Uitspraak
vonnis
RECHTBANK ROTTERDAM
Team handel en haven
zaaknummer / rolnummer: C/10/579422 / HA ZA 19-711
Vonnis van 15 juni 2022
in de zaak van
de stichting
STICHTING ZABAWAS,
gevestigd te Den Haag,
eiseres in conventie,
verweerster in reconventie,
advocaat mr. J. Koekkoek te Haarlem,
tegen
1. de besloten vennootschap met beperkte aansprakelijkheid
PS LOGIC B.V.,
gevestigd te Berkel en Rodenrijs, gemeente Lansingerland,
gedaagde in conventie, eiseres in reconventie,
advocaat mr. R. Grandia te Rotterdam,
2. de besloten vennootschap met beperkte aansprakelijkheid
POS4 RESTAURANTS B.V.,
gevestigd te Berkel en Rodenrijs, gemeente Lansingerland,
gedaagde in conventie,
advocaat mr. R. Grandia te Rotterdam.
Eiseres zal hierna Zabawas genoemd worden. Gedaagden zullen afzonderlijk worden aangeduid als PS Logic en POS4 en gezamenlijk als POS4 c.s.
1..Het verdere verloop van de procedure
1.1.
Het verdere verloop van de procedure blijkt uit:
- het tussenvonnis van 14 juli 2021 en de daarin vermelde stukken,
- de akte uitlaten benoemen deskundige van Zabawas, met producties 28 t/m 32,
- de akte uitlating van POS4 c.s.,
- de antwoordakte van Zabawas.
1.2.
Hierna is wederom vonnis gevraagd.
1.3.
Voordat wordt ingegaan op hetgeen partijen in de akten naar voren hebben gebracht, merkt de rechtbank op dat Zabawas bij haar eerste akte na tussenvonnis erop heeft gewezen dat de rechtbank daarin geen acht lijkt te hebben geslagen op de brief van de advocaat van Zabawas van 28 mei 2021 met opmerkingen naar aanleiding van het proces-verbaal van de comparitie van partijen van 18 mei 2021. Die constatering is juist. De rechtbank was met deze brief niet bekend bij het wijzen van het tussenvonnis en die brief is daarom daarin niet vermeld. Deze omissie wordt in het onderhavige vonnis rechtgezet. De rechtbank zal alsnog ingaan op een aantal opmerkingen in die brief, voor zover relevant. Voor wat betreft wat door partijen op de mondelinge behandeling naar voren is gebracht bevat het proces-verbaal daarvan overigens naar het oordeel van de rechtbank een juiste zakelijke weergave.
2..Verdere beoordeling
in conventie
2.1.
De rechtbank heeft in het tussenvonnis, kort samengevat, overwogen dat voor de beoordeling van de vraag of POS4 kan worden verweten tekortgeschoten te zijn in de nakoming van de tussen partijen gesloten overeenkomst, een deskundigenonderzoek noodzakelijk is op twee punten:
(1) Na de ransomware-aanval bij Zabawas is vastgesteld dat bepaalde bestanden niet waren geback-upt, en dat dit met name gold voor de recentste door het bedrijf Verito gemaakte maatwerksoftware (programmeercode). Voor de beoordeling van de vraag of POS4 verantwoordelijk kan worden gehouden voor het ontbreken van deze back-ups, meer in het bijzonder of dat ook het geval is met betrekking tot de SQL-bestanden, waarvan POS4 heeft aangevoerd dat deze niet geback-upt zijn omdat Verito heeft nagelaten de map SQLBackup, die speciaal voor het back-uppen van SQL-bestanden was aangelegd, te vullen met haar meest recente SQL-bestanden, heeft de rechtbank, kort gezegd, overwogen dat een onderzoek door een deskundige hier uitkomst zou kunnen bieden.
(2) Het tweede punt waarop de rechtbank een onderzoek door een deskundige wenste uit te voeren betreft de stelling van Zabawas dat POS4 voor onvoldoende veiligheid van het ICT-systeem van Zabawas had zorggedragen, waardoor ransomware het ICT-systeem van Zabawas heeft kunnen binnendringen. Op dit punt heeft de rechtbank overwogen dat niet kan worden vastgesteld of de ransomware-besmetting het gevolg was van onvoldoende beveiliging van het ICT-systeem door POS4 of heeft kunnen plaatsvinden door een menselijke fout door medewerkers (van Verito) en dat ook op dat punt een onderzoek door een (onafhankelijke) deskundige aangewezen was.
