Vanochtend viel mijn oog op een interessant
arrest dat is gewezen door het Gerechtshof Arnhem-Leeuwarden, inzake de
aankoop en het gebruik van een beveiligingssysteem met bijbehorende ‘tokens’.
De feiten zijn als volgt: de (rechtsvoorganger
van de) politie (“Politie”) heeft in 2003 een ‘SecurID’ systeem met bijbehorende
tokens gekocht bij RSA Security Ireland Ltd (“RSA”). Kort gezegd werkte het
voornoemde systeem zo dat medewerkers van de Politie op afstand in konden
loggen op haar computersysteem via een beveiligde verbinding door middel van een
persoonlijke pincode in combinatie met een door een token gegenereerde code.
In het kader van het bovenstaande hebben de
Politie en RSA een licentieovereenkomst gesloten met betrekking tot het gebruik
van het systeem. Tevens hebben de Politie en een derde, Motiv (die zich zou
bezighouden met het verschaffen van aanvullende tokens en software-updates), een
raamovereenkomst en nadere overeenkomst gesloten met betrekking tot
netwerkbeveiliging. Na de ingebruikname van het systeem heeft de Politie
meermaals opdrachten geplaatst bij Motiv met betrekking tot (aanschaf van)
tokens en (software)uitbreidingen. Vervolgens heeft in 2011 een computerhack
plaatsgevonden bij RSA, waarbij waarschijnlijk ‘seeds’ zijn buitgemaakt.
Hierdoor ontstond de mogelijkheid dat
buitenstaanders de door de tokens gegenereerde codes zouden kunnen reproduceren.
Hierop heeft de Politie de tokens vervangen, met welke vervanging aanzienlijke
kosten waren gemoeid. De Politie vorderde op basis van het voorgaande een
verklaring voor recht dat Motiv was tekortgeschoten in de nakoming van haar
verplichtingen aangezien de tokens niet zouden voldoen aan dat wat de Politie daarvan
mocht verwachten en schadevergoeding.
In eerste aanleg oordeelde de rechtbank dat de
RSA-software niet onder de voorwaarden viel van de gesloten raamovereenkomst en
wees daardoor de vorderingen van de Politie af. In hoger beroep bevestigt het
Hof het vonnis in eerste aanleg en overweegt hiertoe het volgende:
5.4 Het
hof stelt vast dat aan de tokens zelf door de hack niets is veranderd. Zij
functioneerden voordien naar behoren, en zijn dat sindsdien blijven doen. […].
De tokens zelf zijn dus niet gebrekkig geworden door de hack. 5.5 Het complete
systeem, […] is evenwel niet geleverd door Motiv. De Politie had dat systeem
immers zelf bij RSA aangeschaft, lang voordat de overeenkomsten tussen De
Politie en Motiv werden gesloten. Motiv […] is bij de keuze en de aanschaf van
het systeem niet betrokken geweest. Als er sprake zou zijn van eén (later
opgetreden) gebrek in het systeem, zou Motiv daarvoor dus niet aansprakelijk
zijn.
5.7 Zou het
voorgaande anders zijn in die zin dat wel zou moeten worden aangenomen dat de
hack ertoe heeft geleid dat de tokens niet langer aan de overeenkomst
beantwoordden, dan moet worden beoordeeld of Motiv daarvoor aansprakelijk is te
houden. […] 5.8 […] Daarbij is van belang dat De Politie het bewuste
beveiligingssysteem zelf, zonder bemoeienis of advies van Motiv, heeft
uitgekozen en dat de tokens ten tijde van de levering in ieder geval wel aan de
overeenkomst beantwoordden. Dat desalniettemin (in deze lezing) later een
gebrek in de tokens is ontstaan, is toe te schrijven aan omstandigheden die
zich geheel in de risicosfeer van RSA bevonden […] en die Motiv niet kon
beïnvloeden of voorkomen. Daar komt dan nog bij dat ieder computersysteem
uiteindelijk kan worden gehackt, zodat De Politie ook geen volledig hackfree
systeem mocht verwachten. Die bijzondere omstandigheden brengen mee dat Motiv
niet behoeft in te staan voor de gevolgen van het beweerdelijk later opgetreden
gebrek in de tokens.
https://www.solv.nl/weblog/rechtspraak-inbreuk-op-beveiliging-leidt-niet-tot-contractbreuk/21617
