|
|
|
| ECLI:NL:RBNNE:2024:4317 | | | | | Datum uitspraak | : | 06-11-2024 | | Datum gepubliceerd | : | 24-10-2025 | | Instantie | : | Rechtbank Noord-Nederland | | Zaaknummers | : | C/17/192416 / HA ZA 23-23 C/17/192416 / HA ZA 23-23 | | Rechtsgebied | : | Civiel recht | | Indicatie | : | Eiseres is zelf aansprakelijk voor de schade ten gevolge van de hack. | | Trefwoorden | : | burgerlijk wetboek | | | wettelijke rente | | | | Uitspraak | RECHTBANK Noord-Nederland
Civiel recht
Zittingsplaats Leeuwarden
Zaaknummer: C/17/192416 / HA ZA 23-238
Vonnis van 6 november 2024
in de zaak van
FREEZ.IT ICT DIENSTEN B.V.,
te Bolsward,
eisende partij in conventie,
verwerende partij in reconventie,
hierna te noemen: Freez.it,
advocaat: mr. M.D. Kalmijn en mr. J.W. de Vries,
tegen
1COPACO NEDERLAND B.V.,
te Eindhoven,
gedaagde partij in conventie,
eisende partij in reconventie,
hierna te noemen: Copaco,
advocaat: mr. O.A. Sleeking en mr. V. Sepoyan,
2
2. CHUBB EUROPEAN GROUP SE,
te Courbevoie (Frankrijk),
gedaagde partij in conventie,
hierna te noemen: Chubb,
advocaat: mr. E.M. van Orsouw en mr. R.H.G. van Schaik,
3
3. [X] B.V.,
te [vestigingsplaats] ,
gedaagde partij in conventie,
hierna te noemen: [X] ,
advocaat: mr. W. Knoester.
1De procedure
1.1.
Het verloop van de procedure blijkt uit:
- het tussenvonnis van 7 februari 2024
- de conclusie van antwoord in reconventie
- de akte overlegging producties van Copaco, - het proces-verbaal van de mondelinge behandeling van 28 mei 2024 en de ter gelegenheid daarvan overgelegde spreekaantekeningen.
1.2.
Ten slotte is vonnis bepaald.
2De feiten
2.1.
Freez.it is een ICT bedrijf dat zich richt op het MKB. De diensten van Freez.it bestaan er onder meer uit dat zij digitale werkomgevingen van en voor haar klanten beheert. Die werkomgevingen draaien in de “cloud” op servers van Microsoft. Freez.it maakt gebruik van de diensten van Microsoft Azure voor het verzorgen van clouddiensten aan haar klanten. De clouddiensten van Microsoft Azure kan Freez.it niet rechtstreeks bij Microsoft afnemen. Freez.it koopt de clouddiensten in bij haar leverancier Copaco. Copaco is actief als distributeur op het gebied van ICT. Freez.it levert de diensten op haar beurt door aan de eindklant.
2.2.
De kosten voor het gebruik van de Azure clouddiensten worden steeds achteraf in rekening gebracht. Microsoft brengt de kosten in rekening bij Copaco, die deze kosten in rekening brengt bij de zogenaamde “resellers”, zoals Freez.it. Freez.it brengt de kosten op haar beurt in rekening bij de eindgebruikers.
2.3.
Op 22 juni 2020 heeft Copaco aan Freez.it gemaild, voor zover van belang:
“(…)
Microsoft introduceert een reeks verplichte beveiligingsvereisten om jou en jouw klanten beter te beschermen tegen mogelijke beveiligingsaanvallen. Deze beveiligingsvereisten zijn van kracht per 1 augustus 2019. Met deze wijziging vereist Microsoft dat alle partners multi-factor authenticatie (MFA) moeten gebruiken bij het aanmelden bij de commerciële clouddiensten van Microsoft of bij transacties in CSP via het Partner Center of via API’s.
(…)
Welke acties moet ik ondernemen?
• Implementeer Azure AD Premium of een oplossing van derden en zorg ervoor dat MFA wordt afgedwongen voor elke gebruiker
(…)
• MFA voor beheerders (vereist dat beheerders zich registeren voor MFA met behulp van de Authenticator-app)
• Bescherming eindgebruikers (schakel dit beleid in en vraag gebruikers om zich te registreren voor MFA met behulp van de Authenticator-app. (…).
Wat gebeurt er als ik niet meewerk?
Microsoft heeft aangekondigd dat partners die de verplichte beveiligingsvereisten niet implementeren, niet in staat zullen zijn om transacties uit te voeren in het Cloud Solution Provider-programma of tenants van klanten beheren door gebruik te maken van beheerdersrechten, zodra deze vereisten worden afgedwongen.
(…).”
2.4.
Een tenant kan worden gezien als een container waarin alle online diensten van Microsoft voor één bedrijf zijn opgeslagen en kunnen worden gebruikt.
2.5.
Op 21 augustus 2021 heeft Freez.it Microsoft Azure diensten besteld voor een klant (hierna: de Klant). Op 7 november 2022 heeft Copaco een ongebruikelijk hoog verbruik van data opgemerkt binnen het cloudplatform van de Klant, hetgeen Copaco aan Freez.it heeft gemeld. In de door Copaco overgelegde interne mail van 7 november 2022 staat vermeld, voor zover van belang:
“(…)
[A] werd vandaag gebeld door Microsoft over een klant die veel kosten in Azure maakt. Ik heb terug kunnen vinden dat het inderdaad zo is. Schrik niet, het gaat om 22k per dag! (…) [A] pakt dit op met Freez.it, de reseller, om te zorgen dat er niet nog meer schade wordt veroorzaakt. (…)
(…)
Er zal een factuur uit volgen waar wellicht discussie over ontstaat. Tussen Freez.it en Copaco en/of tussen Copaco en Microsoft. (…) Microsoft heeft de Fraud Alert API, maar ik heb met [B] gekeken en daar wordt niets in gerapporteerd. (…)
Wat wellicht wel kan is dat we een Azure Cost Mangement dashboard maken, waarin opvallende stijgingen visueel zichtbaar worden waar iemand dan in zou moeten duiken om te beoordelen of het gaat om afwijkend gedrag. Is dit wenselijk/haalbaar, of anticiperen we op meldingen van Microsoft of partners zelf en herstellen we de schade achteraf?
(…).”
2.6.
Na deze melding heeft Freez.it vastgesteld dat een hack had plaatsgevonden in het cloudplatform van de Klant. Een onbekende gebruiker (de hacker) heeft, zo is uit later onderzoek gebleken, vanuit Zweden via een uniek adres op het internet (IP-adres) onrechtmatig gebruik gemaakt van het Microsoft Azure platform van de Klant. Via dit IP-adres viel niet te achterhalen wie de hacker is geweest. De hacker heeft op het cloudplatform van de Klant meerdere virtuele servers aangemaakt en heeft deze servers vermoedelijk gebruikt voor het “minen” van bitcoins of andere cryptovaluta. Er zijn door de hacker ongeveer 60 cloudservers aangemaakt binnen de omgeving van de Klant, die vijf weken op de hoogste capaciteit hebben gedraaid.
