Uitspraken

[gedaagde] heeft op de zitting erkend dat hij in opdracht van O’Cliance een volledige IT-infrastructuur heeft aangelegd en, op afroep, het beheer en onderhoud daarvan verzorgde. Dat tussen partijen een afspraak bestond die inhield dat [gedaagde] een ‘totaalpakket’ zou leveren, is dus niet in geschil. De vraag die partijen wel verdeeld houdt, is of ook de beveiliging van het netwerk deel uitmaakte van dat totaalpakket. Nu partijen hun afspraken niet op papier hebben gesteld, moet het antwoord op die vraag uit andere feiten en omstandigheden worden afgeleid. Daarbij is van belang wat partijen redelijkerwijs over de omvang van de opdracht hebben kunnen begrijpen en wat zij over en weer van elkaar mochten verwachten. De stelplicht (en eventuele bewijslast) dat de opdracht ook zag op het aanleggen van een adequate beveiliging rust op O’Cliance, omdat zij zich beroept op de rechtgevolgen hiervan.

O’Cliance voert in dit kader aan dat zij haar IT-infrastructuur volledig in handen van [gedaagde] heeft gelegd en dat de beveiliging daarvan vanzelfsprekend deel uitmaakte. Omdat O’Cliance met gevoelige gegevens werkt, is een adequate beveiliging voor haar van groot belang en [gedaagde] was hiervan op de hoogte. O’Cliance is afgegaan op de deskundigheid van [gedaagde] , die altijd benadrukte dat het netwerk goed beveiligd was en in geval van calamiteiten binnen afzienbare tijd weer in gebruik zou kunnen worden genomen.

[gedaagde] voert ter betwisting aan dat hij wel beveiligingsmaatregelen heeft voorgesteld, maar dat al zijn voorstellen door O’Cliance van de hand werden gewezen. In zijn aanvankelijke voorstel stond onder meer de aanleg van de firewall, maar dit is niet overgenomen in het uiteindelijke ontwerp omdat de [functie] en [functie] van O’Cliance, [betrokkene] (hierna: [betrokkene] ), tijdens de voorbereidende gesprekken aangaf dat hij dit te duur vond. Het voorstel van [gedaagde] om bij wijze van back-up met roulerende externe schijven te werken, gaf volgens [betrokkene] te veel gedoe. Bij gebrek aan toestemming heeft [gedaagde] noodgedwongen bepaalde beveiligingsmaatregelen achterwege gelaten en gemakkelijke wachtwoorden ingesteld. [betrokkene] was geen leek op computergebied en wist dus welke risico’s aan zijn keuzes kleefden.

Naar het oordeel van de rechtbank heeft [gedaagde] hiermee onvoldoende gemotiveerd betwist dat O’Cliance er vanuit is gegaan en mocht gaan dat [gedaagde] bij het vervullen van de opdracht een volledige IT-infrastructuur aan te leggen, tevens zorg zou dragen voor een adequate beveiliging. Daarbij overweegt de rechtbank dat het gelet op het gestelde en niet betwiste belang hiervan, moeilijk voorstelbaar is hoe onder de opdracht een totaalpakket te leveren niet tevens de aanleg van de daarbij behorende beveiliging kan zijn begrepen. Met hetgeen [gedaagde] heeft aangevoerd, wat daar feitelijk ook van zij, wordt bovendien niet zozeer betwist dat de opdracht tevens de aanleg van de beveiliging inhield, maar enkel dat [gedaagde] hier door toedoen van O’Cliance niet in is geslaagd. De stelling van O’Cliance dat de opdracht tevens het aanleggen van adequate beveiling inhield, slaagt dus.

