IT-dienstverlener-beveiliging

IT-dienstverlener tekortgeschoten door onvoldoende beveiliging


Door toedoen van ransomware heeft de eiseres in deze zaak bestanden verloren doordat deze zijn versleuteld. Het gaat hier om een groot aantal professionele foto’s. De eiseres vordert schadevergoeding van haar IT-dienstverlener, omdat deze de IT-infrastructuur heeft aangelegd zonder deze voldoende te beveiligen. De IT-dienstverlener kan zich niet beroepen op zijn algemene voorwaarden. Deze vordering wordt deels toegewezen.

Geschatte leestijd: 4 minutes

IT-totaalpakket onder de ICT Office voorwaarden

Eiseres heeft een aantal IT-diensten en een server afgenomen bij haar IT-dienstverlener. Deze server wordt gehost bij een partij waarmee de IT-dienstverlener een overeenkomst heeft. De IT-dienstverlener heeft voor de eiseres de volledige IT-infrastructuur aangelegd en verzorgde het beheer en onderhoud daarvan. Er werd een zogenaamd “totaalpakket” geleverd. De IT-dienstverlener heeft de ICT Office voorwaarden van toepassing verklaard op deze overeenkomst.

Geen back-up, foto’s zijn verloren

Wanneer op een bepaald moment de bestanden op de server worden versleuteld wil de eiseres terugvallen op de back-up. Dat blijkt niet te gaan omdat de meest recente back-up twee weken oud is en ook nog eens incompleet. De gegevens die op deze server waren opgeslagen, duizenden professionele foto’s, zijn verloren gegaan.

De eiseres stelt dat haar IT-dienstverlener toerekenbaar is tekortgeschoten in zijn verplichtingen doordat deze geen volledige back-ups heeft gemaakt van haar servers met als gevolg dat door toedoen van ransomware haar bestanden zijn versleuteld en duizenden foto’s verloren zijn gegaan. De eiseres vordert schadevergoeding. 

IT-dienstverlener beroept zich op zijn voorwaarden

De IT-dienstverlener betwist dit. De eiseres, zo stelt de dienstverlener, heeft zeer waarschijnlijk een phishing e-mail geopend waardoor een hacker toegang heeft verkregen tot de servers van de eiseres. Dit kan de IT-dienstverlener niet worden verweten. De IT-dienstverlener stelt verder dat hij geen bijzondere zorgplicht heeft, laat staan dat hij die heeft geschonden. Waar het gaat om de schadevergoeding beroept de IT-dienstverlener zich op de algemene voorwaarden.

Totaalpakket niet zonder adequate beveiliging

Volgens de rechtbank is het moeilijk voorstelbaar hoe onder de overeenkomst een totaalpakket wordt geleverd zonder dat de daarbij behorende beveiliging kan zijn inbegrepen. De IT-dienstverlener mocht er niet zonder meer vanuit gaan dat de eiseres geen prijs zou stellen op adequate beveiliging, als onderdeel van het door haar afgenomen totaalpakket. Zonder het gesprek over beveiliging aan te gaan, mocht eiseres er dus op vertrouwen dat de IT-dienstverlener dit als onderdeel van de koop- en dienstverleningsovereenkomst zou regelen. 

De stelling van eiseres dat de overeenkomst tevens het aanleggen van een adequaat beveiligings- en back-upsysteem inhield, slaagt volgens de rechtbank.

Toerekenbaar tekortgeschoten?

De tekortkoming rondom de back-up valt uiteen in twee delen. De back-up van de SQL-omgeving en de back-up van de fotobestanden op de FTP-server. Ik beperk mij hier tot de back-up van de FTP-server. 

Anders dan in het geval van de SQL-server, heeft de IT-dienstverlener met de hostingpartij geen enkele afspraak gemaakt over de beveiliging van de FTP-server. De hostingpartij was tegenover de IT-dienstverlener contractueel niet verplicht om back-ups te maken van de FTP-server.

In het licht van deze omstandigheden en gelet op de verplichting van de IT-dienstverlener om voor een adequate beveiliging van de (bedrijfs-)gegevens van eiseres zorg te dragen, is de rechtbank van oordeel dat de IT-dienstverlener hiermee toerekenbaar is tekortgeschoten in zijn verplichtingen. De rechtbank tekent hierbij aan dat de IT-dienstverlener wist of behoorde te weten dat het behoud en de beveiliging van de foto’s van groot belang is voor de bedrijfsvoering van eiseres en dat de eiseres volledig is afgegaan op het deskundige advies van de IT-dienstverlener om een FTP-server te gebruiken voor de opslag van haar foto’s.

IT-dienstverlener is aansprakelijk voor schade

De rechtbank is van oordeel dat de IT-dienstverlener op grond van art. 6:74 BW in beginsel aansprakelijk is voor de schade die eiseres door zijn tekortkoming heeft geleden. Ter afwering van de aansprakelijkheid beroept de IT-dienstverlener zich op zijn algemene voorwaarden. Hierin is onder meer bepaald dat de totale aansprakelijkheid, kort gezegd, is gemaximaliseerd. 

Eiseres heeft de vernietiging van de algemene voorwaarden ingeroepen, omdat de IT-dienstverlener haar niet een redelijke mogelijkheid heeft geboden om daarvan kennis te nemen, verwijzend naar art. 6:233 sub b jo. art. 6:234 lid 1 BW.

Algemene voorwaarden worden vernietigd

In de offertes heeft de IT-dienstverlener volstaan met de mededeling dat zijn algemene voorwaarden van toepassing zijn en dat deze op verzoek zullen worden toegezonden. Hij heeft eerder kenbaar gemaakt dat de algemene voorwaarden “vanwege de enorme omvang daarvan” elektronisch toegankelijk zijn op hun website. Naar het oordeel van de rechtbank heeft de IT-dienstverlener daarmee niet tijdig aan de ingevolge art. 6:230c jo. art. 6:230e jo. art. 6:234 lid 1 BW op zijn rustende informatieplicht voldaan. Eiseres heeft de algemene voorwaarden dan ook rechtsgeldig vernietigd.

De rechtbank komt tot de slotsom dat de door eiseres gevorderde schadevergoeding, weliswaar tot een gemaximaliseerd bedrag, voor toewijzing in aanmerking komt.