Zoeken
  1. Onderdelen van IT-systemen bij verschillende leveranciers kopen is juridisch risicovol

Onderdelen van IT-systemen bij verschillende leveranciers kopen is juridisch risicovol

In de IT bestaan systemen vaak uit allerlei verschillende componenten. Die componenten worden regelmatig bij verschillende leveranciers betrokken. Dat dit ook risicovol kan zijn, blijkt uit een recent arrest van het Gerechtshof Arnhem-Leeuwarden. In tweede instantie roept het arrest toch wel enige vragen op.
Artikel | 25 september 2018 | Mark Jansen

Geschil Politie - Motiv IT Masters

Het arrest gaat over een geschil tussen de Nationale Politie (de afnemer) enerzijds en Motiv IT Masters (de leverancier) anderzijds.

De belangrijkste feiten in de kwestie zijn als volgt:

  • De Politie maakt sinds 2003 gebruik van een beveiligingssysteem van RSA met bijbehorende tokens.
  • In 2006 is tussen De Politie en Motiv een raamovereenkomst gesloten met betrekking tot netwerkbeveiliging. Sindsdien heeft De Politie diverse tokens bij Motiv besteld.
  • In 2011 vindt er een hack plaats bij RSA waardoor de betrouwbaarheid van de daarvoor uitgegeven tokens niet meer gegarandeerd was. De Politie besloot daarop de tokens te vervangen door nieuwe.

De Politie wil de kosten die zij heeft moeten maken voor het vervangen van de tokens verhalen op Motiv. Motiv bestrijdt dat zij deze kosten moet vergoeden.

Oordeel Gerechtshof

Het Gerechtshof maakt in zijn oordeel duidelijk onderscheid tussen de tokens enerzijds en het totale beveiligingsysteem (=tokens + software + server) anderzijds.

Het Gerechtshof stelt vast dat de tokens bij levering voldeden aan de eisen. En dat er door de hack niets aan de eigenschappen van de tokens is veranderd. Met de tokens zelf is dus niets mis.

Met het totale beveiligingsysteem is mogelijk wel wat mis, maar dat heeft De Politie niet bij Motiv aangeschaft. Het Hof ziet daar in de basis dus geen tekortkoming van Motiv in.

Sterker nog, zelfs als je wel zou moeten aannemen dat het systeem gebrekkig is geworden omdat de tokens gebrekkig zijn, dan nog vindt het Hof dat dit niet aan Motiv is toe te rekenen. Het Hof wijst daarbij op het volgende:

  • De Politie heeft destijds zelf - zonder enige betrokkenheid van Motiv - RSA geselecteerd.
  • Motiv had ook geen invloed (kunnen hebben) op de hack bij RSA.
  • Bovendien is geen enkel computersysteem uiteindelijk tot in de eeuwigheid 'hackvrij'.

De vorderingen van de Politie worden dan ook afgewezen.

Had het ook anders gekund?

Uit het arrest zijn niet alle feiten goed af te leiden. En de argumenten van partijen zijn al helemaal niet na te lezen in het arrest. Dat maakt het op zichzelf lastig om commentaar te geven op de uitkomst. Niettemin komen er wel enkele gedachten op.

In de basis voelt het wel logisch en billijk dat de wederverkoper van een (onderdeel van) een beveiligingssysteem niet opdraait voor een hack bij de fabrikant. Wat kan die wederverkoper daar immers aan doen?

En toch....

De kern van deze beveiligingssystemen is nu juist dat alle verschillende onderdelen goed met elkaar samenwerken. Onderdeel van het systeem is ook een voortdurende licentieovereenkomst op basis waarvan updates worden verkregen, juist met als doel om de integriteit van het gehele systeem blijvend te bewaken. Je zou dus evengoed kunnen redeneren dat de onderdelen verkocht - en op hun beurt door de wederverkoper bij de leverancier ingekocht - worden met de impliciete garantie dat bij hack van een onderdeel, er reparatie/vervanging plaatsvindt zodat het gehele systeem alsnog adequaat blijft functioneren. Een IT-beveiligingssysteem zonder updates is namelijk op voorhand al waardeloos (juist omdat hacking denkbaar is, zoals het Hof al constateert).

Dergelijke garanties / regelingen zou ik althans op zijn minst in de contracten vastleggen. Al was het maar omdat deze uitspraak laat zien dat je anders mogelijk met lege handen komt te staan als afnemer.

En juist bij die constructie met de (impliciete, dan wel contractueel uitgeschreven) garantie komt het risico uiteindelijk bij de fabrikant te liggen. Dat lijkt me redelijk, die is immers ook gehackt en daarmee de veroorzaker van de ellende.

Het lastige is namelijk, in de redenering van het Hof zou je ook niet kunnen klagen:

  • bij je garage over je gehackte autosleutel (want die was ooit wel goed);
  • bij TLS over je gehackte ov-chipkaartsaldo (want ook die chip was ooit wel goed);
  • bij je telefoonwinkel wegens het verkopen van een telefoon waarin later bugs blijken te zitten (want die bug was ten tijde van verkoop nog niet ontdekt);
  • etc.

Wie weet komt de zaak nog wel bij de Hoge Raad. Tot die tijd moeten we het met dit oordeel doen.

Vragen?

Heeft u zelf juridische vragen over IT, een IT-geschil of behoefte aan IT-contracten? Neem dan contact met me op via de op deze pagina vermelde contactgegevens.