Rechtbank Amsterdam 14 november 2018, ECLI:NL:RBAMS:2018:10124 (gepubliceerd op 7 juni 2020)

O’Cliance is een administratiekantoor. Gedaagde verricht onder de naam bedrijf diensten op het gebied van IT en automatisering.

In 2009 heeft O’Cliance Gedaagde gevraagd een plan op te stellen voor de (her)inrichting van de IT-infrastructuur van O’Cliance. Vervolgens heeft Gedaagde in opdracht van O’Cliance dit plan uitgevoerd en een nieuw netwerk geïnstalleerd. Na de aanleg heeft Gedaagde herhaaldelijk beheer- en onderhoudswerkzaamheden aan het netwerk van O’Cliance verricht.

Partijen hebben geen afspraken op schrift gesteld. Gedaagde bracht voor zijn werkzaamheden maandelijks een vast bedrag van € 380,00 in rekening bij O’Cliance. Als sprake was van nieuw aan te schaffen producten en/of installatiewerkzaamheden, werden deze separaat in rekening gebracht.

In een e-mail van 29 april 2010 schrijft Gedaagde aan O’Cliance:

“(..) Als opmerking kan misschien nog vermeld worden dat we er misschien goed aan doen om die zwarte backup drive dubbelt uit te voeren, zodat eens in de week je die mee naar huis kan nemen zodat als er een keer brand uitbreek je de data “thuis” hebt. Deze “need” is minder echter mijn inziens als de server achterstaat want daan hebben we en een backup in de schuur (de zwarte doos naast het keyboard gaat dan mee naar achteren). Maar indien dit gebeurd is, hebben we ook de snapshot drive boven in de meterkast (Acronisdrive).

Hoop dat je nu weer goed kan slapen. J (..)”

Op 12 februari 2017 is O’Cliance het slachtoffer geworden van een aanval met ‘ransomware’. Daarbij zijn hackers doorgedrongen tot het netwerk van O’Cliance en hebben zij alle bestanden op de server versleuteld, waaronder ook de back-upbestanden. Na betaling van drie bitcoins á € 963,61 per stuk heeft O’Cliance weer toegang gekregen tot haar bestanden.

O’Cliance heeft True-xs, een bedrijf gespecialiseerd in Cyber Security, nadien opdracht gegeven onderzoek te verrichten naar de vraag hoe de ransomware-aanval heeft kunnen plaatsvinden. True-xs concludeert, blijkens haar Bevindingenrapport onderzoek ransomware van 26 april 2017, onder meer het volgende:

“(..) Met aan zekerheid grenzende waarschijnlijkheid kan True-xs zeggen dat op 12 februari 2017 om 16:55:09 er ingelogd is op de SBS-server met de account backoffice om vervolgens om 16:59:06 het uitvoerbare bestand “1.exe” op locatie “C:/Temp” te starten. Dit uitvoerbare bestand is later door Gedaagde, met behulp van Malwarebytes Anti Malware, als ransomware aangeduid en verwijderd.

True-xs adviseert O’Cliance om kritisch te kijken naar de inrichting van het netwerk. Uit gesprekken met Gedaagde heeft True-xs geconstateerd dat het mogelijk was om via poort 443 een RDP-sessie op te kunnen zetten met het SBS-systeem (het zogenaamde Remote Web Workplace). In combinatie met het zwakke wachtwoord van het account backoffice was het een kwestie van tijd tot cybercriminelen toegang tot de SBS-server zouden krijgen. (..)

Daarnaast adviseert True-xs om kritisch te kijken naar de inrichting van het netwerk. Deze digitale aanval had met eenvoudige maatregelen voorkomen kunnen worden. Door een combinatie toe te passen van eenvoudige maatregelen (wijzigen wachtwoorden gebruikers) en technische maatregelen (VPN-toegang) en het verbeteren van de back-upvoorziening kan O’Cliance een nieuwe digitale aanval afslaan. Doordat de back-upvoorzieningen niet op de juiste manier ingeregeld waren heeft O’Cliance losgeld betaald om bestanden weer terug te krijgen. Dit had voorkomen kunnen worden met een op de juiste manier ingeregelde backup.”

