Zoekresultaat - inzien document

ECLI:NL:RBROT:2021:8109

Instantie
Rechtbank Rotterdam
Datum uitspraak
14-07-2021
Datum publicatie
19-08-2021
Zaaknummer
C/10/579422 / HA ZA 19-711
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Eerste aanleg - enkelvoudig
Inhoudsindicatie

Schade na ransomeaanval. Is gedaagde tekortgeschoten in de nakoming van haar verplichtingen uit de overeenkomst tussen partijen doordat bepaalde data niet binnen de gemaakte back-ups vielen? Benoeming deskundige voor onderzoek naar de oorzaak. Deskundige moet ook onderzoeken welke rol de beveiliging van het ICT-systeem door gedaagde hierbij speelt.

Vindplaatsen
Rechtspraak.nl
Verrijkte uitspraak

Uitspraak

vonnis

RECHTBANK ROTTERDAM

Team handel en haven

zaaknummer / rolnummer: C/10/579422 / HA ZA 19-711

Vonnis van 14 juli 2021

in de zaak van

de stichting

STICHTING ZABAWAS,

gevestigd te Den Haag,

eiseres in conventie,

verweerster in reconventie,

advocaat mr. J. Koekkoek te Haarlem,

tegen

1. de besloten vennootschap met beperkte aansprakelijkheid

PS LOGIC B.V.,

gevestigd te Berkel en Rodenrijs, gemeente Lansingerland,

gedaagde in conventie, eiseres in reconventie,

advocaat mr. R. Grandia te Rotterdam,

2. de besloten vennootschap met beperkte aansprakelijkheid

POS4 RESTAURANTS B.V.,

gevestigd te Berkel en Rodenrijs, gemeente Lansingerland,

gedaagde in conventie,

advocaat mr. R. Grandia te Rotterdam.

Eiseres zal hierna Zabawas genoemd worden. Gedaagden zullen afzonderlijk worden aangeduid als PS Logic en POS4 en gezamenlijk als POS4 c.s.

1. De procedure

1.1.

Het verloop van de procedure blijkt uit:

 • -

  het vonnis in het incident van 26 augustus 2020, alsmede de daarin vermelde stukken,

 • -

  de conclusie van dupliek in conventie en van repliek in reconventie,

 • -

  de conclusie van dupliek in reconventie,

 • -

  de brief van de rechtbank aan partijen van 14 december 2020, waarin partijen zijn opgeroepen voor een comparitie van partijen,

 • -

  de akte overlegging producties van Zabawas, met producties 25 tot en met 27,

 • -

  het proces-verbaal van comparitie van 18 mei 2021.

1.2.

Ten slotte is vonnis bepaald.

2. De feiten

2.1.

Zabawas is een familiestichting (fiscaal aangemerkt als ANBI), die uit een gedoneerd familievermogen geldelijke steun verleent aan personen en/of instellingen die een algemeen belang beogen op het gebied van cultuur, natuur, geneeskunde, sport en educatie. Zabawas heeft een bestuur op afstand en geen werknemers. De dagelijkse werkzaamheden van Zabawas werden tot 2017 uitgevoerd door Family Wealth Care B&E B.V. Eind 2017 heeft Zabawas haar operationele activiteiten ondergebracht bij Capital Support B.V. (hierna: Capital Support).

2.2.

PS Logic houdt zich bezig met automatisering. Bestuurder van PS Logic is [naam 1] (hierna: [naam 1]). [naam 1] is daarnaast de bestuurder van de aandeelhoudster van PS Logic, Stichting Beheer PS Logic. Hij is voorts middellijk (via Kilauea B.V.) bestuurder van POS4.

2.3.

Op 18/19 juli 2013 hebben Zabawas en PS Logic een overeenkomst getiteld “all-inclusive ICT-beheer” gesloten. Op grond van deze overeenkomst zou PS Logic zich voor Zabawas bezig houden met (onder meer): “proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, backups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers”.

De ICT-infrastructuur van Zabawas was op dat moment beperkt. De hardware bestond uit vier computers, een server en een printer. De prijs voor het beheren van systeem en netwerk bedroeg € 130,00 per maand (excl. btw).

2.4.

