Uitspraken

In het kader van de beoordeling van de vorderingen van de gemeente dient eerst te worden vastgesteld welke verplichtingen [bedrijf 1] jegens haar op grond van de overeenkomst van opdracht op zich heeft genomen. In dit geval is sprake is van een Europese aanbesteding voor de uitbesteding van systeembeheer en aanverwante ICT-beheerdienstverlening.

De rechtbank stelt voorop dat op grond van het (EU-rechtelijke) transparantiebeginsel op de aanbestedende dienst de verplichting rust om alle voorwaarden en modaliteiten in het kader van een aanbestedingsprocedure op een zodanig duidelijke, precieze en ondubbelzinnige wijze te formuleren dat alle behoorlijk geïnformeerde en normaal oplettende inschrijvers de juiste draagwijdte kunnen begrijpen en die op dezelfde manier interpreteren. Daarbij moeten de bepalingen van de aanbestedingstukken, binnen de grenzen van het transparantiebeginsel, worden uitgelegd aan de hand van de zogenaamde CAO-norm, waarbij de bewoordingen van die bepalingen, gelezen in het licht van de gehele tekst van de aanbestedingstukken, in beginsel van doorslaggevende betekenis zijn (vgl. gerechtshof Den Haag 9 oktober 2018, ECLI:NL:GHDHA:2018:2612, r.o. 5.2 en daar aangehaalde rechtspraak). De aanbestedingsstukken worden hier gevormd door de Selectieleidraad aanbesteding ICT-beheerdiensten, de Uitnodiging tot Inschrijving aanbesteding ICT-beheerdiensten, de Nota van Inlichtingen, het Programma van Eisen, de Raamovereenkomst (met daarbij de GIBIT-voorwaarden en de door [bedrijf 1] uitgebrachte inschrijving) en de Nadere Overeenkomst, met het SLA. [bedrijf 1] heeft een concept document Dossier Afspraken Procedures (DAP) opgesteld, maar een definitieve, door partijen ondertekende versie is niet tot stand gekomen.

º het documenteren en up-to-date houden van de documentatie van de inrichting van de servers, opslag en netwerkvoorzieningen (…);

º het proactief monitoren van het functioneren van de servers, opslag en netwerk-voorzieningen;

º het up-to-date houden van systeemsoftware van de servers, opslag en netwerk-voorzieningen door het installeren van patches en updates;

º het uitvoeren van corrigerende maatregelen bij geconstateerde problemen op deze infrastructuur;

º het borgen van de adequate werking van de systeemsoftware zoals opgenomen in paragraaf 3.3.1.;

º het borgen van de adequate back-up en restore van data;

º het borgen van adequate anti-virus maatregelen;

º het borgen van de adequate firewall inrichting.

Het beheer van externe netwerkverbindingen en de netwerkapparatuur hiervoor van de betreffende netwerkleveranciers viel buiten de scope van de dienstverlening. De realisatie van een structurele voorziening voor externe uitwijk viel optioneel binnen de scope van de dienstverlening.

Verder vermelden de aanbestedingsstukken dat [bedrijf 1] verantwoordelijk wordt voor het configuratiebeheer van de servers, opslag en netwerkvoorzieningen en dat de gemeente verantwoordelijk is voor de overige apparatuur en dat technisch applicatiebeheerders van de gemeente (al dan niet tijdelijk) volledige beheerrechten moeten hebben.

[bedrijf 1] is verantwoordelijk voor het afhandelen van alle gemelde en zelf gedetecteerde incidenten (“de werking van een beheerd object wijkt af van wat mag worden verwacht”) die verband houden met de door haar beheerde objecten. [bedrijf 1] dient 24 uur per dag, 7 dagen per week de beheerde objecten proactief te monitoren. De gemeente wil een real-time inkijkfunctionaliteit in de monitoring- en beheeromgeving van de leverancier. De gemeente heeft zelf de mogelijkheid minor changes (zoals geringe aanpassing in de firewall/ netwerk-configuratie) uit te voeren. Zij moet in staat zijn om accounts aan te maken, wachtwoorden te resetten, back-up’s terug te zetten en wijzigingen in het kader van technisch applicatie-beheer door te voeren. [bedrijf 1] moet voorzien in een opslagdienst voor de off-site hosting van de kopie van de actuele back-up data van de gemeente die voldoet aan de volgende vereisten:

• omvang initieel 35 TB;

• omvang in overleg uit te breiden;

• opslag op een locatie die zich hemelsbreed meer dan tien kilometer van de locatie met de primaire data (het gemeentehuis) bevindt;

• de informatieveiligheid van de data en de opslagdienst in het algemeen dient geborgd te zijn, zodanig dat voldaan wordt aan de eisen die vanuit het informatiebeveiligingsbeleid van de gemeente hieraan worden gesteld, welk beleid is gebaseerd op de Baseline Informatie-beveiliging Nederlandse Gemeenten (BIG);

• de verbinding naar de opslagdienst loopt via de internetverbinding van de gemeente;

• de opslagdienst is in principe 24 uur per dag zeven dagen per week benaderbaar;

• de leverancier controleert dagelijks dat het back-up proces naar de externe opslagdienst correct is uitgevoerd.

Voorts is het volgende nog relevant.

Afgesproken is dat de voorganger van [bedrijf 1], Previder, afrondende werkzaamheden zal verrichten, die buiten de scope van de opdracht vallen, zoals netwerksegmentatie. [bedrijf 1] heeft de gemeente op 19 februari 2019 een voorstel gedaan tot vervanging van de anti-virus software, met name ter bescherming tegen gijzelsoftware, welk voorstel niet heeft geleid tot een overeenkomst. [bedrijf 1] heeft de gemeente op 22 mei 2020 een offerte gestuurd, waarin onder meer de volgende passages zijn opgenomen:

“(…)

De back-up oplossing is doorgaans opgenomen binnen het bedrijfsnetwerk omdat zij bij de gegevens binnen het bedrijfsnetwerk moet kunnen komen. Hierdoor is er een rechtstreekse verbinding (pad) tussen het bedrijfsnetwerk en de back-up server en het verbonden opslagapparaat (NAS). Daarnaast is vanwege het “beheer gemak” de Windows back-up server opgenomen binnen het Active Directory domein. Het ontvreemden van domein beheeraccount gegevens is één van de meest voorkomende “hack” methodes en stelt de hacker in staat de back-up server met daaraan gekoppelde opslag apparaten te benaderen en daarna te gijzelen.

Voor beide problemen zullen we in het nieuwe ontwerp een oplossing aandragen door de back-up server en NAS (opslag ten behoeve van de back-up gegevens) te isoleren en de back-up server buiten het Active Directory domein te plaatsen.

Daarnaast is er nog een extra mogelijkheid om een extra kopie van uw back-up buiten uw eigen IT omgeving te bewaren door middel van de Offsite Back-up van [bedrijf 1].

Wij willen u met dit voorstel in staat stellen om de beveiliging van uw back-up voorziening te verhogen op basis van Veeam B&R om incidenten zoals bij de Universiteit van Maastricht te voorkomen. (…)”

Dit voorstel tot back-up hardening is door de gemeente niet aanvaard.

Wat de informatiebeveiliging betreft zijn de gemeente en [bedrijf 1] overeengekomen dat moest worden voldaan aan het informatiebeveiligingsbeleid van de gemeente, dat ‘op de BIG is gebaseerd’. Met die enkele verwijzing is de BIG niet van toepassing geworden op de overeenkomst van partijen, nu niet is bepaald (en voor [bedrijf 1] ook niet kenbaar hoefde te zijn) dat de BIG het informatiebeveiligingsbeleid van de gemeente was. Het ‘Beleidsplan informatieveiligheid & privacy’, dat (voornamelijk) intern gericht is, bevat een verwijzing naar het Handboek informatiebeveiliging, maar daarmee geldt de inhoud van dat handboek niet als overeengekomen. Verder is in het beleidsplan, voor zover hier relevant, slechts vermeld dat er back-upkopieën van informatie en programmatuur dienen te worden gemaakt en er regelmatig dient te worden getest overeenkomstig het vastgestelde back-up beleid.

