Feedback

Gevonden zoektermen

Zoekresultaat - inzien document

ECLI:NL:RBROT:2018:6452

Instantie
Rechtbank Rotterdam
Datum uitspraak
04-07-2018
Datum publicatie
06-08-2018
Zaaknummer
C/10/522236 / HA ZA 17-232
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Eerste aanleg - enkelvoudig
Inhoudsindicatie

Geschil over de aansprakelijkheid van een tussenpersoon van een energieleverancier in verband met een datalek van energiegegevens van kleinverbruikers. De rechtbank zal een deskundigenonderzoek gelasten.

Vindplaatsen
Rechtspraak.nl
Verrijkte uitspraak

Uitspraak

vonnis

RECHTBANK ROTTERDAM

Team handel en haven

zaaknummer / rolnummer: C/10/522236 / HA ZA 17-232

Vonnis van 4 juli 2018

in de zaak van

de besloten vennootschap met beperkte aansprakelijkheid

KLEINVERBRUIK ENERGIE DER NEDERLANDEN B.V., h.o.d.n. Anode Energie,

gevestigd te Rotterdam,

eiseres,

advocaat mr. J.P.M. Borsboom te Rotterdam,

tegen

1 [gedaagde 1] ,

wonende te [woonplaats] ,

2. de besloten vennootschap met beperkte aansprakelijkheid

[bedrijf] ,

gevestigd te Den Haag,

3. de besloten vennootschap met beperkte aansprakelijkheid

EREGIO B.V.,

gevestigd te Den Haag,

gedaagden,

advocaat mr. M.W. Fakiri te Den Haag.

Partijen zullen hierna Anode en [gedaagden] genoemd worden.

1 De procedure

1.1.

Het verloop van de procedure blijkt uit:

  • -

    de dagvaarding van 22 februari 2017, met producties;

  • -

    de conclusie van antwoord, met producties;

  • -

    het tussenvonnis (de brief) van de rechtbank van 7 juni 2017, waarin een comparitie van partijen is bepaald;

  • -

    de akte inbreng aanvullende producties van de zijde van [gedaagden] , met producties 8 tot en met 10;

  • -

    de akte inbreng aanvullende producties van de zijde van [gedaagden] , met producties 11 en 12;

  • -

    het faxbericht van mr. Borsboom van 27 maart 2018, met productie 25;

  • -

    het proces-verbaal van de comparitie van partijen, gehouden op 10 april 2018;

  • -

    het faxbericht van mr. Borsboom van 30 april 2018, waarin hij opmerkingen heeft gemaakt over het proces-verbaal.

1.2.

Ten slotte is vonnis bepaald.

2 De feiten

Als enerzijds gesteld en anderzijds erkend dan wel niet of onvoldoende gemotiveerd weersproken, gelet ook op de in zoverre niet betwiste inhoud van de in het geding gebrachte producties, staat tussen partijen - voor zover van belang - het volgende vast.

2.1.

Anode is een energieleverancier. Zij drijft een onderneming die is gericht op de verkoop van elektriciteit en aardgas aan kleinverbruikers.

2.2.

[gedaagde 1] is bestuurder van [bedrijf] .

2.3.

Op 19 april 2016 is Eregio opgericht. Bestuurder van Eregio is [bedrijf] . Op 1 januari 2017 is Eregio ontbonden. In een uittreksel uit het handelsregister is vermeld dat op 17 januari 2017 is geregistreerd dat de ontbonden rechtspersoon is opgehouden te bestaan omdat geen bekende baten meer aanwezig zijn met ingang van 1 januari 2017.

2.4.

[bedrijf] is bestuurder van Best2BuySolution B.V. (verder: B2B). In een uittreksel uit het handelsregister is vermeld dat op 14 oktober 2016 is geregistreerd dat de vestiging ten gevolge van faillissement is opgeheven met ingang van 11 oktober 2016. Blijkens het uittreksel hield B2B zich bezig met marketing en het verrichten van direct sales activiteiten.

2.5.

Energy Assets Back Office B.V. (verder: EABO) verzorgt voor Anode de backofficefunctionaliteit voor kleinverbruikers.

2.6.