Zabawas heeft de maandelijkse facturen van PS Logic van € 130,00 (met btw) met de omschrijving “systeembeheer” en de periode waarop de factuur betrekking had, steeds voldaan.

2.5.

Zabawas heeft Verito Informatisering B.V. (hierna: Verito) ingeschakeld voor het maken van maatwerkaanpassingen op software van Microsoft.

2.6.

Een e-mail van PS Logic aan [naam 2], medewerker van Family Wealth Care, later van Capital Support, van 3 augustus 2016 luidt voor zover hier van belang:

“(…) We zien op de server van Zabawas dat de backup naar hardeschijf goed staat, deze staat op dit moment ingeschakeld als eerste prioriteit omdat deze het snelste klaar is, hierna schakelt hij over naar de backup tape.

De backup tape geeft aan dat er op dit moment niks in de server zit waardoor hij geen backups kan maken. Zou jij dit vandaag/morgen kunnen verifiëren?

Ik kan u verzekeren dat er elke dag een backup wordt gemaakt van alle data die is aangegeven (…)”.

2.7.

Een e-mail van [naam 2] aan PS Logic van 5 september 2016 luidt voor zover hier van belang:

“(…) De backup naar de tape gaat nog niet goed en kan deze ook niet handmatig Run now geven. De tape komt er ook niet uit (…).

2.8.

Een e-mail van [naam 2] aan PS Logic van 21 oktober 2016 luidt voor zover hier van belang:

“(…) De back-up tape doet het nog niet helemaal goed. Maandag en gisteren een "nieuwe" tape erin gedaan en geen resultaat (…). Wil jij dit bekijken (…)”.

2.9.

Een e-mail van PS Logic aan [naam 2] van 17 november 2016 luidt voor zover hier van belang:

“(…) De backup naar tape blijft verkeerd gaan zoals je zelf ook al aangaf, het lijkt er op dat de software problemen heeft met het schrijven naar deze tape. Ook is de backup naar tape heel erg traag als het over schrijven/lezen gaat, dus zal de tape naar alle waarschijnlijkheid niet gebruikt gaan worden als deze daadwerkelijk ingezet moet gaan worden.

Daarom stel ik een cloud oplossing voor, waar we alle bestanden van Zabawas naartoe kunnen backuppen (…)”.

2.10.

Een e-mail van PS Logic aan [naam 2] van 28 december 2016 luidt voor zover hier van belang:

“(…)

Zoals besproken gaan wij uit van een nieuwe HP server die in ons datacenter wordt geplaatst. Deze Windows 2016 server zal middels Remote Desktop beschikbaar zijn voor maximaal 12 gebruikers. Gebruikers hebben o.a. Office365 (Office software en Exchange Online) en de nieuwe Verito/Dynamics omgeving tot beschikking. Daarnaast zal alle data middels cloud backup dagelijks op een externe backup server worden opgeslagen.

(…)

4. Online backup

Alle data zal dagelijks in de cloud worden opgeslagen. Dit zal op een externe server (buiten het huidige data center) gebeuren. De jaarlijkse kosten voor 2TB opslag inclusief backup software zijn € 1.495,00 ex 21 % BTW.

(…)”

2.11.

P. Driessen, secretaris van het bestuur van Zabawas, heeft de onder 2.10 vermelde offerte op 23 januari 2017 ondertekend.

2.12.

Bij factuur van 20 juli 2017 met factuurnummer 2017-07025 heeft PS Logic aan Zabawas een bedrag van € 1.495,00 (te vermeerderen met btw) in rekening gebracht voor “Online storage 2 TB + backup software – periode 01-07-2017 t/m 30-06-2018”.

Zabawas heeft deze factuur voldaan.

2.13.