True-xs heeft voor dit onderzoek een totaalbedrag van € 4.437,08 in rekening gebracht bij O’Cliance.

Na de ransomware-aanval heeft Gedaagde herstelwerkzaamheden verricht voor O’Cliance. Voor deze werkzaamheden heeft hij op 23 februari 2018 € 6.854,12 aan O’Cliance gefactureerd. O’Cliance heeft de factuur onbetaald gelaten.

Het geschil in conventie

O'Cliance vordert - samengevat - dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad,

I. verklaart voor recht dat Gedaagde:

• toerekenbaar is tekortgeschoten in de nakoming van de verplichtingen uit de tussen partijen gesloten overeenkomst van opdracht;

• heeft gehandeld in strijd met haar zorgplicht op grond van artikel 7:401 van het Burgerlijk Wetboek (hierna: BW);

• jegens O’Cliance een onrechtmatige daad heeft gepleegd door een beroepsfout te maken in die zin dat hij zich niet heeft gedragen als een behoorlijk handelend vakbekwaam IT-deskundige;

II. Gedaagde veroordeelt tot betaling van € 42.227,65 aan schadevergoeding, vermeerderd met de wettelijke rente daarover vanaf de dag der dagvaarding tot aan de dag der algehele voldoening;

III. Gedaagde veroordeelt tot betaling van € 7.199,540 aan de buitengerechtelijke kosten, vermeerderd met de wettelijke rente daarover vanaf de dag der dagvaarding tot aan de dag der algehele voldoening.

O’Cliance stelt ter onderbouwing van haar vorderingen onder meer dat zij Gedaagde opdracht heeft gegeven een nieuwe en volledige IT-infrastructuur aan te leggen, te beheren en te onderhouden. Daaronder viel ook de beveiliging van het netwerk en op dat onderdeel van de opdracht is Gedaagde toerekenbaar tekortgeschoten. Omdat de beveiliging niet in orde was, heeft de ransomware-aanval plaats kunnen vinden en heeft O’Cliance schade geleden. Deze schade moet voor rekening van Gedaagde komen.

Gedaagde voert verweer.

Op de stellingen van partijen wordt hierna, voor zover van belang, (nader) ingegaan.

In reconventie

Gedaagde vordert samengevat – dat de dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad, O'Cliance veroordeelt tot betaling van € 6.854,12, vermeerderd met rente en kosten.

Gedaagde legt aan zijn vordering ten grondslag dat hij na de ransomware-aanval in opdracht van O’Cliance herstelwerkzaamheden heeft verricht en materiaal heeft geleverd en dat O’Cliance op haar beurt niet aan de daaruit voortvloeiende betalingsverplichting heeft voldaan.

O'Cliance voert verweer.

Op de stellingen van partijen wordt hierna, voor zover van belang, (nader) ingegaan.

De beoordeling in conventie

Opdracht en de uitvoering daarvan

Gedaagde heeft op de zitting erkend dat hij in opdracht van O’Cliance een volledige IT-infrastructuur heeft aangelegd en, op afroep, het beheer en onderhoud daarvan verzorgde. Dat tussen partijen een afspraak bestond die inhield dat Gedaagde een ‘totaalpakket’ zou leveren, is dus niet in geschil. De vraag die partijen wel verdeeld houdt, is of ook de beveiliging van het netwerk deel uitmaakte van dat totaalpakket. Nu partijen hun afspraken niet op papier hebben gesteld, moet het antwoord op die vraag uit andere feiten en omstandigheden worden afgeleid. Daarbij is van belang wat partijen redelijkerwijs over de omvang van de opdracht hebben kunnen begrijpen en wat zij over en weer van elkaar mochten verwachten. De stelplicht (en eventuele bewijslast) dat de opdracht ook zag op het aanleggen van een adequate beveiliging rust op O’Cliance, omdat zij zich beroept op de rechtgevolgen hiervan.