De BIG en de BIO zijn ook niet van toepassing geworden in de verhouding tussen partijen door de verwijzing daarnaar in de GIBIT-voorwaarden. Artikel 26.1. daarvan bepaalt dat de leverancier ([bedrijf 1]) er voor instaat dat met de ICT-prestatie door opdrachtgever (dat is de gemeente) kan worden voldaan aan de BIG welke deel uitmaakt van de Gemeentelijke ICT-kwaliteitsnormen (voor zover relevant voor de ICT prestatie), althans een andere overeengekomen norm voor informatiebeveiliging. Gezien de aanbestedingsstukken heeft de gemeente haar eigen ‘informatiebeveiligingsbeleid’ als norm gesteld, waaraan [bedrijf 1] moet voldoen. Dat brengt mee dat die norm, waarvan de BIG en/of de BIO niet kenbaar deel uitmaken, en niet de BIG op grond van artikel 26.1. van de GIBIT-voorwaarden van toepassing is.

Daarbij komt dat in artikel 1.2. van de Raamovereenkomst is bepaald dat in afwijking van 1.14 van de GIBIT-voorwaarden de aldaar opgenomen definitie van de ICT-prestatie wordt beschreven. Ten slotte geldt dat de informatiebeveiliging een kernverplichting van [bedrijf 1] betreft in het kader van de overeenkomst: aan een dergelijke kernverplichting kan niet via algemene voorwaarden zoals de GIBIT-voorwaarden een andere en veel ruimere strekking worden gegeven dan specifiek overeengekomen. Dat zou zich ook niet verdragen met het hiervoor genoemde transparantiebeginsel. Met betrekking tot de beveiliging geldt echter dat het wel tot de taak van [bedrijf 1] behoorde de aanwezigheid van beveiligingen in het netwerk (zoals een adequate firewall) te waarborgen, maar niet om eventuele beveiligingsincidenten te monitoren. Dat laatste valt onder security monitoring, die niet is overeengekomen.

Voordat de rechtbank, met inachtneming van gemelde inhoud van de contractuele verplichtingen van [bedrijf 1], zal ingaan op de door de gemeente gestelde niet-nakoming van één of meer van die verplichtingen, acht zij het van belang te wijzen op het volgende.

Een medewerker van de gemeente heeft een regel in de firewall gewijzigd, waardoor de RDP-poort naar het internet werd opengezet en de FTP-SVR03 server van de gemeente via het internet bereikbaar werd. De wijziging in de firewall is niet aan [bedrijf 1] gemeld. Een medewerker van de gemeente heeft enige tijd later een zwak wachtwoord ingesteld op een door de gemeente beheerd domain admin account, dat via een brute force aanval is geraden door hackers. Het nieuwe wachtwoord voldeed aan het wachtwoordbeleid van de gemeente. De wijziging van het wachtwoord is niet aan [bedrijf 1] gemeld. [bedrijf 1] heeft, zo blijkt uit de Nota van Inlichtingen (vraag 31), de gemeente erop gewezen dat de gevolgen van bepaalde werkzaamheden die de medewerkers van de gemeente moeten kunnen uitvoeren niet in alle gevallen zijn te voorzien. In de aanbestedingsstukken staat ook dat [bedrijf 1] verantwoordelijk is voor de afhandeling van alle gemelde en zelf gedetecteerde incidenten (‘de werking van een beheerd object wijkt af van wat mag worden verwacht’): a contrario kan daaruit worden afgeleid dat zij niet verantwoordelijk is voor niet gemelde incidenten die zij zelf niet heeft hoeven detecteren.

Tot slot is van belang dat uit de rapporten van NFIR blijkt dat zij bij de beantwoording van de gestelde vragen niet is uitgegaan van de verplichtingen van [bedrijf 1] op grond van de aanbestedingsstukken, maar (kennelijk) van wat van een redelijk bekwaam en redelijk handelend ICT-beheerder in zijn algemeenheid mag worden verwacht. Wanneer echter een overeenkomst met een ICT-beheerder is gesloten voor specifieke diensten, dan hangt het juist van de inhoud van de overeenkomst af wat er van de ICT-beheerder mag worden verwacht.

gestelde niet-nakoming overeenkomst

documentatieplicht

proactief monitoren

Zoals de gemeente terecht opmerkt waren de contractuele verplichtingen van [bedrijf 1] er inderdaad op gericht om signalen van risicovolle situaties te detecteren, maar dan niet van beveiligingsrisico’s, maar risico’s voor het functioneren. Expliciet overeengekomen is dat proactieve monitoring alleen ziet op het functioneren van de servers, de opslag en de netwerkvoorzieningen. Ongeautoriseerde inlogpogingen en/of een brute force aanval zullen bij functionele monitoring pas een melding geven als zij invloed hebben op de capaciteit, performance en beschikbaarheid van het netwerk.