Een e-mail van [naam 1] aan [naam 2] van 25 september 2017 luidt voor zover hier van belang:

“(…) Zoals je weet heb ik enkele jaren geleden een splitsing tussen de bedrijven gemaakt (POS4 / PS LOGIC) waarbij de belangrijkste reden de verschillende doelgroepen was. In praktijk is dat eigenlijk niet handig gebleken: het loopt alsnog door elkaar. Bijvoorbeeld de helpdesk, medewerkers die over en weer voor beide bedrijven werken, inkoop hardware, veel administratieve rompslomp terwijl onze klanten toch wel weten dat er 2 bedrijven zijn en dat deze bij elkaar horen. Daarnaast is POS4 enorm gegroeid en ook wat betreft productontwikkeling. Meer synergie en overlap zoals bijvoorbeeld de ontwikkeling van logistieke software binnen POS4. Dit is de reden dat er, om wel een klein beetje onderscheid te maken, gekozen is voor een 2e handelsnaam: [handelsnaam]. Alle PS LOGIC klanten zullen wij vanaf deze maand factureren vanuit [handelsnaam]. De afgelopen jaren is er zoals gezegd veel groei bij POS4 geweest en die lijn zal de komende jaren worden doorgetrokken. Op korte termijn zal ook het team van helpdesk/systeembeheer en ook web development verder worden uitgebreid (…)”.

2.14.

Een factuur van [handelsnaam] aan Zabawas van 20 december 2017 met factuurnummer F201713811 luidt voor zover hier van belang:

“(…)

(…)”.

[handelsnaam] is een handelsnaam van POS4. Zabawas heeft deze factuur voldaan.

2.15.

Nadien heeft [handelsnaam] maandelijks onder meer een bedrag van € 130,00 voor systeembeheer aan Zabawas in rekening gebracht. Zabawas heeft de betreffende facturen steeds voldaan.

2.16.

Op 12 april 2018 is één van de systemen binnen de ICT-omgeving van Zabawas besmet geraakt met ransomware. Hierdoor raakte het systeem onbruikbaar en kwam de bedrijfsvoering van Zabawas geheel stil te liggen.

2.17.

Een e-mail van Verito aan [naam 1] van 18 april 2018 luidt voor zover hier van belang:

“(…) Ik heb vanuit ons systeem een backup overgebracht naar de nieuwe server. Maar ook dit is zoals bekend een erg oude backup van juli 2017. Deze is nog van het moment dat de

NAV oplossing van onze systemen werd overgebracht naar een Zabawas server.

Dat betekent niet alleen veel ontbrekende data, maar ook ontbrekende programmatuur

(die zit in de database). Dus de ontwikkelingen in de NAV-programmatuur vanaf juli '17

ontbreken (…)”

2.18.

Zabawas heeft haar ICT-omgeving laten onderzoeken door Baaten ICT Securtiy (hierna: Baaten). Het ICT beveiligingsonderzoekrapport van Baaten van 20 juli 2018 luidt voor zover hier van belang:

“(…)

1. Inleiding

(…)

Stichting Zabawas heeft aan Baaten ICT Security gevraagd om de herstelde ICT omgeving te onderzoeken op de aanwezigheid van beveiligingskwetsbaarheden.

(…)

2.1

Oorzaak van de ransomware besmetting

Uit gesprekken die Baaten ICT Security heeft gevoerd met verschillende belanghebbenden, bleek dat er sterke vermoedens zijn dat de ransomware besmetting is ontstaan door het gebruik van Teamviewer. Hoewel dit (mede als gevolg van beperkte logging informatie) niet op voorhand is uit te sluiten, wil Baaten ICT Security benadrukken dat een besmetting als gevolg van een kwetsbaarheid in Teamviewer op dit moment onwaarschijnlijk lijkt. Zoals ook door Teamviewer zelf aangegeven, ontstaan ransomware besmettingen via Teamviewer vaak omdat er onzorgvuldig wordt omgegaan met wachtwoorden (…).

(…)

3.6.3

Back-up voorziening

Door beide leveranciers is aangegeven dat er geen periodieke back-ups werden gemaakt van de systemen en/of de informatie binnen de systemen. Na de ransomware besmetting zijn er door POS4 maatregelen getroffen om voortaan wel back-ups te maken. Naar eigen zeggen maakt POS4 op dit moment gebruik van Acronis back-up software voor het maken van back-ups van losse bestanden alsmede de SQL database. De back-up bestanden worden op een separate server in Nederland opgeslagen. Deze server is niet toegankelijk voor Stichting Zabawas.

(…)

4. Conclusie en afsluitende woorden

De bevindingen in dit rapport laten zien dat het onderwerp informatiebeveiliging niet de aandacht heeft gekregen die past bij de huidige digitale samenleving (…).

Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten,

slordigheid, en onverstandige inrichtingskeuzes die een 'normaal en redelijk handelend' ICT leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken. Baaten ICT Security is dan ook niet verbaasd dat zich een ernstig verstorend incident heeft voorgedaan (de ransomware besmetting). Gezien de huidige staat van de ICT omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau.

(…)

5 Reacties van leverancier op rapport

(…)

5.2

Reactie POS4

(…)

3.6.3

Er werden wel dagelijkse backups gemaakt van de Windows servers alleen niet van de SQL databases. De "SQL backup" map op ZABASRV2 bleek achteraf niet te worden gebruikt. De backup van alle bestanden werd weggeschreven naar een remote server/shared network drive. Na het ransomware incident is de backupprocedure inderdaad aangepast en wordt er nu gebruikt gemaakt van:

• Een aparte backupserver met Acronis Backup. De Acronis plugins zijn op beide servers

geïnstalleerd met een aparte SQL plugin op de ZABASRVNAV

De backupprocedure van de 2 Linux servers is niet aangepast:

• Van www.zabawas.nl worden dagelijkse backups gemaakt en op een andere server opgeslagen.

• Voor aanvragen.zabawas.nl worden ook dagelijkse backups gemaakt (op een externe server) en staat de code tevens op een Gitlab server (zoals ook de projecten van andere klanten).

(…)”.

2.19.

Bij brief van 20 april 2018 heeft Zabawas PS Logic aansprakelijk gesteld voor alle door de ransomware-besmetting geleden en nog te lijden schade.

2.20.

Bij brief van 2 juli 2019 heeft Zabawas de overeenkomst met POS4 c.s. opgezegd.

3. Het geschil

in conventie

3.1.

Zabawas vordert dat de rechtbank bij uitvoerbaar bij voorraad te

verklaren vonnis:

1. voor recht verklaart dat POS4 c.s. tekortgeschoten zijn in de nakoming van hun

verplichtingen, in het bijzonder hun verplichtingen uit hoofde van de overeenkomst

all inclusive ICT-beheer, en dat POS4 c.s., meer in het bijzonder wegens het nalaten

backups te maken, aansprakelijk zijn voor alle geleden en nog te lijden schade van

Zabawas, nader op te maken bij staat en te vereffenen volgens de wet;

2. voor zover vordering 1 wordt toegewezen, POS4 c.s. veroordeelt tot terugbetaling

aan Zabawas van de jaarlijkse kosten voor 2 TB opslag, inclusief backupsoftware ad € 1.495,-, exclusief 21% BTW vanaf 18 juli 2013, te vermeerderen met de wettelijke handelsrente vanaf de respectievelijke data van betaling van de facturen van PS Logic door Zabawas, alsmede tot terugbetaling van de op 9 juli 2018 betaalde nota van PS Logic inzake het kopiëren van de harddisk ad € 1.585,71;

3. POS4 c.s. veroordeelt tot betaling aan Zabawas van een bedrag van € 2.527,71 aan buitengerechtelijke kosten, te vermeerderen met de wettelijke rente vanaf de dag van de dagvaarding tot de dag van de algehele voldoening, althans een zodanig bedrag als de rechtbank in goede justitie zal menen te behoren;

4. POS4 c.s. veroordeelt tot betaling aan Zabawas van een bedrag van € 13.915,00 inclusief BTW (bij wijze van voorschot op de door Zabawas geleden schade), zijnde de kosten van inschakeling van Baaten Security, althans een zodanig bedrag als de rechtbank in goede justitie zal menen te behoren;

5. POS4 c.s. veroordeelt om binnen twee dagen na betekening van het vonnis aan Zabawas ter beschikking te stellen de wachtwoorden en log-ins inzake Zabawas en de broncodes inzake de door Zabawas geschreven programmatuur, op straffe van verbeurte van een dwangsom van € 500,00 per dag dat de overtreding voortduurt, onverminderd het recht van Zabawas op volledige schadevergoeding;

6. POS4 c.s. veroordeelt tot betaling aan Zabawas van de proceskosten en de beslagkosten, te vermeerderen met de nakosten.

3.2.

POS4 c.s. voeren gemotiveerd verweer en concluderen tot afwijzing van het gevorderde, met veroordeling van Zabawas in proceskosten.

3.3.

Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.

in reconventie

3.4.