O’Cliance voert in dit kader aan dat zij haar IT-infrastructuur volledig in handen van Gedaagde heeft gelegd en dat de beveiliging daarvan vanzelfsprekend deel uitmaakte. Omdat O’Cliance met gevoelige gegevens werkt, is een adequate beveiliging voor haar van groot belang en Gedaagde was hiervan op de hoogte. O’Cliance is afgegaan op de deskundigheid van Gedaagde, die altijd benadrukte dat het netwerk goed beveiligd was en in geval van calamiteiten binnen afzienbare tijd weer in gebruik zou kunnen worden genomen.

Gedaagde voert ter betwisting aan dat hij wel beveiligingsmaatregelen heeft voorgesteld, maar dat al zijn voorstellen door O’Cliance van de hand werden gewezen. In zijn aanvankelijke voorstel stond onder meer de aanleg van de firewall, maar dit is niet overgenomen in het uiteindelijke ontwerp omdat de functie en functie van O’Cliance, betrokkene,tijdens de voorbereidende gesprekken aangaf dat hij dit te duur vond. Het voorstel van Gedaagde om bij wijze van back-up met roulerende externe schijven te werken, gaf volgens betrokkene te veel gedoe. Bij gebrek aan toestemming heeft Gedaagde noodgedwongen bepaalde beveiligingsmaatregelen achterwege gelaten en gemakkelijke wachtwoorden ingesteld. Betrokkene was geen leek op computergebied en wist dus welke risico’s aan zijn keuzes kleefden.

Naar het oordeel van de rechtbank heeft Gedaagde hiermee onvoldoende gemotiveerd betwist dat O’Cliance er vanuit is gegaan en mocht gaan dat Gedaagde bij het vervullen van de opdracht een volledige IT-infrastructuur aan te leggen, tevens zorg zou dragen voor een adequate beveiliging. Daarbij overweegt de rechtbank dat het gelet op het gestelde en niet betwiste belang hiervan, moeilijk voorstelbaar is hoe onder de opdracht een totaalpakket te leveren niet tevens de aanleg van de daarbij behorende beveiliging kan zijn begrepen. Met hetgeen Gedaagde heeft aangevoerd, wat daar feitelijk ook van zij, wordt bovendien niet zozeer betwist dat de opdracht tevens de aanleg van de beveiliging inhield, maar enkel dat Gedaagde hier door toedoen van O’Cliance niet in is geslaagd. De stelling van O’Cliance dat de opdracht tevens het aanleggen van adequate beveiliging inhield, slaagt dus.

Door het netwerk aan te leggen zonder firewall en zonder externe back-ups, heeft Gedaagde deze opdracht niet naar behoren uitgevoerd. Dat, zoals Gedaagde stelt, O’Cliance de voorgestelde beveiligingsmaatregelen van de hand zou hebben gewezen, maakt dit niet zonder meer anders. Het had dan op de weg van Gedaagde gelegen de opdracht te weigeren wegens onuitvoerbaarheid, alternatieven aan te dragen of op zijn minst indringend en herhaaldelijk te waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten. Dat betrokkene wellicht zelf kennis van zaken op het gebied van IT had, ontsloeg Gedaagde niet van deze verantwoordelijkheid. Gelet op de afspraak dat hij een totaalpakket inclusief beveiliging zou leveren, in combinatie met zijn professionele deskundigheid, kon hij niet volstaan met een enkele waarschuwing en berusten in de keuzes van O’Cliance. Dat Gedaagde meer heeft gedaan dan het geven van een enkele waarschuwing, is door hem niet, althans onvoldoende, gesteld. Uit de e-mail van 29 april 2010 blijkt juist het tegendeel. Dat Gedaagde niet uitdrukkelijk heeft gewaarschuwd wordt nog eens onderstreept doordat Gedaagde op de zitting heeft verklaard dat hij op de vraag of het systeem veilig genoeg was slechts zou hebben geantwoord: “Er moeten nog een aantal dingen bij.” Gedaagde is hiermee toerekenbaar tekort geschoten in de uitvoering van zijn opdracht.

