Feedback

Zoekresultaat - inzien document

ECLI:NL:RBMNE:2021:1528

Instantie
Rechtbank Midden-Nederland
Datum uitspraak
14-04-2021
Datum publicatie
28-04-2021
Zaaknummer
C/16/501952 / HA ZA 20-276
Rechtsgebieden
Verbintenissenrecht
Bijzondere kenmerken
Eerste aanleg - enkelvoudig
Inhoudsindicatie

Mailbox van een leverancier wordt gehackt. Van daaruit wordt een bankrekeningnummer doorgegeven bij een afnemer, die de wijziging verwerkt en als gevolg daarvan aan oplichters betaalt. Bevrijdend betaald o.g.v. artikel 6:34 BW? Onzorgvuldige schuldeiser?

Vindplaatsen
Rechtspraak.nl
Verrijkte uitspraak

Uitspraak

vonnis

RECHTBANK MIDDEN-NEDERLAND

Civiel recht

handelskamer

locatie Utrecht

zaaknummer / rolnummer: C/16/501952 / HA ZA 20-276

Vonnis van 14 april 2021

in de zaak van

de besloten vennootschap met beperkte aansprakelijkheid

Brabantia Netherlands B.V.,

gevestigd in Valkenswaard,

eiseres,

advocaat mr. B.G.M. Heerkens,

tegen

de besloten vennootschap met beperkte aansprakelijkheid

Bol.com B.V.,

gevestigd in Utrecht,

gedaagde,

advocaat mr. P.J.B. Heemskerk.

Partijen zullen hierna Brabantia Netherlands en Bol.com worden genoemd.

1 De procedure

1.1.

Voorafgaand aan de mondelinge behandeling zijn de volgende stukken ingediend:

  • -

    de dagvaarding met producties 1 tot en met 12,

  • -

    de conclusie van antwoord met producties 1 tot en met 22,

  • -

    de akte overlegging producties van Brabantia Netherlands met producties 13 tot en met 16.

1.2.

Tijdens de mondelinge behandeling van 7 december 2020 hebben partijen hun standpunten nader toegelicht – mede aan de hand van spreekaantekeningen – en vragen van de voorzieningenrechter beantwoord. Van de mondelinge behandeling is een proces-verbaal opgemaakt, dat aan partijen is gezonden en op de inhoud waarvan partijen hebben gereageerd.

2 Waar gaat deze zaak over?

2.1.

Brabantia Netherlands is een fabrikant van huishoudelijke producten. Bol.com is een webwinkel. Brabantia Netherlands verkoopt met regelmaat producten aan Bol.com. Ook in december 2019 en januari 2020 heeft Brabantia Netherlands huishoudelijke producten verkocht en geleverd aan Bol.com. De tussen partijen overeengekomen betalingstermijn is 30 dagen.

2.2.

Najaar 2019 is de mailbox [e-mailadres] @brabantia.com, van mevrouw [A] (hierna: [A] ), een medewerkster van de boekhoudafdeling van
Brabantia Netherlands, gehackt door één of meerdere oplichters.

2.3.

Vanuit het e-mailadres van [A] is op 25 november 2019 een e-mail aan ‘supplierfinance@bol.com’ gestuurd met onder meer de volgende inhoud: ‘Bijgevoegd vindt u onze nieuwe betalingsroute zoals opgedragen door het management, doe het nodige voor de volgende betaling. Alvast bedankt!’ De begeleidende brief bevat kort gezegd een verzoek om betalingen voortaan niet meer over te maken aan de bij Bol.com bekende bankrekening van Brabantia Netherlands maar aan een Spaanse bankrekening die ten name van ‘Brabantia International B.V.’ zou staan. De brief ziet er als volgt uit:

2.4.

Op 26 november 2019 is er vanuit de mailbox van [A] een e-mail met onder meer de volgende inhoud aan ‘supplierfinance@bol.com’ gestuurd:

Beste,

Kunt u bevestigen dat uw crediteurenadministratie is bijgewerkt als bijgevoegd.

Alvast bedankt!

2.5.

Op 27 november 2019 volgde daarop een bericht met onder meer de volgende inhoud (ook vanuit de mailbox van [A] aan ‘supplierfinance@bol.com’):

Goedenmiddag

Uw oprechte antwoord wordt op prijs gesteld, bevestig zo vriendelijk dat u onze

boekhouding bij u hebt bijgewerkt.

Alvast bedankt!

2.6.