Op 24 maart 2016 is tussen Anode als leverancier en [bedrijf] als tussenpersoon een “Geheimhoudingsovereenkomst met tussenpersoon voor kleinverbruikers” (verder: de geheimhoudingsovereenkomst) gesloten. In die overeenkomst is onder meer het volgende opgenomen:

“(…) Overwegende dat

- (…) (…) Partijen in dezen wensen samen te werken in die zin dat Tussenpersoon bevordert dat

tussen Anode Energie en de betreffende Kleinverbruikers een Leveringsovereenkomst tot stand komt (dit laatste hierna: “het Doel”);

- Partijen ter realisering van het Doel elkaar over en weer vertrouwelijke informatie zullen

moeten verstrekken (hierna: “Vertrouwelijke informatie”);

- Partijen nadere afspraken hebben gemaakt over de wijze hoe zij jegens elkaar zullen

omgaan met de Vertrouwelijke informatie, welke afspraken zij schriftelijk wensen vast te leggen in de onderhavige geheimhoudingsovereenkomst, hierna te noemen: de “Overeenkomst”, (…)

Artikel 1

Vertrouwelijke informatie omvat alle mondelinge, schriftelijke en elektronische informatie die wordt verstrekt door de ene Partij aan de andere Partij, dan wel aan diens werknemers en/of externe adviseurs, ongeacht wie de informatie verstrekt en ongeacht of de informatie al dan niet uitdrukkelijk als vertrouwelijk is bestempeld, met uitzondering van informatie die

- (…) (…) aan de ontvangende Partij is verstrekt door derden aan wie het was toegestaan de

informatie bekend te maken en die aan de ontvangende Partij geen verplichting inzake vertrouwelijkheid hebben opgelegd.

Artikel 2

Partijen zullen Vertrouwelijke Informatie niet gebruiken, kopiëren of opslaan anders dan ten behoeve van de realisering van het Doel.

(…) Artikel 6

Indien een Partij één of meer bepalingen uit deze Overeenkomst overtreedt verbeurt zij een direct opeisbare, niet voor compensatie vatbare boete van EUR 50.000,00 (…) per overtreding en EUR 5.000,00 (…) voor iedere dag dat de overtreding voortduurt, ongeacht het recht van de andere Partij om de als gevolg van de overtreding geleden en nog te lijden schade te verhalen. Een handeling in strijd met deze Overeenkomst door een medewerker of externe adviseur van een Partij geldt als een handeling van de betreffende Partij. Partijen verklaren uitdrukkelijk dat voornoemde boetebedragen in een redelijke verhouding staan tot het te beschermen belang. (…)”

2.7.

Op 7 juni 2016 is tussen Anode als leverancier en Eregio als tussenpersoon een “Overeenkomst met tussenpersoon voor kleinverbruikers” (verder: de overeenkomst) gesloten. Ingevolge de overeenkomst is Eregio per 1 mei 2016 aangesteld als tussenpersoon van Anode. In de overeenkomst is onder meer het volgende vermeld:

“(…) 2.1 Algemeen

(…) Tussenpersoon spant zich namens Leverancier en op naam van Leverancier in, om tussen Leverancier en potentiële Kleinverbruiker(s) een zogenaamde “Overeenkomst tot levering van energie aan kleinverbruikers” (…) stand te brengen (…).

(…) Tussenpersoon heeft de Gedragscode ontvangen, heeft hiervan kennis genomen, en zal zich hieraan houden (Bijlage 2). In geval van overtreding door Tussenpersoon van de in deze Gedragscode gestelde regels, verbeurt Tussenpersoon jegens Leverancier een boete van EUR 1.000,00 per geval, onverminderd het recht van Leverancier op vergoeding van de door haar als gevolg van de overtreding geleden schade. (…)”

2.8.

In de “Gedragscode voor tussenpersonen” (verder: de gedragscode), die als bijlage bij de overeenkomst gevoegd is, staat onder meer het volgende:

“(…) Tussenpersoon gedraagt zich jegens Kleinverbruikers te allen tijde overeenkomstig de kernwaarden, de missie en de visie van Anode Energie.

Kernwaarden van Anode Energie:

Extern: Betrouwbaar (…).

(…) 2.2 Alle communicatie met en informatie aan Kleinverbruikers dient:

(…) b) fatsoenlijk, eerlijk, waarheidsgetrouw en in overeenstemming met de wet en met de relevante bepalingen van de Autoriteit Consument & Markt (ACM) (…) te zijn; (…)”

2.9.

Door Netbeheer Nederland worden centrale registers bijgehouden, waarin gegevens van kleinverbruikers (standaardjaarverbruik, verbruiksprofiel en contracteindedatum) worden bijgehouden. Het gaat om het Centraal Aansluit Register (CAR) en het Contract Einde Register (CER). Uit deze registers kunnen, na machtiging van de betreffende kleinverbruiker, door de energieleveranciers en/of tussenpersonen gegevens worden opgevraagd om daarmee een offerte op maat te kunnen doen.