het causaal verband, verzuim en de eigen schuld

Zoals volgt heeft True-xs op basis van haar onderzoek geconcludeerd dat de ransomware-aanval voorkomen had kunnen worden door een combinatie van technische maatregelen (firewall) en sterkere wachtwoorden. O’Cliance beroept zich op dit rapport. Gedaagde heeft op de zitting weliswaar verklaard dat een aanval als deze nooit kan worden uitgesloten, maar heeft daarbij erkend dat het met een goede beveiliging (waaronder sterke wachtwoorden) in ieder geval langer had geduurd voordat de hackers het netwerk hadden kunnen binnendringen en dat dit had kunnen maken dat de hackers de aanval hadden afgebroken. Gedaagde heeft tevens erkend dat als er externe back-ups waren gebruikt, deze buiten het bereik van de ransomware waren gebleven en O’Cliance haar activiteiten dan aanzienlijk sneller had kunnen oppakken, zonder betaling van bitcoins. Gedaagde heeft als verweer gevoerd dat sprake is van eigen schuld van O’Cliance, omdat zij de adviezen van Gedaagde niet op wilde opvolgen. Voor zover Gedaagde al iets te verwijten valt, geldt bovendien dat O’Cliance hem nooit heeft aangespoord alsnog aan zijn verplichtingen te voldoen. Hij kan dus niet worden aangesproken voor de schade van O’Cliance, aldus Gedaagde .

Gedaagde heeft de stelling van O’Cliaince dat het (het gevolg van) de ransomware-aanval voorkomen had kunnen worden als de juiste maatregelen waren getroffen hiermee onvoldoende gemotiveerd betwist. Zelfs als moet worden aangenomen dat het niet mogelijk is een dergelijke aanval met technische maatregelen volledig uit te sluiten, geldt dat met een externe back-upstructuur de gevolgen beperkt waren gebleven. Met betrekking tot het ontbreken van de firewall en externe back-upstructuur, heeft de rechtbank in 4.5 al overwogen dat Gedaagde op dit punt te weinig inspanning heeft geleverd en dat het ontbreken van deze veiligheidsmaatregelen dus (geheel) voor zijn rekening moet komen. Nadat de ransomware-aanval eenmaal had plaatsgevonden, was nakoming bovendien blijvend onmogelijk geworden zodat Gedaagde direct in verzuim was. De schade die O’Cliance ten gevolge van deze tekortkoming in de nakoming door Gedaagde heeft geleden, komt daarom op grond van artikel 6:74 BW in beginsel voor rekening van Gedaagde.

Tussen partijen is echter niet in geschil dat naast het ontbreken van een firewall en externe back-upstructuur ook het gebruik van te gemakkelijke wachtwoorden heeft bijgedragen aan de gelegenheid voor geslaagde een ransomware-aanval. Met betrekking tot deze wachtwoorden staat bovendien vast dat Gedaagde aanvankelijk complexe wachtwoorden had ingesteld, maar dat hij deze op uitdrukkelijk verzoek van O’Cliance heeft vereenvoudigd. Op de zitting heeft betrokkene hierover verklaard dat hij herhaaldelijk met Gedaagde over de wachtwoorden heeft gesproken en dat hij zich ervan bewust was dat het gebruik van simpele wachtwoorden risico’s met zich bracht.

