Feedback

Zoekresultaat - inzien document

ECLI:NL:GHAMS:2021:508

Instantie
Gerechtshof Amsterdam
Datum uitspraak
16-02-2021
Datum publicatie
24-03-2021
Zaaknummer
200.239.540/01
Formele relaties
Tussenuitspraak: ECLI:NL:GHAMS:2020:1308
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Hoger beroep
Inhoudsindicatie

Overeenkomstenrecht. Onderneming wordt gehackt kort na einde ICT-onderhoudscontract en vlak voor begin ICT-onderhoudscontract met andere partij. Toereikende back ups ontbreken. Tekortkoming? Schade? Eigen schuld (art. 6:101 BW)?

Vindplaatsen
Rechtspraak.nl
Verrijkte uitspraak

Uitspraak

GERECHTSHOF AMSTERDAM

afdeling civiel recht en belastingrecht, team I

zaaknummer : 200.239.540/01

zaak-/rolnummer rechtbank Noord-Holland : 5917691 \ CV EXPL 17-3426 (PA)

arrest van de meervoudige burgerlijke kamer van 16 februari 2021

[appellante] ,

gevestigd te [vestigingsplaats] ,

appellante,

advocaat: mr. B.R. Capaan te Amsterdam,

tegen

[geïntimeerde] ,

gevestigd te [vestigingsplaats] ,

geïntimeerde,

advocaat: mr. J. Veninga te Leeuwarden.

1 Het geding in hoger beroep

Partijen worden hierna wederom [appellante] en [geïntimeerde] genoemd.

Het hof verwijst naar het tussenarrest van 14 april 2020 voor het procesverloop in hoger beroep tot die datum.

Partijen hebben daarna de volgende stukken ingediend:

- akte met productie door [geïntimeerde] ;

- akte met producties door [appellante] ;

- antwoordakte door [geïntimeerde] met productie.

Ten slotte is wederom arrest gevraagd.

2 Verdere beoordeling

2.1.

[appellante] vordert, samengevat, dat [geïntimeerde] wordt veroordeeld tot betaling van € 18.209,89 met nevenvorderingen. [geïntimeerde] is volgens [appellante] tekortgeschoten in de uitvoering van de Service Level Agreement (hierna: SLA) en is daarmee aansprakelijk voor de schade die [appellante] daardoor heeft geleden. Die schade is met name het gevolg van een tekortkoming in de nakoming van de verplichting om naar behoren te zorgen voor adequate back ups. [appellante] betoogt dat er ten tijde van de onder 2.7 van het tussenarrest bedoelde hack geen bruikbare back-ups waren waardoor het gegijzelde systeem niet hersteld kon worden.

[geïntimeerde] vordert op haar beurt de betaling van de factuur van 1 augustus 2016.

2.2.

De kantonrechter heeft de vordering van [appellante] afgewezen en die van [geïntimeerde] toegewezen. Tegen deze beslissing en de daaraan ten grondslag gelegde motivering komt [appellante] met haar grieven op.

2.3.

Partijen strijden in deze zaak over de vraag of [geïntimeerde] is tekortgeschoten in de nakoming van haar verplichtingen uit hoofde van de SLA. In het tussenarrest heeft het hof [appellante] gelast om een kopie van de SLA met eventuele bijlages bij akte in het geding te brengen.

2.4.

[geïntimeerde] heeft een kopie van de SLA overgelegd die zij aanvankelijk is aangegaan met [X] en die [appellante] vanaf februari 2015 met [geïntimeerde] heeft voortgezet (zie het tussenarrest onder 2.1 en 2.3). De SLA luidt, voor zover van belang, als volgt:

1 Inleiding

(…)

1.2

Doel van de SLA

In deze SLA worden de kwalitatieve en kwantitatieve afspraken, met betrekking tot het systeembeheer, applicatiebeheer en –onderhoud van de systemen en applicaties welke bij Opdrachtgever in gebruik zijn, vastgelegd.

Deze SLA vormt de complete set afspraken voor het beheer en onderhoud.