POS4 vordert bij vonnis, uitvoerbaar bij voorraad, Zabawas te veroordelen om aan POS4 te betalen een bedrag van € 3.924,03, vermeerderd met de wettelijke handelsrente van de dag der opeisbaarheid, zijnde 14 dagen na de factuurdata, tot de dag der algehele voldoening, met veroordeling van Zabawas in de proceskosten.

3.5.

Zabawas voert gemotiveerd verweer en concludeert – kort gezegd – tot afwijzing van het gevorderde, met veroordeling van POS4 c.s., bij vonnis uitvoerbaar bij voorraad, in de proceskosten en de nakosten, een en ander te voldoen na 14 dagen na betekening van het

vonnis en - voor het geval voldoening van de (na)kosten niet binnen de gestelde termijn plaatsvindt - te vermeerderen met de wettelijke rente over de (na)kosten te berekenen vanaf de bedoelde termijn van voldoening.

3.6.

Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.

4. De beoordeling

in conventie

4.1.

Tussen partijen is in geschil of POS4 c.s. tekort zijn geschoten in nakoming van hun verplichtingen uit hoofde van de onder 2.3 vermelde overeenkomst, omdat zij – kort gezegd – zouden hebben nagelaten back-ups te maken.

contractsoverneming?

4.2.

Vaststaat dat de onder 2.3 vermelde overeenkomst tot stand is gekomen tussen Zabawas enerzijds en PS Logic anderzijds. De vraag is of – zoals Zabawas stelt en POS4 c.s. betwisten – POS4 die overeenkomst eind september 2017 heeft overgenomen.

4.3.

Op grond van artikel 6:159 BW kan een partij bij een overeenkomst (PS Logic) haar rechtsverhouding tot de wederpartij (Zabawas) met medewerking van deze laatste (Zabawas) overdragen aan een derde (POS4) bij een tussen haar (PS Logic) en de derde (POS4) opgemaakte akte. Contractsoverneming moet worden beschouwd als een overeenkomst tussen de drie betrokken partijen. Het antwoord op de vraag of die overeenkomst is tot stand gekomen, is afhankelijk van hetgeen partijen over en weer hebben verklaard en uit elkaars verklaringen hebben afgeleid en in de gegeven omstandigheden redelijkerwijs mochten afleiden.

4.4.

Met betrekking tot de vereiste akte is de rechtbank van oordeel dat Zabawas de onder 2.13 weergegeven e-mail van 25 september 2017 heeft mogen opvatten als akte van contractsoverneming als bedoeld in artikel 6:159 BW. Daartoe wijst de rechtbank op het volgende. De e-mail van 25 september 2017 is afkomstig van [naam 1], die zowel de bestuurder van PS Logic is, als de middellijk bestuurder van POS4 (zie 2.2). In die e-mail meldt [naam 1] aan Zabawas “(…) het loopt (…) door elkaar. Bijvoorbeeld de helpdeks, medewerkers die over en weer voor beide bedrijven werken, inkoop hardware, veel administratieve rompslomp terwijl onze klanten toch wel weten dat er 2 bedrijven zijn en dat deze bij elkaar horen (…)” (zie 2.13). Daar komt bij dat POS4 c.s. ter zitting hebben verklaard dat de systeembeheeractiviteiten van PS Logic zijn overgegaan naar POS4, dat de omzet vanaf dat moment ook in POS4 werd geboekt en dat de e-mail van 2017 een aankondiging was dat POS4 de systeembeheeractiviteiten zou overnemen. PS Logic is begin 2018 opgehouden te bestaan bij gebrek aan baten, aldus POS4 c.s.

4.5.

De voor een contractsoverneming vereiste medewerking is niet aan enigerlei vorm gebonden. Zij kan in elke vorm geschieden en besloten liggen in een of meer gedragingen. Gelet hierop kan naar het oordeel van de rechtbank de medewerking van Zabawas worden afgeleid uit de omstandigheid dat Zabawas de door [handelsnaam] (een handelsnaam van POS4) verzonden facturen is gaan betalen (zie 2.14 en 2.15)

4.6.

Het voorgaande brengt mee dat POS4 de onder 2.3 bedoelde overeenkomst tussen Zabawas en PS Logic van laatstgenoemde heeft overgenomen, zodat POS4 als contractspartij van Zabawas heeft te gelden.