Daarop is op 6 december 2019 vanuit ‘supplierfinance@bol.com’ geantwoord (naar e-mailadres ‘ [e-mailadres] @brabantia.com)’. Volgens Brabantia Netherlands is deze reactie haar ontgaan omdat de hacker het ertoe heeft geleid dat alle berichten die afkomstig waren van een e-mailadres met de uitgang ‘@bol.com’ in de e-mailbox van [A] automatisch werden verplaatst naar het mapje ‘RSS-feeds’ en daarbij wellicht ook als ‘gelezen’ zijn gemarkeerd. In het bericht staat het volgende:

Goedemorgen,

Het rekeningnummer [rekeningnummer] is bij ons bekend.

2.7.

Nadat het bankrekeningnummer in de systemen van Bol.com op 4 december 2019 werd gewijzigd, heeft Bol.com vanaf 5 december 2019 tot in januari 2020 meerdere bedragen overgemaakt naar de Spaanse bankrekening op grond van betalingsverplichtingen van haar aan Brabantia Netherlands. Het totaal daarvan bedroeg € 751.493,09.

2.8.

Brabantia Netherlands heeft medio januari navraag gedaan bij Bol.com over het uitblijven van betalingen. Rond 22 januari 2020 hebben partijen vervolgens gezamenlijk geconstateerd dat zij slachtoffer zijn geworden van fraude. Na onderzoek is duidelijk geworden dat bij deze fraude het volgende kan zijn gebeurd:

( a) De hack heeft plaatsgevonden in de ‘cloud’ (via Microsoft Office 365) en niet op enige PC of laptop van Brabantia Netherlands die in gebruik was bij [A] of andere medewerker van Brabantia Netherlands.

( b) De mailbox van [A] is door de oplichters ‘overgenomen’. Volgens [A] heeft zij niemand toestemming gegeven om gebruik te maken van haar e-mailadres en heeft zij haar logingegevens de laatste maanden niet gebruikt op websites, voor zakelijke en/of privédoeleinden.

( c) De aan Bol.com verzonden berichten zijn door de oplichters verwijderd uit de mailbox van [A] .

( d) Latere e-mails vanuit het @bol.com-domein aan [A] zijn op basis van een ‘inboxregel’ automatisch verplaatst naar het mapje ‘RSS-feeds’ en zijn daarbij wellicht ook als ‘gelezen’ gemarkeerd. Er zijn ook e-mails op basis van een ‘inboxregel’ vanuit de mailbox van [A] automatisch doorgestuurd aan een onbekend mailadres, [e-mailadres] @gmail.com.

( e) De oplichters hebben in de mailbox toegang gehad tot het logo en briefhoofd van Brabantia Netherlands.

2.9.

Volgens Brabantia Netherlands moet Bol.com alsnog aan haar betalen. In deze procedure vordert Brabantia Netherlands betaling van € 745.624,00, met rente en kosten. Dit bedrag is iets lager dan het in 2.7 bedoelde bedrag als gevolg van de toepassing van betalingskortingen. Aan deze vorderingen legt Brabantia Netherlands ten grondslag dat Bol.com nog niet (bevrijdend) aan haar heeft betaald en dat zij recht heeft op nakoming. Bol.com voert verweer. Op de standpunten van partijen zal hierna worden ingegaan voor zover zij voor de beoordeling van belang zijn.

3 De beoordeling

Inleiding

3.1.

De vraag die de rechtbank moet beantwoorden, is of en in hoeverre Brabantia Netherlands nog nakoming kan vorderen van de hiervoor in 2.7 bedoelde betalingsverplichtingen, die als zodanig niet in geschil zijn.

3.2.

Volgens Bol.com is de vordering van Brabantia Netherlands in werkelijkheid niet een vordering tot nakoming, maar een vordering tot schadevergoeding. Volgens Bol.com heeft zij wel betaald, maar aan de verkeerde, zodat de nakoming (hooguit) gebrekkig is en onder omstandigheden recht geeft op schadevergoeding. Bij de omvang van de schadevergoeding moet dan rekening worden gehouden met de ‘eigen schuld’ van Brabantia Netherlands als bedoeld in artikel 6:101 van het Burgerlijk Wetboek (hierna: BW), zo meent Bol.com.

3.3.

Dit betoog slaagt niet. In de eerste plaats bepaalt Brabantia Netherlands zelf de feitelijke grondslag van haar vordering. Brabantia Netherlands doet een beroep op nakoming van een verbintenis uit een tussen partijen gesloten overeenkomst en het is aan de rechtbank om te beoordelen of dat slaagt. In de tweede plaats geldt dat een gebrekkige nakoming niet (zonder meer) in de weg staat aan het recht op correcte nakoming, ook als de schuldenaar daarnaast verplicht is tot schadevergoeding. Bovendien is een girale betaling aan een ander dan de schuldeiser of bevoegde ontvanger niet aan te merken als een gebrekkige nakoming, maar als niet-nakoming, zolang niet aan de schuldeiser of bevoegde ontvanger wordt betaald. Terecht stelt Brabantia Netherlands zich daarom op het standpunt dat de vraag of er bevrijdend is betaald een ‘zwart/wit-vraag’ is. De consequentie van een ontkennend antwoord is dat in beginsel alsnog moet worden betaald. Wel is het zo dat de betaling van Bol.com aan de oplichters onder bijzondere omstandigheden, als uitzondering op de hoofdregel, als een bevrijdende betaling moet worden aangemerkt (zie hierna 3.6 tot en met 3.16).