2.7.
Freez.it heeft na de melding van Copaco direct actie ondernomen. Eerst heeft zij de logbestanden veilig gesteld, vervolgens het wachtwoord veranderd en daarna de servers uitgezet en verwijderd.
2.8.
Op 10 november 2022 heeft Freez.it contact opgenomen met haar verzekeringstussenpersoon [X] . Freez.it heeft onder meer een beroep gedaan op de door haar per 24 augustus 2022 bij Chubb afgesloten beroepsaansprakelijkheids-, bedrijfsaansprakelijkheids- en cyberverzekering met polisnummer [nummer] (hierna: de verzekeringsovereenkomst). [X] heeft als verzekeringsadviseur bemiddeld bij de totstandkoming van voornoemde verzekeringsovereenkomst tussen Freez.it en Chubb.
2.9.
In de polisvoorwaarden Chubb Pro ICT 3.0 staat onder meer vermeld:
“Rubriek 1 Beroepsaansprakelijkheid
1. Dekkingsomschrijving
Deze rubriek dekt de aansprakelijkheid van een verzekerde in de verzekerde hoedanigheid voor zuivere vermogensschade geleden door een derde voortvloeiende uit een handelen of nalaten, mits dit betreft het leveren of verrichten, te laat of niet leveren of verrichten van een ICT product of dienst, waarvoor deze derde een aanspraak indient tegen een verzekerde.
(…)
Rubriek 3 Cyberrisico’s
(…)
9.2
Aansprakelijkheid voor netwerkbeveiliging
Chubb vergoedt de schade en de onkosten voor netwerkbeveiligingsclaims die voortvloeien uit een netwerkbeveiligingsclaim, die voor het eerst tijdens de verzekeringstermijn tegen verzekerde is ingediend en aan Chubb is gemeld overeenkomstig artikel 16, voor iedere netwerkbeveiliging gerelateerde onrechtmatige daad die heeft plaatsgevonden na de retroactieve datum en vóór het einde van de verzekeringstermijn.
In het kader van dekking onder deze rubriek gelden de onderstaande definities:
(…)
Netwerkbeveiliging gerelateerde onrechtmatige daad
Iedere fout, onjuiste voorstelling van zaken, misleidende verklaring, handeling, omissie, nalatigheid, niet-nakoming van plichten, of handeling leidend tot personenschade, hetgeen geresulteerd heeft in een daadwerkelijk of vermoedelijk onrechtmatig handelen of poging tot handelen door een verzekerde terzake netwerkbeveiliging, waaronder eveneens wordt begrepen het nalaten om enige kwaadwillige computerhandeling te verhinderen, te beletten, op te sporen of daartegen verdediging te bieden. Met kwaadwillige computerhandeling wordt onder andere bedoeld:
(a) kwaadwillende software;
(b) hacken;
(c) denial of service attacks; of
(d) ongeoorloofd gebruik of ongeoorloofde toegang.
(…).”
2.10.
Op 17 november 2022 heeft Freez.it een e-mail ontvangen van Copaco, waarin staat vermeld, voor zover van belang:
“(…)
Inmiddels hebben we bericht van Microsoft ontvangen van de Azure kosten van klant (…). Het officiële standpunt vanuit hen is dat er betaald moet worden. Vanuit Copaco doen we onderzoek op niveau van legal/directie hoe hier mee om te gaan. De factuur met de hoge Azure kosten van deze klant hebben wij vanuit Microsoft ontvangen. We betalen deze niet om druk te houden. De kosten zullen ook op jullie reseller factuur van 1 december zichtbaar zijn. We maken hier een dispuut van.
We willen jullie vragen om een eigen onderzoek op te starten. Dus alles uitzoeken wat je maar kunt uitzoeken rondom deze case. Wat is er gebeurd qua hack, (…) etc. alles om aan te tonen dat jullie/wij vinden dat Microsoft schuldig is.
(…).”
2.11.
Bij e-mailbericht van 23 november 2022 heeft Chubb aan Freez.it medegedeeld dat de polis van Freez.it geen dekking biedt voor de kosten voor het gebruik van de Microsoft Azure-omgeving.
2.12.
Op 1 december 2022 heeft Copaco de eerste factuur naar Freez.it gestuurd (factuurnummer TN0063973) ad € 568.912,59 (exclusief btw) waarop ook de extra kosten zichtbaar zijn die zijn ontstaan als gevolg van de hack en de aanmaak van de 60 extra virtual machines. Bij brief van 12 december 2022 heeft Freez.it deze factuur betwist.
2.13.
Op 19 december 2022 is namens Freez.it een brief naar [X] gestuurd met de vraag of [X] kon toelichten waarom de schade ten gevolge van de hack niet door de aan Freez.it geadviseerde polis werd gedekt.
2.14.
Bij e-mailbericht van 20 december 2022 heeft Chubb geschreven dat de kosten die Copaco bij Freez.it in rekening heeft gebracht onder geen van de toepasselijke rubrieken van de verzekeringsovereenkomst vallen, omdat het niet gaat om aansprakelijkheid van een verzekerde voor schade van een derde, maar om de kosten die verzekerde betaalt voor extra datagebruik binnen het cloudplatform.
2.15.
Bij e-mailbericht van 29 december 2022 is [X] namens Freez.it aangeschreven over het - zonder toestemming van Freez.it - op de hoogte stellen van klanten van Freez.it van het feit dat Freez.it slachtoffer is geworden van hacking. Op 30 december 2022 heeft [X] per mail geantwoord:
“(…)
U heeft het over klanten. U weet ook dat dit niet het geval is. Geheimhouding kan ik u verzekeren (…).”
2.16.
Op 1 januari 2023 heeft Copaco de tweede factuur die kosten bevat als gevolg van de hack aan Freez.it verstuurd (factuurnummer TN0064954), ad € 148.993,54 (exclusief btw). Ook deze factuur heeft Freez.it betwist. Copaco heeft vervolgens gereageerd door aan te geven te wachten op de reactie van Microsoft. Bij brief van 26 januari 2023 heeft Copaco de betwisting van de facturen door Freez.it formeel afgewezen.
2.17.
Freez.it heeft op 30 januari 2023 een overstap gemaakt naar een andere tussenpersoon, namelijk [Y] .
2.18.
Op dezelfde datum is de heer [C] , de algemeen directeur van Freez.it, naar het kantoor van Copaco gereden in Eindhoven. Tijdens die bespreking is gesproken over een betalingsregeling, waarna Freez.it op 31 januari 2023 en op 7 februari 2023 voorstellen heeft gedaan voor een dergelijke regeling.
2.19.
