Uitspraken

De vorderingen van Enviem c.s. hebben ten eerste betrekking op schadevergoeding ten gevolge van de ransomware aanval en ten tweede op terugvordering van bedragen die volgens Enviem c.s. gecrediteerd zouden worden of onverschuldigd zijn voldaan. De vorderingen zullen in die volgorde worden beoordeeld.

Enviem B.V. vordert van I-Beheer ICT B.V. vergoeding van schade als gevolg van toerekenbare tekortkoming in de nakoming van de netwerkbeheerovereenkomst. Enviem stelt dat de ransomware aanval heeft kunnen plaatsvinden door een zestal risicofactoren, te weten: er stonden RDP-poorten open; er werd geen zogenoemde whitelisting toegepast (waarbij alleen vooraf goedgekeurde IP-adressen toegang kunnen krijgen); de wachtwoorden die I-Beheer gebruikte voor het uitvoeren van het beheer voor de servers waren één en dezelfde en bovendien gemakkelijk te achterhalen; er was geen netwerksegmentatie doorgevoerd; updates van servers waren niet doorgevoerd; en een server die al jaren buiten service was en niet meer werd gebruikt, was niet uitgezet, maar hing nog steeds onbeveiligd aan het internet.

I-Beheer betwist dat zij dezelfde of zwakke wachtwoorden hanteerde en stelt dat updates van de servers wel waren doorgevoerd. I-Beheer erkent dat er RDP poorten open stonden, dat geen whitelisting werd toegepast en dat netwerksegmentatie ontbrak hoewel dit volgens I-Beheer wel nodig is. I-Beheer heeft tijdens de mondelinge behandeling aangegeven dat zij voor het backupsysteem hetzelfde wachtwoord gebruikte als voor het administrator account van de servers.
I-Beheer stelt dat zij Enviem heeft geadviseerd over deze risico’s en dat Enviem haar adviezen en belangrijke offertes heeft genegeerd. I-Beheer betwist voorts dat de genoemde zes risicofactoren de oorzaak zijn geweest van de ransomware aanval. Volgens I-Beheer moet de oorzaak eerder worden gezocht in het binnenhalen van een virus door het openklikken van een besmette e-mail.

Enviem heeft ter onderbouwing van haar vorderingen slechts een managementsamenvatting overgelegd van het onderzoeksrapport van NFIR, hoewel zij beschikt over het volledige onderzoeksrapport. NFIR vermeldt in de managementsamenvatting dat het door de hoeveelheid mogelijke manieren van toetreding niet meer mogelijk is om precies vast te stellen via welke servers de hackers zijn binnengekomen. NFIR noemt als ‘veelgebruikte methodes’ het verspreiden van de malware middels een brute force- aanval op het Remote Desktop Protocol (RDP) of het uitbuiten van kwetsbaarheden in verouderde programmatuur, en schetst vervolgens welke factoren de netwerkomgeving van Enviem kwetsbaar maakten voor ongeautoriseerde toegang. Uit de NFIR managementsamenvatting volgt echter niet dat een van de genoemde zes risicofactoren of een combinatie daarvan daadwerkelijk de oorzaak is geweest van de ransomware aanval.

Hoe de hackers het netwerk van Enviem zijn binnengedrongen, kan naar het oordeel van de rechtbank echter in het midden blijven. Van belang is dat schade is ontstaan doordat bij de aanval niet alleen de werkbestanden maar ook de back-up bestanden van Enviem versleuteld zijn geraakt. Niet in geschil is dat de bedrijfsvoering van Enviem enige tijd belemmerd is geweest doordat Enviem niet meer bij haar systemen en bestanden kon, en dat hierdoor schade is ontstaan. Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden dat kunnen voorkomen.

Op grond van de netwerkbeheerovereenkomst was I-Beheer ICT B.V. verplicht om maandelijks de beveiliging van de ICT omgeving van Enviem B.V. en haar dochter-vennootschappen in Harderwijk, Dordrecht, Amsterdam en Den Helder te controleren en was zij ook verplicht om de deugdelijkheid van de security te beoordelen en haar bevindingen aan Enviem B.V. mee te delen. Gezien deze contractuele verplichtingen mocht van I-Beheer worden verwacht dat zij het ontbreken van netwerksegmentatie, de kwetsbaarheid van de back-up voorziening en het gebrekkige wachtwoordbeleid, en de daarmee gepaard gaande risico’s, tijdig zou signaleren en haar bevindingen aan Enviem zou meedelen.

