Vordering afgewezen door het niet meewerken aan deskundigenonderzoek

Vordering afgewezen door het niet meewerken aan deskundigenonderzoek


Een Stichting stelt hun ICT-dienstverlener aansprakelijk voor de gevolgen na een ransomware-aanval. In een tussenvonnis geeft de rechtbank aan dat zij behoefte heeft aan de visie van een onafhankelijke deskundige om zo tot een oordeel te komen. De Stichting wil niet meewerken aan een deskundigenonderzoek op de manier zoals dit door de rechtbank was voorgesteld. Er wordt geen bewijs geleverd. In dit eindvonnis van de rechtbank Rotterdam wordt de vorderingen dan ook afgewezen.

Geschatte leestijd: 5 minuten

Schade na Ransomware

Augustus vorig jaar schreef ik over een zaak die aanhangig was gemaakt bij de rechtbank Rotterdam, waarin een ransomware-aanval en het niet hebben van een backup centraal stond. De centrale vraag in deze zaak was of de gedaagde tekort was geschoten in de nakoming van zijn verplichtingen, doordat bepaalde data niet binnen de gemaakte backups vielen. Tevens kwam ook de oorzaak van de ransomware-uitbraak aanbod, alsmede een vraagstuk van contractoverneming zoals bedoeld in art. 6:159 BW.

Waar ging het in deze zaak over?

In deze zaak heeft een Stichting een “all-inclusive ICT-beheer” overeenkomst met een ICT-dienstverlener gesloten. De ICT-dienstverlener heeft daarbij aangegeven dat dit beheer het volgende omvat: “proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, backups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers”. Op een gegeven moment treden er fouten op in de manier waarop de backup wordt gemaakt en wordt er een overstap gemaakt op een andere server en een “cloud backup”. Enige tijd daarna wordt één van de systemen van de Stichting getroffen door ransomware. Het systeem raakt hierdoor onbruikbaar. Er moet worden teruggegrepen op de backup. Er werden echter geen backups gemaakt van dit specifieke systeem en/of van de informatie binnen dit systeem. Er werden wel dagelijkse backups gemaakt van de Windows servers alleen niet van de SQL-databases.

Tussenvonnis

De Stichting stelt dat ICT-leverancier tekort is geschoten in de nakoming van zijn verplichtingen uit de overeenkomst. De rechtbank geeft aan dat zij, om tot een oordeel te komen, behoefte heeft aan het oordeel van een onafhankelijke deskundige. Deze onafhankelijke deskundige krijgt vervolgens de volgende vraag voorgelegd: “wat is de oorzaak van het niet aanwezig zijn van de door de applicatieleverancier gemaakte software en andere data op de vanaf juli 2017 tot 12 april 2018 gemaakte (periodieke) backups?

Deskundigenonderzoek heeft volgens de Stichting geen zin

Op 15 juni jl. heeft de rechtbank Rotterdam het eindvonnis gegeven in deze zaak.

In haar eerste akte na tussenvonnis en in haar antwoordakte heeft de Stichting naar voren gebracht dat de door haarzelf ingeschakelde ICT-expert van mening is dat uit de stukken volgt dat de verantwoordelijkheid voor het maken van back-ups, en daarnaast nog verschillende andere beveiligingsmaatregelen, bij de ICT-dienstverlener lag. Ook heeft de Stichting gewezen op gepubliceerde rechtspraak waarin, in gevallen die volgens haar vergelijkbaar zijn met de onderhavige, geen deskundige is benoemd. 

De Stichting komt tot de conclusie dat het geen zin heeft om een deskundigenonderzoek te bevelen en uit te voeren. Het lijkt de Stichting beter dat door partijen in samenspraak met de rechtbank overlegd wordt over de juiste vraagstelling aan de deskundige. Mocht de rechtbank toch behoefte hebben aan voorlichting door een deskundige, zo stelt de Stichting, gaat zij ervan uit dat de vraagstelling in ieder geval anders wordt dan in het tussenvonnis is opgenomen. Op dit punt stelt de Stichting vervolgens een regiezitting voor omdat de Stichting niet geconfronteerd wenst te worden met de kosten die een deskundige met zich meebrengt.

Mogelijkheid tot bewijslevering wordt niet opgepakt

De rechtbank heeft een andere mening hierover. Gelet op de gemotiveerde betwisting door de ICT-leverancier van de stelling dat zij tekortgeschoten is in haar verplichting, rust de bewijslast daarvan op de Stichting.  Als eisende partij dient zij ook de kosten van een deskundigenbericht te dragen. De rechtbank heeft de vraagstelling aan de deskundige overwogen om de Stichting in de gelegenheid te stellen het bewijs van haar stelling bij te brengen.

De rechtbank stelt vast dat de Stichting het niet zinvol acht om een deskundigenbericht over de door de rechtbank geformuleerde vraag te laten uitbrengen. De rechtbank draagt hiervoor twee vermoedens aan. Ten eerste is de oude ICT-omgeving van de Stichting niet meer beschikbaar waardoor een onderzoek door een deskundige niets zal opleveren. Ten tweede lijkt de Stichting het principieel niet eens met de benadering van de rechtbank en acht zij een deskundigenbericht overbodig. 

De rechtbank respecteert de keuze om op deze manier geen bewijs te leveren. Hierdoor kan er echter niet van worden uitgegaan dat de ICT-leverancier tekortgeschoten is in haar verplichtingen uit de overeenkomst. De Stichting heeft zes vorderingen ingesteld. De rechtbank wijst deze vorderingen af.

Bij gebrek aan bewijs…

Het is duidelijk geen handige keuze geweest om niet in te gaan op de verzoeken tot bewijslevering. Dat blijkt ook wel uit onderstaande passage van de uitspraak van de rechtbank:

Waar de Stichting stelt dat zij ervan uitgaat dat de vraagstelling wordt gewijzigd als de rechtbank ‘ondanks het voorgaande’ toch behoefte aan deskundigenvoorlichting zou hebben, miskent de Stichting dat het niet om een al dan niet bij de rechtbank bestaande behoefte aan voorlichting gaat, maar de mogelijkheid van het laten uitbrengen van een deskundigenbericht een bewijsmiddel is waarvan de Stichting al dan niet gebruik kan maken.

Een leermoment zou ik zo denken. Ook had het geholpen dat het oude systeem nog beschikbaar was geweest voor onderzoek. De vraag is echter wel hoe realistisch dit is?

Vragen over ICT-overeenkomsten

Heb je nog vragen over het maken van goede en werkbare afspraken of over het houden van grip op je data, neem dan gerust contact op of lees andere artikelen over dit onderwerp.