Door het netwerk aan te leggen zonder firewall en zonder externe back-ups, heeft [gedaagde] deze opdracht niet naar behoren uitgevoerd. Dat, zoals [gedaagde] stelt, O’Cliance de voorgestelde beveiligingsmaatregelen van de hand zou hebben gewezen, maakt dit niet zonder meer anders. Het had dan op de weg van [gedaagde] gelegen de opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten. Dat [betrokkene] wellicht zelf kennis van zaken op het gebied van IT had, ontsloeg [gedaagde] niet van deze verantwoordelijkheid. Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van O’Cliance. Dat [gedaagde] meer heeft gedaan dan het geven van een enkele waarschuwing, is door hem niet, althans onvoldoende, gesteld. Uit de e-mail van 29 april 2010 blijkt juist het tegendeel. Dat [gedaagde] niet uitdrukkelijk heeft gewaarschuwd wordt nog eens onderstreept doordat [gedaagde] op de zitting heeft verklaard dat hij op de vraag of het systeem veilig genoeg was slechts zou hebben geantwoord: “Er moeten nog een aantal dingen bij.” [gedaagde] is hiermee toerekenbaar tekort geschoten in de uitvoering van zijn opdracht.

Zoals volgt uit 2.7 heeft True-xs op basis van haar onderzoek geconcludeerd dat de ransomware-aanval voorkomen had kunnen worden door een combinatie van technische maatregelen (firewall) en sterkere wachtwoorden. O’Cliance beroept zich op dit rapport. [gedaagde] heeft op de zitting weliswaar verklaard dat een aanval als deze nooit kan worden uitgesloten, maar heeft daarbij erkend dat het met een goede beveiliging (waaronder sterke wachtwoorden) in ieder geval langer had geduurd voordat de hackers het netwerk hadden kunnen binnendringen en dat dit had kunnen maken dat de hackers de aanval hadden afgebroken. [gedaagde] heeft tevens erkend dat als er externe back-ups waren gebruikt, deze buiten het bereik van de ransomware waren gebleven en O’Cliance haar activiteiten dan aanzienlijk sneller had kunnen oppakken, zonder betaling van bitcoins. [gedaagde] heeft als verweer gevoerd dat sprake is van eigen schuld van O’Cliance, omdat zij de adviezen van [gedaagde] niet op wilde opvolgen. Voor zover [gedaagde] al iets te verwijten valt, geldt bovendien dat O’Cliance hem nooit heeft aangespoord alsnog aan zijn verplichtingen te voldoen. Hij kan dus niet worden aangesproken voor de schade van O’Cliance, aldus [gedaagde] .

[gedaagde] heeft de stelling van O’Cliaince dat het (het gevolg van) de ransomware-aanval voorkomen had kunnen worden als de juiste maatregelen waren getroffen hiermee onvoldoende gemotiveerd betwist. Zelfs als moet worden aangenomen dat het niet mogelijk is een dergelijke aanval met technische maatregelen volledig uit te sluiten, geldt dat met een externe back-upstructuur de gevolgen beperkt waren gebleven. Met betrekking tot het ontbreken van de firewall en externe back-upstructuur, heeft de rechtbank in 4.5 al overwogen dat [gedaagde] op dit punt te weinig inspanning heeft geleverd en dat het ontbreken van deze veiligheidsmaatregelen dus (geheel) voor zijn rekening moet komen. Nadat de ransomware-aanval eenmaal had plaatsgevonden, was nakoming bovendien blijvend onmogelijk geworden zodat [gedaagde] direct in verzuim was. De schade die O’Cliance ten gevolge van deze tekortkoming in de nakoming door [gedaagde] heeft geleden, komt daarom op grond van artikel 6:74 BW in beginsel voor rekening van [gedaagde] .

Tussen partijen is echter niet in geschil dat naast het ontbreken van een firewall en externe back-upstructuur ook het gebruik van te gemakkelijke wachtwoorden heeft bijgedragen aan de gelegenheid voor geslaagde een ransomware-aanval. Met betrekking tot deze wachtwoorden staat bovendien vast dat [gedaagde] aanvankelijk complexe wachtwoorden had ingesteld, maar dat hij deze op uitdrukkelijk verzoek van O’Cliance heeft vereenvoudigd. Op de zitting heeft [betrokkene] hierover verklaard dat hij herhaaldelijk met [gedaagde] over de wachtwoorden heeft gesproken en dat hij zich ervan bewust was dat het gebruik van simpele wachtwoorden risico’s met zich bracht.