De rechtbank is van oordeel dat I-Beheer ICT B.V. jegens Enviem B.V. is toerekenbaar tekortgeschoten in haar verplichtingen uit de netwerkbeheerovereenkomst door Enviem niet in duidelijke bewoordingen te wijzen op het ontbreken van netwerksegmentatie, de kwetsbaarheid van de back-up voorziening en het gebrekkige wachtwoordbeleid, en de daarmee gepaard gaande beveiligingsrisico’s. I-Beheer ICT B.V. is dan ook aansprakelijk voor de schade die Enviem B.V. ten gevolge van deze tekortkoming heeft geleden.

De rechtbank begrijpt uit de stelling van I-Beheer dat zij niet in gebreke is gesteld, dat I-Beheer meent dat zij niet in verzuim is komen te verkeren en daarom niet schadeplichtig is. Dat standpunt is onjuist. Het gaat hier om een netwerkbeheer-overeenkomst, die voor beide partijen voortdurende verplichtingen inhoudt. Indien een partij is tekortgeschoten in de nakoming van een dergelijke verplichting, kan deze – wellicht – in de toekomst alsnog worden nagekomen, maar daarmee wordt de tekortkoming in het verleden niet ongedaan gemaakt en wat deze tekortkoming betreft is nakoming dan ook niet meer mogelijk (vgl. HR 11 januari 2002, ECLI:NL:HR:2002:AD4925, NJ 2003, 255).
I-Beheer is gezien het bepaalde in artikel 6:74 BW dan ook wel degelijk schadeplichtig zonder dat daartoe – kort gezegd – een ingebrekestelling vereist is.

Dat ook de firma Guardian360 een rol had bij de ICT-beveiliging van Enviem, en daarin wellicht tekort is geschoten, doet niets af aan de eigen aansprakelijkheid van I-Beheer aangezien de schade in elk geval (ook) een gevolg is van het tekortschieten van I-Beheer (artikel 6:99 BW). Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden immers kunnen voorkomen dat bij de ransomware aanval ook de back-up bestanden versleuteld zouden raken.

De geleden schade bestaat volgens Enviem uit de kosten van doorbetaling van niet-productieve werknemers, overuren van personeel voor herstelwerkzaamheden, kosten van forensisch onderzoek en schadebeperking door NFIR en kosten voor het inschakelen van derden. Indien de rechtbank oordeelt dat op grond van de algemene voorwaarden de aansprakelijkheid van I-Beheer is beperkt tot € 50.000,- dan erkent I-Beheer dat de geleden schade in elk geval € 50.000,- bedraagt, zo gaf zij ter gelegenheid van de zitting te kennen. De rechtbank ziet daarin aanleiding om eerst het beroep op de exoneratieclausule te beoordelen alvorens te oordelen over de hoogte van de door I-Beheer verschuldigde schadevergoeding.

Volgens I-Beheer is haar aansprakelijkheid beperkt tot maximaal € 50.000,-. Zij beroept zich daarbij op artikel 10 van haar algemene voorwaarden die zij heeft gedeponeerd bij de Kamer van Koophandel op 24 januari 2017 onder nummer 05066752. Enviem heeft aanvankelijk bij dagvaarding deze voorwaarden als zijnde de toepasselijke voorwaarden zelf overgelegd, maar heeft zich bij conclusie van repliek in conventie alsnog op het standpunt gesteld dat een oudere versie van algemene voorwaarden uit 2005 – waarin deze exoneratieclausule niet is opgenomen – van toepassing is. Voor het geval de versie van 24 januari 2017, of de vorige versie van de algemene voorwaarden uit 2012, wel van toepassing is, betoogt Enviem dat de aansprakelijkheidsbeperking is komen te vervallen omdat de schade het gevolg is van opzet of grove schuld van I-Beheer (artikel 10.5 van de algemene voorwaarden). Daarnaast meent Enviem dat een beroep op de exoneratieclausule in strijd is met de eisen van redelijkheid en billijkheid. De rechtbank oordeelt daarover als volgt.