2.10.

Het ICT-systeem van EABO biedt de mogelijkheid aan tussenpersonen van Anode om gegevens uit de centrale registers op te vragen. Daartoe kan een zogenaamd iFrame worden toegevoegd op de website van de tussenpersoon. Het systeem van EABO kan alleen door tussenpersonen worden geraadpleegd vanaf een bij EABO bekend IP-adres.

2.11.

Op verzoek van Anode heeft EABO bij e-mail van 1 mei 2016 aan [gedaagde 1] , ten behoeve van Eregio, toegang tot haar systeem verleend en de daarvoor benodigde inloggegevens verstrekt. In de e-mail, die in kopie is verzonden aan drie medewerkers van EABO, staat onder meer het volgende:

“(…) Bij deze stuur ik je de informatie over hoe je de nieuwe aanmeldpagina op kunt nemen in jullie website. (…)

Jullie klantid = 40 en de klantnaam = eregio (…)

Er kunnen ook diverse zaken in worden gesteld via de Admin Settings pagina. Ik raad je wel aan om daar niet zomaar dingen aan te passen als het niet duidelijk is wat het betekend. Je kan deze admin pagina bereiken via de volgende link: (…)

account: eregio

passwd: [wachtwoord] (…)”

2.12.

Op 14 juni 2016 is op verzoek van [gedaagde 1] het (kantoor-) [IP-adres] door EABO ingevoerd in haar systeem. In de e-mail van EABO aan [gedaagde 1] van 14 juni 2016 is in dat kader onder meer het volgende vermeld:

“(…) Kantoor/thuis toegang: [IP-adres]

Check EAN toegang (…)

Maximum aantal sessies per dag per IP: 20

Maximum aantal EDSN requests per dag per IP: 40 (…)”

2.13.

Begin september 2016 heeft Netbeheer Nederland Anode medegedeeld dat een ongebruikelijk hoog aantal opvragingen uit de centrale registers is gedaan door of namens Anode en is haar verzocht een deugdelijke verklaring daarvoor te geven.

2.14.

Volgens onderzoek van EABO is via de toegang van Eregio tot het systeem van EABO in de periode van 1 mei 2016 tot 1 september 2016 sprake geweest van 2,3 miljoen opvragingen uit het CAR en 1,2 miljoen opvragingen uit het CER, zonder machtigingen van de betreffende kleinverbruikers. De kwestie heeft landelijke en politieke aandacht getrokken.

2.15.

In een brief van EABO aan Anode van 14 september 2016 staat onder meer het volgende:

“(…) Op 1 september 2016 hebben wij in de morgen een melding van uw medewerker, de heer [persoon 1] , ontvangen. De heer [persoon 1] meldde ons dat er in de maand augustus in het CAR/CER extreem veel opvragingen zijn verricht via het Anode Energieaccount.

EABO beheert de systemen voor Anode Energie waarmee deze opvragingen hebben kunnen plaatsvinden en heeft dan ook direct nader onderzoek ingesteld. Ons hoofd IT Harold Snel heeft het volgende geconstateerd bij uw tussenpersoon Eregio (…)

Zoals u ziet heeft Eregio vanuit haar kantoor zo’n 2,3 miljoen CAR requests en 1,2 miljoen CER requests gedaan. We zagen ook dat deze partij hard bezig was om alle adressen in Nederland op te vragen via een speciaal script.

Naar aanleiding van deze constatering hebben wij op 1 september op verzoek van Anode Energie de toegang tot deze data voor de tussenpersoon Eregio volledig verwijderd. Dit is gedaan door de toegang in het administrator-account van deze partij uit te zetten en het IP-adres van deze klant te verwijderen uit de toegestane lijst van IP-adressen.

Al vrij snel bleek dat de tussenpersoon Eregio deze zelf weer had toegevoegd, waarna wij de toegang tot het administrator-account van Eregio volledig hebben geblokkeerd. Dit bleek afdoende: hierna hebben er geen opvragingen meer plaatsgevonden.

Om dit voor de toekomst te voorkomen, hebben we verder de volgende aanpassingen gemaakt of zullen deze op korte termijn doorvoeren:

- Limiet (staat nu op 500) opvragingen die we voor tussenpersonen zullen aanpassen naar

100;

  • -

    Geen toegang meer voor tussenpersonen tot hun eigen account;

  • -

    Inbouw van reCAPTCHA om aanmeldingen van robots/scripts tot EABO-aanmeldsystemen

tegen te gaan. (…)”

2.16.