3.4.

Hoewel de rechtbank in eerste instantie dus een ‘zwart/wit-vraag’ moet beantwoorden, kan zij Bol.com wel erin volgen dat een girale betaling die onopzettelijk aan de verkeerde wordt gedaan, in zekere zin kan worden aangemerkt als een ‘ongeluk’ waaraan meerdere partijen, waaronder de schuldeiser, kunnen hebben bijgedragen. Dit kan echter niet ertoe leiden dat bij de vraag of de schuldeiser nog recht heeft op nakoming het leerstuk van ‘eigen schuld’ wordt toegepast, omdat dat leerstuk alleen van toepassing is op het bepalen van de omvang van schadevergoeding. De rechtbank zal hierna in 3.17 tot en met 3.20 bespreken of de eventuele onzorgvuldigheid van Brabantia Netherlands op een andere manier van belang is voor de toewijsbaarheid van haar vorderingen.

3.5.

Ook het beroep van Bol.com op een aansprakelijkheidsuitsluiting in de overeenkomst tussen Brabantia Netherlands en Bol.com slaagt niet. Voor zover Bol.com daaraan ten grondslag legt dat Brabantia Netherlands schadevergoeding vordert, loopt dat stuk op wat hiervoor onder 3.3 is overwogen. Ook voor het overige faalt het. Het is namelijk, zoals Brabantia Netherlands terecht stelt, evident dat partijen niet hebben bedoeld in de aansprakelijkheidsuitsluiting ook voorvallen als dit te regelen, waarin niet aan de orde is dat Brabantia Netherlands schade op Bol.com wil verhalen maar nakoming van een primaire verbintenis vordert. Aan de aansprakelijkheidsuitsluiting zullen dan ook geen verdere woorden worden gewijd.

Heeft Bol.com bevrijdend betaald? (artikel 6:34 lid 1 BW)

3.6.

Als uitgangspunt geldt dat een betaling moet worden gedaan aan de schuldeiser, hier Brabantia Netherlands. Vast staat dat dit niet is gebeurd, en dat Brabantia Netherlands Bol.com ook niet zelf heeft verzocht om aan een ander te betalen (want dat deden de oplichters).

3.7.

Bol.com doet een beroep op artikel 6:34 lid 1 BW, dat onder omstandigheden een betaling aan de verkeerde als een bevrijdende betaling aanmerkt (zie ook 3.3). In deze bepaling staat het volgende: ‘De schuldenaar die heeft betaald aan iemand die niet bevoegd was de betaling te ontvangen, kan aan degene aan wie betaald moest worden, tegenwerpen dat hij bevrijdend heeft betaald, indien hij op redelijke gronden heeft aangenomen dat de ontvanger der betaling als schuldeiser tot de prestatie gerechtigd was of dat uit anderen hoofde aan hem moest worden betaald.’

3.8.

Brabantia Netherlands betoogt dat artikel 6:34 lid 1 BW niet van toepassing is als een ander – een oplichter – zich als de daadwerkelijke schuldeiser voordoet en de schuldenaar, daardoor misleid, aan het door de oplichter opgegeven rekeningnummer betaalt, zoals in dit geval. Volgens Brabantia Netherlands is artikel 6:34 lid 1 BW wel van toepassing als een ander dan de schuldeiser zijn werkelijke identiteit kenbaar maakt en de schuldenaar ten onrechte meent dat deze ander (inmiddels) de schuldeiser is of bevoegd is de betaling te ontvangen (bijvoorbeeld als gevolg van een cessie). Deze opvatting vindt steun in een aantal uitspraken van rechters.1

3.9.