De beschrijving bestaat uit een definitie van de servicelevels die voor de opdrachtgever van belang zijn met het oog op de kwaliteit en continuïteit van haar bedrijfsvoering. De betreffende indicatoren zijn meetbaar en beïnvloedbaar door Opdrachtnemer.

Per indicator is de bijbehorende norm opgenomen. Deze normen zijn de meetbare criteria waaraan opdrachtnemer moet voldoen om het diensten niveau aan opdrachtgever te garanderen.

(…)

2.1

Scope van de dienstverlening

In dit hoofdstuk wordt nader ingegaan op de dienstverlening waarop deze SLA is gebaseerd. Opdrachtnemer stelt direct ofwel indirect capaciteit beschikbaar voor het netwerk-, systeem-, applicatiebeheer en –onderhoud van de onderdelen zoals beschreven in het hoofdstuk onderdelen.

2.2

Algemeen

De SLA behelst het faciliteren van de correcte werking van de automatisering bij opdrachtnemer op het gebied van hardware, software en applicaties. Tevens dient ondersteuning te worden geboden op divers gebied waarbij de gebruikers volledig gefaciliteerd worden binnen de normale bedrijfsvoering (…).

2.3

Te leveren diensten Beheer

Om de opdrachten, zoals genoemd onder 2.1, uit te voeren worden de volgende door opdrachtnemer te leveren, diensten gedefinieerd:

Te leveren diensten

Omschrijving

(…)

(…)

Netwerkbeheer

Het beheer van het netwerk op zowel de hardware als software componenten

Systeembeheer

Het beheren van de werkstations en machines

(…)

(…)

(…)

3 Servicelevels Beheer

(…)

3.6

Systeem- en netwerkbeheer

Hier wordt beschreven welke onderdelen minimaal op systeem- en netwerkbeheer gemonitord worden zodanig dat de werking van de systemen gegarandeerd is.

Indicator

Omschrijving (…)

Norm

Verantwoordelijke

Rapportage

Onderdelen werkstation

Anti Virus

Backup

Netwerkverbindingen

Routering

1 uur

opdrachtnemer

Server

Anti Virus

Backup

Verbindingen

Firewall

prompt

opdrachtnemer

(…)

(…)

5 Onderdelen

In dit gedeelte worden de onderdelen beschreven waar deze overeenkomst betrekking op heeft. De onderdelen zijn in de volgende categorieen op te delen

 Hardware (systeembeheer / onderhoud)

 (…)

 Operating system gerelateerde zaken (netwerk/systeembeheer)

 (…)

5.1

Hardware

De volgende componenten

Component

Interne Naam

Opmerking

(…)

(…)

HP Server

SERVER01

Backup server; wordt tevens gebruikt voor rapportages

(…)

5.2

Operating systemen

Systeem

Versie

Opmerking

(…)

(…)

Windows Server 2003

Backup server

(…)

2.5.

Met de grieven 1 en 6 betoogt [appellante] dat [geïntimeerde] toerekenbaar is tekortgeschoten in de nakoming van haar verplichtingen uit de SLA. Volgens [appellante] bestaat deze tekortkoming, kort gezegd, eruit dat het back-upsysteem verkeerd was ingesteld. Als gevolg hiervan zijn sinds 2013 geen back-ups gemaakt, met uitzondering van een zeer beperkte handmatige back-up van 29 april 2016. Als het systeem goed was geconfigureerd, dan waren er tot de overdracht van de werkzaamheden aan [Y] op 21 juni 2016 dagelijks back-ups gemaakt en zou [appellante] na de hack op 19 juli 2016 haar systeem eenvoudig uit een back-up van 21 juni 2016 (of van later datum) hebben kunnen herstellen.

2.6.