2.2.
Zabawas heeft in haar eerste akte na tussenvonnis onder verwijzing naar de brief van haar advocaat van 28 mei 2021 erop gewezen dat de voorzitter en de secretaris van het bestuur van Zabawas bij de mondelinge behandeling hebben verklaard
“
dat de ICTomgeving van Zabawas zoals die bestond in april 2018 niet meer voorhanden is (vernietigd), alles is het kader van regulier onderhoud in eigen beheer vervangen.”
“
dat de ICTomgeving van Zabawas zoals die bestond in april 2018 niet meer voorhanden is (vernietigd), alles is het kader van regulier onderhoud in eigen beheer vervangen.”
In aansluiting hierop heeft Zabawas in haar eerste akte daaraan toegevoegd:
“
Voor zover de rechtbank beoogt dat het ICT-systeem van Zabawas dient te worden onderzocht (op de oorzaak van de ransomwarebesmetting, behoort dat dus niet tot de mogelijkheden.”
Voor zover de rechtbank beoogt dat het ICT-systeem van Zabawas dient te worden onderzocht (op de oorzaak van de ransomwarebesmetting, behoort dat dus niet tot de mogelijkheden.”
2.3.
Uit deze stellingname leidt de rechtbank af dat het volgens Zabawas geen zin heeft een deskundige te benoemen om te onderzoeken hoe het ransomware-incident heeft kunnen plaatsvinden, omdat het destijds bestaande ICT-omgeving van Zabawas niet meer aanwezig is en dus ook niet kan worden onderzocht.
2.4.
De rechtbank zal dat standpunt respecteren en daarom niet overgaan tot het laten uitvoeren van een deskundigenonderzoek. Dit brengt echter wel mee dat niet kan worden vastgesteld dat POS4 jegens Zabawas aansprakelijk is voor het zich voordoen van de ransomwareaanval. Het enkele feit dat dit incident zich heeft voorgedaan betekent immers nog niet dat POS4 tekortgeschoten is in het voldoende waarborgen van de veiligheid van de ICT-systemen van Zabawas. Ook is het voor het vaststellen van aansprakelijkheid van POS4 niet voldoende dat de destijds aanwezige beveiliging van het ICT-systeem van Zabawas beter had kunnen worden ingericht en dat de kans op besmetting door ransomware daardoor is vergroot, zoals de door Zabawas ingeschakelde ICT-expert Baaten ICT Security heeft verklaard.
2.5.
De rechtbank heeft in het tussenvonnis overwogen als
eerstevraag aan de deskundige voor te leggen: Wat is de oorzaak van het niet aanwezig zijn van de door Verito gemaakte software en andere data op de vanaf juli 2017 tot 12 april 2018 gemaakte (periodieke) back-ups? Als het antwoord op die vraag luidt dat de oorzaak is dat de map SQLBackups niet periodiek werd gevuld met actuele data/nieuwe software, kan worden vastgesteld of POS4 hiervoor verantwoordelijkheid droeg?
eerstevraag aan de deskundige voor te leggen: Wat is de oorzaak van het niet aanwezig zijn van de door Verito gemaakte software en andere data op de vanaf juli 2017 tot 12 april 2018 gemaakte (periodieke) back-ups? Als het antwoord op die vraag luidt dat de oorzaak is dat de map SQLBackups niet periodiek werd gevuld met actuele data/nieuwe software, kan worden vastgesteld of POS4 hiervoor verantwoordelijkheid droeg?
2.6.
In haar eerste akte na tussenvonnis en in haar antwoordakte heeft Zabawas naar voren gebracht dat Baaten ICT Security van mening is dat uit de stukken volgt dat de verantwoordelijkheid voor het maken van back-ups, en daarnaast nog verschillende andere beveiligingsmaatregelen, bij POS4 lag. Baaten ICT Security heeft in reactie op de bovenstaande vraag van de rechtbank geschreven:
“
Deze vraag veronderstelt dat Verito ook een verantwoordelijkheid droeg voor het maken van back-ups. Baaten ICT Security heeft geen aanknopingspunten gevonden die deze veronderstelling ondersteunen. De verantwoordelijkheid voor het maken van back-ups, en daarnaast nog verschillende andere beveiligingsmaatregelen, lag bij POS4. Hier mochten Stichting Zabawas en Verito dan ook van uitgaan. Bovendien lijkt de rechtbank in 4.12 van het vonnis zelf ook te stellen dat de verantwoordelijkheid van de back-up van de ICT omgeving van Stichting Zabawas berust bij POS4.Het feit dat POS4 deze back-ups niet heeft gemaakt, is in de ogen van Baaten ICT Security dan ook de "oorzaak van het niet aanwezig zijn van de door Verito gemaakte software en andere data op de vanaf juli 2017 tot 12 april gemaakte (periodieke) back-ups". Niet Verito, maar P054 was verantwoordelijk voor deze back-ups.”