De stelling van [gedaagde] dat hij op dit onderdeel van de beveiliging wel voldoende inspanning heeft verricht, en dat de keuze van O’Cliance voor gemakkelijke wachtwoorden mede debet is geweest aan de kwetsbaarheid voor een ransomware-aanval, is hiermee door O’Cliance onvoldoende betwist. Dat de hackers zich mede door de gemakkelijke wachtwoorden toegang tot het netwerk van O’Cliance konden verschaffen, is daarom een omstandigheid die voor rekening van O’Cliance moet blijven.

Daarmee komt de rechtbank tot de conclusie dat [gedaagde] jegens O’Cliance aansprakelijk is voor de schade die kon ontstaan doordat [gedaagde] niet heeft voldaan aan de opdracht een adequate beveiliging aan te leggen, maar dat O’Cliance medeschuldig is aan het ontstaan van het lek in de beveiliging. De rechtbank zal de schade dan ook over beide partijen verdelen. Gelet op de mate waarin elk van de partijen aan de schade heeft bijgedragen, stelt de rechtbank de schadevergoedingsplicht van [gedaagde] vast op 2/3 van het geheel. Het overige deel van de schade blijft voor rekening van O’Cliance.

O’Cliance stelt dat zij na de ransomware-aanval gedurende de eerste week niet en gedurende de tweede week nauwelijks haar gebruikelijke werkzaamheden heeft kunnen verrichten en daardoor een omzetderving van € 8.080,00 heeft geleden. Zij vordert tevens vergoeding van (een deel van) haar personeelskosten. O’Claince heeft deze posten onderbouwd met een overzicht waarin per medewerker het aantal gewerkte uren, het uurloon en - naar de rechtbank begrijpt - de misgelopen omzet per medewerker per uur is weergegeven.

[gedaagde] heeft aanvankelijk betwist dat O’Cliance anderhalve week niet heeft kunnen werken, maar heeft op de zitting erkend dat het bij grote hoeveelheden data, zoals de drie terrabites waarmee O’Cliance werkte, lang duurt voordat alle gegevens weer zijn teruggezet en het systeem weer ‘up and running’ is. [gedaagde] voert verder aan dat O’Cliance uitsluitend gederfde winst en niet gederfde omzet zou kunnen vorderen, omdat O’Cliance zich ook kosten heeft kunnen besparen en dat in ieder geval de compensatie voor de post personeelskosten al is inbegrepen in de omzetderving.

[gedaagde] heeft hiermee de stelling van O’Cliance dat zij als gevolg van de ransomware-aanval enige tijd buiten bedrijf is geweest en daarmee een bedrag van € 8.080,00 aan omzet is misgelopen, onvoldoende gemotiveerd betwist. In artikel 6:96 BW is bepaald dat vermogensschade zowel geleden verlies als gederfde winst omvat. Daarmee omvat de schade die voor vergoeding in aanmerking komt niet enkel de gederfde winst, maar ook de gemaakte kosten waartegenover, als gevolg van de schadeveroorzakende gebeurtenis, geen opbrengsten staan. O’Cliance heeft niet gesteld waaruit deze kosten bestaan, anders dan uit personeelskosten. [gedaagde] heeft echter evenmin uiteengezet welke kosten O’Cliance zich als gevolg van de ransomware-aanval zou (kunnen) hebben bespaard. Gelet op de aard van de bedrijfsactiviteiten van O’Cliance en de relatief korte duur van de stillegging van de bedrijfsactiviteiten, gaat de rechtbank er vanuit dat de kostenbesparing voor O’Cliance zeer gering tot nihil is geweest. De gederfde omzet is daarmee gelijk te stellen aan de optelsom van gederfde winst en gemaakte, niet terugverdiende, kosten (waaronder de personeelskosten), zodat het bedrag van € 8.080,00 in zijn volledigheid als schade kan worden aangemerkt. Voor een afzonderlijke vergoeding van de personeelskosten bestaat dan uiteraard geen grond meer.