De rechtbank oordeelt anders en volgt daarmee andere uitspraken.2 De wettekst bevat onvoldoende aanknopingspunten voor de door Brabantia Netherlands verdedigde beperkte uitleg. De schuldenaar wordt namelijk (onder meer) beschermd ‘indien hij op redelijke gronden heeft aangenomen dat de ontvanger der betaling als schuldeiser tot de prestatie gerechtigd was’. Dat kan zich ook voordoen in het geval waarin de schuldenaar meent dat hij zijn betaling doet aan degene die ook daadwerkelijk de schuldeiser is, terwijl de betaling feitelijk door een ander wordt ontvangen. De parlementaire geschiedenis wijst niet, en in ieder geval niet eenduidig, in een andere richting.3 De rechtbank wijst ook opvattingen in de literatuur, waarin door verschillende auteurs het geval van oplichting zonder aarzeling tot het toepassingsbereik van artikel 6:34 lid 1 BW wordt gerekend.4

3.10.

Anders dan Brabantia Netherlands meent, is het arrest van de Hoge Raad van 7 februari 1992, NJ 1992/809 (X/Aro Lease) hier niet van belang. In dat arrest was kort gezegd een uitbreiding van de bescherming van het vertrouwen bij de totstandkoming van een rechtshandeling – zoals deze tegenwoordig wordt geregeld door artikel 3:35 BW – aan de orde. Als iemand met een verklaring of gedraging het gerechtvaardigde vertrouwen heeft gewekt dat hij een rechtshandeling wilde verrichten, dan wordt die rechtshandeling aanwezig geacht, ook als hij die rechtshandeling in werkelijk niet wilde verrichten. Hij is dan desondanks gebonden aan die rechtshandeling. Uit het genoemde arrest van de Hoge Raad volgt dat dat ook zo kan zijn als zijn verklaring (en de daaronder geplaatste handtekening) door een derde wordt vervalst, mits zich bijzondere omstandigheden voordoen. Ook dan kan een rechtshandeling tot stand komen. Hoewel het ook in dit geval gaat om een vervalsing, beroept Bol.com zich niet op het bestaan van een rechtshandeling van Brabantia Netherlands, waaraan deze gebonden zou zijn, maar op feiten en omstandigheden die maken dat zij mocht menen dat de gedane betalingen terechtkwamen bij Brabantia Netherlands en dat zij in zoverre is bevrijd (en niet meer dan dat). Dat is een situatie waarvoor de bijzondere regel van artikel 6:34 lid 1 BW is geschreven. De beperking tot ‘bijzondere omstandigheden’ geldt daarbij niet.

3.11.

Onder welke nadere voorwaarden wordt Bol.com op grond van artikel 6:34 BW als schuldenaar beschermd? Het gaat bij de toepassing van artikel 6:34 lid 1 BW, toegespitst op dit geval, om de vraag of er feiten en omstandigheden zijn die maken dat de betaling van Bol.com aan de oplichters als uitzondering op de hoofdregel als een bevrijdende betaling moet worden aangemerkt. Voor een bevestigend antwoord is vereist dat Bol.com op ‘redelijke gronden’ heeft aangenomen dat de ontvanger van de betaling als schuldeiser tot de prestatie gerechtigd was of om andere redenen aan hem moest worden betaald. Een redelijke grond kan niet alleen worden ontleend aan een verklaring of een gedraging van de schuldeiser, maar ook aan een verklaring of een gedraging van een derde.5 Het gaat erom dat Bol.com te goeder trouw moet zijn als bedoeld in artikel 3:11 BW. Bepalend daarvoor is of en in welke mate de informatie waarover Bol.com kon beschikken aanleiding gaf tot twijfel en dus tot (nader) onderzoek. Het is in beginsel niet relevant of Bol.com haar interne procedures heeft gevolgd bij het doorvoeren van de wijziging van rekeningnummer en of die procedures adequaat zijn ingericht en door de juiste mensen (met de juiste opleiding) zijn bemand. Ook dan kan het namelijk gebeuren dat Bol.com had moeten twijfelen of zij aan het gewijzigde rekeningnummer moest betalen, maar dat ten onrechte niet heeft gedaan.

3.12.

In dit geval leidt dat tot het volgende. Bol.com doet een beroep op de in 2.3 genoemde vervalste e-mail en de brief van 25 november 2019, waarin Bol.com ogenschijnlijk door directeuren van Brabantia Netherlands wordt verzocht het rekeningnummer van Brabantia Netherlands in haar administratie/systemen aan te passen (hierna: de vervalste e-mail, de vervalste brief en gezamenlijk de vervalste correspondentie). Bol.com meende dat zij aan het opgegeven rekeningnummer moest betalen. Bol.com schrijft het volgende over hoe haar medewerkers te werk zijn gegaan (CvA, nr. 19): ‘Zij hebben bij hun controle juist gekeken naar objectieve gegevens, waaronder of het bericht afkomstig is van het bij bol.com bekende e-mailadres van Brabantia, of de brief er goed uit zag (qua lay-out en opmaak) en of er handtekeningen onder de brief stonden. Uit deze objectieve verificaties bleken geen onregelmatigheden. Beide personen is dan ook niets opgevallen aan de e-mails die afkomstig waren van Brabantia en het verzoek van Brabantia om het rekeningnummer te wijzigen is dan ook goedgekeurd door de twee medewerkers.’ Volgens Bol.com kon van haar niet meer worden verlangd.