Voorts heeft Copaco Freez.it op 7 februari 2023 een aansprakelijkstelling gestuurd, waarin staat vermeld, voor zover van belang:
“(…)
Wij hebben contact gehad met Microsoft naar aanleiding van deze situatie en hebben u vervolgens (…) bericht dat wij uw betwisting afwijzen. In reactie daarop heeft u namens Freez.it herhaald dat Freez.it slechts gehouden is tot vergoeding van het daadwerkelijk gebruik van de Microsoft Azure clouddiensten, en niet het overige gebruik als gevolg van de hack. Copaco is echter van mening dat Freez.it ook voor dit gebruik verantwoordelijk is, en stelt Freez.it hierbij aansprakelijk voor de als gevolg hiervan ontstane schade.
Het staat niet ter discussie dat de verantwoordelijkheid voor (de beveiliging van) het global admin account en de door Freez.it beheerde Azure omgeving - en daarmee voor de gevolgen voor de hack - op Freez.it rust. Multifactor authentication (MFA) is een belangrijke beveiligingsmaatregel ter voorkoming van onrechtmatige toegang tot de Azure omgeving, en MFA wordt om die reden die sinds oktober 2022 standaard door Microsoft ingeschakeld op Azure omgevingen. Het is gebleken dat MFA voor de toegang tot de Azure omgeving van (…) door Freez.it was uitgeschakeld. Als direct gevolg hiervan zijn er fors meer clouddiensten verbruikt.
(…).”
2.20.
Copaco heeft het betalingsvoorstel van Freez.it op 7 februari 2023 aanvaard. Overeengekomen is betaling van een bedrag van € 178.080,23 in zijn geheel (ter zake van factuurnummer TN0064954) en van een bedrag van € 686.205,90 in delen (ter zake van het restant van factuurnummer TN0063973). Ter zake van laatstgenoemde factuur was reeds een bedrag van € 39.890,00 voldaan. Daarnaast is een jaarlijkse rente van 5% overeengekomen. Freez.it heeft onder de betalingsregeling in totaal een bedrag van
€ 301.477,31 aan Copaco betaald.
2.21.
Op 8 februari 2023 is de schade op grond van de aansprakelijkheidsstelling van Copaco opnieuw schriftelijk gemeld bij Chubb door [Y] , met daarbij een beroep op de rubriek beroepsaansprakelijkheid.
2.22.
Bij e-mail van 15 februari 2023 heeft Chubb aan [Y] geschreven:
“(…)
Wij hebben de kwestie nogmaals bekeken en kunnen de redenatie niet volgen dat er sprake is van schade van een derde. De vordering die Copaco heeft op Freez.it lijkt ons uit hoofde van een overeenkomst en geen vordering tot schadevergoeding. De schade wordt geleden door Freez.it. Daarvoor biedt een aansprakelijkheidspolis geen dekking. (…).”
2.23.
Op verzoek van Freez.it heeft op 13 september 2023 een voorlopig getuigenverhoor plaatsgevonden. Blijkens het proces-verbaal van dit verhoor heeft de heer [D] , statutair directeur van [X] , onder meer verklaard:
“(…)
Bij Freez.it was wel een bedrijfsaansprakelijkheidsverzekering maar die dekte alleen personen en zaakschade aan derden. Er was geen BAV voor vermogensschade als gevolg van een fout of nalaten door een medewerker van Freez.it. Freez.it had geen adequate BAV. Dat had niet alleen met cybercriminaliteit te maken, maar zag op een dekking als één van de medewerkers een fout maakt, bijvoorbeeld hij stelt instellingen verkeerd af voor een klant waardoor vermogensschade ontstaat. Nu de rechter-commissaris deze verklaring voorleest merkt mr. de Lange op dat ik specifiek het voorbeeld heb genoemd van een medewerker die de 2FA beveiliging niet heeft ingeschakeld. Dat klopt dat is inderdaad een voorbeeld. Ik kon ze bij een degelijke verzekering wel helpen. Zij hadden nooit een BAV afgesloten omdat ze het erg kostbaar vonden.
(…).”
2.24.
In een e-mail van 19 oktober 2023 heeft de advocaat van Copaco aan de advocaat van Freez.it gemaild, voor zover van belang:
“(…)
Voor wat betreft de overeenkomst tussen Copaco en Freez.it geldt het volgende. Ik heb geen getekende overeenkomst in mijn dossier, maar ik zie evenmin hoe dit de situatie anders zou maken. Freez.it heeft immers de overeenkomst (een standaard Microsoft overeenkomst) ontvangen voorafgaand aan de samenwerking, en partijen zijn op die basis gaan samenwerken. Het is daarom wat mij betreft duidelijk dat Freez.it met de overeenkomst heeft ingestemd en door de uitvoering hiervan heeft gehandeld naar de overeenkomst. Een eventuele discussie over de geldigheid van de afspraken omdat mogelijk geen getekend exemplaar van de overeenkomst beschikbaar is lijkt me gelet op de samenwerking tussen partijen zeer onverstandig, en bovendien weinig succesvol.
Copaco benadrukt nogmaals dat ze bereid is om te praten over aanpassing van de betalingsregeling zodat de betaling hiervan niet bijdraagt aan een faillissement van Freez.it. (…).”
2.25.
In een door Freez.it in het geding gebracht nieuwsartikel van 15 mei 2024 staat vermeld:
“Microsoft maakt meerstapsverificatie verplicht voor Azure-gebruikers
Microsoft Azure rolt vanaf juli een nieuwe beveiligingsmaatregel op tenant-niveau uit. Alle gebruikers moeten dan meerstapsverificatie geactiveerd hebben om toegang te krijgen tot Azure-diensten. De nieuwe maatregel wordt geleidelijk uitgerold, benadrukt Microsoft.
Microsoft stelt in eigen onderzoek dat 99,9 procent van alle gecompromitteerde accounts geen meerstapsverificatie gebruikt. Ook blijkt uit dat onderzoek dat mfa meer dan 99,2 procent van alle aanvallen om accounts te compromitteren kan blokkeren. (…).”
3De vordering
in conventie
3.1.