Dat dat hier het geval is geweest, heeft de gemeente wel gesteld, maar niet onderbouwd. Ook NFIR schrijft enkel (zonder toelichting) dat het aantal ongeautoriseerde inlogpogingen ‘zeer waarschijnlijk’ van invloed is geweest, waaruit niet kan worden afgeleid dat het ook daadwerkelijk van invloed is geweest.

Verder stelt de gemeente dat het openzetten van een RDP-poort een afwijking is, omdat het netwerk dan anders functioneert, maar zij onderbouwt niet welke invloed het openzetten van de poort heeft op de performance, capaciteit of beschikbaarheid van de servers, opslag en/of netwerkvoorzieningen en waarom als gevolg daarvan ook bij enkel functionele monitoring een melding zou moeten zijn gegenereerd.

Uit de aanbestedingsstukken volgt niet dat [bedrijf 1] de verplichting had de monitoring zo in te richten dat beveiligingsincidenten zoals wachtwoordresets en de aanwezigheid van malware en hackpogingen in een logging, ook zonder dat dat tot afwijkingen in het functioneren van de servers, netwerkvoorzieningen of opslag leidde, meldingen zouden geven waarop, vanuit de functionele monitoring bezien, actie moest worden ondernomen.

Volgens de gemeente heeft [bedrijf 1] de gerechtvaardigde verwachting gewekt (door in de aanbestedingsstukken te verklaren dat niet-geautoriseerde inlogpogingen door ITSM proactief worden gedetecteerd en dat met haar tools de hele IT-omgeving van de gemeente kon worden gemonitord, gecontroleerd en beheerd, alsook door het scherm van de Kaseya-tool in haar inschrijving op te nemen) dat mislukte of niet-geautoriseerde inlogpogingen zouden leiden tot meldingen en corrigerend optreden. Wat daarvan ook zij, het gehackte account was een account van de gemeente met de hoogste beheerrechten, dat buiten de Kaseya-en PRTG-tool van [bedrijf 1] door de gemeente was ingericht en door haar zelf werd beheerd.

[bedrijf 1] heeft de gemeente er medio 2020 nog op gewezen dat het gelet op de veiligheid beter was leveranciers alleen via de Kaseya-tool toegang te geven, maar voor de gemeente is dat geen aanleiding geweest gebruik te gaan maken van die tools op haar eigen account.

Het opstellen van het wachtwoordbeleid was de verantwoordelijkheid van de gemeente. De gemeente heeft niet onderbouwd op grond waarvan het afdwingen ervan en het monitoren van wijzigingen van ingestelde wachtwoorden, zeker waar het betreft een door de gemeente beheerd account, de verantwoordelijkheid was van [bedrijf 1].

Daar komt bij dat het gekozen wachtwoord ‘Welkom2020’ aan het wachtwoordbeleid van de gemeente voldeed, zodat een toets aan dat beleid niet tot een melding zou hebben geleid.

Een medewerker van de gemeente heeft een regel in de firewall aangepast, waardoor de RDP-poort is opengezet. Dit levert in het kader van functionele monitoring slechts dan een melding op als hierdoor de performance, capaciteit en beschikbaarheid van de servers, de opslag of de netwerkvoorzieningen zodanig worden beïnvloed dat een bepaalde, vooraf ingestelde grenswaarde wordt overschreden. Dat de aanpassing van de regel in de firewall tot een dergelijke overschrijding heeft geleid, heeft de gemeente niet onderbouwd. Het lag verder, gezien ook de mededeling van [bedrijf 1] dat zij de gevolgen van de werkzaamheden die de medewerkers van de gemeente moesten kunnen verrichten niet in alle gevallen kon voorzien, op de weg van de medewerkers van de gemeente om een door hen buiten [bedrijf 1] om gedane aanpassing aan de firewall bij [bedrijf 1] te melden, hetgeen niet is gebeurd.