Door [gedaagde 1] zijn de volgende e-mailberichten verzonden aan Anode:

  • -

    op 2 september 2016 om 13:08 uur: “(…) Een van mijn collega’s vermoed een ex medewerker die hier op kantoor heeft gewerkt en heeft ondersteund alleen weten wij dit niet zeker. Ik ben wat zaken aan het na lopen, want ben hier erg van geschrokken wat voor nut geeft het deze aantallen. Volgens mij heb ik nooit 2+ miljoen aanvragen en daarnaast is en zijn er nooit zoveel klant contact geweest vanuit Eregio. (…)”

  • -

    op 5 september 2016 om 13:04 uur: “(…) Afgelopen dagen zijn wij intern bezig geweest om alle processen na te lopen om te achterhalen hoe het mogelijk is geweest dat iemand in systemen heeft kunnen komen. In ons infrastructuur is alles aan elkaar gekoppeld. Zo hebben wij altijd gewerkt. We zijn nu genoodzaakt alles stil te leggen, opnieuw in te richten en te beveiligen. Ons ICT-medewerker is in overleg met onze internetprovider om te kijken hoe we dit het beste kunnen realiseren zodat de beveiliging geheel waterdicht is. Ook zijn alle sloten van het weekend vervangen. Dit is een geheel nieuwe en nare situatie waar wij als bedrijf mee te maken hebben. Wij doen er alles aan wat in ons vermogen ligt om te achterhalen hoe dit mogelijk is geweest en ervoor te zorgen dat dit in de toekomst niet meer kan gebeuren. (…)”

2.17.

Bij brief van 6 september 2016 heeft Anode Eregio, B2B en [gedaagde 1] gesommeerd om de gegevens die Eregio, direct of indirect, zonder schriftelijke toestemming heeft opgevraagd uit het systeem van EABO, te vernietigen en schriftelijk te bevestigen dat Eregio, direct of indirect, geen gegevens heeft achtergehouden. Bij e-mailbericht van 7 september 2016 heeft [gedaagde 1] als volgt gereageerd:

“(…) Door ondergetekende is aangegeven dat het opvragen van de miljoenen requests naar alle waarschijnlijkheid is gebeurd door een voormalige werknemer van Eregio, die op slinkse wijze zich een toegang heeft kunnen verschaffen tot het interne netwerk van Eregio.

Momenteel wordt onderzocht hoe bovenstaande precies heeft kunnen gebeuren, met andere woorden hoe iemand zich externe toegang tot het netwerk heeft kunnen geven, terwijl tegelijkertijd het ICT netwerk van Eregio opnieuw wordt ingericht en bovenal beveiligd.

(…) Aldus is ondergetekende op de hoogte dat middels Eregio - althans het redelijk vermoeden bestaat dat door een voormalige werkgever [bedoeld zal zijn werknemer ] - misbruik is gemaakt van het EABO-systeem, doordat zonder toestemming en zonder redelijke grond gegevens zijn opgevraagd van vele klanten.

Ondergetekende kan zich echter niet vinden in uw stelling (…) dat “vermoed wordt dat Eregio de onrechtmatige gegevens heeft gedeeld met Best2BuySolution B.V.”; ondergetekende betwist bovenal dat de onrechtmatig verkregen gegevens gedeeld zijn met Best2BuySolution.

Ondergetekende kan zich er daarom niet toe verplichten de onrechtmatig verkregen gegevens te vernietigen. Dit om de simpele reden dat ondergetekende niet beschikt over deze gegevens en ook geen toegang heeft tot deze gegevens. (…)”

2.18.

Bij brief aan Eregio van 15 september 2016 heeft Anode de overeenkomst ontbonden en aanspraak gemaakt op boetes wegens schending van de gedragscode. Bij brief van dezelfde datum aan [bedrijf] en [gedaagde 1] heeft Anode aanspraak gemaakt op boetes wegens schending van de geheimhoudingsovereenkomst.

2.19.

Bij brief van 16 september 2016 heeft Netbeheer Nederland Anode aansprakelijk gesteld voor alle schade en kosten, eventuele boetes van toezichthouders daarin begrepen, in verband met het in strijd met de Informatiecode opvragen van gegevens door of namens Anode.

2.20.

Na daartoe verkregen verlof van de voorzieningenrechter van de rechtbank Den Haag heeft Anode ten laste van [gedaagden] op 8 februari 2017 conservatoir bewijsbeslag doen leggen.