Enviem heeft nog betoogd dat de algemene voorwaarden vernietigbaar zijn omdat ze niet aan Enviem ter hand zijn gesteld. Enviem ziet daarbij over het hoofd dat de betreffende wettelijke regeling niet van toepassing is op grote bedrijven in de zin van artikel 6:235 BW. Uit de eigen stellingen van Enviem volgt immers dat bij haar concern tenminste 60 medewerkers werkzaam zijn.
Een wederpartij is ook dan aan de algemene voorwaarden gebonden als bij het sluiten van de overeenkomst de gebruiker begreep of moest begrijpen dat zij de inhoud daarvan niet kende (artikel 6:232 BW). De algemene voorwaarden van I-Beheer van 24 januari 2017 zijn dan ook wel degelijk van toepassing.

Overigens is artikel 10 van de algemene voorwaarden van 2017 gelijk aan de versie van 2012 die op de voorgaande netwerkbeheerovereenkomst van 13 januari 2016 van toepassing was. De rechtbank verwerpt de stelling van Enviem dat oude algemene voorwaarden uit 2005 van toepassing zouden zijn omdat de samenwerking is aangevangen in 2010. De vroegere overeenkomsten, voorafgaand aan de netwerkbeheerovereenkomst van 13 januari 2016, waren gesloten met een andere Enviem vennootschap zodat die voor de beoordeling van de vorderingen in de onderhavige procedure niet relevant zijn.

Een ander verwijt dat Enviem I-Beheer maakt en waar zij grove schuld van I-Beheer in ziet, betreft de oude Lodder-TS01 server die allang niet meer ondersteund werd door updates van Microsoft. Ook als de stelling van Enviem correct zou zijn dat deze server nog met het bedrijfsnetwerk verbonden was, dan brengt dat geen grove schuld mee aan de zijde van I-Beheer. I-Beheer heeft in rapportages gewezen op het feit dat deze server ‘end of life’ was en niet geüpdatet werd. I-Beheer heeft geadviseerd deze server uit te faseren of te migreren.7 Het was weliswaar onzorgvuldig van I-Beheer om Enviem niet op de risico’s te wijzen, maar van een in laakbaarheid aan opzet grenzende schuld is geen sprake.

I-Beheer kan zich dan ook met vrucht beroepen op artikel 10.2 van de algemene voorwaarden.

• -

  de onderlinge verhouding van partijen

• -

  de zwaarte van de schuld

• -

  ernstige schending van de zorgplicht

• -

  disproportionaliteit tussen de aansprakelijkheidsbeperking en de voorzienbare schade

• -

  professionaliteit en deskundigheid van I-Beheer versus niet-deskundigheid van Enviem

• -

  I-Beheer heeft zelf aan het ontstaan van de schade bijgedragen

• -

  de aard van de overeenkomst en de algemene voorwaarden waarin de exoneratie is opgenomen

• -

  de (on)mogelijkheid tot het afdekken van schadeposten middels een verzekering.

De beoordeling van de door Enviem genoemde omstandigheden vindt plaats in het kader van de door de rechtbank vastgestelde relevante tekortkomingen van I-Beheer, te weten het niet tijdig signaleren en aan Enviem meedelen van de beveiligingsrisico’s van het ontbreken van netwerksegmentatie, de kwetsbaarheid van de back-up voorziening en het gebrekkige wachtwoordbeleid. Ten aanzien van de door Enviem aangedragen omstandigheden overweegt de rechtbank als volgt.

Zowel Enviem als I-Beheer zijn professionele partijen, voor wie het uitsluiten of beperken van aansprakelijkheid in contracten niet ongebruikelijk is. Dat de omzet die gemoeid was met de dienstverlening door I-Beheer aanzienlijk was, maakt niet dat beperking van aansprakelijkheid onredelijk is. Anders dan Enviem stelt, valt aan een deskundige partij die een fout maakt niet zonder meer een ernstig verwijt te maken omdát hij deskundig is. Pas als sprake is van een opzettelijke fout of bewuste roekeloosheid van de schuldenaar of van met de leiding van zijn bedrijf belaste personen, is een beroep op aansprakelijkheidsbeperking onaanvaardbaar.