Freez.it vordert om bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad:
te verklaren voor recht dat Freez.it niet aansprakelijk is voor de schade die aan de zijde van Copaco en/of Microsoft is ontstaan ten gevolge van de hack;
te vernietigen de betalingsregeling die tussen Copaco en Freez.it onder misbruik van omstandigheden, dwang, van Copaco tot stand is gekomen;
Copaco te veroordelen tot terugbetaling van het bedrag van € 301.447,31, te vermeerderen met de wettelijke handelsrente dan wel de wettelijke rente vanaf de respectievelijke data dat bedragen zijn voldaan dan wel vanaf de dag der dagvaarding tot de dag der algehele terugbetaling;
en, voor zover Freez.it wel (voor een gedeelte) aansprakelijk is voor de schade die is ontstaan ten gevolge van de hack:
4. te verklaren voor recht dat de schade ten gevolge van de hack is gedekt onder de door Freez.it via [X] bij Chubb afgesloten verzekeringen;
5. Chubb te veroordelen tot vergoeding van de schade, zijnde een bedrag van
€ 864.286,08, waarvan een bedrag van € 301.447,31 aan Freez.it toekomt en het restant van de schade aan Copaco, dan wel nader in goede justitie vast te stellen bedragen, welke bedragen vermeerderd dienen te worden met de wettelijke rente vanaf de dag der dagvaarding tot de dag der algehele voldoening;
of, in het geval de schade als gevolg van de hack niet is gedekt onder de afgesloten verzekeringen bij Chubb:
6. te verklaren voor recht dat [X] toerekenbaar tekort is geschoten jegens Freez.it in zijn advisering en daarmee zijn zorgplicht heeft geschonden en zij daarmee aansprakelijk is voor de schade aan de zijde van Freez.it;
7. [X] te veroordelen tot betaling van een bedrag van € 864.286,08, waarvan een bedrag van € 301.447,31 aan Freez.it toekomt en het restant van de schade aan Copaco, dan wel nader in goede justitie vast te stellen bedragen, welke bedragen vermeerderd dienen te worden met de wettelijke rente vanaf de dag der dagvaarding tot de dag der algehele voldoening;
en in alle gevallen:
8. voor zover de rechtbank van oordeel is dat meerdere partijen aansprakelijk zijn voor deze schade, de schade in goede justitie vast te stellen en tussen partijen te verdelen;
9. Copaco en/of Chubb en/of [X] , zo mogelijk hoofdelijk, te veroordelen in de volledige kosten van onderhavig geding.
3.2.
Copaco, Chubb en [X] voeren verweer.
3.3.
Op de stellingen en verweren van partijen wordt hierna, voor zover nodig, nader ingegaan.
in reconventie
3.4.
Copaco vordert om bij vonnis, uitvoerbaar bij voorraad, te verklaren voor recht dat Freez.it verplicht is de door Copaco in rekening gebrachte bedragen voor het verbruik van de Microsoft clouddiensten aan Copaco te voldoen, een en ander met veroordeling van Freez.it in de kosten van de procedure, alsmede de nakosten.
3.5.
Freez.it voert verweer.
3.6.
Op de stellingen en verweren van partijen wordt hierna, voor zover nodig, nader ingegaan.
4De beoordeling
in conventie en in reconventie
4.1.
De rechtbank zal de vorderingen in conventie en in reconventie gelijktijdig behandelen, gelet op de samenhang tussen de vorderingen.
4.2.
Tussen partijen is niet in geschil dat Freez.it voor het inloggen op het cloudplatform van de Klant geen gebruik heeft gemaakt van Multifactor authentication (hierna: MFA).
Copaco
4.3.
De rechtbank stelt in de eerste plaats vast dat Copaco de relatieve bevoegdheid van de onderhavige rechtbank heeft erkend en geen bevoegdheidsincident heeft opgeworpen, zodat de rechtbank zich bevoegd acht om kennis te nemen van de door Freez.it tegen Copaco ingestelde vorderingen.
Is Copaco aansprakelijk voor de schade ten gevolge van de hack?
4.4.
Freez.it stelt primair dat Copaco aansprakelijk is voor de schade die is ontstaan door de hack. Volgens Freez.it heeft Copaco haar zorgplicht geschonden, door Freez.it onvoldoende te wijzen op de nieuwe vorm van beveiliging (MFA) en door Freez.it er onvoldoende op te wijzen dat Freez.it deze beveiliging actief moest aanzetten. Daarnaast stelt Freez.it dat Copaco haar contractuele verplichting om te monitoren heeft geschonden. Volgens Freez.it had Copaco eerder een melding bij Freez.it moeten doen over de onregelmatigheden die hebben plaatsgevonden op het cloudplatform van de Klant. Doordat Copaco is tekortgeschoten in haar contractuele verplichting heeft het onrechtmatig gebruik veel langer (dan 24-48 uur na de hack) kunnen voortduren, met grote schade tot gevolg. Copaco is daarom tekortgeschoten in haar zorgplicht en contractuele verplichtingen jegens Freez.it, zodat de daaruit voortvloeiende schade voor rekening van Copaco dient te blijven, aldus Freez.it.
4.5.
Copaco voert aan dat Freez.it uit hoofde van de contractuele verhouding met Copaco verplicht is de facturen van Copaco te voldoen. Het gaat volgens Copaco niet om aansprakelijkheid voor schade. Copaco betwist voorts dat zij de op haar rustende zorgplicht als IT-leverancier heeft geschonden. Volgens Copaco vormt zij enkel een tussenschakel tussen Microsoft en de resellers en heeft zij geen zelfstandige verplichting anders dan het doorleveren van de diensten en het organiseren van de facturering. Wel wijst Copaco haar afnemers op relevante ontwikkelingen in de markt en beveiligingsrisico’s. Volgens Copaco heeft zij Freez.it over de jaren herhaaldelijk gewezen op het belang van een gedegen beveiliging van de Microsoft Azure omgeving. In dit kader heeft Copaco gewezen op de
e-mail van 22 juni 2020 (zie rechtsoverweging 2.3), waarin is aangegeven dat Microsoft vereist dat alle partners MFA toepassen, met nadruk voor beheer/admin accounts. Volgens Copaco wordt hierin benadrukt dat de partij die het beheer verzorgt, oftewel Freez.it, zelf maatregelen dient te nemen. Voorts heeft Copaco gedurende het jaar 2021 een campagne opgezet om het belang van beveiligingsmaatregelen zoals MFA onder de aandacht te brengen van haar afnemers. Daarnaast heeft Copaco haar resellers op 2 december 2021 geïnformeerd over het belang van MFA door middel van een speciale e-mail binnen de Copaco Cloud omgeving. Copaco heeft deze e-mails naar projecten@freez.it en service@freez.it gestuurd, aldus Copaco. De accounts die door de resellers namens de eindgebruikers worden aangemaakt, worden volgens Copaco ook door die resellers beheerd. Op Copaco rust geen contractuele verplichting om te monitoren. Oftewel, uitsluitend Freez.it is verantwoordelijk voor de getroffen maatregelen en alleen Freez.it heeft invloed op wat zich precies afspeelt binnen de accounts van haar eindgebruikers, waaronder ook de beveiliging van de toegang tot de omgeving, aldus Copaco. Freez.it heeft nagelaten MFA in te schakelen en heeft het gebruik van de tenant niet gemonitord, met een enorme rekening tot gevolg. Dit komt volgens Copaco voor haar eigen rekening en risico.
4.6.
