaakt. Nu nauwkeurige vaststelling van de schade niet mogelijk is, zal de rechtbank de schade op de voet van artikel 6:97 BW schattenderwijs vaststellen op een bedrag van € 7.000,00 (3.500 x € 2,00). Daartoe overweegt de rechtbank dat uit de omschrijving van de herstelwerkzaamheden van Optimizers kan worden afgeleid dat door de hack niet alle product- en sfeerfoto’s van Cottoncounts verloren zijn gegaan en dat Cottoncounts kennelijk ervan uitgaat dat de foto's een gemiddelde waarde hebben van afgerond € 2,85 per stuk (€ 20.000,00 : 7.000). Omdat Cottoncounts de waarde van de foto’s, als gezegd, niet nader heeft onderbouwd, corrigeert de rechtbank bij haar schatting iets naar beneden.
Conclusie
5.28.
De rechtbank komt tot de slotsom dat de door Cottoncounts gevorderde schadevergoeding tot een bedrag van € 7.272,25 voor toewijzing in aanmerking komt
(€ 272,25 + € 7.000,00).
Buitengerechtelijke incassokosten
5.29.
Cottoncounts maakt ook aanspraak op vergoeding van de buitengerechtelijke incassokosten ad € 1.787,81. De rechtbank stelt vast dat Cottoncounts onvoldoende heeft gesteld en onderbouwd dat zij buitengerechtelijke incassowerkzaamheden heeft verricht. Anders dan Cottoncounts betoogt, kunnen haar e-mails van 23 december 2020 en 15 januari 2021 niet als zodanig worden aangemerkt. In de e-mail van 23 december 2020 heeft de advocaat van Cottoncounts slechts voortgeborduurd op eerdere, rechtstreekse correspondentie tussen partijen over een aantal geschilpunten, waarbij hij CCG Retail een laatste mogelijkheid heeft geboden om met een beter voorstel te komen dan het aanbod van een eenmalige creditering van een bedrag van € 1.700,00. In zijn e-mail van 15 januari 2021 heeft de advocaat van Cottoncounts alleen een nadere toelichting gegeven op zijn standpunt dat de algemene voorwaarden van CCG Retail niet van toepassing zijn. Van vermogensschade als bedoeld in artikel 6:96 lid 2 sub c BW is daarom geen sprake. Dit betekent dat de gevorderde vergoeding van buitengerechtelijke incassokosten moet worden afgewezen.
Proceskosten
5.30.
Aangezien elk van partijen als op enig punt in het ongelijk gesteld is te beschouwen, zullen de proceskosten worden gecompenseerd op de hierna te vermelden wijze.
6.De beslissing
De rechtbank
6.1.
veroordeelt CCG Retail tot betaling aan Cottoncounts van het bedrag van
€ 7.272,25;
6.2.
verklaart de in 6.1 uitgesproken veroordeling uitvoerbaar bij voorraad;
6.3.
compenseert de proceskosten, in die zin dat iedere partij de eigen kosten draagt;
6.4.
wijst af het meer of anders gevorderde.
Dit vonnis is gewezen door mr. M.A.M. Essed en in het openbaar uitgesproken op 9 maart 2022.