3.13.

De rechtbank oordeelt anders. Terecht heeft Brabantia Netherlands aangevoerd dat de vervalste correspondentie aanleiding zou moeten geven tot twijfel en tot navraag door Bol.com, om de volgende redenen, in onderlinge samenhang:

( a) Voorop wordt gesteld dat verzoeken om het wijzigen van rekeningnummers een aantrekkelijke ingang kan bieden voor oplichters en dat Bol.com dat moest begrijpen. De gevolgen van het ten onrechte doorvoeren van zo’n wijziging kunnen bovendien groot zijn. Met het vervalsen van zo’n verzoek kunnen immers betalingen worden ‘afgevangen’, die een grote omvang kunnen hebben. Een schuldenaar zal tegelijkertijd tegen relatief geringe kosten kunnen controleren of het verzoek inderdaad van de schuldeiser afkomt. Dat kan zij onder meer doen door bijvoorbeeld telefonisch navraag te doen bij het haar (onafhankelijk van de brief) bekende telefoonnummer. Onder dergelijke omstandigheden is een bovengemiddelde zorgvuldigheid aan de zijde van de ontvanger van een dergelijk verzoek doelmatig en wordt deze ook verlangd.

( b) In de brief wordt verzocht een Spaans rekeningnummer te registreren. Naar het oordeel van de rechtbank had dat al moeten leiden tot gezonde argwaan. Dit roept namelijk vragen op: waarom zou een in Nederland gevestigde onderneming alle betalingen van een andere in Nederland gevestigde onderneming willen ontvangen op een Spaanse bankrekening? Dat is in ieder geval op het eerste oog merkwaardig. De door Bol.com ingeroepen omstandigheid dat het wel vaker voorkomt dat in Nederland gevestigde ondernemingen filialen of dochterbedrijven in het buitenland hebben met een eigen rekeningnummer, doet daaraan niet af. Dat geldt ook voor de door Bol.com gestelde omstandigheid dat, naar de rechtbank begrijpt, het Brabantia-concern ook daadwerkelijk een Spaans filiaal heeft en over een Spaanse bankrekening beschikt. Voor het houden van buitenlandse bankrekeningen en het ontvangen van betalingen in het buitenland door Nederlandse ondernemingen kunnen wellicht goede redenen bestaan, maar dat betekent niet dat Bol.com die goede redenen in de gegeven context zonder nader onderzoek mocht veronderstellen. De rechtbank roept daarbij in herinnering dat het niet erom gaat of de vervalste correspondentie juist zou kunnen zijn, maar of er reden was tot twijfel en nader onderzoek. Ook het gegeven dat de brief vermeldt dat het daarin opgegeven rekeningnummer ten name van ‘BRABANTIA International BV’ is gesteld, brengt niet mee dat Bol.com niet behoefde te twijfelen. Bol.com heeft overigens ook niet gesteld en het is ook niet gebleken dat deze tenaamstelling juist was, noch dat Bol.com heeft getracht daar onderzoek naar te doen.

( c) Ook het taalgebruik in de vervalste brief moest opvallen. Brabantia Netherlands heeft om te beginnen onweersproken gesteld dat tussen partijen al jarenlang uitsluitend in het Nederlands werd gecommuniceerd. Het plotselinge gebruik van de Engelse taal door – zo werd voorgespiegeld – Nederlandse directeuren valt onmiddellijk op en moest in samenhang met het voorgaande aanleiding geven voor een meer zorgvuldige lezing van de inhoud van de brief. Wat dan opvalt is dat het taalgebruik niet alleen op onderdelen gebrekkig is, maar ook dat het (zeer) atypisch is. De brief bevat merkwaardige frases die niet worden verklaard door uitsluitend een slordige omgang met de taal. De brief bevat onder meer een opvallende vermenging van Nederlands en Engels die ook in een commerciële context als afwijkend moet worden aangemerkt. In de brief staat bijvoorbeeld:

Tav: Account te betalen/Attn: Account Payable

Geachte heer mevrouw,

Houd he rekening mee dat we vanaf vandaag een wijziging in onze bankrekeninggegevens hebben voor incaende betalingen.

Voortaan moten all incoming betalingen have been overgemaakt naar onze filiaalrekening in Spanje.

We het op prijs as u uw gegevens kunt bijwerken.