Volgens Enviem is sprake van ernstige schending van zorgplicht, en heeft I-Beheer zelf aan het ontstaan van de schade bijgedragen, in welk kader zij verwijst naar (gestelde) verwijtbaarheid met betrekking tot de openstaande RDP poorten. De rechtbank verwijst naar hetgeen zij daarover onder punt 4.17 heeft overwogen. Van ernstige schending van zorgplicht is naar het oordeel van de rechtbank geen sprake. Voorts staat zoals gezegd niet vast dat openstaande RDP-poorten de oorzaak zijn geweest van de ransomware aanval.

Enviem verwijt I-Beheer dat zij haar aansprakelijkheid niet heeft afgedekt met een verzekering in plaats van deze te beperken in haar algemene voorwaarden. Tegelijkertijd stelt Enviem “dat de schade die Enviem heeft geleden nagenoeg niet verzekerbaar was”, zodat zij naar het oordeel van de rechtbank niet van I-Beheer kan verlangen dat die zich voor dit soort schade (toch) verzekert.

Naar het oordeel van de rechtbank is toepassing van de aansprakelijkheidsbeperking als vermeld in de toepasselijke algemene voorwaarden in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid niet onaanvaardbaar. De vordering van Enviem B.V. onder 1. zal worden toegewezen tot een bedrag groot € 50.000,00.

Enviem vordert I-Beheer ICT B.V. te veroordelen tot vergoeding van de schade van € 533.008,49 aan Enviem B.V., Enviem Retail B.V., Fase Facility Services B.V., Main B.V., Enviem Wholesale Holding B.V. als gevolg van de onrechtmatige daad die I-Beheer ICT B.V. volgens Enviem jegens deze vennootschappen heeft gepleegd.

Hij die jegens een ander een onrechtmatige daad pleegt, welke hem kan worden toegerekend, is verplicht de schade die de ander dientengevolge lijdt, te vergoeden (artikel 6:162 BW). Uit de stellingen van Enviem valt echter niet af te leiden welke onrechtmatige handeling of nalatigheid I-Beheer jegens de vennootschappen Enviem Retail B.V., Fase Facility Services B.V., Main B.V., Enviem Wholesale Holding B.V. heeft gepleegd. Dat geldt temeer nu de rechtbank uit de nadere stellingen van Enviem c.s. bij conclusie van repliek begrijpt dat niet alle Enviem-vennootschappen die in deze procedure als eiser optreden, zijn getroffen door de ransomware aanval. Zo is Transnational Blenders B.V. buiten het bereik van de ransomware aanval gebleven en heeft de aanval ook niet plaatsgevonden bij Enviem Retail Nederland B.V., Main B.V. en Enviem Wholesale B.V. Enviem heeft niet duidelijk gemaakt of en in hoeverre Enviem Retail B.V., Fase Facility Services B.V., Main B.V., Enviem Wholesale Holding B.V. dan wél (of toch) zijn getroffen en in welk opzicht I-Beheer jegens deze vennootschappen onrechtmatig heeft gehandeld. De vorderingen tot schadevergoeding uit onrechtmatige daad van deze vennootschappen zullen dan ook worden afgewezen.

Ook de vordering van Enviem B.V. tot schadevergoeding op grond van art. 6:162 BW is niet toewijsbaar. Enviem B.V. is immers contractspartij bij de netwerkbeheer-overeenkomst. Aansprakelijkheid uit wanprestatie (artikel 6:74 BW) heeft exclusieve werking. De niet-nakoming van een op de schuldenaar rustende contractuele verbintenis levert in beginsel geen onrechtmatige daad op (vgl. TM, Parl. Gesch. BW Boek 6 1981, p. 614-615). Slechts indien een wanprestatie ook los van de rechtsverhouding waaruit de verbintenis voortvloeit onrechtmatig is, kan een keuze tussen de beide grondslagen worden gemaakt (zie bijv. Asser/Sieburgh 6-IV 2019/9 e.v.). Er is pas aansprakelijkheid op grond van onrechtmatige daad van een contractspartij indien onafhankelijk van het schenden van de contractuele verbintenis sprake is van schending van een verplichting die geen verbintenis is. Dat is hier niet aan de orde. De rechtbank verwerpt het betoog van Enviem dat I-Beheer los van haar contractuele verplichtingen een zelfstandige zorgplicht had op grond waarvan zij Enviem B.V. op ICT-veiligheidsrisico’s had moeten wijzen of maatregelen had moeten treffen. Indien en voor zover I-Beheer dergelijke verplichtingen had, bestaan deze uitsluitend door of vanwege de contractuele afspraken tussen partijen.