Deze vraag veronderstelt dat Verito ook een verantwoordelijkheid droeg voor het maken van back-ups. Baaten ICT Security heeft geen aanknopingspunten gevonden die deze veronderstelling ondersteunen. De verantwoordelijkheid voor het maken van back-ups, en daarnaast nog verschillende andere beveiligingsmaatregelen, lag bij POS4. Hier mochten Stichting Zabawas en Verito dan ook van uitgaan. Bovendien lijkt de rechtbank in 4.12 van het vonnis zelf ook te stellen dat de verantwoordelijkheid van de back-up van de ICT omgeving van Stichting Zabawas berust bij POS4.Het feit dat POS4 deze back-ups niet heeft gemaakt, is in de ogen van Baaten ICT Security dan ook de "oorzaak van het niet aanwezig zijn van de door Verito gemaakte software en andere data op de vanaf juli 2017 tot 12 april gemaakte (periodieke) back-ups". Niet Verito, maar P054 was verantwoordelijk voor deze back-ups.”
Ook heeft Zabawas gewezen op gepubliceerde rechtspraak waarin, in gevallen die volgens haar vergelijkbaar zijn met de onderhavige, geen deskundige is benoemd. Dit leidt Zabawas tot de conclusie “dat het geen zin heeft om een deskundigenonderzoek te bevelen en uit te voeren.” Daaraan heeft zij toegevoegd dat “indien en voor zover uw rechtbank ondanks het voorgaande behoefte zou hebben aan voorlichting door een deskundige”, Zabawas ervan uitgaat dat de vraagstelling in ieder geval anders zou hebben geluid dan in het tussenvonnis is opgenomen. Het lijkt Zabawas in dat geval zinvol dat door partijen in samenspraak met de rechtbank overlegd wordt over de
juistevraagstelling aan de deskundige. Zij stelt op dat punt een ‘regiezitting’ voor omdat Zabawas “uiteraard” niet geconfronteerd wenst te worden met (hoge) kosten van de zijde van een deskundige.
juistevraagstelling aan de deskundige. Zij stelt op dat punt een ‘regiezitting’ voor omdat Zabawas “uiteraard” niet geconfronteerd wenst te worden met (hoge) kosten van de zijde van een deskundige.
2.7.
De rechtbank blijft bij het oordeel dat een deskundige benoemd zou moeten worden om de vraag te beantwoorden of POS4 verantwoordelijkheid draagt voor het feit dat problemen zijn ontstaan bij het terughalen van bestanden na de ransomware-aanval op het ICT-systeem van Zabawas. De rechtbank licht dat als volgt nader toe. De enkele omstandigheid dat POS4 het op zich had genomen het back-up proces binnen het ICT-systeem van Zabawas te monitoren, zoals ook in overweging 4.12 van het tussenvonnis tot uitgangspunt is genomen, betekent nog niet dat zij daadwerkelijk zelf back-ups diende te maken van alle software en de maatwerksoftware die Verito aan het maken was (tot kort voor de ransomware-aanval werden programmeerwerkzaamheden door Verito op dat deel van de server waar de aanval is uitgevoerd). Uit de stellingen van POS4 volgt dat zij, anders dan waarvan Zabawas uitgaat, wel degelijk een back-up routine had opgezet waarmee periodiek back-ups werden gemaakt, maar dat Verito dit proces van periodieke back-ups heeft doorkruist door na te laten de SQL-Backup map, die speciaal voor het back-uppen van SQL-bestanden was aangelegd, niet met de meest recente SQL-bestanden te vullen. Omdat de zienswijze van Zabawas en POS4 op dit punt uiteenlopen, zou feitelijk moeten worden uitgezocht wat de precieze oorzaak is geweest van de problemen bij het terughalen van data uit de back-ups, die wel gemaakt zijn, en of die problemen inderdaad, zoals POS4 heeft aangevoerd, een gevolg is van het feit dat Verito had nagelaten de SQL bestanden die zij recentelijk had aangemaakt op te slaan in de daarvoor aangelegde map SQL-Backup. Voor de goede orde voegt de rechtbank hieraan toe, dat gelet op de gemotiveerde betwisting door POS4 van de stelling dat zij tekortgeschoten is in haar verplichting back-ups van de computerbestanden van Zabawas te maken, de bewijslast daarvan op Zabawas rust en dat zij ook, als eisende partij, de kosten van een deskundigenbericht zou dienen te dragen. De rechtbank heeft dus de vraagstelling aan de deskundige overwogen om Zabawas in de gelegenheid te stellen het bewijs van haar stelling bij te brengen.