Naar het oordeel van de rechtbank moesten verschillende aspecten uit deze passage, in onderlinge samenhang, Bol.com ernstig aan het twijfelen brengen. Om te beginnen bevat deze merkwaardige fouten als ‘Houd he [?] rekening mee’ en de frase ‘een wijziging in onze bankrekeninggegevens hebben voor incaende [?] betalingen’, waarbij ‘incaende’ meer dan een gewone typefout lijkt. Bovenal roept de frase ‘moten all incoming betalingen have been overgemaakt’ onmiddellijk grote vraagtekens op, zelfs als een zekere mate van gebrekkig taalgebruik of een overmatig gebruik van het Engels voor lief wordt genomen. Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd. Dat met de daarop volgende Engelstalige passage ‘niets mis is’, zoals Bol.com benadrukt, doet hier niet aan af, nog afgezien van het feit dat het gebruik van de Engelse taal in deze context op zich zelf al tot twijfel had moeten leiden.

3.14.

De door Bol.com aangevoerde omstandigheden (i) dat de vervalste e-mail afkomstig was van een bij Bol.com bekend e-mailadres en (ii) dat de brief er authentiek uitziet omdat daarop het briefhoofd en logo van Brabantia prijken, een gebruikelijk aanhef wordt gebruikt en de handtekeningen van tekenbevoegden zijn toegevoegd, doen aan het voorgaande niet af. Daarop mocht Bol.com in dit geval niet afgaan; de zorgvuldigheid van Bol.com mocht daar niet stoppen.

3.15.

Bol.com heeft verder nog betoogd dat zij op 6 december 2019 op de drie e-mails van 25, 26 en 27 november 2019 heeft gereageerd door te bevestigen dat de wijziging van het rekeningnummer was doorgevoerd en dat Brabantia Netherlands daarop vervolgens niet heeft gereageerd, zodat Bol.com – zo begrijpt de rechtbank het betoog – geen reden had om te veronderstellen dat er iets mis zou zijn. Dit slaagt niet. Bij de vraag of Bol.com te goeder trouw was bij de betalingen, is bepalend of zij had moeten twijfelen (zie hiervoor in 3.11). Hiervoor heeft de rechtbank vastgesteld dat Bol.com door de brief van 25 november 2019 ernstig moest twijfelen. Die ernstige twijfel wordt naar het oordeel van de rechtbank niet weggenomen doordat Brabantia Netherlands de bevestiging van Bol.com onbeantwoord heeft gelaten. Ook het betoog van Bol.com dat zij Brabantia Netherlands betalingsaankondigingen heeft gestuurd en dat dat niet ertoe heeft geleid dat Brabantia Netherlands – nadat aangekondigde betalingen uitbleven – liet weten dat er niet iets niet klopt, slaagt niet. Brabantia Netherlands heeft terecht naar voren gebracht dat Bol.com niet zonder meer mag veronderstellen dat Brabantia Netherlands dat soort betalingsaankondigingen (steeds) raadpleegt. Bovendien kon ook het onbeantwoord laten van de betalingsaankondigingen de ernstige twijfel die bij Bol.com aanwezig had moeten zijn naar aanleiding van de brief van 25 november 2019, niet wegnemen.

3.16.

De conclusie is dat Bol.com de betalingsverplichtingen nog niet heeft voldaan, zodat Brabantia Netherlands in beginsel nakoming daarvan kan vorderen.

Verlangt onzorgvuldigheid aan de kant van Brabantia Netherlands een andere uitkomst?

3.17.

Volgens Bol.com is Brabantia Netherlands onzorgvuldig geweest doordat zij met een gebrekkige beveiliging tegen ‘hacks’ de oplichters de gelegenheid heeft gegeven Bol.com op het verkeerde been te zetten (zie ook 3.4 hiervoor). De rechtbank zal eerst bespreken welke feitelijke argumenten Bol.com in dit verband aanvoert, en daarna ingaan op de vraag of hieraan relevante rechtsgevolgen zijn verbonden en, zo ja, welke.

3.18.

Bol.com verwijt Brabantia Netherlands voor zover van belang het volgende:

( a) Brabantia Netherlands liet een te eenvoudig wachtwoord en/of een te slordige omgang met inloggegevens toe, waardoor de hack mogelijk is geworden.

( b) Brabantia Netherlands had haar e-mailaccounts niet beveiligd met twee-factorauthenticatie (hierna: 2FA). 2FA houdt in dat een gebruiker bij – onder meer – het inloggen naast het invoeren van een wachtwoord nog op een andere manier moet ‘authentiseren’, vaak aan de hand van een cijfercode die op basis van een algoritme is gegenereerd en bijvoorbeeld wordt weergegeven in een applicatie of per sms aan de gebruiker wordt toegestuurd. Had Brabantia wel 2FA binnen haar organisatie geïmplementeerd, dan zou de hack niet hebben plaatsgevonden.