De vorderingen van Enviem c.s. onder 3. zullen dan ook worden afgewezen.

Enviem c.s. heeft gevorderd I-Beheer ICT B.V. te veroordelen tot vergoeding van de schade € 7.731,90 incl. BTW en (de rechtbank verstaat: subsidiair) € 6.390,00 excl. BTW aan Transnational Blenders B.V. als gevolg van toerekenbare tekortkoming in de nakoming van de overeenkomst tot creditering van genoemd bedrag.

Enviem baseert deze vordering op de stelling dat I-Beheer aan Transnational Blenders B.V. een creditnota heeft toegezegd voor een bedrag van € 6.390,- ter zake van werkzaamheden van iVanti. Omzetbelasting maakt geen deel uit van de geleden schade zodat deze niet kan worden toegewezen.
I-Beheer heeft de beloofde creditering erkend, maar doet een beroep op verrekening. Zoals hierna in reconventie onder 4.55 zal komen vast te staan heeft I-Beheer inderdaad een tegenvordering op Transnational Blenders B.V. en slaagt het beroep op verrekening zodat de vordering van Enviem onder 2. zal worden afgewezen.

Enviem c.s vorderen kort gezegd om I-Beheer ICT B.V. te veroordelen tot vergoeding aan:

- Enviem Holding B.V. een bedrag van € 19.852,88 incl. BTW en (de rechtbank verstaat: subsidiair) € 16.407,34 excl. BTW

- Enviem Retail B.V. een bedrag van € 22.487,85 incl. BTW en (de rechtbank verstaat: subsidiair) € 18.585,00 excl. BTW

- Transnational Blenders B.V. een bedrag van € 25.782,08 incl. BTW en (de rechtbank verstaat: subsidiair) € 21.307,50 excl. BTW

- Enviem B.V. een bedrag van € 101.882,55 incl. BTW en (de rechtbank verstaat: subsidiair) € 84.200,45 excl. BTW

ten titel van onverschuldigde betaling. De rechtbank overweegt daarover het volgende.

Degene die een ander zonder rechtsgrond een goed heeft gegeven, is gerechtigd dit van de ontvanger als onverschuldigd betaald terug te vorderen. Betreft de onverschuldigde betaling een geldsom, dan strekt de vordering tot teruggave van een gelijk bedrag. Aldus artikel 6:203 lid 1 en 2 BW. De bedragen worden zowel inclusief btw als (naar de rechtbank begrijpt: subsidiair) exclusief btw gevorderd. Indien en voor zover bedragen onverschuldigd aan I-Beheer zijn betaald, zullen deze inclusief de betaalde btw moeten worden terugbetaald.

Enviem heeft haar vorderingen onder 4. onderbouwd met een overzicht voorzien van bijlagen dat is overgelegd als productie 18 bij conclusie van repliek in conventie. De rechtbank hanteert bij de beoordeling de volgorde van dit overzicht.

I-Beheer erkent dat factuur nummer 607204 van 17 september 2018 ten bedrage van € 22.487,85 inclusief btw, die was gericht aan Enviem B.V., per abuis ook door Transnational Blenders B.V. is voldaan. I-Beheer stelt dat deze dubbele betaling is afgeboekt op andere openstaande facturen en doet een beroep op verrekening. Nu I-Beheer niet aangeeft met welke concrete vorderingen is verrekend en ook niet of is voldaan aan het vereiste van wederkerig schuldenaarschap, gaat de rechtbank aan dit ongefundeerde beroep op verrekening voorbij (artikel 6:136 BW). De vordering is voor € 22.487,85 toewijsbaar aan Transnational Blenders B.V.

I-Beheer erkent dat factuur nummer 607279 van 1 oktober 2018 ten bedrage van € 11.184,44 inclusief btw, die was gericht aan Enviem Retail Nederland B.V., per abuis ook door Enviem Holding B.V. is voldaan. Het verrekeningsberoep van I-Beheer wordt verworpen op de gronden als vermeld onder 4.36. De vordering is voor € 11.184,44 toewijsbaar aan Enviem Holding B.V.

Ten aanzien van factuurnummer 609805 ten bedrage van € 1.715,18 stelt Enviem slechts dat deze als ‘onbekende ontvangst’ staat opgenomen in een lijst van I-Beheer zodat de vordering op dit onderdeel onvoldoende is onderbouwd en dit bedrag niet voor toewijzing in aanmerking komt.