De overeenkomst

4.7.

Tussen partijen bestaat verschil van mening over de vraag wat tussen hen is overeengekomen met betrekking tot het maken van back-ups.

4.8.

Zabawas stelt – kort gezegd – dat POS4 op grond van de onder 2.3 vermelde overeenkomst verantwoordelijk was voor gehele ICT-omgeving van Zabawas en daarmee voor de dagelijkse back-up van alle data zoals aanwezig binnen die ICT-omgeving. Tot begin 2017 wisselde medewerkers van Zabawas zelf dagelijks op de werkdagen de tapes voor de back-ups. Naar aanleiding van de door Zabawas geaccepteerde offerte van 28 december 2016, leverde PS Logic begin 2017 een nieuwe server, die in het datacenter van PS Logic werd geplaatst. De back-ups zouden voortaan in de cloud plaatsvinden. Ook in die gewijzigde situatie bleef PS Logic (en later POS4) verantwoordelijk voor het beheer van de gehele ICT-omgeving van Zabawas, waaronder de bestanden van Verito op de servers van Zabawas, en daarmee ook voor de back-up-werkzaamheden en de monitoring daarvan.

4.9.

POS4 c.s. voeren aan dat de onder 2.3 vermelde overeenkomst tot een einde is gekomen met het einde van de ICT-omgeving op basis waarvan die overeenkomst was gesloten en de overstap naar Capital Support. De prijs voor het beheren van de oude systeem (€ 130,00) was gerelateerd om de beperkte omvang van de ICT-omgeving van Zabawas destijds. De toenmalige werkzaamheden bestond onder meer uit “24/7 monitoring van servers, backups en netwerk”. Zabawas voerde zelf de back-ups uit. PS Logic was niet verantwoordelijk voor het maken van back-ups, zij monitorde (als ondersteuning) of de back-ups door Zabawas werden uitgevoerd. De back-ups werden gemaakt van alle data die onder de door Zabawas aangegeven reikwijdte vielen.

De rol van PS Logic was vanaf 2017 beperkt tot de levering van een server en de colocatie hosting van die server. PS Logic verrichtte nadien verder werkzaamheden bestaande uit systeembeheer voor een bedrag van € 130,00 per maand. Het systeembeheer omvatte uitsluitend het opzetten van nieuwe servers, ondersteuning van Verito (die de nieuwe server in beheer had) en Office 365. De "24/7 monitoring van servers, backups en netwerk" zoals in de offerte uit 2013 vermeld, was niet gewenst en is voor de nieuwe situatie niet overeengekomen. Verito had de server in gebruik en in beheer.

4.10.

Zoals hiervoor reeds is overwogen (zie 4.3), is de vraag wat tussen partijen is overeengekomen afhankelijk van hetgeen partijen over en weer hebben verklaard en uit elkaars verklaringen hebben afgeleid en in de gegeven omstandigheden redelijkerwijs mochten afleiden.

4.11.

Tussen partijen is niet in geschil dat PS Logic op basis van de overeenkomst uit 2013 (zie 2.3) onder meer verantwoordelijk was voor de “24/7 monitoring” van – onder andere – de back-ups. Die back-ups werden destijds gemaakt, doordat de medewerkers van Zabawas daartoe tapes in de computers stopten. PS Logic monitorde het back-upproces op afstand (zie 2.6 tot en met 2.9). Vaststaat voorts dat ICT-omgeving van Zabawas begin 2017 is gewijzigd, waarbij – voor zover hier relevant – Zabawas gebruik ging maken van een nieuwe server die zich bevond in een extern datacenter en back-ups voortaan via de cloud zouden plaatsvinden (zie 2.10 tot en met 2.12). Naar het oordeel van de rechtbank kan niet worden vastgesteld dat daarmee de onder 2.3 vermelde overeenkomst, met in het bijzonder ten aanzien van de “24/7 monitoring van servers, backups en netwerk” is beëindigd. POS4 stelt dat weliswaar, maar Zabawas betwist dat en POS4 heeft haar stelling dat de “24/7 monitoring van servers, backups en netwerk” voor de nieuwe situatie niet meer gewenst was, niet onderbouwd.

4.12.