[geïntimeerde] voert, samengevat, het volgende tot haar verweer aan. De laatste back-up dateert van 29 april 2016; dit zou voldoende moeten zijn. Bovendien liep [Y] al vanaf maart 2016 mee om haar eigen systeem te regelen. [Y] voerde wijzigingen door in de digitale infrastructuur en daarmee vermoedelijk ook in de back-uproutine. Hij had een nieuwe server geïnstalleerd. Het maken van een back-up van de oude, door [geïntimeerde] geïnstalleerde server had daarom geen zin meer. Het was aan [Y] om ervoor te zorgen dat de back-up de gehele infrastructuur bestreek. Aangezien de server volledig door [Y] is veranderd, was het aanpassen van het back-updoel nodig. Kennelijk heeft [Y] dit niet juist gedaan. Het systeem is op 21 juni 2016 opgeleverd aan [appellante] en aan [Y] . Als er toen geen goed functionerende back-uproutine had bestaan, was [Y] daarmee niet akkoord gegaan.

2.7.

Het hof overweegt als volgt.

2.7.1.

De SLA tussen [appellante] en [geïntimeerde] heeft gegolden tot en met 21 juni 2016. Tot die datum was [geïntimeerde] jegens [appellante] verantwoordelijk voor de nakoming van haar verplichtingen uit hoofde van de SLA. De omstandigheid dat [Y] , al dan niet met medeweten van of in samenwerking met [geïntimeerde] , in die periode reeds voorbereidende werkzaamheden heeft verricht, doet niet af aan de verantwoordelijkheid van [geïntimeerde] op grond van de SLA tot en met 21 juni 2016.

2.7.2.

[geïntimeerde] was op grond van de SLA verantwoordelijk voor het netwerk- en systeembeheer. Dit netwerk- en systeembeheer omvatte het back-upsysteem. Ingevolge art. 3.6 van de SLA diende de monitoring ervan zodanig te zijn dat de werking van de systemen gegarandeerd was. Dit bracht mee dat [geïntimeerde] niet slechts ervoor verantwoordelijk was dat het back-upsysteem zodanig was ingesteld dat dagelijks (ten minste) incrementele back-ups werden gemaakt, maar dat ook op 21 juni 2016 een recente volledige back-up aanwezig was, althans dat een recente volledige back-up kon worden gereconstrueerd op basis van recente incrementele back-ups, al dan niet in combinatie met een eerdere volledige back-up.

2.7.3.

Tussen partijen staat vast dat op 29 april 2016 nog een back-up is gemaakt, zij het dat partijen erover twisten of dit gaat om een volledige, dan wel een beperkte back-up. Die kwestie kan in het midden blijven; een back-up van bijna twee maanden oud was hoe dan ook te oud. [appellante] heeft aan de hand van een rapportage van [Z] IT uitvoerig onderbouwd dat op 21 juni 2016 een recente volledige back-up ontbrak. Daarmee is [geïntimeerde] tekortgeschoten in de nakoming van haar verplichtingen op grond van de SLA.

2.7.4.

Dit wordt niet anders in het licht van het verweer van [geïntimeerde] dat het [Y] is geweest die de wijzigingen in het systeem had aangebracht, waaronder het installeren van een nieuwe server, en dat [Y] ( [appellante] ) de overdracht niet zouden hebben geaccepteerd indien geen adequaat back-upsysteem in werking was. Gesteld noch gebleken is immers dat [geïntimeerde] met [appellante] had afgesproken dat de verantwoordelijkheid voor de back-ups eerder dan 21 juni 2016 zou overgaan op [Y] . Evenmin is gesteld of gebleken dat [appellante] ermee akkoord was dat van de ‘oude’ server geen back-ups meer gemaakt zouden worden. Ook de stelling dat [Y] of [geïntimeerde] de overdracht niet zouden hebben geaccepteerd, wordt verder niet van onderbouwing voorzien zodat het hof hieraan voorbijgaat. Bij deze stand van zaken is de rol van [Y] bij de installatie van de nieuwe server en het back-upsysteem niet van belang; dit vond plaats op een moment dat [geïntimeerde] daarvoor jegens [appellante] op grond van de SLA de verantwoordelijkheid droeg.

2.7.5.