Enviem stelt dat de facturen met nummers 608385 en 608431 groot € 8.668,44, beide gericht aan Enviem B.V., betrekking hebben op een en dezelfde levering. Nu I-Beheer dit gemotiveerd betwist en Enviem zich op de rechtsgevolgen van deze stelling beroept, rust de bewijslast daarvan op Enviem. Enviem zal daartoe een bewijsopdracht krijgen.

Volgens Enviem heeft Transnational Blenders B.V. facturen ten bedrage van totaal € 24.066,90 ter zake van een SLA Gold onverschuldigd betaald, omdat de betreffende Service Level Agreement volgens haar nooit is gesloten en in dat kader ook geen werkzaamheden zijn verricht door I-Beheer. I-Beheer heeft dit gemotiveerd betwist en aangegeven dat wel degelijk een SLA Gold overeenkomst tot stand is gekomen. Gezien deze betwisting en het feit dat Enviem zich beroept op de rechtsgevolgen van het beweerdelijk ontbreken van de opdracht, ligt het op de weg van Enviem om te bewijzen dat geen SLA Gold overeenkomst tot stand is gekomen. Enviem zal daartoe een bewijsopdracht krijgen.

De vordering van Enviem tot terugbetaling van werkuren van iVanti ten bedrage van € 7.731,90 inclusief btw (€ 6.390,- exclusief btw) heeft de rechtbank reeds beoordeeld bij de vordering van Enviem onder 2.

Enviem B.V. stelt zich op het standpunt dat zij ten onrechte geen bonuskortingen heeft ontvangen over de omzet die Enviem c.s. bij I-Beheer heeft gerealiseerd buiten de netwerkbeheerovereenkomst en de strippenkaarten om. Volgens Enviem heeft zij nog recht op bonuskortingen over de jaren 2016 tot en met 2019 ten bedrage van € 101.882,55 inclusief btw. I-Beheer betwist de vordering. Volgens I-Beheer werden alleen in de eerdere jaren van de samenwerking separate creditfacturen verzonden voor de bonuskorting. De overeengekomen korting was volgens I-Beheer destijds niet standaard 10%, maar kon oplopen tot 10%. Zij stelt dat de kortingen in latere jaren niet meer separaat werden toegepast, maar dat deze werden verdisconteerd in de facturen. Ter onderbouwing van deze betwisting heeft I-Beheer enkele voorbeeldfacturen overgelegd.
Gezien deze gemotiveerde betwisting lag het op de weg van Enviem om haar stellingen te concretiseren en te onderbouwen. Enviem heeft echter volstaan met een algemeen omzet-overzicht en heeft nagelaten om de facturen waarover zij aanspraak maakt op korting te overleggen. Enviem heeft ook geen overzicht met factuurnummers en bedragen overgelegd ter onderbouwing van haar aanspraak op bonuskorting. Nu Enviem onvoldoende feiten en omstandigheden heeft gesteld waaruit volgt dat Enviem te weinig bonuskortingen heeft ontvangen, zal deze vordering worden afgewezen.

De eisers Enviem Retail Holding B.V., Enviem Retail Nederland B.V. en Oliehandel Nederland B.V. hebben geen enkele vordering ingesteld, afgezien van de algemene vordering onder punt 5. tot vergoeding van buitengerechtelijke en gerechtelijke kosten en rente aan welke vordering deze vennootschappen niets ten grondslag hebben gelegd. De rechtbank zal Enviem Retail Holding B.V., Enviem Retail Nederland B.V. en Oliehandel Nederland B.V. daarom bij eindvonnis niet-ontvankelijk verklaren.

Enviem c.s. hebben niet alleen I-Beheer ICT B.V. gedagvaard maar ook I-Beheer Groep B.V., echter zonder een vordering in te stellen tegen laatstgenoemde vennootschap. Enviem c.s. heeft I-Beheer Groep B.V. ten onrechte als gedaagde opgeroepen in het geding en zal daarom bij eindvonnis veroordeeld worden in de kosten van de procedure van I-Beheer Groep B.V. Tot op heden worden deze kosten begroot op nihil.

Iedere verdere beslissing zal worden aangehouden.