De stelling van Gedaagde dat hij op dit onderdeel van de beveiliging wel voldoende inspanning heeft verricht, en dat de keuze van O’Cliance voor gemakkelijke wachtwoorden mede debet is geweest aan de kwetsbaarheid voor een ransomware-aanval, is hiermee door O’Cliance onvoldoende betwist. Dat de hackers zich mede door de gemakkelijke wachtwoorden toegang tot het netwerk van O’Cliance konden verschaffen, is daarom een omstandigheid die voor rekening van O’Cliance moet blijven.

Daarmee komt de rechtbank tot de conclusie dat Gedaagde jegens O’Cliance aansprakelijk is voor de schade die kon ontstaan doordat Gedaagde niet heeft voldaan aan de opdracht een adequate beveiliging aan te leggen, maar dat O’Cliance medeschuldig is aan het ontstaan van het lek in de beveiliging. De rechtbank zal de schade dan ook over beide partijen verdelen. Gelet op de mate waarin elk van de partijen aan de schade heeft bijgedragen, stelt de rechtbank de schadevergoedingsplicht van Gedaagde vast op 2/3 van het geheel. Het overige deel van de schade blijft voor rekening van O’Cliance.

Schade: omzetderving en personeelskosten

O’Cliance stelt dat zij na de ransomware-aanval gedurende de eerste week niet en gedurende de tweede week nauwelijks haar gebruikelijke werkzaamheden heeft kunnen verrichten en daardoor een omzetderving van € 8.080,00 heeft geleden. Zij vordert tevens vergoeding van (een deel van) haar personeelskosten. O’Claince heeft deze posten onderbouwd met een overzicht waarin per medewerker het aantal gewerkte uren, het uurloon en - naar de rechtbank begrijpt - de misgelopen omzet per medewerker per uur is weergegeven.

Gedaagde heeft aanvankelijk betwist dat O’Cliance anderhalve week niet heeft kunnen werken, maar heeft op de zitting erkend dat het bij grote hoeveelheden data, zoals de drie terrabites waarmee O’Cliance werkte, lang duurt voordat alle gegevens weer zijn teruggezet en het systeem weer ‘up and running’ is. Gedaagde voert verder aan dat O’Cliance uitsluitend gederfde winst en niet gederfde omzet zou kunnen vorderen, omdat O’Cliance zich ook kosten heeft kunnen besparen en dat in ieder geval de compensatie voor de post personeelskosten al is inbegrepen in de omzetderving.

Gedaagde heeft hiermee de stelling van O’Cliance dat zij als gevolg van de ransomware-aanval enige tijd buiten bedrijf is geweest en daarmee een bedrag van € 8.080,00 aan omzet is misgelopen, onvoldoende gemotiveerd betwist. In artikel 6:96 BW is bepaald dat vermogensschade zowel geleden verlies als gederfde winst omvat. Daarmee omvat de schade die voor vergoeding in aanmerking komt niet enkel de gederfde winst, maar ook de gemaakte kosten waartegenover, als gevolg van de schadeveroorzakende gebeurtenis, geen opbrengsten staan. O’Cliance heeft niet gesteld waaruit deze kosten bestaan, anders dan uit personeelskosten. Gedaagde heeft echter evenmin uiteengezet welke kosten O’Cliance zich als gevolg van de ransomware-aanval zou (kunnen) hebben bespaard. Gelet op de aard van de bedrijfsactiviteiten van O’Cliance en de relatief korte duur van de stillegging van de bedrijfsactiviteiten, gaat de rechtbank er vanuit dat de kostenbesparing voor O’Cliance zeer gering tot nihil is geweest. De gederfde omzet is daarmee gelijk te stellen aan de optelsom van gederfde winst en gemaakte, niet terugverdiende, kosten (waaronder de personeelskosten), zodat het bedrag van € 8.080,00 in zijn volledigheid als schade kan worden aangemerkt. Voor een afzonderlijke vergoeding van de personeelskosten bestaat dan uiteraard geen grond meer.

Schade: onderzoek door True-xs

O’Cliance heeft ook vergoeding van de kosten voor het inschakelen van True-xs gevorderd. Volgens Gedaagde zijn deze kosten onnodig gemaakt, aangezien hijzelf de oorzaak van de ransomware-aanval al had achterhaald.