2.8.
Uit de uitlatingen van Zabawas leidt de rechtbank af dat zij het niet zinvol acht om een deskundigenbericht over de door de rechtbank geformuleerde vraag te laten uitbrengen. De rechtbank vermoedt dat Zabawas hiervoor twee redenen heeft. Enerzijds lijkt het standpunt van Zabawas te zijn ingegeven door het probleem dat, zoals zij heeft verklaard, de oude ICT-omgeving van Zabawas niet meer beschikbaar is en dat daarom een onderzoek door een deskundige op het door de rechtbank aangestipte punt niets zal opleveren. Om kosten te besparen, kan het bevelen van een deskundigenbericht daarom beter achterwege blijven. Anderzijds lijkt Zabawas het principieel niet eens met de benadering van de rechtbank en acht zij een deskundigenbericht overbodig omdat naar haar mening al vast staat dat POS4 tekortgekomen is in de nakoming van haar contractuele verplichtingen omdat niet van alle bestanden in het systeem van Zabawas back-ups voorhanden bleken. Uit hetgeen hiervoor is overwogen, volgt dat de rechtbank een ander oordeel is toegedaan.
2.9.
Dat Zabawas geen heil ziet in bewijslevering door het laten uitbrengen van een deskundigenbericht, respecteert de rechtbank, maar ook hier betekent dit dat er niet van kan worden uitgegaan dat de aan de vorderingen van Zabawas ten grondslag gelegde stelling, dat POS4 tekortgeschoten is in haar verplichtingen uit de overeenkomst, is komen vast te staan.
2.10.
Waar Zabawas stelt dat zij ervan uitgaat dat de vraagstelling wordt gewijzigd als de rechtbank ‘ondanks het voorgaande’ toch behoefte aan deskundigenvoorlichting zou hebben, miskent Zabawas dat het niet om een al dan niet bij de rechtbank bestaande behoefte aan voorlichting gaat, maar de mogelijkheid van het laten uitbrengen van een deskundigenbericht een bewijsmiddel is waarvan Zabawas al dan niet gebruik kan maken. Nu de rechtbank geen aanleiding ziet om terug te komen van haar tussenvonnis, ziet de rechtbank ook geen aanleiding om een regiezitting te bepalen zoals door Zabawas gewenst.
2.11.
Zabawas heeft zes vorderingen ingesteld. Uit het voorgaande volgt dat al deze vorderingen dienen te worden afgewezen.
2.12.
Ten eerste heeft Zabawas gevorderd dat de rechtbank voor recht zal verklaren dat POS4 c.s. tekortgeschoten is in de nakoming van de verplichtingen uit hoofde van de overeenkomst all inclusive ICT-beheer, en dat POS4 c.s., meer in het bijzonder wegens het nalaten backups te maken, aansprakelijk is voor alle geleden en nog te lijden schade van Zabawas, nader op te maken bij staat en te vereffenen volgens de wet.
Deze vordering is niet toewijsbaar omdat, zoals hiervoor is overwogen, niet vaststaat dat POS4 tekortgekomen is in de nakoming van haar contractuele verplichtingen en een deskundigenbericht op dit punt niet zal worden gelast omdat Zabawas het nut daarvan niet inziet.
2.13.
De tweede vordering van Zabawas luidt dat POS4 c.s. worden veroordeeld tot terugbetaling aan Zabawas van de jaarlijkse kosten voor 2 TB opslag, inclusief backupsoftware ten bedrage van € 1.495,-, exclusief 21% btw vanaf 18 juli 2013, te vermeerderen met de wettelijke handelsrente vanaf de respectievelijke data van betaling van de facturen en tot terugbetaling van de op 9 juli 2018 betaalde nota van PS Logic inzake het kopiëren van de harddisk ten bedrage van € 1.585,71. Nu de eerste vordering wordt afgewezen, is er geen rechtsgrond om de tweede vordering toe te wijzen.
2.14.
