De aanleiding

Eind 2020 vond bij de gemeente Hof van Twente (hierna: de “Gemeente”) een cyberaanval plaats, waarbij servers zijn verwijderd en de back-up versleuteld en ontoegankelijk is gemaakt. Dat heeft geleid tot forse schade voor de Gemeente.

De cyberaanval zou hebben plaatsgevonden nadat een medewerker van de Gemeente eind 2019 een regel in een firewall had aangepast, waardoor een van de servers van de Gemeente vanaf het internet toegankelijk werd. Dit betrof ook de poort die gebruikt wordt door het Remote Desktop Protocol. Vervolgens is in oktober 2020 het wachtwoord van een van de accounts van de Gemeente veranderd in het (relatief gemakkelijk te raden) “Welkom2020”. Hackers hebben dit wachtwoord middels brute-force aanvallen van buitenaf weten te achterhalen en hebben met het account toegang gekregen tot de server.

Omdat het account de hoogste rechten binnen het netwerk van de Gemeente had, was het voor de aanvallers mogelijk om zich vervolgens vrij over het netwerk van de Gemeente te bewegen. Daardoor waren de hackers in staat om gegevens te versleutelen en servers te verwijderen.

De Gemeente houdt de ICT-leverancier die zij had ingeschakeld voor (o.a.) systeembeheer en aanverwante ICT-beheerdienstverlening, Switch IT Solutions B.V. (hierna: “Switch”), ervoor verantwoordelijk dat de cyberaanval heeft kunnen plaatsvinden. Uiteindelijk heeft de Gemeente bij de rechter geprobeerd om van Switch vergoeding te krijgen van de schade die zij heeft geleden als gevolg van de hack. Daarbij stelde de Gemeente dat Switch tekort was geschoten in de nakoming van de tussen partijen gesloten overeenkomst. Ook zou Switch de (bijzondere) zorgplicht die op Switch als ICT-leverancier rust hebben geschonden.

De overeenkomst tussen partijen

Na een Europese aanbestedingsprocedure hebben de Gemeente en Switch een overeenkomst gesloten op basis waarvan Switch als taak had om het systeembeheer en aanverwante ICT-beheerdienstverlening van de Gemeente te verzorgen. De opdracht zag onder meer op het borgen van de adequate werking van de systeemsoftware, back-up en restore van data, antivirusmaatregelen en firewallinrichting.

Voor de servers, opslag en netwerkvoorzieningen werd Switch verantwoordelijk. Voor de overige apparatuur bleef de Gemeente zelf verantwoordelijk. De technisch applicatiebeheerders van de Gemeente dienden daarbij volledige beheerrechten te hebben. Verder heeft de Gemeente uitdrukkelijk bedongen dat zij een eigen account behield. Dat account beheerde de Gemeente zelf om externe leveranciers toegang te kunnen geven tot haar netwerk. Aan het betreffende account waren de hoogste beheerrechten gekoppeld. Tot slot behoorde tot de eisen van de Gemeente dat zij 24/7 toegang had tot de back-ups.

De procedures bij rechtbank en gerechtshof

De Gemeente vordert bij de rechter ontbinding van de overeenkomst, terugbetaling van de vergoedingen die zij op grond van die overeenkomst heeft betaald en schadevergoeding.

De rechtbank Overijssel heeft in eerste aanleg (vonnis van 10 mei 2023) alle vorderingen van de Gemeente afgewezen. De rechtbank oordeelde dat er geen sprake was van een door Switch niet nagekomen contractuele verplichting en dat er geen sprake was van schending van haar zorgplicht. Onder meer omdat de contractuele verplichtingen die op Switch rustten minder ver gingen dan de Gemeente meende. Daarnaast heeft de cyberaanval volgens de rechtbank kunnen plaatsvinden omdat de Gemeente zelf haar zaakjes niet op orde had, mede omdat de hackers het netwerk van de Gemeente binnen zijn gekomen via een account dat de Gemeente zelf (onvoldoende) beheerde. Daarnaast is voor de rechtbank van belang dat de Gemeente waarschuwingen van Switch in de wind heeft geslagen.