[appellante] heeft onbetwist gesteld dat haar computerschermen als gevolg van de hack vanaf 19 juli 2016 een klokje toonden dat tot nul aftelde op 26 juli. Vanaf dat moment zou het systeem van [appellante] onherstelbaar worden beschadigd. Blijkens telefonische mededelingen was [geïntimeerde] niet bereid of in staat [appellante] in zoverre bij te staan dat het systeem vóór 26 juli 2016 door middel van een back-up van (kort voor) 21 juni 2016 kon worden hersteld.

Voor zover nakoming van haar verplichtingen als gevolg van het ontbreken van een volledige recente back-up niet reeds blijvend onmogelijk was geworden, heeft [appellante] toch uit die mededeling van [geïntimeerde] mogen afleiden dat deze verder zou tekortschieten. Daarmee is [geïntimeerde] zonder ingebrekestelling in verzuim komen te verkeren.

2.8.

[appellante] vordert vergoeding van de volgende schadeposten.

Schadepost

Bedrag

Toelichting

Ridder Data Systems

1.308,00

Opzetten noodsysteem op nieuwe hardware

[Y] IT

4.102,95

Opzetten noodsysteem op nieuwe hardware

St. Mollie Payments

1.371,32

Betaling losgeld in bitcoins

Vergoeding tijd [appellante]

6.400,00

Beperken schade

Productieverlies

4.080,00

Drie dagen stilliggen

Totaal

17.262,27

2.9.

[geïntimeerde] heeft (het causaal verband tussen de tekortkoming en) deze schadeposten betwist.

2.10.

Het hof overweegt over de schade en het causaal verband als volgt.

2.10.1.

[appellante] heeft aan de hand van gespecificeerde facturen voldoende onderbouwd dat de facturen van Ridder Data Systems als gevolg van de tekortkomingen aan [geïntimeerde] kunnen worden toegerekend. De facturen dateren uit de periode van en kort na de hack (prod. 7.1 en 7.2). Uit de specificatie blijkt genoegzaam dat beide facturen betrekking hadden op werkzaamheden als gevolg van deze hack (prod. 7.3). Hetzelfde geldt voor de facturen van [Y] (prod. 8.1 en 8.3) die blijkens de specificatie (prod. 8.2) betrekking hadden op werkzaamheden die zijn verricht in de periode van de hack en zagen op ‘server crash’ en ‘back-up nalopen’ en installatie en inrichting van de servers en het terugzetten van bestanden (prod. 8.2 en 8.4). Het hof verwijst in dit verband ook naar de toelichtende e-mail van [Y] van 7 maart 2017 (prod. 8.5). Het verweer dat causaal verband zou ontbreken wordt dan ook verworpen.

2.10.2.

Het bedrag aan losgeld staat naar het oordeel van het hof in causaal verband met de tekortkoming; deze schadepost kan bovendien als gevolg van de tekortkoming aan [geïntimeerde] worden toegerekend. [appellante] werd immers als gevolg van het ontbreken van een back-up ertoe gedwongen het losgeld te betalen.

2.10.3.

Voldoende aannemelijk acht het hof voorts dat ook [appellante] zelf, mede in aanmerking genomen zijn schadebeperkingsplicht, de nodige uren heeft moeten spenderen aan het oplossen van de problemen waartoe het ontbreken van de back-up had geleid. De gespecificeerde urenspecificatie (80 uur à € 80,- per uur; prod. 10) is naar het oordeel van het hof toereikend. De door [appellante] uitgesproken verwachting dat de productie op 22 juli 2016 hervat kon worden, brengt niet mee dat [appellante] na die datum geen kosten heeft moeten maken ter beperking van de schade; het hof verwijst naar de urenspecificatie.

2.10.4.

Het vorenstaande brengt mee dat alle schadeposten in causaal verband staan met de tekortkoming en dat deze als gevolg ervan aan [geïntimeerde] kunnen worden toegerekend.

2.11.