O’Cliance heeft ook vergoeding van de kosten voor het inschakelen van True-xs gevorderd. Volgens [gedaagde] zijn deze kosten onnodig gemaakt, aangezien hijzelf de oorzaak van de ransomware-aanval al had achterhaald.

Op grond van artikel 6:96, tweede lid, sub b, BW komen redelijke kosten ter vaststelling van schade en aansprakelijkheid voor vergoeding in aanmerking. Gelet op het (aanvankelijk vermoedelijke) aandeel van [gedaagde] in het ontstaan van de schade, bestond er voor O’Cliance voldoende aanleiding om een deskundige derde onderzoek te laten doen naar de oorzaak van de ransomware-aanval. O’Cliance heeft dit onderzoek dan ook in redelijkheid kunnen laten uitvoeren. Gesteld nog gebleken is dat de kosten die True-xs voor haar werkzaamheden in rekening heeft gebracht, niet redelijk zijn. De kosten van dat onderzoek ad € 4.437,07 zullen daarom worden aangemerkt als schade die voor vergoeding in aanmerking komt.

O’Cliance heeft na de ransomware-aanval DeLorentz & Partners B.V, verbeteringen aan het netwerk laten aanbrengen. Zo heeft zij onder meer een firewall laten plaatsen. [gedaagde] betwist dat deze kosten als schade kunnen worden aangemerkt.

Vast staat dat de beveiliging van het netwerk voorafgaand aan de ransomware-aanval onvoldoende was. Verder staat vast dat [gedaagde] kosten van nieuw aan te schaffen producten en/of installatiewerkzaamheden altijd los van de maandelijkse vaste vergoeding in rekening bracht bij O’Cliance (zie 2.3). Als O’Cliance de aanval had willen voorkomen, had zij daarom hoe dan ook extra kosten moeten maken, onder meer voor het plaatsen van een firewall. O’Cliance heeft niet gesteld dat de kosten van het aanleggen van de noodzakelijke beveiliging als gevolg van de ransomware-aanval hoger zijn uitgevallen dan zij aanvankelijk zouden zijn geweest. De kosten voor verbetering van het netwerk kunnen daarom niet worden aangemerkt als schade die een gevolg is van de tekortkomingen van [gedaagde] en komen om die reden niet voor vergoeding in aanmerking.

Tussen partijen is niet in geschil dat O’Cliance drie bitcoins ter waarde van € 963,61 en daarmee een totaalbedrag van € 2.890,83 heeft moeten betalen om haar bestanden te ontsleutelen. Dit bedrag zal daarom worden aangemerkt als schade die voor vergoeding in aanmerking komt.

De totale schade die voor vergoeding in aanmerking komt, bedraagt daarmee (€ 8.080,00 + € 4.437,07 + € 2.890,83=) € 15.407,90. [gedaagde] zal worden veroordeeld tot het vergoeden van 2/3 deel (€ 10.271,93) van deze schade.

O’Cliance heeft niet toegelicht waarom zij naast de uit te spreken veroordeling tot vergoeding van haar schade, waarin reeds een oordeel omtrent het handelen van [gedaagde] ligt besloten, ook belang heeft bij de onder I gevorderde verklaringen voor recht. Dit deel van de vordering zal daarom worden afgewezen.

O’Claince vordert vergoeding van buitengerechtelijke incassokosten, maar heeft niet gesteld dat zij buitengerechtelijke werkzaamheden heeft verricht of heeft laten verrichten. De vordering tot vergoeding van buitengerechtelijk incassokosten zal daarom worden afgewezen.

O'Cliance vordert wettelijke rente over de schadevergoeding vanaf de dag van de dagvaarding. [gedaagde] heeft de verschuldigdheid van wettelijke rente niet betwist. De gevorderde rente is op grond van artikel 6:119 BW toewijsbaar als gevorderd, met dien verstande dat deze rente slechts berekend zal worden over het toegewezen deel van de hoofdsom.