2.21.

In opdracht van [gedaagde 1] heeft [persoon 2] , IT-expert (verder: [persoon 2] ), op 30 april 2017 en op 13 maart 2018 rapporten uitgebracht. In het rapport van 30 april 2017 heeft [persoon 2] als volgt geconcludeerd:

“(…) Vraag 1: technisch sluitend bewijs

Antwoord: De onderzochte stukken vormen geen technisch sluitend bewijs dat partij 1 [ [gedaagde 1] ] betrokken is geweest bij een groot aantal raadplegingen in augustus 2016. (…)

Vraag 2: mogelijke scenario’s of verklaringen

Er zijn heel veel mogelijke scenario’s die de getoonde gegevens verklaren. Alle onderstaande verklaringen zijn niet alleen technisch mogelijk maar ook in redelijke mate waarschijnlijk omdat zij zich vaker voordoen bij andere organisaties: (…)

Zonder verder onderzoek bij alle betrokken partijen (allereerst bij EABO, vervolgens rond en op de locatie bij partij 1) is niet te zeggen of en hoe partij 1 betrokken is.

Vraag 3: betrokkenheid van derde partijen

Ja, het is zeker mogelijk dat de raadplegingen zijn gedaan door een totaal andere partij die mogelijk een keer de website van partij 1 heeft geraadpleegd. Er zijn meerdere scenario’s denkbaar voor het aantal raadplegingen. In sommige scenario’s is partij 1 een mede-slachtoffer, in andere scenario’s is partij 1 in het geheel niet betrokken. De enige informatie die wijst naar partij 1 (het IP-nummer, de accountnaam ‘eregio’ en het nummer ‘40’) zijn allemaal openbaar beschikbaar en kunnen dus door iedereen gebruikt zijn.

Vraag 4: veiligheidsmaatregelen

(…) Uit de bestudeerde stukken blijkt vooral dat EABO vanuit technisch perspectief onvoldoende maatregelen heeft getroffen. (…)”

2.22.

In een e-mail van EABO aan (de advocaat van) [gedaagden] van 5 juli 2017 staat onder meer het volgende:

“(…) Voor zover nodig kan ik bij dezen bevestigen dat in de periode van 1 juni tot 1 september 2016 vanaf het [IP-adres] via het systeem van EABO gegevens van ca. 2,3 miljoen aansluitingen uit het CAR zijn opgevraagd en, op basis daarvan, van ca. 1,2 miljoen aansluitingen nadere gegevens uit het CER zijn opgevraagd. (…)”

2.23.

In een e-mail van EABO aan (de advocaat van) [gedaagden] van 13 juli 2017 staat onder meer het volgende:

“(…) Ten behoeve van de beveiliging van haar systeem en van de gegevens van haar klanten verstrekt EABO aan haar klanten, in dit geval aan de heer [gedaagde 1] , eenmalig een username en een password.

Die username en password zijn gekoppeld aan het door de betreffende klant aan EABO opgegeven IP-adres.

Aanmelding vanaf het opgegeven IP-adres met gebruik van de juiste username en paswoord geeft ook administrator rights voor de account van de betreffende klant. Die administrator rights maken het voor de klant mogelijk zijn, in eerste instantie opgegeven, IP-adres te wijzigen en/of andere IP-adressen toe te voegen. Als een klant van die mogelijkheid gebruik maakt, wordt zo’n gewijzigd en/of toegevoegd IP-adres door EABO beschouwd als een IP-adres toebehorend aan de betreffende klant. (…)”

2.24.

Op 30 oktober 2017 en op 15 februari 2018 zijn voorlopige getuigenverhoren gehouden. Als getuigen zijn [gedaagde 1] en [getuige] (softwareontwikkelaar bij EABO) gehoord.

3 Het geschil

3.1.

Anode heeft gevorderd om bij vonnis, uitvoerbaar bij voorraad:

  1. voor recht te verklaren dat [gedaagde 1] onrechtmatig heeft gehandeld jegens Anode door, onder verantwoordelijkheid van Anode, zonder toestemming en zonder redelijke grond grote aantallen gegevens uit de centrale registers op te vragen, althans dat mogelijk te maken, en door vervolgens te weigeren de inlichtingen aan Anode te verschaffen die Anode nodig had om de gevolgen van de onrechtmatige verkrijging van gegevens te mitigeren;

  2. [gedaagde 1] te veroordelen tot vergoeding van alle schade die Anode als gevolg van dat onrechtmatig handelen heeft geleden, die schade nader op te maken bij staat en te vereffenen volgens de wet;

