Leverancier is bij cyberaanval niet tekortgeschoten in nakoming verbintenis (week 9)

Feiten en omstandigheden

De gemeente Hof van Twente heeft haar systeembeheer en aanverwante ICT-beheerdienstverlening na een Europese aanbestedingsprocedure in 2018 uitbesteed aan Switch. Op 1 december 2020 heeft bij de gemeente een cyberaanval plaatsgevonden. Daarbij zijn de systemen van het netwerk van de gemeente en de back-up versleuteld en ontoegankelijk gemaakt en vele servers verwijderd. De gemeente houdt Switch daarvoor verantwoordelijk. De gemeente meent dat Switch tekortgeschoten is in de nakoming van haar verplichtingen uit de overeenkomst van partijen, althans haar zorgplicht als ICT-beheerder heeft geschonden, althans onrechtmatig heeft gehandeld. Op grond daarvan vordert de gemeente ontbinding van de overeenkomst, terugbetaling van wat zij op grond van de overeenkomst aan Switch heeft betaald en schadevergoeding. Zij richt haar vorderingen ook tegen Dustin, de moedermaatschappij van Switch, op grond van de door Dustin afgelegde aansprakelijkheidsverklaring. De rechtbank heeft de vorderingen van de gemeente afgewezen. De bedoeling van het hoger beroep van de gemeente is dat haar vorderingen alsnog worden toegewezen. Het hof zegt o.a.:

Europese aanbesteding

“Voorop staat dat in dit geval sprake is van een Europese aanbesteding voor de uitbesteding van systeembeheer en aanverwante ICT-beheerdienstverlening. Zoals de rechtbank onbestreden heeft overwogen, betekent dit dat de bepalingen van de aanbestedingsstukken binnen de grenzen van het transparantiebeginsel moeten worden uitgelegd aan de hand van de zogenaamde CAO-norm. De bewoordingen van die bepalingen, gelezen in het licht van de gehele tekst van de aanbestedingstukken, zijn daarbij in beginsel van doorslaggevende betekenis. De aanbestedingsstukken worden hier gevormd door de Selectieleidraad aanbesteding ICT-beheerdiensten, de Uitnodiging tot Inschrijving aanbesteding ICT-beheerdiensten, de Nota van Inlichtingen, het Programma van Eisen, de Raamovereenkomst (met daarbij de GIBIT voorwaarden en de door Switch uitgebrachte inschrijving) en de Nadere Overeenkomst met de SLA.”

Geen aanknopingspunten voor ruime uitleg verplichtingen

“Uit de aanbestedingsstukken blijkt dat op Switch de verplichting rustte tot functionele monitoring, dat wil zeggen het monitoren van de door Switch beheerde objecten op beschikbaarheid, capaciteit en performance, en niet tot security-monitoring, dat wil zeggen het monitoren op beveiligingsniveau dan wel beveiligingsincidenten. Over veiligheidsaspecten of veiligheidsrisico’s (zoals een cyberaanval) wordt in de aanbestedingsstukken niet (expliciet) gesproken. Op grond daarvan mocht van Switch wel worden verwacht dat zij signalen zou oppikken die van invloed waren op de vereiste beschikbaarheid, capaciteit en performance van servers, netwerkvoorzieningen en opslag en zo nodig corrigerende maatregelen zou treffen, maar niet dat zij ook specifiek op veiligheidsrisico's zou monitoren, zoals bij ongeautoriseerde inlogpogingen. Dat zou anders zijn als de ongeautoriseerde inlogpogingen zélf invloed zouden hebben op de beschikbaarheid, capaciteit of performance van de beheerde objecten. Het hof volgt niet het betoog van de gemeente dat de beschikbaarheid van het netwerk ook een veiligheidsaspect heeft, zodat Switch toch een groot aantal inlogpogingen zou moeten detecteren gezien het risico voor de beschikbaarheid. De gemeente heeft onvoldoende toegelicht op grond waarvan zij de overeenkomst zo mocht en Switch zo moest begrijpen. De opmerking dat beveiliging een kernverplichting van Switch was, is daarvoor ontoereikend. Het hof ziet verder ook geen aanknopingspunten voor een dergelijke ruime uitleg van de verplichtingen van Switch in dit kader.”

Inspanningsverbintenis

“De gemeente stelt zich op het standpunt dat de contractuele verplichtingen van Switch moeten worden opgevat als resultaatsverbintenissen. Zij wijst er daarbij op dat Switch moest garanderen dat het beheer van de ICT-infrastructuur van de gemeente zou voldoen aan de gemeentelijke ICT-kwaliteitsnormen en een adequate firewall-inrichting, adequate antivirusmaatregelen en adequate back-up moest borgen. Met Switch is het hof echter van oordeel dat de verplichtingen die Switch in het kader van de overeenkomst op zich heeft genomen meer het karakter hebben van een inspanningsverbintenis: de aanbestede opdracht betrof in de kern de uitbesteding van het systeembeheer en aanverwante ICT-dienstverlening van de gemeente. Daarin staat niet een verplichting om een bepaald resultaat tot stand te brengen centraal, maar gaat het meer om een voortdurende inspanning voor dat resultaat, namelijk een veilige en goed werkende ICT-infrastructuur. Het enkele feit dat de cyberaanval heeft kunnen plaatsvinden waarbij de ICT-systemen van de gemeente buiten werking zijn gesteld en back-ups zijn verwijderd, betekent dan ook nog niet dat Switch is tekortgeschoten in de nakoming van haar verbintenis. Dat is pas het geval als Switch een of meer concrete verplichtingen om iets te doen of na te laten in het kader van de overeenkomst niet heeft nageleefd.”

Het hof komt net als de rechtbank tot de conclusie dat de vorderingen van de gemeente niet toewijsbaar zijn en zal de vonnissen van de rechtbank daarom bekrachtigen.

(VdLC publishers/consultants BV, 5 maart 2024)

Lees de volledige uitspraak op rechtspraak.nl