Op grond van artikel 6:96, tweede lid, sub b, BW komen redelijke kosten ter vaststelling van schade en aansprakelijkheid voor vergoeding in aanmerking. Gelet op het (aanvankelijk vermoedelijke) aandeel van Gedaagde in het ontstaan van de schade, bestond er voor O’Cliance voldoende aanleiding om een deskundige derde onderzoek te laten doen naar de oorzaak van de ransomware-aanval. O’Cliance heeft dit onderzoek dan ook in redelijkheid kunnen laten uitvoeren. Gesteld nog gebleken is dat de kosten die True-xs voor haar werkzaamheden in rekening heeft gebracht, niet redelijk zijn. De kosten van dat onderzoek ad € 4.437,07 zullen daarom worden aangemerkt als schade die voor vergoeding in aanmerking komt.

schade: verbeteringen aan het netwerk

O’Cliance heeft na de ransomware-aanval DeLorentz & Partners B.V, verbeteringen aan het netwerk laten aanbrengen. Zo heeft zij onder meer een firewall laten plaatsen. Gedaagde betwist dat deze kosten als schade kunnen worden aangemerkt. 

Vast staat dat de beveiliging van het netwerk voorafgaand aan de ransomware-aanval onvoldoende was. Verder staat vast dat Gedaagde kosten van nieuw aan te schaffen producten en/of installatiewerkzaamheden altijd los van de maandelijkse vaste vergoeding in rekening bracht bij O’Cliance (zie 2.3). Als O’Cliance de aanval had willen voorkomen, had zij daarom hoe dan ook extra kosten moeten maken, onder meer voor het plaatsen van een firewall. O’Cliance heeft niet gesteld dat de kosten van het aanleggen van de noodzakelijke beveiliging als gevolg van de ransomware-aanval hoger zijn uitgevallen dan zij aanvankelijk zouden zijn geweest. De kosten voor verbetering van het netwerk kunnen daarom niet worden aangemerkt als schade die een gevolg is van de tekortkomingen van Gedaagde en komen om die reden niet voor vergoeding in aanmerking.

Schade: betaling bitcoins

Tussen partijen is niet in geschil dat O’Cliance drie bitcoins ter waarde van € 963,61 en daarmee een totaalbedrag van € 2.890,83 heeft moeten betalen om haar bestanden te ontsleutelen. Dit bedrag zal daarom worden aangemerkt als schade die voor vergoeding in aanmerking komt.

Totale schade

De totale schade die voor vergoeding in aanmerking komt, bedraagt daarmee (€ 8.080,00 + € 4.437,07 + € 2.890,83=) € 15.407,90. Gedaagde zal worden veroordeeld tot het vergoeden van 2/3 deel (€ 10.271,93) van deze schade.

Verklaringen voor recht

O’Cliance heeft niet toegelicht waarom zij naast de uit te spreken veroordeling tot vergoeding van haar schade, waarin reeds een oordeel omtrent het handelen van Gedaagde ligt besloten, ook belang heeft bij de onder I gevorderde verklaringen voor recht. Dit deel van de vordering zal daarom worden afgewezen.

Buitengerechtelijke kosten en wettelijke rente

O’Claince vordert vergoeding van buitengerechtelijke incassokosten, maar heeft niet gesteld dat zij buitengerechtelijke werkzaamheden heeft verricht of heeft laten verrichten. De vordering tot vergoeding van buitengerechtelijk incassokosten zal daarom worden afgewezen.

O'Cliance vordert wettelijke rente over de schadevergoeding vanaf de dag van de dagvaarding. Gedaagde heeft de verschuldigdheid van wettelijke rente niet betwist. De gevorderde rente is op grond van artikel 6:119 BW toewijsbaar als gevorderd, met dien verstande dat deze rente slechts berekend zal worden over het toegewezen deel van de hoofdsom.