I-Beheer stelt zich op het standpunt dat Enviem de netwerkbeheerovereenkomst ten onrechte heeft ontbonden, en wenst op haar beurt (partieel) te ontbinden. I-Beheer vordert in reconventie, kort gezegd, I. betaling van openstaande facturen vermeerderd met 15% incassokosten en rente, II. partiële ontbinding per 21 februari 2020 van de met Enviem gesloten overeenkomsten, III. vergoeding van schade als gevolg van deze ontbinding, IV. opheffing van conservatoir beslag, en veroordeling in de proceskosten.

Voor de beoordeling van de vorderingen van I-Beheer zal eerst de vraag beantwoord moeten worden of Enviem de netwerkbeheerovereenkomst rechtsgeldig heeft ontbonden. Daarover overweegt de rechtbank als volgt.

Iedere tekortkoming van een partij in de nakoming van een van haar verbintenissen geeft aan de wederpartij de bevoegdheid om de overeenkomst geheel of gedeeltelijk te ontbinden, tenzij de tekortkoming, gezien haar bijzondere aard of geringe betekenis, deze ontbinding met haar gevolgen niet rechtvaardigt (artikel 6:265 lid 1 BW).
I-Beheer is toerekenbaar tekortgeschoten in de nakoming van haar verplichtingen uit de netwerkbeheerovereenkomst. De rechtbank verwijst naar hetgeen zij daarover in conventie onder 4.5tot en met 4.8 heeft overwogen. Nu geen sprake is van tekortkomingen van geringe betekenis en ook niet is gebleken van enige bijzondere aard waardoor een ontbinding niet gerechtvaardigd zou zijn, was Enviem bevoegd de overeenkomst te ontbinden. I-Beheer voert aan dat zij niet in gebreke is gesteld. Een ingebrekestelling was echter niet nodig. Het gaat hier zoals gezegd om een overeenkomst, die voor beide partijen voortdurende verplichtingen inhoudt. Zelfs als I-Beheer na de ransomware aanval van 12 oktober 2019 haar verplichtingen uit de netwerkbeheer-overeenkomst alsnog had kunnen nakomen, wordt daarmee de tekortkoming in het verleden niet ongedaan gemaakt en wat deze tekortkoming betreft is nakoming dan ook niet meer mogelijk. Dit brengt mee dat ontbinding van de overeenkomst mogelijk is ook zonder verzuim.9
De door Enviem ingeroepen ontbinding van de netwerkbeheerovereenkomst is dan ook rechtsgeldig.

De facturen met nummers 610477, 610479, 610478, 610475, 610476, 610297, 610709 en 610466 ten bedrage van € 5.242,11 hebben betrekking op hardware die I-Beheer in opdracht van Enviem B.V. heeft geleverd en op storingsdienst activiteiten. Dat staat los van de netwerkbeheerovereenkomst, zodat de ontbinding op deze verbintenissen geen effect sorteert. Enviem heeft de verschuldigdheid van deze factuurbedragen inhoudelijk niet betwist. Aangezien het gaat om verbintenissen die aan de zijde van I-Beheer reeds zijn nagekomen, zijn deze factuurbedragen toewijsbaar. Aan I-Beheer zal ten laste van Enviem B.V. € 5.242,11 worden toegewezen.

Factuur 610503 ten bedrage van € 37.156,08 betreft werkzaamheden die I-Beheer na de ransomware aanval heeft uitgevoerd ter beperking van de schade. Aangezien de schade juist voortvloeit uit het tekortschieten van I-Beheer, blijven deze (herstel-) werkzaamheden voor haar eigen rekening. De vordering tot betaling van factuur 610503 zal worden afgewezen.

I-Beheer heeft in de periode augustus tot en met november 2019 vijfmaal een strippenkaart in rekening gebracht aan Enviem. Het betreft de facturen met nummers 609800, 609960, 610284, 610432 en 610468, totaal ten bedrage van € 38.659,50. Een strippenkaart van I-Beheer bestaat uit 100 uren, die door de klant vooraf worden afgenomen en betaald, en waar de door I-Beheer gewerkte uren vervolgens van worden afgeschreven. Enviem betwist de verschuldigdheid van deze facturen. Zij stelt dat I-Beheer een deel van de werkzaamheden dubbel in rekening heeft gebracht door deze af te boeken zowel van de netwerkbeheer-contracturen als van de strippenkaarten. Aangezien I-Beheer zich beroept op de rechtsgevolgen van de beweerdelijk afgenomen strippenkaarturen, ligt op haar de bewijslast daarvan. I-Beheer zal een bewijsopdracht krijgen.