  3. [gedaagde 1] te veroordelen tot betaling van € 30.000,00 aan verbeurde boetes wegens schending van de geheimhoudingsovereenkomst;

  4. voor recht te verklaren dat Eregio niet is opgehouden te bestaan;

  5. voor recht te verklaren dat Eregio onrechtmatig heeft gehandeld jegens Anode door, onder verantwoordelijkheid van Anode, zonder toestemming en zonder redelijke grond grote aantallen gegevens uit de centrale registers op te vragen, althans dat mogelijk te maken, en door vervolgens te weigeren de inlichtingen aan Anode te verschaffen die Anode nodig had om de gevolgen van de onrechtmatige opvragingen te mitigeren;

  6. voor recht te verklaren dat [bedrijf] en [gedaagde 1] , als (middellijke) bestuurder van Eregio, ter zake een persoonlijk ernstig verwijt treft;

  7. [gedaagden] hoofdelijk te veroordelen tot vergoeding van alle schade die Anode als gevolg van hun onrechtmatig handelen heeft geleden, die schade nader op te maken bij staat en te vereffenen volgens de wet;

  8. [gedaagden] hoofdelijk te veroordelen tot betaling van € 30.000,00 aan verbeurde boetes wegens schending van de geheimhoudingsovereenkomst;

  9. [gedaagden] hoofdelijk te veroordelen tot betaling van € 30.000,00 aan verbeurde boetes wegens schending van de gedragscode;

  10. [gedaagden] hoofdelijk te veroordelen in de kosten van de procedure, de beslagkosten daarin begrepen, te vermeerderen met de wettelijke rente.

3.2.

[gedaagden] hebben gemotiveerd verweer gevoerd tegen de vorderingen en geconcludeerd tot afwijzing ervan, met veroordeling, uitvoerbaar bij voorraad, van Anode in de kosten van de procedure.

3.3.

Op de stellingen van partijen zal, voor zover van belang, hierna worden ingegaan.

4 De beoordeling

4.1.

Het gaat in deze zaak in de eerste plaats om de vraag of [gedaagden] aansprakelijk zijn voor de schade van Anode als gevolg van de vele opvragingen van gegevens uit de centrale registers (CAR en CER) in of omstreeks augustus 2016. Om aansprakelijkheid te kunnen aannemen, dient vast te komen staan dat [gedaagde 1] betrokken is geweest bij of verantwoordelijk is voor die opvragingen. Indien dat in rechte niet vast komt te staan, stranden daarop de vorderingen van Anode. Dat geldt ook voor de hiervoor onder 3.1 sub d) weergegeven vordering, nu Anode ter comparitie desgevraagd heeft medegedeeld dat zij die vordering (uitsluitend) heeft ingesteld om haar schade op Eregio te kunnen verhalen. Primair gaat het geschil over de aansprakelijkheid van [gedaagden] .

4.2.

Ter onderbouwing van haar vordering heeft Anode aangevoerd dat door middel van inloggegevens, die EABO uitsluitend aan [gedaagde 1] heeft verstrekt, de gegevens van miljoenen kleinverbruikers onrechtmatig uit de centrale registers zijn opgevraagd en verkregen. Volgens Anode heeft [gedaagde 1] bevestigd dat de gegevens niet door Eregio ten behoeve van de werving van klanten zijn opgevraagd. Anode stelt zich primair op het standpunt dat [gedaagde 1] deze gegevens zelf heeft opgevraagd of heeft laten opvragen. Subsidiair heeft zij aangevoerd dat [gedaagde 1] verantwoordelijk is voor het feit dat de gegevens zijn opgevraagd.

Anode vermoedt dat [gedaagde 1] nooit de bedoeling heeft gehad om daadwerkelijk (middellijk) tussenpersoon van Anode te worden, maar uitsluitend de bedoeling heeft gehad om voor zijn (kennelijk toen al noodlijdende) dochtervennootschap B2B toegang te krijgen tot de centrale registers. De opgevraagde gegevens zijn commercieel interessant, omdat op basis van die gegevens potentiële klanten efficiënt en gericht kunnen worden benaderd.

