vonnis
RECHTBANK MIDDEN-NEDERLAND
Civiel recht
handelskamer
zaaknummer / rolnummer: C/16/496869 / HA ZA 20-103
de stichting
[eiseres]
,
gevestigd te [vestigingsplaats 1] ,
eiseres,
advocaat mr. E. Doornbos,
de besloten vennootschap met beperkte aansprakelijkheid
[gedaagde] B.V.,
gevestigd te [vestigingsplaats 2] ,
gedaagde,
advocaat mr. J.A. Endtz (procesadvocaat mr. I.M.CA. Reinders-Folmer).
Partijen zullen hierna [eiseres] en [gedaagde] genoemd worden.
1 De procedure
[eiseres] heeft een dagvaarding met producties 1 tot en met 3 ingediend. [gedaagde] heeft een conclusie van antwoord met producties 1 tot en met 7 ingediend. Op 18 juni 2020 heeft een comparitie na antwoord plaatsgevonden. Vervolgens is bepaald dat op 29 juli 2020 een vonnis zal worden uitgesproken.
2 Waar gaat deze zaak over?
2.1.
[eiseres] is een [.] culturele instelling. [gedaagde] is een IT-beheerder. Vanaf 2014 heeft [gedaagde] het IT-beheer van [gedaagde] verzorgd. Daarbij werkte zij onder meer samen met de heer [A] (hierna: [A] ), de systeembeheerder van [eiseres] . Partijen hebben hun afspraken vastgelegd in een schriftelijke overeenkomst (productie 1
van [eiseres] ) (hierna: de overeenkomst).
2.2.
Op 26 oktober 2018 heeft [eiseres] de overeenkomst opgezegd per 1 november 2019. Zij ging het IT-beheer opnieuw aanbesteden, in welk verband ook [gedaagde] in aanmerking kwam. Op 16 oktober 2019 liet [eiseres] aan [gedaagde] weten dat de overeenkomst met [gedaagde] definitief niet zou worden verlengd. Naar aanleiding daarvan zijn partijen (verder) in overleg getreden over een overdracht van het beheer.
2.3.
Eén van de onderwerpen waarover partijen hebben gesproken, is de firewall. De firewall die [gedaagde] onder de overeenkomst beschikbaar stelde, was geïnstalleerd op een router die was geplaatst in een afgesloten ruimte bij [eiseres] die beperkt toegankelijk was. [eiseres] had interesse in het verdere gebruik van de firewall na de overdracht. [gedaagde] heeft [eiseres] een exemplaar van de firewall aangeboden, maar de kosten daarvan vond [eiseres] te hoog. Dat deed haar besluiten om elders een firewall aan te schaffen. Om de andere firewall te installeren, wilde [eiseres] gebruikmaken van de configuratiegegevens die voor de bestaande firewall werden gebruikt, en die zij volgens [eiseres] voor het grootste deel zelf aan [gedaagde] heeft verstrekt. [gedaagde] wilde de configuratiegegevens echter niet aan [eiseres] verstrekken, omdat zij zich op het standpunt stelde dat deze vertrouwelijke informatie van [gedaagde] bevatten.
2.4.
Op of omstreeks 24 oktober 2019 heeft [A] in de afgesloten ruimte waar de router stond de configuratiegegevens gekopieerd. [gedaagde] kwam te weten dat iemand zich toegang had verschaft tot de router en de firewall en beschouwde dat als een ‘hack’. Vervolgens heeft zij onderzoek gedaan naar dat voorval en daarover met [eiseres] contact gehad. Partijen zijn het niet helemaal eens over wat er in verband met dat onderzoek is gebeurd. Volgens [eiseres] heeft [gedaagde] de mailbox van [A] ‘gehackt’ en is dit een onrechtmatige daad van [gedaagde] . Verder betoogt [eiseres] dat als [gedaagde] zichzelf toegang heeft verschaft tot de mailbox en de inhoud van de e-mails heeft ingezien, dit in strijd is met artikel VIII van de overeenkomst, op grond waarvan [gedaagde] een contractuele boete van
€ 100.000 verbeurt. Die bepaling luidt, voor zover van belang, als volgt: “Partijen verplichten zich over en weer om alle informatie en gegevens waarvan partijen kennisnemen bij de uitvoering van deze Overeenkomst, met inbegrip van bedrijfsgegevens, klantgegevens, aankoop- en verkoopgegevens vertrouwelijk te behandelen.”
2.5.
In deze procedure vordert [eiseres] een verklaring voor recht dat [gedaagde] onrechtmatig ten opzichte van [eiseres] heeft gehandeld, € 15.000 aan schadevergoeding en
€ 100.000 aan verbeurde contractuele boetes, een en ander met rente en kosten.
3 De beoordeling
3.1.
De centrale vraag in deze zaak is of [gedaagde] onrechtmatig en/of in strijd met artikel VIII van de overeenkomst heeft gehandeld. De rechtbank komt tot de conclusie dat het antwoord ‘nee’ is. Het volgende heeft de rechtbank tot deze conclusie geleid.
3.2.
De stelplicht en de bewijslast ten aanzien van onrechtmatige daad en/of de schending van de overeenkomst rusten op [eiseres] . Het is in de eerste plaats aan [eiseres] om voldoende feitelijk en concreet te stellen wat de feitelijke grondslag is van haar vordering. Vervolgens is het aan [gedaagde] om die stellingen voldoende gemotiveerd te betwisten. Aan bewijs wordt pas toegekomen als een stelling enerzijds voldoende feitelijk en concreet is en anderzijds voldoende gemotiveerd is betwist.