Uit het voorgaande volgt dat de overeenkomst tussen partijen inhield dat ook in de nieuwe situatie POS4 verantwoordelijk was voor de “24/7 monitoring van servers, backups en netwerk” binnen de ICT-omgeving van Zabawas. Naar het oordeel van de rechtbank vallen daar ook de bestanden van Verito op de servers van Zabawas onder. POS4 c.s. hebben onvoldoende feiten en omstandigheden aangevoerd waaruit kan worden afgeleid dat door Verito bewerkte bestanden op de servers van Zabawas buiten de back-ups zouden vallen. Integendeel, POS4 c.s. stellen zelf dat er dagelijks een back-up werden uitgevoerd van de map SQLBackup, die was aangemaakt voor de bestanden van Verito (zie hierna 4.14).

Back-ups

4.13.

Zabawas stelt dat POS4 tekort is geschoten in de nakoming van haar verplichtingen uit de overeenkomst tussen partijen, doordat POS4 heeft nagelaten om periodiek volledige back-ups te maken van de systemen van Zabawas en de informatie binnen die systemen. Hierdoor zijn na de ransomwareaanval de door Verito ontwikkelde aanpassingen op de software van Microsoft en andere data verloren gegaan. Als gevolg hiervan hebben Zabawas en Verito veel kosten moeten maken.

4.14.

POS4 c.s. betwisten dat POS4 tekort is geschoten in de nakoming van de overeenkomst met Zabawas. Zij stellen dat POS4 in de nieuwe ICT-omgeving van Zabawas had ingesteld dat dagelijks automatisch kopieën werden gemaakt van de Windows Server bestanden op de server. Op de betreffende server werd ook dagelijks een back-up uitgevoerd van de map SQLBackup. Gebleken is dat Verito de (telkens) nieuwe (wijzigende) bestanden van de SQL server niet heeft weggeschreven naar die daarvoor bestemde back-up map. De SQL back-up map was wel door Verito zelf voor dat doel aangemaakt.

4.15.

Tussen partijen is niet (langer) in geschil dat ook in de nieuwe ICT-omgeving van Zabawas periodiek back-ups werden gemaakt van informatie binnen die ICT-omgeving. Tussen partijen is evenmin in geschil dat die back-ups niet de door Verito gemaakte maatwerksoftware (programmeercode) en niet alle data bevatten. De vraag is of de oorzaak daarvan is gelegen in – zoals Zabawas stelt – het handelen van POS4 of – zoals POS4 c.s. stellen – in het handelen van Verito. Op basis van de stellingen van partijen over en weer kan de rechtbank dat op dit moment niet vaststellen. Alvorens tot een oordeel te kunnen komen, behoeft de rechtbank daarom het oordeel van een onafhankelijke deskundige. Deze deskundige zal de oorzaak moeten onderzoeken van de omstandigheid dat ten tijde van de ransomaanval, dus in het voorjaar van 2018, bepaalde onderdelen binnen de ICT-omgeving van Zabawas niet binnen de (periodieke) back-ups vielen en de vraag beantwoorden of POS4 op grond van communicatie met Verito ervan mocht uitgaan dat de map SQLBackup door deze werd gevuld.

Veiligheid

4.16.

Zabawas verwijt POS4 verder dat zij niet voor voldoende veiligheid van het ICT-systeem heeft zorggedragen. Als gevolg hiervan heeft de ransomware het systeem binnen kunnen dringen. Ter onderbouwing van dit verwijt verwijst Zabawas naar het rapport van Baaten, die concludeert dat een ernstige verstoring zoals de ransomwareaanval slechts een kwestie van tijd was, gezien de staat van de ICT omgeving (zie 2.18).

4.17.

POS4 c.s. betwisten dat zij niet voor voldoende veiligheid binnen het ICT-systeem van Zabawas hebben zorggedragen. Het ICT systeem van Zabawas was bijvoorbeeld voorzien van firewalls. De ransomware besmetting was het gevolg van een menselijke fout van een medewerker van Zabawas dan wel Verito en had niets te maken met het niveau van beveiliging. Een medewerker kan op een e-mail met bijlage hebben geklikt en die bijlage blijkt nadien een virus te bevatten dat zich in het systeem nestelt. Dit kan zelfs de beste beveiliging niet tegenhouden, aldus POS4 c.s..