Daarbij betrekt de rechtbank dat [bedrijf 1] weliswaar een adequate firewall moest inrichten, hetgeen zij ook heeft gedaan, maar dat op haar niet de verplichting rustte om nadien door medewerkers van de gemeente ingevoerde wijzigingen in de instellingen van de firewall te monitoren, voor zover die wijzigingen niet van wezenlijke invloed waren op de capaciteit, performance en beschikbaarheid van de servers, de opslag en/of de netwerkvoorzieningen.

borging van adequate back-up en restore

Op [bedrijf 1] rustte de verplichting om een adequate back-up en restore van data te borgen. Daarbij ging het om een offsite en niet om een offline back-up: de gemeente wilde immers via de eigen internetverbinding toegang houden tot de back-up. Op zichzelf voldeed de door [bedrijf 1] geleverde back-up aan de in de aanbestedingsstukken genoemde vereisten. Bij de cyberaanval is de back-up echter ook gecompromitteerd geraakt. De vraag is nu of [bedrijf 1], in het licht van de overeenkomst, aanvullende beveiligingsmaatregelen had moeten treffen om de back-up veilig(er) te maken.

De rechtbank overweegt ten eerste dat de gemeente zelf, door een eigen internetverbinding te willen hebben met de back-up en een account met de hoogste rechten te beheren, risico’s heeft geschapen voor de veiligheid van de back-up, die zich hebben gerealiseerd: omdat de aanvallers (nadat de RDP-poort was opengezet en het wachtwoord ‘Welkom2020’ geraden was) toegang hebben weten te krijgen tot een account met de hoogste rechten binnen het netwerk van de gemeente, konden zij de back-up benaderen en schaden. Gelet op de eis van de gemeente was bijvoorbeeld een offline back-up niet mogelijk. Ter zake is zij door [bedrijf 1] bij aanvang van de overeenkomst al gewaarschuwd.

Ten tweede is van belang dat Previder in het kader van de afronding van haar opdracht voor de gemeente nog werkzaamheden als het realiseren van netwerksegmentatie zou verrichten. Dat is kennelijk niet gebeurd, terwijl de verplichting tot het (alsnog) invoeren van een netwerksegmentering op grond van de aanbestedingsstukken niet op [bedrijf 1] rustte.

Ten derde geldt dat [bedrijf 1] aan de gemeente ruim vóór de cyberaanval een voorstel heeft gedaan voor back-up hardening. In dat voorstel is vermeld dat het ontvreemden van domain beheeraccount gegevens een van de meest voorkomende hackmethodes is (waarmee de gemeente weer wordt gewaarschuwd) en wordt onder meer voorgesteld om de back-up server te isoleren, de back-up server buiten het Active Directory domein te plaatsen en een extra kopie van de back-up buiten de IT-omgeving van de gemeente te bewaren.

Wat er ook zij van de discussie of deze door [bedrijf 1] voorgestelde maatregelen voldoende zouden zijn geweest om de cyberaanval te voorkomen of de gevolgen ervan te beperken (NFIR meende eerst van ‘wel’ en later van ‘niet’), is, bezien in het licht van het gegeven dat het gehackte account door de gemeente werd beheerd, daaraan de hoogste rechten waren verbonden en een zwak wachtwoord was ingesteld, een feit dat de gemeente (kennelijk uit kostenoverwegingen) niet is ingegaan op [bedrijf 1] voorstel. Daardoor heeft zij [bedrijf 1] de mogelijkheid onthouden om de veiligheid van de back-up te verbeteren, hetgeen voor haar rekening en risico komt. Dat [bedrijf 1] het voorstel dan maar had moeten laten escaleren naar de ambtelijke leiding van de gemeente, kan de gemeente niet baten. [bedrijf 1] heeft het voorstel neergelegd bij de heer Oonk, die ook op het hoogste strategische niveau haar gesprekspartner was. Er kan dan ook niet geoordeeld worden dat [bedrijf 1] is tekortgeschoten in de nakoming van de verplichting tot borging van een adequate back-up en restore van data.

Voor zover de gemeente onder verwijzing naar productie 33 stelt het voorstel (mogelijk) nooit te hebben ontvangen, wordt dat standpunt door de rechtbank niet gevolgd. Uit het rapport van NFIR zoals opgenomen in die productie kan immers wel worden afgeleid dat de e-mail niet meer terug te halen is, maar niet dat die e-mail met het voorstel (door [bedrijf 1] als productie 13 overgelegd) nooit is verstuurd. In zoverre is door [bedrijf 1] dan ook voldoende onderbouwd, en door de gemeente onvoldoende gemotiveerd betwist, dat dit voorstel aan de gemeente is gestuurd.