Ten derde heeft Zabawas gevorderd POS4 c.s. te veroordelen tot betaling aan Zabawas van een bedrag van € 2.527,71 aan buitengerechtelijke kosten, te vermeerderen met de wettelijke rente vanaf de dag van de dagvaarding tot de dag van de algehele voldoening, althans een zodanig bedrag als de rechtbank in goede justitie zal menen te behoren.
Ook deze vordering is niet voor toewijzing vatbaar, aangezien niet vastgesteld kan worden dat POS4 c.s. jegens Zabawas aansprakelijk zijn.
2.15.
Zabawas heeft, ten vierde, gevorderd dat POS4 c.s. worden veroordeeld tot betaling aan Zabawas van een bedrag van € 13.915,00 inclusief btw (bij wijze van voorschot op de door Zabawas geleden schade), zijnde de kosten van inschakeling van Baaten ICT Security, althans een door de rechtbank in goede justitie te bepalen bedrag.
Nu POS4 c.s. niet aansprakelijk zijn, bestaat voor toewijzing van deze vordering evenmin grond.
2.16.
Zabawas heeft ten vijfde gevorderd POS4 c.s. te veroordelen om binnen twee dagen na betekening van het vonnis aan Zabawas ter beschikking te stellen de wachtwoorden en log-ins inzake Zabawas en de broncodes inzake de door Zabawas geschreven programmatuur, op straffe van verbeurte van een dwangsom van € 500,00 per dag dat de overtreding voortduurt, onverminderd het recht van Zabawas op volledige schadevergoeding.
Klaarblijkelijk is deze vordering eveneens gebaseerd op de aanname dat POS4 c.s. tekortgeschoten zijn in de nakoming van hun verplichtingen. Nu dat niet is aangenomen, dient ook deze vordering te worden afgewezen.
2.17.
Zabawas heeft ten zesde gevorderd POS4 c.s. te veroordelen tot betaling aan Zabawas van de proceskosten en de beslagkosten, te vermeerderen met de nakosten.
Het voorgaande brengt mee dat de rechtbank ook deze vordering afwijst.
2.18.
Gelet op het voorgaande, is de slotsom dat Zabawas als de in het ongelijk gestelde partij dient te worden beschouwd en in de kosten van de procedure moet worden verwezen.
De kosten aan de zijde van POS4 c.s. worden begroot op:
- griffierecht € 1.992,00
- salaris advocaat
€ 5.310,00(3 punten × tarief € 1.770,00)
€ 5.310,00(3 punten × tarief € 1.770,00)
Totaal € 7.302,00.
in reconventie
2.19.
In het tussenvonnis is reeds overwogen dat de vordering van PS Logic zal worden afgewezen. PS Logic zal daarom in de kosten van de procedure worden verwezen. De proceskosten aan de zijde van Zabawas worden begroot op: € 1.434,00 (3 punten x tarief € 478,00) voor salaris advocaat. De gevorderde veroordeling in de nakosten is toewijsbaar voor zover deze kosten op dit moment kunnen worden begroot. De nakosten zullen dan ook worden toegewezen op de wijze zoals in de beslissing vermeld.
3..De beslissing
De rechtbank
in conventie
3.1.
wijst de vorderingen af;
3.2.
veroordeelt Zabawas in de kosten van de procedure, aan de zijde van POS4 c.s. tot op heden begroot op € 4.244,00,
in reconventie
3.3.
wijst de vordering af,
3.4.
veroordeelt PS Logic in de kosten van de procedure, aan de zijde van Zabawas begroot op € 1.434,00, te vermeerderen met de na dit vonnis ontstane kosten, begroot op € 163,00 aan salaris advocaat, te vermeerderen, onder de voorwaarde dat niet binnen 14 dagen na aanschrijving aan het vonnis heeft voldaan en er vervolgens betekening van de uitspraak heeft plaatsgevonden, met een bedrag van € 85,00 aan salaris advocaat en de explootkosten van betekening van de uitspraak, en te vermeerderen met de wettelijke rente als bedoeld in art. 6:119 BW met ingang van veertien dagen na de betekening van dit vonnis tot aan de voldoening,
3.5.
verklaart deze kostenveroordeling uitvoerbaar bij voorraad,
3.6.
wijst af het meer of anders gevorderde.
Dit vonnis is gewezen door mr. J.E. Molenaar. Het is ondertekend door de rolrechter en op 15 juni 2022 uitgesproken in het openbaar.
[3152/2083]