Tegen dit oordeel heeft de Gemeente hoger beroep ingesteld, zonder succes. Het gerechtshof Arnhem-Leeuwarden (arrest van 25 februari 2025) heeft namelijk in lijn met het vonnis van de rechtbank geoordeeld dat geen sprake is geweest van een toerekenbare tekortkoming in de nakoming van de overeenkomst en/of schending van de zorgplicht door Switch.

Belangrijke argumenten om tot dit oordeel te komen zijn voor het gerechtshof onder meer dat Switch kennelijk in de offerte had aangegeven dat zij alleen de beschikbaarheid, capaciteit en prestaties van de beheerde objecten zou volgen (performance-monitoring) en niet ook de beveiliging/veiligheid (security-monitoring). De Gemeente heeft onvoldoende concreet onderbouwd dat het aantal brute-force-inlogpogingen (ongeveer 430.000 in de week voorafgaand aan de hack), die op zichzelf voor Switch zichtbaar waren bij de activiteiten in het kader van de performance-monitoring, dermate was dat Switch actie had moeten ondernemen. Daarnaast ziet het gerechtshof ook geen andere verplichtingen voor Switch die (bij nakoming ervan) hadden kunnen of moeten leiden tot het voorkomen van de hack. Ook laat het gerechtshof in haar oordeel de verantwoordelijkheden van en het handelen en nalaten door de Gemeente zelf meewegen.

Welke lessen zijn hieruit te trekken?

Platgeslagen ziet het geschil tussen de Gemeente en Switch op de vraag welke verplichtingen en verantwoordelijkheden op/bij welke partij rusten op basis van de overeenkomst en/of de (bijzondere) zorgplicht van Switch als ICT-leverancier. Uit deze kwestie zijn verschillende lessen te trekken, zowel voor afnemers van ICT als voor ICT-leveranciers.

Voor afnemers is het van belang om zich ervan bewust te zijn dat het (in de overeenkomst) op zich nemen van eigen verantwoordelijkheden ervoor kan zorgen dat de ICT-leverancier niet of minder goed aangesproken kan worden als het misgaat. Daarnaast is het voor afnemers van belang om zich ervan bewust te zijn dat de (bijzondere) zorgplicht die op ICT-leveranciers rust geen heilige graal is op basis waarvan (alle door afnemer gewenste) verplichtingen/verantwoordelijkheden bij de ICT-leverancier zijn te beleggen. Indien het gewenst is dat de ICT-leverancier bepaalde verplichtingen/verantwoordelijkheden heeft dan kan dit het beste expliciet, specifiek en duidelijk in de overeenkomst worden opgenomen. Op die wijze ben je als afnemer niet afhankelijk van een beroep op voornoemde zorgplicht om ervoor te zorgen dat de ICT-leverancier de betreffende verplichtingen/verantwoordelijkheden heeft. Uit deze zaak volgt immers dat een dergelijk beroep best eens kan mislukken.

Voor ICT-leveranciers is het van belang om zich ervan bewust te zijn dat het kan baten om afnemers (proactief) te wijzen op risico’s, bijvoorbeeld inzake (beveiliging van) back-ups. Dat kan bijdragen aan het oordeel dat niet de ICT-leverancier, maar de afnemer iets te verwijten valt indien het misgaat. Daarnaast is het voor ICT-leveranciers van belang om zich te beseffen dat in deze zaak – op verschillende punten – ook de andere kant op geredeneerd had kunnen worden door de rechtbank en het gerechtshof, op basis waarvan de verantwoordelijkheid voor het kunnen ontstaan van de cyberaanval (meer) bij Switch belegd had kunnen worden. Het is voor ICT-leveranciers dus van belang om niet alleen scherp te zijn op het maken van duidelijke afspraken in de overeenkomst, maar ook om zich bewust te zijn van de verschillende verplichtingen/verantwoordelijkheden die kunnen voortvloeien uit de op hen rustende (bijzondere) zorgplicht.

Contact met een van onze specialisten

De advocaten van het Team ICT- en privacyrecht van Nysingh staan zowel ICT-leveranciers als afnemers bij, onder meer inzake ICT-geschillen. Heeft u vragen op dit gebied, bijvoorbeeld over de uitleg van een ICT-contract of over de (bijzondere) zorgplicht van de ICT-leverancier, neem dan gerust contact met ons op.

Tot slot is meer informatie over voornoemde zorgplicht te vinden in de door ons gepubliceerde blogreeks over dit onderwerp.