Onlangs is een interessante uitspraak gedaan door het Hof van Amsterdam. Een onderneming was gehackt kort na het einde van het ICT-onderhoudscontract. Het Hof stelt dat de leverancier tekort is geschoten. Hoe kan dat?

Wat is er precies gebeurd?

De betreffende leverancier deed het onderhoud en beheer van het ICT-systeem voor de onderneming. Dit gebeurde op basis van een Service Level Agreement (SLA).

In het voorjaar van 2016 besloot de onderneming over te stappen van leverancier. Het contract met de oude leverancier eindigt op 21 juni. Het contract met de nieuwe leverancier gaat pas op 1 augustus in.

ransomware aanval

In juli 2016 wordt de onderneming getroffen door een ransomware-aanval. Er moet losgeld betaald worden om het systeem vrij te krijgen.

Wat blijkt?

De back-ups zijn niet up-to-date. De onderneming heeft dus geen andere keuze dan het losgeld van ruim duizend euro te betalen aan de hackers.

De onderneming stapt daarop naar de rechter.

Reden?

De oude leverancier is tekortgeschoten in de uitvoering van de SLA. Daarin stond dat de leverancier moest voorzien in adequate back-ups.

De laatst beschikbare back-ups stamden volgens de onderneming uit 2013. De onderneming beweert dat zij met een goede back-up van 21 juni direct aan de slag had gekund en het losgeld niet had hoeven te betalen.

Wat zegt de kantonrechter?

De kantonrechter wijst de vordering af. De rechter vindt dat de onderneming onvoldoende kan bewijzen dat de oude leverancier voor het laatst in 2013 een back-up heeft gemaakt.

Recht3.jpg

De rechter oordeelt dat de onderneming er zelf voor heeft gekozen om het nieuwe ICT-contract pas op 1 augustus in te laten gaan. Hij ziet niet in waarom de oude leverancier verantwoordelijk zou moeten blijven voor het onderhoud en beheer van het ICT-systeem, terwijl de overeenkomst al was geëindigd.

Daarom is er volgens de kantonrechter geen sprake van een tekortkoming van de oude leverancier.

De onderneming laat het er niet bij zitten en gaat in hoger beroep.

Hoger beroep: absoluut sprake van een tekortkoming

De onderneming stelt dat zij met back-ups van 21 juni haar systeem na de hack direct had kunnen herstellen. De oude leverancier zegt dat de laatste back-up dateert van 29 april 2016 en dat dit voldoende moet zijn.

Daarnaast liep de nieuwe leverancier al vanaf maart mee om de overdracht te regelen. Het systeem is op 21 juni overgedragen. Als er toen geen goed functionerende back-uproutine had bestaan, was de nieuwe leverancier daarmee toch nooit akkoord gegaan?

Het Hof besluit anders dan de kantonrechter.

De SLA gold namelijk tot 21 juni 2016. Daarin stonden eisen over het back-upsysteem. De oude leverancier moest niet alleen dagelijks back-ups maken, maar ook zorgen dat er op 21 juni een recente, volledige back-up aanwezig was.

Een back-up uit april is volgens het Hof dan ook te oud. Daarmee is de oude leverancier tekortgeschoten in haar verplichtingen op grond van de SLA.

De oude leverancier moet een schadevergoeding aan de onderneming betalen. Zo moet de schade vergoed worden als gevolg van het aanleggen van een noodsysteem en extra gemaakte uren. Daarnaast moet de oude leverancier ook het betaalde losgeld vergoeden.

Blijf op de hoogte

Op de hoogte blijven van de ontwikkelingen op het gebied van ICT Recht? Meldt u zich dan nu aan voor de maandelijkse nieuwsbrief van Legalz.