Naar het oordeel van de rechtbank is Copaco niet aansprakelijk voor de schade ten gevolge van de hack. Daartoe overweegt de rechtbank als volgt. Zoals hiervoor overwogen in rechtsoverweging 2.4. kan een ‘tenant’ worden gezien als een container waarin alle online diensten van Microsoft voor één bedrijf zijn opgeslagen en kunnen worden gebruikt. Onweersproken is door Copaco gesteld dat de reseller, in dit geval Freez.it, binnen de cloudomgeving van Microsoft een ‘tenant’ aanmaakt en deze beheert voor de eindgebruiker. In dit verband heeft Copaco aangevoerd dat de reseller, als beheerpartij, de tenant in opdracht van de eindgebruiker inricht en de instellingen kiest voor onder meer het beheer van gebruikers, de toegang en de beveiliging. De eindgebruiker kan vervolgens binnen de ‘eigen’ tenant gebruik maken van de clouddiensten. Ook is onweersproken door Copaco gesteld dat voor de toegang tot de tenant en het beheer daarvan de beheerpartij rechtstreeks inlogt op de Azure cloudomgeving. Copaco zit daar niet tussen. Naar het oordeel van de rechtbank heeft Copaco daarmee voldoende adequaat onderbouwd dat zij technisch niet in staat is tot het verrichten van het beheer en evenmin tot het monitoren van de tenants. Freez.it heeft onvoldoende feiten of omstandigheden gesteld waaruit volgt dat dit anders zou zijn. Freez.it heeft weliswaar betoogd dat Copaco een ‘Tier 1 Microsoft Cloud Solution Provider’ (hierna: Tier 1 CSP) is en om die reden verderstrekkende verplichtingen heeft, waaronder proactieve monitoring om afwijkingen en onverwachte wijzigingen te identificeren, maar Copaco heeft gemotiveerd betwist dat zij een Tier 1 CSP is. Volgens Copaco is zij een zogenaamde ‘Indirect Provider’. Freez.it heeft dit verweer niet weerlegd en heeft geen nadere onderbouwing gegeven van haar stelling ter zake, zodat de rechtbank ervan uitgaat dat Copaco geen Tier 1 CSP is, maar een ‘Indirect Provider’, die niet de tools of de middelen heeft om te monitoren en in te grijpen. Daarbij geldt dat het eventueel zijn van een Tier 1 CSP de verhouding tussen Copaco en Microsoft betreft en Freez.it daarmee niet ontslagen wordt van eigen verplichtingen.Het vorenstaande brengt naar het oordeel van de rechtbank met zich dat Freez.it richting haar eindgebruikers zelf verantwoordelijk is voor het IT beheer van de accounts van haar eindgebruikers, waaronder de instandhouding van de juiste beveiligingsmaatregelen. Uit de in het geding gebrachte screenshots van de website van Freez.it volgt ook dat Freez.it het IT beheer en de beveiliging van de accounts van haar eindgebruikers op zich neemt.
4.7.
De stelling van Freez.it dat Copaco haar zorgplicht heeft geschonden door Freez.it onvoldoende te wijzen op MFA en op het feit dat Freez.it deze beveiliging actief moest aanzetten, kan Freez.it niet baten. Copaco heeft Freez.it al geruime tijd voor de hack, op
22 juni 2020, gemaild over MFA en over het feit dat deze beveiligingsvereisten van Microsoft van kracht zijn per 1 augustus 2019 (zie rechtsoverweging 2.3.). In de e-mail staat onder meer vermeld dat voor de bescherming van eindgebruikers het beleid moet worden ingeschakeld en dat de eindgebruikers zich daarbij dienen te registreren voor MFA met behulp van de Authenticator-app. Naar het oordeel van de rechtbank kan uit deze e-mail van Copaco voldoende worden afgeleid dat het op de weg van Freez.it lag om de beveiliging actief aan te zetten, althans in te schakelen ter bescherming van de eindgebruikers. Ook heeft Copaco in een bericht op haar website in 2021 nogmaals gewezen op het belang van MFA en heeft Copaco Freez.it hierover gemaild op 2 december 2021. Gelet op het vorenstaande is de rechtbank van oordeel dat van een schending van de zorgplicht door Copaco geen sprake is geweest. Copaco heeft Freez.it voldoende gewaarschuwd, mede gelet op de eigen verantwoordelijkheid van Freez.it voor de beveiliging van de accounts van haar eindgebruikers. Van het feit dat de toegang tot de accounts van de eindgebruikers van Freez.it niet is geblokkeerd door Microsoft, kan Copaco naar het oordeel van de rechtbank geen verwijt worden gemaakt. Onweersproken is door Copaco gesteld dat de opvolgende maatregelen wanneer het advies om MFA in te schakelen niet wordt opgevolgd, door Microsoft worden uitgevoerd. Kennelijk heeft Microsoft beoogd om MFA geleidelijk uit te rollen, zoals ook volgt uit het nieuwsbericht van mei 2024. Het verweer van Freez.it dat Copaco, omdat MFA niet actief was ingeschakeld, de toegang tot de cloudplatforms had moeten blokkeren, treft daarom geen doel. Van schending van de zorgplicht of een contractuele verplichting door Copaco is geen sprake.
Anders dan Freez.it betoogt is niet gebleken van een contractuele verplichting tot monitoring door Copaco.
4.8.
De stelling van Freez.it dat Copaco de hack eerder bij Freez.it had moeten melden, kan Freez.it evenmin baten. Door overlegging van de interne mail van Copaco van
7 november 2022 (zie rechtsoverweging 2.5.) heeft Copaco voldoende adequaat onderbouwd dat zij pas op die dag door Microsoft is gebeld over een klant die veel kosten in Azure maakt. Dezelfde dag heeft Copaco dit gemeld aan Freez.it. De niet nader onderbouwde stelling van Freez.it dat de melding volgens de helpdeskmedewerker van Copaco “helaas bij Copaco enige tijd op de plank is blijven liggen” zal de rechtbank als onvoldoende adequaat onderbouwd passeren. Aan bewijslevering op dit punt wordt daarom niet toegekomen, nog daargelaten dat op Copaco geen verplichting rust om proactief te monitoren.
4.9.
Het voorgaande leidt tot de slotsom dat Freez.it zelf aansprakelijk is voor de schade ten gevolge van de hack. Zoals ook blijkt uit het nieuwartikel van 15 mei 2024 heeft de hack hoogstwaarschijnlijk kunnen plaatsvinden doordat Freez.it MFA niet had ingeschakeld. De daaruit voortvloeiende gevolgen komen in de gegeven omstandigheden voor rekening en risico van Freez.it. De door Freez.it gevorderde verklaring voor recht dat zij niet aansprakelijk is voor de schade ten gevolge van de hack, is daarom niet toewijsbaar.
Vernietiging betalingsregeling?
4.10.