Volgens Anode heeft [gedaagde 1] een programma geschreven of laten schrijven, dat zelfstandig dag en nacht onafgebroken gegevens kon ontvangen en de aldus verkregen gegevens doorgegeven aan en/of gedeeld met B2B. Dit, omdat: (i) B2B deze informatie goed kon gebruiken in haar functie als “lead generator” voor andere leveranciers dan Anode, (ii) B2B dringend behoefte had aan inkomsten uit “leads”, daar het haar zakelijk niet goed ging (B2B zou op 11 oktober 2016 failleren), (iii) Eregio vrijwel geen contracten tot stand heeft gebracht voor Anode (drie stuks in een periode van vier maanden) en [gedaagde 1] dus kennelijk met andere dingen (B2B, zijn “echte” werkmaatschappij) doende was, (iv) voor zover Anode bekend Eregio geen andere medewerkers heeft gehad dan [gedaagde 1] zelf, (v) [gedaagde 1] (middellijk) enig aandeelhouder en bestuurder van zowel Eregio als B2B was, c.q. is en (vi) [gedaagde 1] ook voor zaken die alleen Eregio betreffen altijd gebruik heeft gemaakt van een e-mailadres van B2B, zijn belangrijkste vennootschap.

Als gevolg van de onrechtmatige opvragingen heeft Anode aanzienlijke reputatie- en andere schade geleden en lijdt zij nog steeds schade, aldus Anode.

4.3.

[gedaagden] hebben betwist dat de opvragingen door of in opdracht van [gedaagde 1] zijn gedaan. Primair hebben zij zich op het standpunt gesteld dat de opvragingen niet zijn gedaan met de inloggegevens en via het IP-adres van [gedaagde 1] . Subsidiair, als wel vast zou komen te staan dat de opvragingen hebben plaatsgevonden met de inloggegevens en via het IP-adres van [gedaagde 1] , hebben zij aangevoerd dat [gedaagde 1] daarvoor niet verantwoordelijk kan worden gehouden, nu een ieder toegang had tot de inloggegevens. Deze waren ingebouwd in het iFrame op de website, zodat een ieder gegevens uit het systeem van EABO kon opvragen zonder in te loggen. Bovendien is de e-mail van 1 mei 2016, waarin de inloggegevens aan [gedaagde 1] zijn toegestuurd, ook aan derden (medewerkers van EABO) toegezonden. Voorts hebben [gedaagden] aangevoerd dat EABO onvoldoende veiligheidsmaatregelen heeft getroffen.

Volgens [gedaagden] hebben zij niet onrechtmatig en ook niet onzorgvuldig gehandeld. Anode tracht een motief te verzinnen voor [gedaagde 1] , zodat de schuld van het gebeuren in zijn schoenen geschoven kan worden. Niets van wat zij stelt is echter waar: (i) B2B was geen lead generator, maar een direct sales bedrijf waarbij klanten (via deur aan deur marketing) werden benaderd voor de zakelijke markt, (ii) B2B was geen noodlijdend bedrijf, (iii) Eregio heeft slechts drie contracten afgesloten, omdat zij haar wervingsactiviteiten in juli 2016 op advies van Anode heeft opgeschort tot een betere periode, (iv) Eregio heeft wel degelijk personeel gehad, (v) het feit dat [gedaagde 1] enig aandeelhouder en bestuurder was van zowel Eregio als B2B en dezelfde e-mailadressen gebruikte brengt nog niet mee dat hij daarom de opvragingen heeft gedaan, laat staan die opvragingen heeft gedeeld met B2B, aldus [gedaagden]

4.4.

Gelet op de gemotiveerde betwisting daarvan door [gedaagden] , staat in rechte niet vast dat zij betrokken zijn geweest bij of verantwoordelijk is voor de onrechtmatige opvragingen van de gegevens uit het CAR en CER. De stellingen van Anode dat alles naar [gedaagde 1] wijst en het zeer onwaarschijnlijk is dat een derde de opvragingen zonder medewerking van [gedaagde 1] heeft gedaan, zijn niet voldoende om aansprakelijkheid van [gedaagden] te kunnen aannemen. Met [gedaagden] is de rechtbank van oordeel dat in de hiervoor onder 2.16 en 2.17 geciteerde e-mails geen erkenning kan worden gelezen. [gedaagde 1] heeft toegelicht dat hij op dat moment overdonderd was en ervan uitging dat de opvragingen waren gedaan vanaf het account van Eregio. Volgens [gedaagde 1] is hij er pas later mee bekend geworden dat de gegevens vanaf een ander IP-adres zijn opgevraagd.

4.5.