( c) Brabantia Netherlands heeft geen maatregelen genomen tegen het instellen van zogenaamde ‘inboxregels’, die toelaten dat binnendringers binnenkomende berichten ongemerkt automatisch laten verplaatsen of doorsturen. Door het toelaten van een inboxregel met de inhoud dat e-mails ongemerkt aan een extern e-mailadres worden doorgestuurd – en naar de rechtbank begrijpt: ook werden verwijderd of verplaatst binnen de inbox van de oorspronkelijke ontvanger ( [A] ) – heeft Brabantia Netherlands de oplichters de kans gegeven om reacties van Bol.com op de vervalste correspondentie ‘af te vangen’ zodat Brabantia Netherlands daar niets van merkte, aldus Bol.com. Ook dit heeft een succesvolle hack mogelijk gemaakt.

3.19.

De rechtbank stelt bij de behandeling van deze argumenten voorop dat het vanuit maatschappelijk oogpunt wenselijk kan zijn dat een schuldeiser een prikkel heeft tot het nemen van redelijke maatregelen tegen de kans dat een derde de macht krijgt over communicatiemiddelen en gegevens van de schuldeiser en zo een schuldenaar kan oplichten. Onvoldoende zorgvuldigheid aan de zijde van de schuldeiser kan onder omstandigheden rechtsgevolgen hebben. Hiervoor in 3.3 werd al geoordeeld dat het beroep van Bol.com op ‘eigen schuld’ echter niet kan slagen, omdat dat niet kan worden tegengeworpen aan de door Brabantia Netherlands ingestelde vordering tot nakoming. Onder omstandigheden kan onvoldoende zorgvuldigheid aan de zijde van de schuldeiser wel leiden tot aansprakelijkheid op grond van wanprestatie of onrechtmatige daad tegenover de schuldenaar, wat – logischerwijs – een (verrekenbare) (tegen)vordering van de schuldenaar kan opleveren. Die (tegen)vordering betreft dan een vordering tot schadevergoeding, als gevolg waarvan het bepaalde in artikel 6:101 BW (eigen schuld) wel toepassing kan vinden. Dat beroep op eigen schuld komt dan niet toe aan Bol.com, maar aan Brabantia Netherlands als verweer tegen de vordering tot schadevergoeding van Bol.com.

3.20.

Bol.com heeft voor het eerst tijdens de mondelinge behandeling het hiervoor bedoelde verrekeningsverweer gevoerd en in dat verband – mede onder verwijzing naar de in 3.18. genoemde omstandigheden – gesteld dat Brabantia Netherlands in de nakoming van haar verplichtingen jegens Bol.com is tekortgeschoten respectievelijk onrechtmatig heeft gehandeld en aansprakelijk is voor de als gevolg daarvan geleden schade. Doordat dit verweer pas in dit late stadium aan de orde is gekomen, is het partijdebat daarover zeer beperkt geweest en daarom (nog) niet goed te beoordelen. Verder is het zo dat uitsluitend op basis van de door partijen verstrekte informatie over 2FA op dit moment niet geoordeeld kan worden dat Brabantia Netherlands onzorgvuldig/onrechtmatig jegens Bol.com heeft gehandeld doordat zij deze ‘mogelijkheid tot beveiliging’ eind 2019 (nog) niet had geïmplementeerd (zie 3.18. onder (b)). Wellicht was het toen al wel raadzaam om 2FA te gebruiken, maar dat brengt niet zonder meer mee dat Brabantia Netherlands ook een verplichting had daarvan gebruik te maken (in haar contractuele relatie tot Bol.com). Ditzelfde geldt voor het wel of niet nemen van maatregelen tegen het instellen van zogenaamde ‘inboxregels’ (zie 3.18. onder (c)). Ten slotte is vooralsnog door Bol.com onvoldoende concreet gemaakt dat Brabantia Netherlands een te eenvoudig wachtwoord en/of een te slordige omgang met inloggegevens heeft toegelaten (zie 3.18. onder (a)). Bij deze stand van zaken is de conclusie dat de gegrondheid van het verrekeningsverweer van Bol.com in de zin van artikel 6:136 BW niet op een eenvoudige wijze is vast te stellen, zodat de rechtbank daaraan voorbij gaat.

Slotsom

3.21.

De conclusie is dat de verweren van Bol.com niet opgaan en de vordering van Brabantia Netherlands tot betaling van € 745.624,00 toewijsbaar is. Brabantia Netherlands vordert de wettelijke rente als bedoeld in artikel 6:119 BW over dit bedrag vanaf 22 maart 2020. Deze is toewijsbaar.