[gedaagde] zal als de in conventie grotendeels in het ongelijk gestelde partij in de proceskosten worden veroordeeld. Omdat een aanzienlijk deel van het gevorderde bedrag wordt afgewezen, begroot de rechtbank de proceskosten aan de zijde van O'Cliance op basis van het toegewezen bedrag op:

- dagvaarding € 102,10

- griffierecht € 1.924,00

- salaris advocaat € 1.086,00 (2 punten × tarief € 543,00)

totaal € 3.112,10

Verder zal [gedaagde] worden veroordeeld in de nakosten voor zover deze kosten op dit moment reeds kunnen worden begroot. De nakosten zullen worden begroot op de wijze zoals in de beslissing vermeld.

Anders dan O’Cliance heeft gevorderd zal de wettelijke rente over de proceskosten en nakosten, zoals gebruikelijk en redelijk, eerst zijn verschuldigd vanaf veertien dagen na het vonnis en niet na acht dagen.

Tussen partijen staat vast dat [gedaagde] na de ransomware-aanval (herstel)werkzaamheden heeft verricht voor O’Cliance, waaronder het plaatsen van een nieuwe server, en dat O’Cliance hem hiervoor niet heeft betaald.

[gedaagde] vordert in reconventie betaling voor deze werkzaamheden alsmede de geplaatste server. O’Cliance voert als verweer dat de werkzaamheden enkel zagen op herstel en beperking van de door [gedaagde] zelf veroorzaakte schade. De door [gedaagde] geplaatste server was destijds nodig voor het ontsleutelen van bestanden, maar wordt inmiddels niet meer door O’Cliance gebruikt.

Uit het in conventie gegeven oordeel van de rechtbank dat [gedaagde] aansprakelijk is voor de schade van O’Cliance, volgt tevens dat op hem een verplichting rustte om de schade ten gevolge van zijn handelen zoveel mogelijk te beperken. Partijen zijn het erover eens dat de werkzaamheden die [gedaagde] heeft verricht noodzakelijk waren om de bedrijfsvoering van O’Cliance zoveel mogelijk doorgang te laten vinden. Daarmee is de schade van O’Cliance, in de vorm van omzetverlies, beperkt. Omdat [gedaagde] verplicht was de schadebeperkende werkzaamheden te verrichten, kan hij geen aanspraak maken op betaling hiervoor door O’Cliance. Dat O’Cliance een eigen aandeel heeft in het ontstaan van de schade doet hier niet aan af. Weliswaar rustte ook op haar de (zelfstandige) verplichting maatregelen te treffen om de schade zoveel mogelijk te beperken, maar gelet op de hoedanigheid en deskundigheid van beide partijen lag schadebeperking in de vorm van het verrichten van herstelwerkzaamheden bij uitstek op de weg van [gedaagde] .

Ook het beroep van [gedaagde] op onrechtmatige verrijking door O’Cliance slaagt niet. [gedaagde] heeft onvoldoende gesteld om aan te kunnen nemen dat O’Cliance dankzij de werkzaamheden van [gedaagde] in een betere vermogenspositie is gebracht dan voor de ransomware-aanval. Dit geldt tevens voor de server, nu [gedaagde] niet heeft gesteld dat de server na de herstelwerkzaamheden op andere wijze door O’Cliance in gebruik is genomen. O’Cliance heeft bovendien op de zitting verklaard dat de server door [gedaagde] kan worden opgehaald.

De vordering in reconventie zal daarom worden afgewezen, met dien verstande dat O’Cliance de server terug dient te geven aan [gedaagde] .

[gedaagde] zal als de in reconventie in het ongelijk gestelde partij in de proceskosten worden veroordeeld. De kosten aan de zijde van O'Cliance worden begroot op € 461,00 aan salaris advocaat (2 punten × factor 0,5 × tarief € 461,00).