Uit de getuigenverklaring van Snel blijkt dat op 1 september 2016 - toen het datalek aan het licht kwam - het door [gedaagde 1] opgegeven (kantoor-)IP-adres van Eregio ( [IP-adres] ) uit het systeem van EABO was verwijderd en er twee nieuwe IP-adressen ( [IP-adres] ) waren ingesteld. [gedaagden] hebben aangevoerd dat die adressen niet van hen zijn en dat zij de adressen ook niet kennen. Snel heeft verklaard dat de gegevens zijn opgevraagd vanaf een buitenlands IP-adres en dat niet kan worden achterhaald wie achter dit adres zit. Volgens Anode kunnen de IP-adressen alleen zijn toegevoegd vanaf het administrateuraccount van Eregio en ligt het daarom heel erg voor de hand dat [gedaagde 1] dat heeft gedaan. Ook die stelling is echter gemotiveerd betwist door [gedaagden] , zodat van de juistheid daarvan niet kan worden uitgegaan. Volgens Anode wordt niet bijgehouden wanneer iemand is ingelogd in het administrateuraccount en wordt evenmin bijgehouden welke instellingen worden aangepast in de “admin settings”.

4.6.

Anode heeft zich aanvankelijk op het standpunt gesteld dat, nadat EABO op 1 september 2016 de mogelijkheid voor Eregio om gegevens op te vragen vanaf haar IP-adres had uitgezet, datzelfde IP-adres weer in het systeem van EABO is toegevoegd via het administrateuraccount van Eregio (waartoe, aldus Anode, uitsluitend [gedaagde 1] toegang had). Snel heeft in dit kader echter verklaard dat, zolang iemand is ingelogd in het administrateuraccount en er een zogenaamde “sessie-ID” loopt, de instellingen kunnen worden gewijzigd. Pas nadat de sessie was beëindigd en de webserver was gesloten was de daadwerkelijke toegang ontnomen, aldus Snel. Volgens hem is van opnieuw inloggen in het administrateuraccount op 1 september 2016 dus geen sprake geweest.

4.7.

Volgens [gedaagden] zijn er alternatieve scenario’s denkbaar voor het datalek, waarbij zij verwijzen naar de rapporten van [persoon 2] . In een schriftelijke verklaring heeft Snel zich op het standpunt gesteld dat de alternatieve scenario’s ofwel onmogelijk zijn, ofwel onder de verantwoordelijkheid van [gedaagden] vallen. Volgens Anode zijn de alternatieve scenario’s zo onwaarschijnlijk, dat daaraan direct voorbij moet worden gegaan. De rechtbank volgt haar niet in die stelling. Hoewel [persoon 2] zijn rapporten in opdracht van [gedaagde 1] heeft uitgebracht en hij in dit geschil dus niet als onafhankelijk kan worden aangemerkt, kunnen de door hem aangedragen scenario’s niet zonder meer terzijde worden geschoven. De rechtbank neemt in dit kader tevens in aanmerking dat tussen partijen niet in geschil is dat naar aanleiding van het onderhavige voorval maatregelen zijn getroffen, in de vorm van een door Netbeheer Nederland ingesteld limiet en een zogenaamde “captcha” in de systemen van EABO. Snel heeft verklaard dat het onderhavige voorval met een “captcha” niet had kunnen gebeuren.

4.8.

Al met al heeft de rechtbank behoefte aan deskundige voorlichting over de vraag of en zo ja in hoeverre [gedaagde 1] betrokken moet zijn geweest bij de opvragingen van de gegevens uit het CAR en CER in of omstreeks augustus 2016. Ter comparitie hebben partijen te kennen gegeven dat zij zich kunnen vinden in benoeming van een gerechtelijk deskundige.

4.9.

Aldus zal de rechtbank overgaan tot het benoemen van een deskundige. Partijen dienen een voorstel te doen voor een deskundigenonderzoek, dat wil zeggen een volledige lijst met aan een deskundige voor te leggen vragen. Het verdient de voorkeur dat partijen die vragen na overleg en gezamenlijk formuleren. Gezamenlijk kunnen partijen tevens een voorstel doen voor een te benoemen deskundige. Indien partijen daarover geen overeenstemming bereiken heeft het geen zin dat zij namen van deskundigen noemen, in dat geval zal de rechtbank zelf een deskundige kiezen.

4.10.

Iedere verdere beslissing zal worden aangehouden.

5 De beslissing

De rechtbank

5.1.

bepaalt dat de zaak weer op de rol zal komen van 1 augustus 2018 voor het nemen van een akte door beide partijen over hetgeen is vermeld onder 4.9,

5.2.

houdt iedere verdere beslissing aan.

Dit vonnis is gewezen door mr. P. Volker en in het openbaar uitgesproken op 4 juli 2018.

1977/2221