[geïntimeerde] heeft betoogd dat (een groot deel van) de schade het gevolg is van feiten en omstandigheden die moeten worden toegerekend aan [appellante] zelf. Op goede gronden wijst [geïntimeerde] erop dat [appellante] zelf ervoor heeft gekozen het nieuwe contract met [Y] in te laten gaan op 1 augustus 2016; dat was bijna zes weken na het einde van de SLA. Toen het bedrijf van [appellante] op 19 juli 2016 werd gehackt, was [geïntimeerde] bijna een maand niet meer verantwoordelijk voor de beveiliging van het systeem. Tegen die achtergrond acht het hof het feit dát [appellante] gehackt kon worden in overwegende mate aan [geïntimeerde] zelf toe te rekenen. Ook indien wel een back-up van (kort voor) 21 juni 2016 aanwezig was geweest, had [geïntimeerde] enige schade geleden die in dat geval geheel aan haar zou zijn toe te rekenen. De omstandigheid dat [appellante] niet onmiddellijk losgeld heeft betaald, maar pas op het moment dat de teller letterlijk bijna op nul stond – de hackers dreigden het systeem van [appellante] onherstelbaar te beschadigen op het moment dat de klok naar nul was afgelopen – acht het hof evenwel niet een omstandigheid die aan [appellante] moet worden toegerekend; naar [appellante] onbestreden heeft aangevoerd, had de politie haar met klem aangeraden helemaal geen losgeld te betalen.

Een en ander afwegend, komt het hof tot de slotsom dat twee/derde van de door [appellante] geleden schade het gevolg is van feiten en omstandigheden die aan haarzelf kunnen worden toegerekend.

2.12.

Op grond van het voorgaande slagen de grieven 1 en 6; de grieven 2, 3, 4 behoeven daarmee geen behandeling.

2.13.

Grief 7 is gericht tegen de toewijzing door de kantonrechter van de tegenvordering van [geïntimeerde] . Het gaat hier om een factuur van 1 augustus 2016 van, groot € 236,55. De kantonrechter heeft overwogen dat [appellante] weliswaar niet betwist dat [geïntimeerde] de gefactureerde werkzaamheden heeft verricht, maar dat [appellante] ontevreden over het resultaat is. De kantonrechter heeft het verweer verworpen omdat (i) de betalingsverplichting niet is komen te vervallen louter op grond van een gestelde ondeugdelijkheid van de prestatie en (ii) [appellante] de ondeugdelijkheid onvoldoende had onderbouwd.

Met de grief betoogt [appellante] dat zij [geïntimeerde] heeft laten langskomen om te laten zien waar [appellante] de back-ups had kunnen vinden. Ander werk heeft zij [geïntimeerde] niet opgedragen.

2.14.

Met de grief betwist [appellante] in de kern het bestaan van de overeenkomst van opdracht, voor zover deze meer behelst dan alleen het aanwijzen van de back-ups. Dit verweer strookt niet met de e-mailwisseling die [geïntimeerde] heeft overgelegd. Op 22 juli 2016 schrijft [geïntimeerde] aan [appellante] dat hij met [Y] had afgesproken dat hij op 1 augustus zou proberen de server te herstellen en dat hij [appellante] ermee akkoord vertrouwt dat de werkzaamheden op basis van nacalculatie zullen worden gefactureerd. Op 29 juli 2016 heeft [appellante] gereageerd dat de nieuwe server weer in de lucht was en dat hij de oude toch weer wil kunnen opstarten. Op basis van deze e-mails faalt de stelling dat [appellante] geen opdracht zou hebben verricht voor iets anders dan het aanwijzen van de back-ups. Grief 7 kan daarmee niet slagen.

2.15.

[appellante] vordert onder het kopje ‘proceskosten’ nog dat [geïntimeerde] wordt veroordeeld in de kosten van de door haar ingeschakelde deskundige [Z] , in totaal groot € 6.034,88. [geïntimeerde] heeft daartegen verweer gevoerd. Volgens haar gaat het niet om proceskosten. Bovendien komen slechts de kosten van deskundigen in aanmerking, voor zover deze zijn aangewezen door de rechter of door partijen gezamenlijk. Zij verzet zich hier verder tegen, omdat zij geen invloed heeft gehad op de kosten van het onderzoek.