Buitengerechtelijke incassokosten

3.22.

Brabantia Netherlands vordert vergoeding van buitengerechtelijke incassokosten ter hoogte van € 5.503,12. De buitengerechtelijke incassokosten zijn toewijsbaar op grond van artikel 6:96 lid 2 onder c en lid 5 BW en het door Brabantia Netherlands gevorderde bedrag is begroot conform het Besluit vergoeding voor buitengerechtelijke incassokosten, dat voorziet in een forfaitaire vergoeding. Anders dan Bol.com meent, voldoet bij de toepassing van deze regeling dat Brabantia Netherlands Bol.com om betaling heeft verzocht en/of heeft aangemaand. Tussen partijen staat vast dat Brabantia Netherlands dat heeft gedaan. Artikel 241 van het Wetboek van Burgerlijke Rechtsvordering mist hier toepassing. De wettelijke rente als bedoeld in artikel 6:119 BW over de buitengerechtelijke incassokosten vanaf 22 maart 2020 is ook toewijsbaar. Brabantia Netherlands is namelijk te volgen in haar kennelijke standpunt dat de vergoeding van de buitengerechtelijke incassokosten in ieder geval vanaf die datum opeisbaar was, en Bol.com heeft daartegen geen verweer gevoerd.

Proceskosten en nakosten

3.23.

Bol.com krijgt ongelijk en wordt in de proceskosten veroordeeld. De kosten van Brabantia Netherlands tot aan de uitspraak van dit vonnis worden begroot op:

- dagvaarding € 87,99

- griffierecht € 4.131,00

- salaris € 6.428,00 (2 punten × tarief € 3.214,00)

Totaal € 10.646,99

3.24.

De gevorderde wettelijke rente over de proceskosten, de gevorderde nakosten en de wettelijke rente over de nakosten zullen worden toegewezen zoals bepaald in de beslissing.

4 De beslissing

De rechtbank:

4.1.

veroordeelt Bol.com om aan Brabantia Netherlands te betalen een bedrag van
€ 745.624,00, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW over dat bedrag met ingang van 22 maart 2020 tot de dag van betaling,

4.2.

veroordeelt Bol.com om aan Brabantia Netherlands te betalen een bedrag van
€ 5.503,12 (buitengerechtelijke kosten), te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW over dat bedrag met ingang van 22 maart 2020 tot de dag van betaling,

4.3.

veroordeelt Bol.com in de proceskosten, aan de zijde van Brabantia Netherlands tot op heden begroot op € 10.646,99, te betalen binnen veertien dagen na de uitspraak van dit vonnis en te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW over dat bedrag met ingang van de vijftiende dag na de uitspraak van dit vonnis tot de betaling,

4.4.

veroordeelt Bol.com in de kosten die ontstaan na dit vonnis, begroot op:

­ € 157,00 aan salaris advocaat, als niet binnen veertien dagen na aanschrijving aan dit vonnis is voldaan, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW met ingang van de vijftiende dag na die aanschrijving tot de dag van betaling, en

- € 82,00 aan salaris advocaat en de explootkosten van betekening van dit vonnis, als er vervolgens betekening heeft plaatsgevonden, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW met ingang van de vijftiende dag na de betekening van dit vonnis tot de dag van betaling,

4.5.

verklaart deze veroordelingen uitvoerbaar bij voorraad.

Dit vonnis is gewezen door mr. J.P.H. van Driel van Wageningen, bijgestaan door
mr. R. Bloemink als griffier, en in het openbaar uitgesproken op 14 april 2021.6

1 Rb. Oost-Brabant 30 december 2015, ECLI:NL:RBOBR:2015:7662, rov. 4.3, Rb. Gelderland 10 mei 2017, ECLI:NL:RBGEL:2017:2940, rov. 4.3 en Rb. Overijssel 23 mei 2017, ECLI:NL:RBOVE:2017:2003, 4.3.

2 Hof Den Bosch 24 oktober 2017, ECLI:NL:GHSHE:2017:4625, rov. 3.4.3 en, impliciet, Hof Den Bosch 30 oktober 2018, NJF 2019/7, ECLI:NL:GHSHE:2018:4531.

3 Zie Parl. Gesch. Boek 6 BW, p. 163 e.v. (T.M.).

4Asser/Sieburgh 6-I 2020/223 en Groene Serie Verbintenissenrecht, artikel 6:34 BW, aant. 11 (De Mul).

5 Vgl. Rb. Den Haag 2 september 2020, ECLI:NL:RBDHA:2020:12153, rov. 5.8

6type: RB (5128)