Overeenkomst voor het leveren van IT-infrastructuur houdt een verplichting voor het verzorgen van een adequaat back-up- en beveiligingssysteem, ook wanneer daarover niets is afgesproken tussen partijen

Op 9 maart 2022 heeft de rechtbank Overijssel uitspraak gedaan in de zaak van H.O.D.N. Cottoncounts ("Cottoncounts") tegen CCG Retail B.V. ("CCG Retail") over de tussen partijen gesloten overeenkomst voor het leveren van een IT-infrastructuur. In de kern van deze zaak gaat het om de vraag of het verzorgen van een adequaat back-up- en beveiligingssysteem onderdeel uitmaakt van deze overeenkomst, zonder dat partijen daar afspraken over hebben gemaakt. Het antwoordt luidt bevestigend, aldus de rechtbank Overijssel.

Op 5 december 2016 hebben Cottoncounts en CCG Retail een koopovereenkomst gesloten uit hoofde waarvan CCG Retail aan Cottoncounts software, hardware en een koppeling heeft verkocht en geleverd. Daarnaast hebben partijen een dienstverleningsovereenkomst gesloten voor onderhoud van deze software en telefonische support. Op 7 september 2020 krijgt Cottoncounts te maken met een hack, met als gevolg dat de professionele foto's van haar volledige productassortiment verloren zijn gegaan. Cottoncounts stelt CCG Retail aansprakelijk voor de door haar geleden schade.

Cottoncounts onderbouwt deze vordering met de stelling dat CCG Retail tekortgeschoten is in de nakoming van haar verplichtingen voortvloeiende uit de overeenkomst, doordat CCG Retail geen volledige back-ups heeft gemaakt van haar servers. CCG Retail betwist dat zij tekortgeschoten is in de nakoming van haar verplichtingen uit hoofde van de overeenkomst. Het is volgens CCG Retail namelijk zeer waarschijnlijk dat Cottoncounts een zogenoemde phising e-mail heeft geopend waardoor een hacker toegang heeft verkregen tot de servers van Cottoncounts, hetgeen CCG Retail niet kan worden verweten. Bovendien bevat de overeenkomst volgens CCG Retail geen enkele bepaling over de beveiliging van het netwerk en betwist zij dat er sprake zou zijn van een bijzondere zorgplicht voor het beveiligen van de gegevens van Cottoncounts.

De rechtbank Overijssel overweegt het volgende. Nu partijen hun afspraken niet (volledig) op papier hebben gesteld, moet het antwoord op de vraag of beveiliging van het netwerk onderdeel uitmaakt van de overeenkomst uit andere feiten en omstandigheden worden afgeleid. Daarbij is van belang wat partijen redelijkerwijs over de omvang van de overeenkomst hebben kunnen begrijpen en wat zij over en weer van elkaar mochten verwachten. De rechtbank Overijssel overweegt dat het – gelet op het gestelde en niet betwiste belang van de beveiliging – moeilijk voorstelbaar is hoe onder de overeenkomst voor het leveren van een totaalpakket niet tevens de aanleg van de daarbij behorende beveiliging kan zijn begrepen.

CCG Retail mocht er dus niet zonder meer vanuit gaan dat Cottoncounts geen prijs stelde op adequate beveiliging, als onderdeel van het door haar afgenomen totaalpakket. CCG Retail heeft ook niet gesteld dat zij van Cottoncounts heeft begrepen of mogen begrijpen dat Cottoncounts beveiliging niet belangrijk vond. Aldus had CCG Retail bij deze stand van zaken de verantwoordelijkheid tegenover Cottoncounts om ofwel (adequate) beveiliging onderdeel van het totaalpakket te maken, of anders met Cottoncounts uitdrukkelijk te bespreken dat CCG Retail daar juist niet voor zou zorgen; Cottoncounts zou dan de mogelijkheid hebben daar zelf op een andere manier voor te zorgen. Zonder het gesprek over beveiliging aan te gaan, mocht Cottoncounts er dus op vertrouwen dat CCG Retail dit als onderdeel van de overeenkomst zou regelen.

De stelling van Cottoncounts dat de overeenkomst tevens een verplichting houdt voor het aanleggen van een adequaat back-up- en beveiligingssysteem slaagt dus. De rechtbank komt tot de slotsom dat de door Cottoncounts gevorderde schadevergoeding voor toewijzing in aanmerking komt. Nog van belang is dat CCG Retail geen beroep heeft kunnen doen op de aansprakelijkheidsbeperkingen in haar algemene voorwaarden, omdat zij volgens de rechtbank Overijssel niet aan Cottoncounts de redelijke mogelijkheid heeft geboden om daarvan kennis te nemen.

Uit deze uitspraak blijkt wederom het belang van het verzorgen van een adequaat back-up- en beveiligingssysteem en de afspraken daaromtrent. Het belang van back-ups kwam eerder aan bod in een recente uitspraak van het gerechtshof Amsterdam. Daarbij blijkt uit deze uitspraak voor leveranciers van IT-diensten het belang om uw diensten duidelijk af te bakenen en dus ook te benoemen wat niet onder de reikwijdte van uw diensten valt. Het kan namelijk zo zijn dat bepaalde onderdelen (zoals het verzorgen van back-ups en beveiliging) kunnen worden geacht in de overeenkomst te zijn besloten, wanneer de overeenkomst daarin een leemte laat. Tot slot is het van belang om je algemene voorwaarden op juiste wijze ter hand te stellen om te voorkomen dat hierop geen beroep kan worden gedaan. Lees hierover meer in onze Legal Update van 6 augustus 2021. In deze Legal Update vindt u tevens de infographic, die wij in samenwerking met Getting The Picture hebben opgesteld.

Heeft u vragen over uw IT-gerelateerde overeenkomsten? Neem dan gerust contact op met één van onze specialisten.

Dit is een Legal Update van het team Tech & Data en Commercial Contracting & Dispute Resolution.

Download als pdf