2.16.

Ingevolge art. 6:96 lid 2, aanhef en onder b, BW komen redelijke kosten ter vaststelling van schade en aansprakelijkheid als vermogensschade voor vergoeding in aanmerking. In dit geval betreffen de kosten van [Z] kosten ter vaststelling van schade en aansprakelijkheid; deze heeft onderzoek gedaan naar de werking van het back-upsysteem ter vaststelling van de aansprakelijkheid van [geïntimeerde] . De omstandigheid dat [appellante] deze kosten vordert onder het kopje ‘proceskosten’ doet hieraan niet af; het gaat hier immers niet om kosten als bedoeld in art. 237-240 Rv.

[appellante] heeft onweersproken aangevoerd dat hij als leek niet over noodzakelijke ICT-kennis beschikt om de stellingen van [geïntimeerde] te beoordelen. Het gaat dan ook om kosten die in redelijkheid zijn gemaakt. Het hof is van oordeel dat deze kosten van dit – naar de aard complexe – onderzoek ook redelijk zijn. De kosten komen dan ook voor vergoeding in aanmerking, met dien verstande dat twee/derde van deze kosten het gevolg is van omstandigheden die aan [appellante] zelf moeten worden toegerekend. Het hof verwijst naar de overweging onder 2.11.

2.17.

De bewijsaanbiedingen hebben geen betrekking op feiten en omstandigheden die, indien bewezen, tot een andere beslissing in deze zaak kunnen leiden en worden daarom als niet ter zake dienend gepasseerd.

2.18.

De grieven 1 en 6 slagen. Het vonnis waarvan beroep zal worden vernietigd, voor zover dit betrekking heeft op de vordering van [appellante] op [geïntimeerde] . [geïntimeerde] zal worden veroordeeld tot schadevergoeding als hierna te bepalen. De vordering tot betaling van btw zal worden afgewezen, nu over een schadevergoeding geen btw verschuldigd is. [geïntimeerde] zal als in het ongelijk gestelde partij worden verwezen in de kosten van het geding in beide instanties.

3 Beslissing

Het hof:

3.1.

vernietigt het vonnis waarvan beroep, voor zover dit betrekking heeft op de vordering van [appellante] op [geïntimeerde] , en in zoverre opnieuw rechtdoende:

3.1.1.

veroordeelt [geïntimeerde] tot betaling, binnen veertien dagen na betekening van dit arrest, van een bedrag groot € 5.754,09 aan schadevergoeding, te vermeerderen met wettelijke rente over dat bedrag met ingang van 10 maart 2017 tot aan de dag van voldoening;

3.1.2.

veroordeelt [geïntimeerde] tot betaling in de onderzoekskosten van deskundigen [Z] IT, groot € 2.011,63, te vermeerderen met de wettelijke rente, indien niet binnen veertien dagen na betekening van dit arrest aan deze veroordeling is voldaan;

3.2.

bekrachtigt het vonnis waarvan beroep voor het overige;

3.3.

veroordeelt [geïntimeerde] in de kosten van het geding in beide instanties, in eerste aanleg aan de zijde van [appellante] begroot op € 1.026,42 aan verschotten en € 500 voor salaris en in hoger beroep tot op heden op € 2.066 aan verschotten en € 2.785 voor salaris en op € 157 voor nasalaris, te vermeerderen met € 80 voor nasalaris en de kosten van het betekeningsexploot ingeval betekening van dit arrest plaatsvindt, te vermeerderen met de wettelijke rente, indien niet binnen veertien dagen na dit arrest dan wel het verschuldigd worden van de nakosten aan de kostenveroordeling is voldaan;

3.4.

verklaart deze veroordelingen uitvoerbaar bij voorraad;

3.5.

wijst af het meer of anders gevorderde.

Dit arrest is gewezen door mrs. J.M. de Jongh, P.F.G.T. Hofmeijer-Rutten en J.B. Huizink en door de rolraadsheer in het openbaar uitgesproken op 16 februari 2021.