3.3.
Tussen partijen staat vast dat de firewall bij [eiseres] van [gedaagde] was. Ook heeft [eiseres] erkend dat er op de firewall vertrouwelijke gegevens van [gedaagde] staan. Tot slot staat vast dat een persoon (naar later bleek: [A] ), zonder toestemming van [gedaagde] , de firewall heeft uitgeschakeld en configuratiegegevens heeft gekopieerd naar een ander apparaat. De rechtbank is het met [gedaagde] eens – en dat heeft [eiseres] ook niet betwist – dat [gedaagde] gerechtigd was (en waarschijnlijk ook verplicht op grond van de overeenkomst) om onderzoek te doen naar dat voorval.
3.4.
Partijen zijn het niet erover eens wat [gedaagde] bij haar onderzoek precies heeft gedaan. Volgens [eiseres] heeft [gedaagde] een kopie gemaakt van de mailbox van [A] en de inhoud van de e-mails bekeken. [gedaagde] betwist dat.
3.5.
De rechtbank oordeelt als volgt. [gedaagde] heeft in deze procedure gedetailleerd uitgelegd welk onderzoek zij heeft gedaan en waarom. [gedaagde] stelt dat zij het vermoeden had dat [A] zich toegang had verschaft tot de router en de firewall. Dat vermoeden was gestoeld op een mededeling van [A] tegenover een medeweker van [gedaagde] dat hij de gewenste configuratiegegevens zelf van de router zou halen. Een externe hack moest echter ook worden uitgesloten, aldus [gedaagde] . Volgens [gedaagde] is een beperkt onderzoek, een ‘ComplianceSearch’, uitgevoerd naar de mailbox van [A] . Daarbij konden volgens [gedaagde] alleen gegevens bekend worden over het aantal items in de mailbox en, bij een ‘export’ die volgens [gedaagde] niet daadwerkelijk heeft plaatsgevonden, de inhoud van de ‘regels’ (afzender/ontvanger, onderwerp, tijdstip), maar niet de inhoud van de e-mails. Dat type onderzoek heeft zij laten repliceren door de heer [B] , waarvan verslag is gedaan (productie 7 van [gedaagde] ). [gedaagde] zou niet zonder toestemming van [eiseres] of een bevoegde derde naar de inhoud van de e-mails kijken, aldus [gedaagde] .
3.6.
Tegen de achtergrond van wat [gedaagde] over het onderzoek naar voren heeft gebracht, kon van [eiseres] worden verlangd dat zij feitelijke en concrete informatie zou aanleveren waaruit volgens haar volgt dat [gedaagde] een kopie heeft gemaakt van de mailbox van [A] en de inhoud van de e-mails heeft bekeken of kunnen bekijken. Feitelijke en concrete aanwijzingen heeft [eiseres] niet gegeven. Zo’n aanwijzing kan niet worden gevonden in de stelling dat het beperkte onderzoek, dat volgens [gedaagde] heeft plaatsgevonden, nutteloos is. [gedaagde] heeft uitgelegd dat zij met haar onderzoek als het ware ‘aan de poort’ kwam te staan en, zodra zij wel toegang zou (moeten) krijgen tot de mailbox, zou kunnen nagaan wat er in de mailbox in de tussentijd is gewijzigd. Daarop heeft [eiseres] niet onderbouwd gereageerd. Een aanwijzing dat [gedaagde] wel degelijk inzage heeft gehad in de inhoud van de e-mails kan evenmin worden gevonden in de stelling van [eiseres] dat [gedaagde] uit de mailbox te weten is gekomen dat [eiseres] met een andere ICT-dienstverlener in zee zou gaan nu zij dat niet op een andere manier kon weten. Die redenering begrijpt de rechtbank zonder nadere uitleg, die ontbreekt, niet. Tussen partijen staat immers vast dat [eiseres] de overeenkomst op 26 oktober 2018 heeft opgezegd en dat zij op 16 oktober 2019 aan [gedaagde] heeft laten weten dat de overeenkomst (definitief) niet zou worden verlengd. Het onderzoek van [gedaagde] vond ná 24 oktober 2019, de dag waarop [gedaagde] erachter kwam dat iemand toegang had gehad tot de router, plaats, zodat zonder uitleg niet valt in te zien dat [gedaagde] uit dat onderzoek heeft moeten afleiden dat [eiseres] met een ander in zee ging. Ook voor het overige heeft [eiseres] haar versie van gebeurde onvoldoende concreet onderbouwd.
3.7.
De onrechtmatige gedraging die [eiseres] [gedaagde] verwijt, is daarmee niet komen vast te staan. Evenmin is, naar de eigen uitleg van [eiseres] , artikel VIII van de overeenkomst geschonden. [eiseres] heeft immers ter zitting naar voren gebracht dat als de stellingen van [gedaagde] over het beperkte onderzoek kloppen, de bewuste contractsbepaling niet is geschonden. Nu geen sprake is van een onrechtmatige gedraging of schending van de overeenkomst door [gedaagde] , is er ook geen verschuldigdheid van buitengerechtelijke kosten. De vorderingen van [eiseres] zullen dus worden afgewezen.
3.8.
[eiseres] krijgt ongelijk en wordt in de proceskosten veroordeeld. De kosten aan de zijde van [gedaagde] worden begroot op:
- griffierecht € 4.131,00
- salaris advocaat € 3.414,00 (2 punten × tarief € 1.707,00)
Totaal € 7.545,00
.jpg?width=50&height=55)
.jpg?width=50&height=55)