borging van adequate anti-virus maatregelen

De rechtbank stelt voorop dat, anders dan de gemeente stelt, de BIG niet van toe-passing is. Het DAP is in de conceptfase blijven steken. Op basis van deze stukken kan het bestaan van verplichtingen voor [bedrijf 1] dus niet worden aangenomen. Dat het monitoren van logbestanden op virussen/virusmeldingen tot de contractuele verplichtingen van [bedrijf 1] behoorde, ook zonder dat sprake was van invloed daarvan op het functioneren van servers, opslag of netwerkvoorzieningen van de gemeente, blijkt niet uit de aanbestedingsstukken. Voorts staat vast dat Trend Micro, de door de gemeente al gebruikte software, anders dan de gemeente meent malware niet alleen heeft gedetecteerd, maar ook heeft verwijderd (zie paragraaf 3.4.1. van het rapport van NFIR van 8 maart 2021) en dat de gemeente zelf inzicht had in het dashboard van Trend Micro. Dat de door de gemeente genoemde Malwarebytes software door [bedrijf 1] geïnstalleerd en gebruikt is, heeft de gemeente niet onderbouwd.

Gebleken is verder dat de gemeente niet is ingegaan op voorstellen van [bedrijf 1] ter zake van anti-virus maatregelen van onder meer 4 februari 2020, waardoor [bedrijf 1] de mogelijkheid is ontnomen verbeteringen aan te brengen op dat punt. De rechtbank is gelet op deze feiten van oordeel dat de gemeente haar verwijt dat [bedrijf 1] tekortgeschoten is in de nakoming van de verplichting tot borging van adequate anti-virus maatregelen onvoldoende feitelijk heeft onderbouwd. Dat NFIR heeft geconstateerd dat op één of meer servers geen anti-virus actief was, doet hieraan niet af, omdat zij niet heeft kunnen uitsluiten dat dit een gevolg was van het handelen van de aanvallers.

borging van adequate firewall inrichting

Niet betwist is dat [bedrijf 1] bij de start van haar werkzaamheden voor de gemeente de firewall heeft ingericht en gecontroleerd en dat zij de door haar aangebrachte wijzigingen en de door de medewerkers van de gemeente aangebrachte, bij haar gemelde wijzigingen heeft bijgehouden. Verder diende [bedrijf 1] de firewall te monitoren in die zin dat zij ervoor moest zorgen dat bij overschrijding van de grenswaarden voor het functioneren van servers, opslag en netwerkvoorzieningen corrigerende maatregelen werden genomen. De gemeente heeft aangevoerd dat de verplichting tot het borgen van een adequate firewall inrichting tot doel had het netwerk te beveiligen om de prestaties en continuïteit van het netwerk en de achterliggende gegevensverwerkingen te waarborgen, maar dat blijkt wat betreft het aspect van de beveiliging niet uit de aanbestedingsstukken.

Indien de gemeente had gewild dat ten aanzien van de firewallinrichting security monitoring zou plaatsvinden, had zij dat met [bedrijf 1] af moeten spreken. De rechtbank herhaalt hier dat de BIG en BIO niet van toepassing zijn. De gemeente heeft niet feitelijk onderbouwd dat de aanpassing van een regel in de firewall door een medewerker van de gemeente van invloed is geweest op de performance, capaciteit en beschikbaarheid van haar servers, opslag en netwerkvoorzieningen en dat dat [bedrijf 1] bij de functionele monitoring had moeten opvallen.

Het DAP, waar de gemeente nog op wijst, is de conceptfase niet ontstegen, zodat daaraan geen verplichtingen voor [bedrijf 1] kunnen worden ontleend. De gemeente heeft ten slotte niet onderbouwd dat [bedrijf 1] in het kader van functionele monitoring een firewall configuratie review had moeten doen of moeten aanbieden. Ook wat betreft de borging van een adequate firewall inrichting heeft de gemeente dus naar het oordeel van de rechtbank onvoldoende feitelijk onderbouwd dat [bedrijf 1] haar verplichtingen niet deugdelijk is nagekomen.

