Vanochtend viel mijn oog op een interessant arrest dat is gewezen door het Gerechtshof Arnhem-Leeuwarden, inzake de aankoop en het gebruik van een beveiligingssysteem met bijbehorende ‘tokens’.
De feiten zijn als volgt: de (rechtsvoorganger van de) politie (“Politie”) heeft in 2003 een ‘SecurID’ systeem met bijbehorende tokens gekocht bij RSA Security Ireland Ltd (“RSA”). Kort gezegd werkte het voornoemde systeem zo dat medewerkers van de Politie op afstand in konden loggen op haar computersysteem via een beveiligde verbinding door middel van een persoonlijke pincode in combinatie met een door een token gegenereerde code.
In het kader van het bovenstaande hebben de Politie en RSA een licentieovereenkomst gesloten met betrekking tot het gebruik van het systeem. Tevens hebben de Politie en een derde, Motiv (die zich zou bezighouden met het verschaffen van aanvullende tokens en software-updates), een raamovereenkomst en nadere overeenkomst gesloten met betrekking tot netwerkbeveiliging. Na de ingebruikname van het systeem heeft de Politie meermaals opdrachten geplaatst bij Motiv met betrekking tot (aanschaf van) tokens en (software)uitbreidingen. Vervolgens heeft in 2011 een computerhack plaatsgevonden bij RSA, waarbij waarschijnlijk ‘seeds’ zijn buitgemaakt.
Hierdoor ontstond de mogelijkheid dat buitenstaanders de door de tokens gegenereerde codes zouden kunnen reproduceren. Hierop heeft de Politie de tokens vervangen, met welke vervanging aanzienlijke kosten waren gemoeid. De Politie vorderde op basis van het voorgaande een verklaring voor recht dat Motiv was tekortgeschoten in de nakoming van haar verplichtingen aangezien de tokens niet zouden voldoen aan dat wat de Politie daarvan mocht verwachten en schadevergoeding.
In eerste aanleg oordeelde de rechtbank dat de RSA-software niet onder de voorwaarden viel van de gesloten raamovereenkomst en wees daardoor de vorderingen van de Politie af. In hoger beroep bevestigt het Hof het vonnis in eerste aanleg en overweegt hiertoe het volgende:
5.4 Het hof stelt vast dat aan de tokens zelf door de hack niets is veranderd. Zij functioneerden voordien naar behoren, en zijn dat sindsdien blijven doen. […]. De tokens zelf zijn dus niet gebrekkig geworden door de hack. 5.5 Het complete systeem, […] is evenwel niet geleverd door Motiv. De Politie had dat systeem immers zelf bij RSA aangeschaft, lang voordat de overeenkomsten tussen De Politie en Motiv werden gesloten. Motiv […] is bij de keuze en de aanschaf van het systeem niet betrokken geweest. Als er sprake zou zijn van eén (later opgetreden) gebrek in het systeem, zou Motiv daarvoor dus niet aansprakelijk zijn.
5.7 Zou het voorgaande anders zijn in die zin dat wel zou moeten worden aangenomen dat de hack ertoe heeft geleid dat de tokens niet langer aan de overeenkomst beantwoordden, dan moet worden beoordeeld of Motiv daarvoor aansprakelijk is te houden. […] 5.8 […] Daarbij is van belang dat De Politie het bewuste beveiligingssysteem zelf, zonder bemoeienis of advies van Motiv, heeft uitgekozen en dat de tokens ten tijde van de levering in ieder geval wel aan de overeenkomst beantwoordden. Dat desalniettemin (in deze lezing) later een gebrek in de tokens is ontstaan, is toe te schrijven aan omstandigheden die zich geheel in de risicosfeer van RSA bevonden […] en die Motiv niet kon beïnvloeden of voorkomen. Daar komt dan nog bij dat ieder computersysteem uiteindelijk kan worden gehackt, zodat De Politie ook geen volledig hackfree systeem mocht verwachten. Die bijzondere omstandigheden brengen mee dat Motiv niet behoeft in te staan voor de gevolgen van het beweerdelijk later opgetreden gebrek in de tokens.