De facturen genummerd 610329, 610542, 610836, en 610836 ten bedrage van € 8.817,52 hebben betrekking op upgrade en uitbreiding van de uitwijklocatie in Coevorden. Enviem heeft de vordering gemotiveerd betwist. Volgens Enviem valt de uitwijklocatie onder de netwerkbeheerovereenkomst en had deze niet separaat gefactureerd mogen worden. In het licht van deze gemotiveerde betwisting lag het op de weg van I-Beheer om te stellen en met stukken te onderbouwen dat upgrade en uitbreiding van de uitwijklocatie (separaat) met Enviem B.V. is overeengekomen. Het overleggen van een opdracht-bevestiging uit 2011 gericht aan Gulf Nederland B.V. volstaat daartoe niet. Dat geldt temeer nu in artikel 12 van de netwerkbeheerovereenkomst is bepaald dat deze alle afspraken bevat welke tussen partijen zijn gemaakt omtrent de in die overeenkomst genoemde onderwerpen en in dat deze de plaats treedt van alle eerdere overeenkomsten welke tussen partijen daaromtrent zijn gesloten. I-Beheer heeft onvoldoende feiten en omstandigheden gesteld die tot toewijzing van de factuurbedragen kunnen leiden, zodat de vordering voor dit deel zal worden afgewezen.

Enviem heeft de verschuldigdheid van facturen genummerd 610064, 610364, 610576, 610871 en IB 610987, totaal ten bedrage van € 5.406,60 niet betwist, zodat dit bedrag ten laste van Enviem Retail Nederland B.V. zal worden toegewezen.

Ook de verschuldigdheid van de facturen aan Transnational Blenders B.V. met nummers 610352, 610564, 610859, IB 610978, 610187, 610374, 610587, 610882 en IB610996 ten bedrage van € 6.724,11voor internetverbinding en managementrapportage is niet betwist, Daarop strekt in mindering de vordering van Transnational Blenders B.V. als bedoeld onder 4.32 ten bedrage van € 6.390,- zodat ter zake € 334,11 zal worden toegewezen ten laste van Transnational Blenders B.V.

De facturen 610376, 610589, 610884 en IB 610998 aan Transnational Blenders B.V. ten bedrage van € 17.147,16 hebben betrekking op een “SLA Gold”, een zogenoemd Service Level Agreement. Enviem heeft in reconventie geen verweer gevoerd tegen de verschuldigdheid van de genoemde facturen. Aangezien de vordering niet gemotiveerd is betwist, zal € 17.147,16 worden toegewezen ten laste van Transnational Blenders B.V.

De facturen 610544, 610838 en IB 610966 ten bedrage van € 1.559,28 hebben betrekking op een online back-up voorziening voor Fase Facility Services B.V. Enviem heeft de verschuldigdheid van deze factuurbedragen niet weersproken. Ook is niet gesteld of gebleken dat de online back-up voorziening van Fase Facility Services is getroffen door de ransomware aanval en dat I-Beheer terzake verwijtbaar heeft gehandeld. De vordering ten bedrage van € 1.559,28 zal dan ook worden toegewezen ten laste van Fase Facility Services B.V.

De beoordeling van de vordering van I-Beheer tot betaling van buitengerechtelijke incassokosten en vertragingsrente zal worden aangehouden in afwachting van de uitkomst van de procedure in conventie en reconventie.

I-Beheer vordert de tussen I-Beheer en Enviem gesloten overeenkomsten partieel per 21 februari 2020 te ontbinden. Aangezien Enviem reeds rechtsgeldig de ontbinding heeft ingeroepen per 21 februari 2020, valt er niets meer te ontbinden en zal de vordering van I-Beheer worden afgewezen. De vordering onder III tot vergoeding van schade als gevolg van de gevorderde partiële ontbinding treft hetzelfde lot.

De beoordeling van de vordering van I-Beheer tot opheffing van het door Enviem c.s. gelegde conservatoire beslag zal worden aangehouden in afwachting van de uitkomst van de procedure in conventie en reconventie.

Iedere verdere beslissing zal worden aangehouden.