schending zorgplicht, onrechtmatige daad

Met betrekking tot het beroep van de gemeente op schending van de zorgplicht en het bepaalde in artikel 6:162 van het Burgerlijk Wetboek (BW), in die zin dat [bedrijf 1] niet zou hebben gehandeld als van een redelijk handelend en vakbekwaam ICT-beheerder mag worden verwacht, overweegt de rechtbank als volgt. Voorop gesteld wordt dat de beheer-activiteiten van [bedrijf 1] hebben plaatsgevonden op basis van een overeenkomst, gesloten naar aanleiding van een Europese aanbesteding. De verplichtingen die uit een dergelijke overeenkomst voortvloeien moeten, zoals hiervoor is overwogen, worden uitgelegd tegen de achtergrond van het EU-rechtelijke transparantiebeginsel. In zoverre is het dan ook de vraag of daarnaast aan de prestaties die [bedrijf 1] op basis van een dergelijke overeenkomst verricht, nog andere eisen kunnen worden gesteld op basis van de zorgplicht en artikel 6:162 BW. Daarmee zou de uitleg van een overeenkomst aan de hand van het EU-rechtelijke beginsel van transparantie immers kunnen worden ondergraven en zulks zou aldus op gespannen voet kunnen staan met de (EU-rechtelijke) uitgangspunten van het Europese aanbestedingsrecht.

De rechtbank overweegt evenwel dat zelfs als die ruimte er in dit geval is, niet kan worden gesteld dat [bedrijf 1] IT zich niet als een redelijk handelend vakbekwaam ICT-beheerder heeft opgesteld. Daartoe overweegt de rechtbank als volgt.

De gemeente en [bedrijf 1] zijn, kort gezegd, functionele monitoring en geen security monitoring overeengekomen. [bedrijf 1] is niet tekortgeschoten in de verplichtingen uit hoofde van de overeenkomst van partijen. De zorgplicht van een ICT-beheerder gaat niet zover dat waar functionele monitoring is overeengekomen, security monitoring daar (kennelijk gratis) onderdeel van uitmaakt. Via de achterdeur van de zorgplicht kunnen de bepalingen van BIG en BIO die zien op security aspecten die bij monitoring van de performance, capaciteit en beschikbaarheid van de servers, opslag en netwerkvoorzieningen niet aan het licht komen, niet tot verplichtingen voor [bedrijf 1] worden gemaakt.

De gemeente heeft er bewust voor gekozen een eigen account te behouden en te beheren, met de hoogste beheerrechten, en wilde dat de back-up 24/7 benaderbaar was via haar eigen (door haar beheerde) internetverbinding. Bij de aanvang van de overeenkomst heeft [bedrijf 1] gewezen op de risico’s hiervan. Ook in het voorstel voor back-up hardening wordt nu juist gewaarschuwd voor een hack zoals die bij de gemeente daadwerkelijk heeft plaatsgevonden. De accountant van de gemeente heeft vóór de cyberaanval ook diverse keren gewaarschuwd voor de risico’s op het gebied van informatiebeveiliging en cyberaanvallen. Desalniettemin heeft de gemeente volhardt in haar keuzes.

[bedrijf 1] heeft (vanuit haar adviesrol) voorstellen op het gebied van back-up hardening (met de optie van een back-up bij [bedrijf 1], die niet benaderbaar zou zijn via de internetverbinding van de gemeente) en anti-virus maatregelen gedaan, maar daar is de gemeente niet op ingegaan, kennelijk uit kostenoverwegingen. In zoverre heeft de gemeente de invulling van de zorgplicht door [bedrijf 1] in feite verhinderd.

De cyberaanval is (mede) mogelijk gemaakt door twee onzorgvuldigheden aan de zijde van de gemeente: i) een medewerker van de gemeente heeft een regel in de firewall aangepast, waardoor een RDP-poort werd opengezet naar het internet, en ii) een medewerker van de gemeente heeft een zwak nieuw wachtwoord ingesteld. Beiden hebben daarvan geen melding gemaakt bij [bedrijf 1]. Het zwakke wachtwoord voldeed aan het wachtwoordbeleid van de gemeente. Juist vanwege het behoud van beheerrechten door de gemeente had [bedrijf 1] haar er via de Nota van Inlichtingen al op gewezen dat zij niet kan instaan voor de gevolgen van eigen handelingen van de medewerkers van de gemeente.

Gelet op het vorenstaande is de rechtbank van oordeel dat, voor zover er buiten de op basis van de Europese aanbesteding gesloten overeenkomst nog een aparte zorgplicht via artikel 6:162 BW kan gelden, [bedrijf 1] die zorgplicht niet geschonden heeft.

onrechtmatige daad