Freez.it stelt voorts dat Copaco in het kader van de betalingsregeling misbruik heeft gemaakt van omstandigheden. Volgens Freez.it heeft Copaco haar machtspositie misbruikt en gedreigd met het opschorten dan wel beëindigen van haar diensten aan de klanten van Freez.it, het leggen van beslagen onder die klanten en andere rechtsmaatregelen, waaronder het aanvragen van het faillissement van Freez.it. Copaco wist of had moeten begrijpen dat zij Freez.it vanwege die omstandigheden heeft bewogen tot het sluiten van de betalingsregeling, althans dat zij het tot stand komen daarvan heeft bevorderd, terwijl zij wist of had moeten weten dat Freez.it dat onder normale omstandigheden niet had gedaan. Door middel van de dagvaarding vernietigt Freez.it daarom de betalingsregeling op grond van artikel 3:44 BW en vordert zij terugbetaling van het bedrag van € 301.477,31.
Copaco heeft gemotiveerd betwist dat zij haar machtspositie zou hebben misbruikt en dat er sprake zou zijn geweest van een nijpende situatie met concrete dreigingen van een eventueel beslag en het op zwart zetten van de systemen van klanten van Freez.it. Volgens Copaco hebben partijen juist te allen tijde openlijk gecommuniceerd met elkaar en strookt de indruk die Freez.it probeert te wekken niet met de werkelijkheid.
4.11.
De rechtbank stelt bij de beoordeling voorop dat een rechtshandeling op grond van artikel 3:44 lid 1 Burgerlijk Wetboek (BW) vernietigbaar is, wanneer zij door bedreiging, door bedrog of door misbruik van omstandigheden tot stand is gekomen. Op grond het bepaalde in artikel 3:44 lid 4 BW is misbruik van omstandigheden aanwezig, wanneer iemand die weet of moet begrijpen dat een ander door bijzondere omstandigheden, zoals noodtoestand, afhankelijkheid, lichtzinnigheid, abnormale geestestoestand of onervarenheid, bewogen wordt tot het verrichten van een rechtshandeling, het tot stand komen van die rechtshandeling bevordert, ofschoon hetgeen hij weet of moet begrijpen, hem daarvan zou behoren te weerhouden.
4.12.
De rechtbank is van oordeel dat Freez.it haar stelling dat de betalingsregeling door misbruik van omstandigheden tot stand is gekomen niet, althans onvoldoende heeft onderbouwd. Freez.it heeft ter onderbouwing van haar stelling onder meer verwezen naar de brief van Copaco van 26 januari 2023, waarin Copaco de betwisting van de facturen door Freez.it formeel heeft afgewezen (zie rechtsoverweging 2.15.). In de brief van 26 januari 2023 heeft Copaco, kort gezegd, geschreven dat zij kennis heeft genomen van de betwisting van de facturen door Freez.it en dat zij daarover contact heeft gehad met Microsoft. Voorts heeft Copaco geschreven dat de betwisting formeel wordt afgewezen en daarbij heeft Copaco Freez.it verzocht om per direct tot betaling van de openstaande facturen over te gaan. Ook heeft Copaco geschreven dat zij vanaf 26 januari 2023 het reguliere traject met betrekking tot achterstallige facturen zal gaan volgen en dat de brief van 26 januari 2023 kan worden gezien als een eerste officiële aanmaning. Uit de tekst en toon van de brief van 26 januari 2023 kan naar het oordeel van de rechtbank niet worden afgeleid dat Copaco misbruik heeft gemaakt van omstandigheden. Copaco heeft de reactie van Microsoft afgewacht en heeft vervolgens de bezwaren van Freez.it tegen de facturen in een zakelijke brief formeel afgewezen. De omstandigheid dat Copaco om betaling van de facturen heeft verzocht, levert evenmin misbruik van omstandigheden op. Copaco was immers gerechtigd om Freez.it tot betaling te sommeren, gelet op tussen Copaco en Freez.it bestaande overeenkomst en de afwijzing van de bezwaren.
4.13.
Uit de e-mail van 19 oktober 2023 van de advocaat van Copaco aan de advocaat van Freez.it (zie rechtsoverweging 2.23.) kan naar het oordeel van de rechtbank evenmin een dreigement worden afgeleid, zoals Freez.it heeft betoogd. Tussen partijen is niet in geschil dat er tussen hen een overeenkomst bestaat, zodat de discussie over het gebrek aan een schriftelijke, door beide partijen ondertekende overeenkomst, in zoverre niet relevant is. Anders dan Freez.it heeft betoogd, kan naar het oordeel van de rechtbank uit de tekst van de e-mail geen dreigement worden afgeleid dat Copaco de samenwerking en alle dienstverlening per direct zal staken, indien Freez.it haar standpunt omtrent het niet van toepassing zijn van de zogenaamde CPA-overeenkomst (Cloud Partner Agreement) zou handhaven. Copaco is daarentegen juist bereid om de betalingsregeling aan te passen, om op die manier een faillissement van Freez.it te voorkomen. Van misbruik van omstandigheden of van bedreiging van Freez.it is naar het oordeel van de rechtbank geen sprake. Ook overigens heeft Freez.it haar stelling dat Copaco zou hebben gedreigd met het opschorten van diensten, beslag leggen of een faillissementsaanvraag onvoldoende onderbouwd. Daarbij komt dat Freez.it zelf voorstellen voor een betalingsregeling aan Copaco heeft gedaan, die Copaco heeft aanvaard. Van bijzondere omstandigheden in de zin van artikel 3:44 lid 4 BW is de rechtbank niet gebleken. Het feit dat Freez.it de betalingsregeling onder protest heeft gesloten, omdat zij het niet eens is met de hoogte van de facturen, doet daar niet aan af. Het beroep op vernietiging van de betalingsregeling zal daarom worden afgewezen.
4.14.
Het voorgaande leidt tot de slotsom dat de in conventie door Freez.it tegen Copaco ingestelde vorderingen zullen worden afgewezen. Zoals hiervoor overwogen in rechtsoverweging 4.8. is Freez.it zelf aansprakelijk voor de schade ten gevolge van de hack. De in reconventie door Copaco gevorderde verklaring voor recht dat Freez.it verplicht is de door Copaco in rekening gebrachte bedragen voor het verbruik van de Microsoft clouddiensten aan Copaco te voldoen, zal daarom worden toegewezen. Zoals hiervoor reeds overwogen is tussen partijen niet in geschil dat op Freez.it een contractuele verplichting rust om de door Microsoft aan Copaco in rekening gebrachte kosten voor de clouddiensten aan Copaco te voldoen.
Proceskosten
4.15.
Freez.it is in het ongelijk gesteld en moet daarom de proceskosten (inclusief nakosten) betalen. De proceskosten van Copaco in conventie (inclusief de nakosten in reconventie) worden begroot op:
- griffierecht
€
5.737,00
- salaris advocaat
€
6.785,00
(2,5 punten × € 2.714,00)
- nakosten (in conventie en reconventie)
€
278,00
(plus de verhoging zoals vermeld in de beslissing)
Totaal
€
12.800,00
De proceskosten van Copaco in reconventie worden begroot op:
- salaris advocaat
€
614,00
(0,5 × 2 punten × € 614,00)
Totaal
€
614,00
Chubb
4.16.