Proceskosten

Gedaagde zal als de in conventie grotendeels in het ongelijk gestelde partij in de proceskosten worden veroordeeld. Omdat een aanzienlijk deel van het gevorderde bedrag wordt afgewezen, begroot de rechtbank de proceskosten aan de zijde van O'Cliance op basis van het toegewezen bedrag op:

- dagvaarding € 102,10

- griffierecht € 1.924,00

- salaris advocaat € 1.086,00 (2 punten × tarief € 543,00)

totaal € 3.112,10

Verder zal Gedaagde worden veroordeeld in de nakosten voor zover deze kosten op dit moment reeds kunnen worden begroot. De nakosten zullen worden begroot op de wijze zoals in de beslissing vermeld.

Anders dan O’Cliance heeft gevorderd zal de wettelijke rente over de proceskosten en nakosten, zoals gebruikelijk en redelijk, eerst zijn verschuldigd vanaf veertien dagen na het vonnis en niet na acht dagen.

In reconventie

Tussen partijen staat vast dat Gedaagde na de ransomware-aanval (herstel)werkzaamheden heeft verricht voor O’Cliance, waaronder het plaatsen van een nieuwe server, en dat O’Cliance hem hiervoor niet heeft betaald.

Gedaagde vordert in reconventie betaling voor deze werkzaamheden alsmede de geplaatste server. O’Cliance voert als verweer dat de werkzaamheden enkel zagen op herstel en beperking van de door Gedaagde zelf veroorzaakte schade. De door Gedaagde geplaatste server was destijds nodig voor het ontsleutelen van bestanden, maar wordt inmiddels niet meer door O’Cliance gebruikt.

Uit het in conventie gegeven oordeel van de rechtbank dat Gedaagde aansprakelijk is voor de schade van O’Cliance, volgt tevens dat op hem een verplichting rustte om de schade ten gevolge van zijn handelen zoveel mogelijk te beperken. Partijen zijn het erover eens dat de werkzaamheden die Gedaagde heeft verricht noodzakelijk waren om de bedrijfsvoering van O’Cliance zoveel mogelijk doorgang te laten vinden. Daarmee is de schade van O’Cliance, in de vorm van omzetverlies, beperkt. Omdat Gedaagde verplicht was de schadebeperkende werkzaamheden te verrichten, kan hij geen aanspraak maken op betaling hiervoor door O’Cliance. Dat O’Cliance een eigen aandeel heeft in het ontstaan van de schade doet hier niet aan af. Weliswaar rustte ook op haar de (zelfstandige) verplichting maatregelen te treffen om de schade zoveel mogelijk te beperken, maar gelet op de hoedanigheid en deskundigheid van beide partijen lag schadebeperking in de vorm van het verrichten van herstelwerkzaamheden bij uitstek op de weg van Gedaagde.

Ook het beroep van Gedaagde op onrechtmatige verrijking door O’Cliance slaagt niet. Gedaagde heeft onvoldoende gesteld om aan te kunnen nemen dat O’Cliance dankzij de werkzaamheden van Gedaagde in een betere vermogenspositie is gebracht dan voor de ransomware-aanval. Dit geldt tevens voor de server, nu Gedaagde niet heeft gesteld dat de server na de herstelwerkzaamheden op andere wijze door O’Cliance in gebruik is genomen. O’Cliance heeft bovendien op de zitting verklaard dat de server door Gedaagde kan worden opgehaald.

De vordering in reconventie zal daarom worden afgewezen, met dien verstande dat O’Cliance de server terug dient te geven aan Gedaagde.

Gedaagde zal als de in reconventie in het ongelijk gestelde partij in de proceskosten worden veroordeeld. De kosten aan de zijde van O'Cliance worden begroot op € 461,00 aan salaris advocaat (2 punten × factor 0,5 × tarief € 461,00).

Lees hier de volledige uitspraak.