4 sep 2018
Uitspraak ingezonden door Hanneke Slager en Gwendolin van Rooy, Cordemeyer & Slager / Advocaten
Motiv niet aansprakelijk want de tokens zelf zijn niet gebrekkig geworden door de hack
Hof Arnhem-Leeuwarden 4 september 2018, IEF 17959; IT 2630 (Politie tegen Motiv It Masters) Contractenrecht. Hacking. Cryptobeveiliging. De politie en RSA hebben een overeenkomst gesloten over de afname van een digitaal beveiligingsproduct. Daarnaast heeft de politie een raamovereenkomst gesloten met Motiv. De Politie stelt dat na de digitale inbraak bij RSA de beveiligingstokens - geleverd door Motiv - niet meer voldeden aan wat zij daarvan mocht verwachten, namelijk gedurende drie of vier jaar zeer sterke cryptografische bescherming. De politie vordert een verklaring voor recht dat Motiv toerekenbaar tekort is geschoten in de nakoming van de Raamovereenkomst en een schadevergoeding van €1.166.235,85. De rechtbank [IT 2031] oordeelde dat de RSA-software niet onder de voorwaarden van de Raamovereenkomst valt en verwerpt de vorderingen. In hoger beroep vordert de politie dat Motiv tekort is geschoten in de nakoming. Het is van belang dat De Politie het bewuste beveiligingssysteem zelf, zonder bemoeienis of advies van Motiv, heeft uitgekozen en dat de tokens ten tijde van de levering in ieder geval wel aan de overeenkomst beantwoordden. Dat later een gebrek in de tokens is ontstaan, is toe te schrijven aan omstandigheden die zich geheel in de risicosfeer van RSA bevonden (te weten de hack en het feit dat er kennelijk steeds zijn bewaard, waardoor die konden worden gekopieerd) en die Motiv niet kon beïnvloeden of voorkomen. Daar komt dan nog bij dat ieder computersysteem uiteindelijk kan worden gehackt, zodat De Politie ook geen volledig hackfree systeem mocht verwachten. Motiv hoeft niet in te staan voor de gevolgen van het later opgetreden gebrek in de tokens. Het Hof bevestigt de uitspraak van de rechtbank.
5.4 Het hof stelt vast dat aan de tokens zelf door de hack niets is veranderd. Zij functioneerden voordien naar behoren, en zijn dat sindsdien blijven doen. Dat door de hack de mogelijkheid is ontstaan dat de in de tokens vervatte steeds bij de hackers bekend zijn, vormt op zichzelf geen gebrek van de tokens, maar mogelijkerwijs wel van het gehele beveiligingssysteem, dus het samenstel van tokens, computers en software dat de beveiligde toegang mogelijk maakt. De tokens zelf zijn dus niet gebrekkig geworden door de hack.
5.5 Het complete systeem, dat mogelijkerwijs door de hack niet meer de eigenschappen (het veiligheidsniveau) bezit dat De Politie mocht verwachten en aldus wellicht non-conform is geworden, is evenwel niet geleverd door Motiv. De Politie had dat systeem immers zelf bij RSA aangeschaft, lang voordat de overeenkomsten tussen De Politie en Motiv werden gesloten. Motiv heeft slechts aanvullende/vervangende tokens en software-updates geleverd, maar is bij de keuze en de aanschaf van het systeem niet betrokken geweest. Als er sprake zou zijn van eén (later opgetreden) gebrek in het systeem, zou Motiv daarvoor dus niet aansprakelijk zijn.
5.6 De Politie heeft zelf de kwestie treffend vergeleken (memorie van grieven sub 49) met de koop van een slot dat op zichzelf goed functioneert, maar waarvan derden door een inbraak bij de fabrikant kopieën van de sleutels in handen hebben gekregen. De Politie legt evenwel niet uit waarom in die situatie zou moeten worden aangenomen dat de winkelier bij wie (alleen) het slot is gekocht, ook zou moeten instaan voor de gevolgen van een (latere) inbraak bij de fabrikant, zodat dit voorbeeld niet leidt tot de door De Politie gewenste oplossing.
5.7 Zou het voorgaande anders zijn in die zin dat wel zou moeten worden aangenomen dat de hack ertoe heeft geleid dat de tokens niet langer aan de overeenkomst beantwoordden, dan moet worden beoordeeld of Motiv daarvoor aansprakelijk is te houden. In dit verband is van belang dat een tekortkoming bestaande in een gebrek in een verkocht product in beginsel voor rekening van de verkoper komt, ook als deze het gebrek kende noch behoorde te kennen. Dat kan anders zijn in geval van bijzondere omstandigheden, die niet snel mogen worden aangenomen (HR27 april 2001, ECLINL:HR:2001:AB1338).
5.8 Het hof acht dergelijke bijzondere omstandigheden in dit geval aanwezig. Daarbij is van belang dat De Politie het bewuste beveiligingssysteem zelf, zonder bemoeienis of advies van Motiv, heeft uitgekozen en dat de tokens ten tijde van de levering in ieder geval wel aan de overeenkomst beantwoordden. Dat desalniettemin (in deze lezing) later een gebrek in de tokens is ontstaan, is toe te schrijven aan omstandigheden die zich geheel in de risicosfeer van RSA bevonden (te weten de hack en het feit dat er kennelijk steeds zijn bewaard, waardoor die konden worden gekopieerd) en die Motiv niet kon beïnvloeden of voorkomen. Daar komt dan nog bij dat ieder computersysteem uiteindelijk kan worden gehackt, zodat De Politie ook geen volledig hackfree systeem mocht verwachten. Die bijzondere omstandigheden brengen mee dat Motiv niet behoeft in te staan voor de gevolgen van het beweerdelijk later opgetreden gebrek in de tokens.
5.9 Het voorgaande voert tot de slotsom dat Motiv niet is tekortgeschoten in de nakoming van haar verplichtingen door tokens aan De Politie te leveren die later zouden blijken niet meer het niveau van beveiliging te kunnen bieden dat De Politie naar haar stelling op grond van de overeenkomst zou mogen verwachten. Aangezien de vorderingen van De Politie uitsluitend op die tekortkoming zijn gebaseerd, kunnen die vorderingen niet slagen.