Zorgplicht ICT-dienstverlener: Totaalpakket zonder beveiliging onvoorstelbaar

Zorgplicht ICT-dienstverlener: Totaalpakket zonder beveiliging onvoorstelbaar

Opdrachtgever heeft te maken gehad met een hack, waarbij haar bestanden door ransomware zijn versleuteld. Opdrachtgever zou daardoor ook een zeer groot aantal product- en sfeerfoto’s kwijt zijn geraakt.

Partijen verschillen van mening over de reikwijdte van de koop- en dienstverleningsovereenkomst. Opdrachtgever betoogt dat ICT-dienstverlener ook gehouden was om zorg te dragen voor een veilig netwerk, terwijl ICT-dienstverlener meent dat partijen geen specifieke afspraken hebben gemaakt over beveiliging en back-ups. De rechtbank overweegt als volgt.

Beveiliging onderdeel totaalpakket ICT-dienstverlener?

ICT-dienstverlener heeft ter zitting erkend dat zij ten behoeve van Opdrachtgever een volledige IT-infrastructuur heeft aangelegd en het beheer en onderhoud daarvan verzorgde. Dat tussen partijen een afspraak bestond die inhield dat ICT-dienstverlener een ‘totaalpakket’ zou leveren, is dus niet in geschil. De vraag die partijen wel verdeeld houdt, is of ook de beveiliging van het netwerk deel uitmaakte van dat totaalpakket. Nu partijen hun afspraken niet (volledig) op papier hebben gesteld, moet het antwoord op die vraag uit andere feiten en omstandigheden worden afgeleid. Daarbij is van belang wat partijen redelijkerwijs over de omvang van de koop- en dienstverleningsovereenkomst hebben kunnen begrijpen en wat zij over en weer van elkaar mochten verwachten. De stelplicht (en eventuele bewijslast) dat deze overeenkomst ook zag op het aanleggen van een adequate beveiliging rust op Opdrachtgever, omdat zij zich beroept op de rechtgevolgen hiervan.

Opdrachtgever: afgegaan op deskundigheid ICT-dienstverlener

Opdrachtgever voert in dit kader aan dat zij (de inrichting van) haar IT-infrastructuur volledig in handen van ICT-dienstverlener heeft gelegd en dat de beveiliging daarvan vanzelfsprekend deel uitmaakte. Opdrachtgever stelt dat een adequate beveiliging voor haar van groot belang is en dat ICT-dienstverlener hiervan op de hoogte was. Daarbij is Opdrachtgever geheel afgegaan op de deskundigheid en adviezen van ICT-dienstverlener.

ICT-dienstverlener: Geen bijzondere zorgplicht voor beveiliging

ICT-dienstverlener voert als verweer aan dat de overeenkomsten geen enkele bepaling bevat over een correcte uitvoering van de hosting, ondersteuning en beveiliging. ICT-dienstverlener betwist dat op haar een bijzondere zorgplicht rust. In dat verband verwijst zij naar de uitspraken van het gerechtshof Amsterdam van 28 april 2015 (ECLI:NL:GHAMS:2015:1635) en de rechtbank Limburg van 21 juni 2017 (ECLI:NL:RBLIM:2017:6454). Als deze zorgplicht zou bestaan, dan geldt die plicht voor hosting provider tegenover Opdrachtgever en/of ICT-dienstverlener, aldus ICT-dienstverlener.

Rechter: Totaalpakket zonder beveiliging onvoorstelbaar

De rechtbank is van oordeel dat ICT-dienstverlener hiermee onvoldoende gemotiveerd heeft betwist dat Opdrachtgever er vanuit is gegaan en mocht gaan dat ICT-dienstverlener bij de uitvoering van de koop- en dienstverleningsovereenkomst een volledige IT-infrastructuur aan te leggen, tevens zorg zou dragen voor een adequate beveiliging van haar gegevens. Daarbij overweegt de rechtbank dat het gelet op het gestelde en niet betwiste belang hiervan, moeilijk voorstelbaar is hoe onder de overeenkomst een totaalpakket te leveren niet tevens de aanleg van de daarbij behorende beveiliging kan zijn begrepen. ICT-dienstverlener mocht er dus niet zonder meer vanuit gaan dat Opdrachtgever geen prijs stelde op adequate beveiliging, als onderdeel van het door haar afgenomen totaalpakket. ICT-dienstverlener heeft ook niet gesteld dat zij van Opdrachtgever heeft begrepen of mogen begrijpen dat Opdrachtgever beveiliging niet belangrijk vond. Aldus had ICT-dienstverlener bij deze stand van zaken de verantwoordelijkheid tegenover Opdrachtgever om ofwel (adequate) beveiliging onderdeel van het totaalpakket te maken, of anders met Opdrachtgever uitdrukkelijk te bespreken dat ICT-dienstverlener daar juist niet voor zou zorgen; Opdrachtgever zou dan de mogelijkheid hebben daar zelf op een andere manier voor te zorgen. Zonder het gesprek over beveiliging aan te gaan, mocht Opdrachtgever er dus op vertrouwen dat ICT-dienstverlener dit als onderdeel van de koop- en dienstverleningsovereenkomst zou regelen. De omstandigheid dat ICT-dienstverlener de hosting van de server heeft uitbesteed aan hosting provider, ontsloeg ICT-dienstverlener niet van haar verantwoordelijkheid om zorg te dragen voor een adequate beveiliging van de gegevens van Opdrachtgever. De stelling van Opdrachtgever dat de overeenkomst tevens het aanleggen van een adequaat beveiligings- en back-upsysteem inhield, slaagt dus.

Bron: Uitspraak