Freez.it stelt dat zij, gelet op haar aansprakelijkheid voor de schade ten gevolge van de hack, een beroep kan doen op Chubb, tot vergoeding van haar schade onder de afgesloten verzekering, meer in het bijzonder op grond van Rubriek 1 (artikel 1) of Rubriek 3 (artikel 9.2), zie rechtsoverweging 2.9. Wanneer ervan wordt uitgegaan dat Freez.it een fout heeft gemaakt en die fout heeft geleid tot een hack en/of ongeoorloofd gebruik van de servers in het cloudplatform, die op haar beurt heeft geleid of heeft kunnen leiden tot een aanspraak van een derde, oftewel Copaco, dan is dat volgens Freez.it een netwerkbeveiligingsclaim als bedoeld onder Rubriek 3 van de Cyber verzekering van Chubb. Indien en voor zover er geen dekking mocht zijn op grond van de cyber clausule, is er volgens Freez.it tevens sprake van een verzekeringsdekking onder de rubriek Beroepsaansprakelijkheid van de verzekering. Het betreft immers aansprakelijkheid voor door derden, Copaco, geleden schade. Freez.it verwijst in dit verband naar de aansprakelijkstelling van Copaco van 7 februari 2023. Freez.it betwist dat deze rubriek primair is bedoeld om schade ontstaan bij afnemers bij de uitoefening van het beroep van Freez.it te dekken. Volgens Freez.it dekt deze bepaling ook schade ontstaan door een handelen of nalaten door verzekerde bij leveranciers. Daarnaast stelt Freez.it dat de kosten voor de extra servers ten gevolge van de hack in beginsel voor de Klant (eindgebruiker) zijn, maar Freez.it kan deze kosten vanwege de inhoud van de overeenkomst en een veronderstelde fout van haarzelf niet doorberekenen. Wanneer Freez.it deze kosten wel zou doorberekenen dan kan de Klant haar voor hetzelfde bedrag aansprakelijk stellen vanwege een tekortkoming in haar dienstverlening. Deze aanspraak zou dan gedekt worden door de beroepsaansprakelijkheidsverzekering (Rubriek1), aldus Freez.it.
4.17.
Chubb betwist dat Freez.it een beroep kan doen op vergoeding van haar schade door Chubb. Freez.it is niet geconfronteerd met een aanspraak tot schadevergoeding door een derde, hetgeen een dekkingsvoorwaarde is onder alle relevante rubrieken. Er is geen sprake van een schadevordering, maar een vordering tot nakoming. Copaco heeft geen schade geleden, aldus Chubb. In deze procedure heeft Copaco haar vordering bovendien zelf ook gekwalificeerd als een nakomingsvordering. Daarnaast is Freez.it niet door haar eigen klant aangesproken tot schadevergoeding. Zoals Freez.it heeft aangegeven kan zij de kosten niet aan haar klant doorfactureren. De verzekeringsovereenkomst biedt als “third party liability” verzekering geen dekking voor schade die Freez.it zelf heeft geleden, aldus Chubb.
4.18.
Naar het oordeel van de rechtbank kan uit de polisvoorwaarden van Chubb, zoals weergegeven in rechtsoverweging 2.9., niet worden afgeleid dat de door Freez.it geleden schade ten gevolge van de hack gedekt wordt door de verzekeringsovereenkomst die Freez.it bij Chubb heeft afgesloten. Er is geen sprake van een aanspraak tot schadevergoeding door een derde. De aansprakelijkstelling van Copaco van 7 februari 2023 doet daar niet aan af. Nog daargelaten dat hiervoor in rechtsoverweging 4.5. reeds is overwogen dat Copaco niet aansprakelijk is voor de schade ten gevolg van de hack, is de rechtbank van oordeel dat Copaco geen derde is die schade heeft geleden in de zin van de polisvoorwaarden van Chubb. Anders dan Freez.it ter zitting heeft betoogd kan uit de tekst van Rubriek 1/Beroepsaansprakelijkheid niet worden afgeleid dat ook leveranciers zoals Copaco daaronder vallen. Rubriek 1 is primair bedoeld om schade ontstaan bij afnemers bij de uitoefening van het beroep van Freez.it te dekken. Copaco is geen afnemer. Een eventuele aanspraak van Copaco als leverancier kan bij een redelijke uitleg van Rubriek 1 (Haviltex) evenmin tot de conclusie leiden dat er sprake is van dekking onder de verzekeringsovereenkomst. Van een situatie waarin Freez.it redelijkerwijs had mogen verwachten dat ook schade ontstaan bij leveranciers onder de dekking van Rubriek 1 zou vallen, is geen sprake. Ook staat vast dat geen sprake is van een schadevordering van de Klant van Freez.it. De Klant heeft immers geen schade geleden. Het vorenstaande brengt met zich dat geen sprake is van een aanspraak tot schadevergoeding door een derde. Dit betekent dat zowel Rubriek 1 als Rubriek 3 geen dekking biedt. Ook overigens is niet gebleken dat de verzekeringsovereenkomst dekking biedt voor de schade die Freez.it heeft geleden ten gevolge van de hack. De vorderingen van Freez.it jegens Chubb zijn daarom niet toewijsbaar.
4.19.
Freez.it is in het ongelijk gesteld en moet daarom de proceskosten (inclusief nakosten) betalen. De proceskosten van Chubb worden begroot op:
- griffierecht
€
5.737,00
- salaris advocaat
€
7.004,00
(2 punten × € 3.502,00)
- nakosten
€
178,00
(plus de verhoging zoals vermeld in de beslissing)
Totaal
€
12.919,00
[X]
4.20.
Freez.it stelt voorts dat [X] aansprakelijk is voor de schade die zij lijdt als gevolg van de hack. Volgens Freez.it mocht zij erop vertrouwen dat de door [X] geadviseerde verzekering dekking zou bieden voor schade die is ontstaan ten gevolge van het hacken van het cloudplatform. Uit de verklaring van [X] tijdens het voorlopig getuigenverhoor (zie rechtsoverweging 2.23.) kan worden afgeleid dat [X] bij het afsluiten van de verzekeringen expliciet aan Freez.it heeft aangegeven dat het voorval zoals deze zich thans heeft voorgedaan, gedekt zou zijn door de verzekeringsovereenkomst, aldus Freez.it. [X] heeft aangegeven dat Freez.it voor dit specifieke geval verzekerd was met de cyber verzekering (Rubriek 3). Indien in rechte komt vast te staan dat er onder de polis geen dekking is, dan is [X] toerekenbaar tekort geschoten en aansprakelijk voor de schade, aldus Freez.it. In dat geval heeft Freez.it niet gekregen wat haar door [X] is toegezegd en heeft [X] onjuist geadviseerd over de af te sluiten verzekeringen. [X] heeft daarmee niet de zorg betracht die van een redelijk bekwaam en redelijk handelend beroepsgenoot mag worden verwacht. [X] heeft zijn zorgplicht geschonden en onrechtmatig jegens Freez.it gehandeld, hetgeen [X] schadeplichtig maakt. Het na het incident niet opkomen voor de belangen van Freez.it levert volgens Freez.it een zelfstandige tekortkoming van [X] op, net als het door [X] informeren van een gemeenschappelijke klant over het voorval.