4.18.

Gelet op de gemotiveerde betwisting door POS4 c.s. kan op dit moment niet worden vastgesteld of de ransomwarebesmetting het gevolg was van onvoldoende beveiliging van het ICT-systeem door POS4 of een menselijke fout door medewerkers (van Verito). Alvorens tot een oordeel te kunnen komen, behoeft de rechtbank ook op dit punt het oordeel van een onafhankelijke deskundige.

Deskundige

4.19.

Voordat tot het inwinnen van een deskundigenbericht zal worden overgegaan, zal de rechtbank partijen in de gelegenheid stellen zich – bij voorkeur eensluidend – uit te laten over de persoon van de te benoemen deskundige. Bij dezelfde akte kunnen zij zich uitlaten over de aan de deskundige voor te leggen vragen. De rechtbank zal de zaak hiertoe naar de rol verwijzen.

4.20.

De rechtbank overweegt de volgende vragen aan de te benoemen deskundige voor te leggen:

1) Wat is de oorzaak van het niet aanwezig zijn van de door Verito gemaakte software en andere data op de vanaf juli 2017 tot 12 april 2018 gemaakte (periodieke) back-ups? Als het antwoord op die vraag luidt dat de oorzaak is dat de map SQLBackups niet periodiek werd gevuld met actuele data/nieuwe software, kan worden vastgesteld of POS4 hiervoor verantwoordelijkheid droeg?

2) Wat is de oorzaak van de ransomwarebesmetting?

3) Welke rol speelt de beveiliging van het ICT-systeem door POS4 hierbij?

4.21.

De rechtbank ziet geen aanleiding om af te wijken van het uitgangspunt van de wet (195 Rv), dat het voorschot op de kosten van de deskundige in beginsel door de eisende partij moet worden gedeponeerd. Dit voorschot zal daarom door Zabawas moeten worden betaald.

4.22.

Iedere verdere beslissing wordt aangehouden.

in reconventie

4.23.

PS Logic legt aan haar vordering in reconventie ten grondslag dat zij in opdracht en voor rekening van Zabawas werkzaamheden heeft verricht ten behoeve van het deponeren van de software en data van Verito in broncode escrow bij Escrow Alliance. Zabawas heeft de hiervoor door POS4 namens PS Logic verzonden facturen niet voldaan.

4.24.

Zabawas voert tot verweer aan dat de werkzaamheden ten behoeve van het deponeren van de software en data van Verito in broncode escrow niet door PS Logic zijn verricht. PS Logic bestaat feitelijk niet meer sinds 2018.

4.25.

De rechtbank stelt vast dat de vordering in reconventie slechts is ingesteld door PS Logic. Zoals reeds is overwogen in conventie is de rechtsverhouding tussen Zabawas en PS Logic eind 2017 overgenomen door POS4 (zie 4.6). POS4 c.s. hebben bovendien ter zitting erkend dat PS Logic begin 2018 is opgehouden te bestaan bij gebrek aan baten. Tegen die achtergrond hebben POS4 c.s. onvoldoende onderbouwd dat de overeenkomst die aan de werkzaamheden ten behoeve van het verzorgen van het depot ten grondslag ligt, is aangegaan door PS Logic. Verder is gesteld noch gebleken dat PS Logic de vordering ter zake de onbetaalde facturen (zie 4.23) op Zabawas door middel van cessie of contractsoverneming of op andere wijze heeft verkregen. Het voorgaande leidt ertoe dat de vordering van PS Logic voor afwijzing gereed ligt.

4.26.

Iedere verdere beslissing wordt aangehouden.

5. De beslissing

De rechtbank

in conventie

5.1.

bepaalt dat de zaak weer op de rol zal komen van 11 augustus 2021 voor het nemen van een akte door beide partijen waarin zij zich uitlaten over de persoon van de te benoemen deskundige en de aan deze te stellen vragen,

in conventie en in reconventie

5.2.

houdt iedere verdere beslissing aan.

Dit vonnis is gewezen door mr. J.E. Molenaar, rechter, bijgestaan door mr. L.A. Bosch griffier. Het is ondertekend door de rolrechter en op 14 juli 2021 uitgesproken in het openbaar.[2083/3152]