4.21.
[X] heeft aangevoerd dat Freez.it geen/onvoldoende belang heeft bij de gevorderde verklaring voor recht, omdat Freez.it tevens betaling vordert van een concreet schadebedrag. [X] betwist voorts dat zij aansprakelijk is voor de schade van Freez.it. [X] heeft voorafgaand aan het sluiten van de verzekering wel de dekking op de verschillende rubrieken van de verzekering van Chubb met Freez.it besproken, maar [X] heeft niet toegezegd dat er dekking zou bestaan voor schade van Freez.it als gevolg van het risico dat zich uiteindelijk verwezenlijkte. Freez.it kwam bij [X] omdat Freez.it niet eens beschikte over een reguliere AVB en [X] heeft haar werk zorgvuldig gedaan door aan Freez.it de Chubb Proc ICT-verzekering te adviseren; een gecombineerde beroepsaansprakelijkheids-, bedrijfsaansprakelijkheids- en cyberverzekering. Daarmee was Freez.it adequaat verzekerd, aldus [X] . Dat Chubb desondanks geen dekking biedt, is niet het gevolg van een tekortkoming door [X] . De kosten vallen niet onder de dekkingsomschrijving en/of één van de verzekerde rubrieken. Freez.it is een ICT-onderneming die meer dan gemiddeld bekend moet zijn met de (cyber)risico’s die zij loopt en de schade die daaruit kan voortvloeien. [X] mocht er daarom vanuit gaan dat Freez.it zelf een goede inschatting kon maken van haar verzekeringsbehoefte. Dat Freez.it haar beveiliging niet op orde had, was niet te voorzien, in elk geval niet voor [X] . En al zou [X] het risico expliciet benoemd hebben, dan is [X] nog steeds niet aansprakelijk, omdat ook andere verzekeraars geen dekking bieden voor dit risico. De polis bij Chubb is op advies van [Y] geprolongeerd onder dezelfde voorwaarden, aldus [X] .
[X] betwist voorts dat haar van de gebeurtenissen na het incident een verwijt kan worden gemaakt. Bovendien hebben die beweerdelijke tekortkomingen niet tot de gevorderde schade geleid.
4.22.
De rechtbank is in de eerste plaats van oordeel dat Freez.it voldoende belang heeft bij de gevorderde verklaring voor recht, als grondslag voor de gevorderde schadevergoeding. Anders dan Freez.it heeft betoogd, kan naar het oordeel van de rechtbank uit de verklaring van [X] tijdens het voorlopig getuigenverhoor echter niet worden afgeleid dat [X] de onderhavige situatie expliciet als voorbeeld heeft genoemd, althans niet in die zin, dat ook eigen schade van Freez.it onder de dekking zou vallen. [X] heeft weliswaar gewezen op de situatie waarin één van de medewerkers van Freez.it een fout zou maken, bijvoorbeeld wanneer hij instellingen verkeerd zou afstellen, waardoor voor een klant vermogensschade zou ontstaan, maar dat is een situatie waarin de klant, oftewel een derde, een schadevordering op Freez.it heeft. Zoals hiervoor weergegeven in rechtsoverweging 4.18. is er in het onderhavige geval geen sprake van een schadevordering van een derde. Het betreft hier eigen schade van Freez.it ten gevolge van de hack. De stelling van Freez.it dat [X] dekking heeft toegezegd voor het specifieke geval dat zich hier heeft voorgedaan, zal de rechtbank daarom als onvoldoende adequaat onderbouwd passeren. Ook overigens heeft Freez.it onvoldoende feiten of omstandigheden gesteld waaruit volgt dat [X] niet heeft gehandeld zoals van een redelijk bekwaam en redelijk handelend vakgenoot in gelijke omstandigheden mocht worden verwacht. Naar het oordeel van de rechtbank is van een schending van de zorgplicht door [X] geen sprake. Ook de verwijten die Freez.it [X] maakt, ter zake van omstandigheden die na het incident hebben plaatsgevonden, zal de rechtbank passeren. [X] heeft de juistheid van de gemaakte verwijten gemotiveerd heeft betwist en Freez.it heeft geen nadere feiten of omstandigheden gesteld waaruit volgt dat [X] niettemin haar zorgplicht zou hebben geschonden. Daarbij komt dat het causaal verband tussen de beweerdelijke tekortkomingen en de gevorderde schade ontbreekt, zodat de vorderingen van Freez.it jegens [X] ook om die reden niet toewijsbaar zijn. De vorderingen van Freez.it jegens [X] zullen daarom als onvoldoende adequaat onderbouwd worden afgewezen.
4.23.
Freez.it is in het ongelijk gesteld en moet daarom de proceskosten (inclusief nakosten) betalen. De proceskosten van [X] worden begroot op:
- griffierecht
€
5.737,00
- salaris advocaat
€
7.004,00
(2 punten × € 3.502,00)
- nakosten
€
178,00
(plus de verhoging zoals vermeld in de beslissing)
Totaal
€
12.919,00
5De beslissing
De rechtbank
in conventie
5.1.
wijst de vorderingen van Freez.it af,
5.2.
veroordeelt Freez.it in de proceskosten van Copaco van € 12.800,00, te betalen binnen veertien dagen na aanschrijving daartoe, te vermeerderen met € 92,00 plus de kosten van betekening als Freez.it niet tijdig aan de veroordelingen voldoet en het vonnis daarna wordt betekend,
5.3.
veroordeelt Freez.it in de proceskosten van Chubb van € 12.919,00, te betalen binnen veertien dagen na aanschrijving daartoe, te vermeerderen met € 92,00 plus de kosten van betekening als Freez.it niet tijdig aan de veroordelingen voldoet en het vonnis daarna wordt betekend,
5.4.
veroordeelt Freez.it in de proceskosten van [X] van € 12.919,00, te betalen binnen veertien dagen na aanschrijving daartoe, te vermeerderen met € 92,00 plus de kosten van betekening als Freez.it niet tijdig aan de veroordelingen voldoet en het vonnis daarna wordt betekend,
5.5.
verklaart dit vonnis uitvoerbaar bij voorraad,
in reconventie
5.6.
verklaart voor recht dat Freez.it verplicht is de door Copaco in rekening gebrachte bedragen voor het verbruik van Microsoft clouddiensten aan Copaco te voldoen,
5.7.
veroordeelt Freez.it in de proceskosten van Copaco van € 614,00,
5.8.
verklaart dit vonnis uitvoerbaar bij voorraad.
Dit vonnis is gewezen door mr. J.E. Biesma en in het openbaar uitgesproken op
6 november 2024.
c: 698/ah | Link naar deze uitspraak
|
| | |
|
|
