ECLI:NL:RBMNE:2014:2617

• Datum uitspraak: 2 juli 2014
• Publicatiedatum: 27 juni 2014
• Zaaknummer: C-16-350140 - HA ZA 13-584
• Instantie: Rechtbank Midden-Nederland
• Type: Uitspraak
• Rechtsgebied: Civiel recht
• Uitkomst: Toewijzend
• Procedures: Eerste aanleg - enkelvoudig
• Rechters: S.H. Gaertman
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Betalingsovereenkomst voice-diensten en aansprakelijkheid bij hack PBX-centrale

KPN en NEC sloten op 30 augustus 2006 een overeenkomst voor levering van voice-diensten, waarbij NEC een zelfgebouwde PBX-centrale gebruikte die via een router aan het Wide Area Network was gekoppeld.

In juni 2011 werd de PBX-centrale van NEC gehackt, waarbij derden frauduleuze telefoongesprekken via de datalijnen voerden. NEC ontdekte de hack op 28 juni 2011 en verwijderde het gehackte nummer. KPN bracht vervolgens een factuur uit van €176.895,05, waarvan NEC het grootste deel betwistte.

De rechtbank oordeelde dat NEC verantwoordelijk is voor de beveiliging van haar PBX-centrale en dat KPN geen zorgplicht had om de datalijnen te monitoren. NEC was bekend met de risico’s, mede door een eerdere hack in 2011. De vordering van KPN tot betaling van €169.618,73 werd toegewezen, inclusief wettelijke rente, maar buitengerechtelijke kosten werden afgewezen wegens onvoldoende onderbouwing.

Uitkomst: NEC wordt veroordeeld tot betaling van €169.618,73 plus wettelijke rente aan KPN wegens de hack op haar PBX-centrale.

Uitspraak

vonnis

RECHTBANK MIDDEN-NEDERLAND

Afdeling civielrecht

Zittingsplaats Utrecht

zaaknummer / rolnummer: C/16/350140 / HA ZA 13-584

Vonnis van 2 juli 2014

in de zaak van

de besloten vennootschap met beperkte aansprakelijkheid

KPN B.V. ,

gevestigd te 's-Gravenhage,

eiseres,

advocaat mr. F.M. Hooijmans te ’s-Gravenhage,

tegen

de besloten vennootschap met beperkte aansprakelijkheid

NEC NEDERLAND B.V. ,

gevestigd te Hilversum,

gedaagde,

advocaat mr. H.W. Wefers Bettink te Amsterdam.

Partijen zullen hierna KPN en NEC genoemd worden.

1. De procedure

1.1.

Het verloop van de procedure blijkt uit:

• het tussenvonnis van 2 oktober 2013;
• het proces-verbaal van comparitie van 25 maart 2014 en de daarin genoemde stukken.

1.2.

Naar aanleiding van het proces-verbaal dat buiten aanwezigheid van partijen is vastgesteld heeft NEC gereageerd bij brief van 8 april 2014 en KPN bij fax van 17 april 2014. Voor zover van belang voor de beoordeling zal op deze opmerkingen worden ingegaan. Vervolgens is vonnis bepaald.

2. De feiten

2.1.

Op 30 augustus 2006 hebben KPN en NEC, althans hun rechtsvoorgangers, een overeenkomst gesloten voor de levering door KPN aan NEC van voicediensten (hierna te noemen: de overeenkomst). Daarvoor werd de PBX-centrale van NEC via een router gekoppeld aan het Wide Area Network. Op deze wijze wordt spraak getransporteerd over het datanetwerk, waarbij meerdere toeleveranciers zijn betrokken.

2.2.

Voor de levering van de voicediensten op grond van de overeenkomst heeft NEC gebruik gemaakt van de door haar zelfgebouwde PBX-centrale te Hilversum.

2.3.

Bij e-mail d.d. 7 februari 2011 heeft NEC aan KPN bericht:

“Hierbij nogmaals de vraag, biedt KPN de mogelijkheid om aan een bedrijfsrekening een limiet te stellen, bv 500 Euro per dag, of aantal gesprekken ? Dit in het verband met een recente hacking, die tot een telefoonrekening van 40000 Euro leidde ?“

Daarop heeft KPN gereageerd bij e-mail d.d. 11 februari 2011:

“Wij hebben geen tool beschikbaar waarmee een limiet kan worden gesteld. Het enige dat we kunnen aanbieden is een Perpexion Voice Reporting (PX) dat toelaat om dagelijks het verkeer in het oog te houden. Het is niet ideaal, biedt geen thresholds, maar met enige discipline kan het verrassingen vermijden. De maandelijkse kosten van deze tool bedragen € 370,00 en eenmalige € 390,00.”

NEC heeft van Perpexion Voice Reporting geen gebruik gemaakt.

2.4.

Tussen 11 en 28 juni 2011 is een PBX-nummer van NEC gehackt. Doordat een NEC PBX-toestel met een makkelijke pincode buiten het bedrijf van NEC is geraakt hebben derden zich toegang kunnen verschaffen tot de datalijnen en via een dial up service betaalde gesprekken over deze lijn tot stand gebracht met een telefoonnummer in Oost-Timor. Op 28 juni 2011 heeft NEC deze hack bij toeval (tijdens het uitvoeren van een test) ontdekt. Zij heeft om 10:19 uur het gehackte PBX-nummer uit de centrale verwijderd zodat dit niet meer toegankelijk was. Daarna heeft Brittish Telecom (hierna te noemen: BT), op wiens datalijn het frauduleuze telefoonverkeer heeft plaatsgevonden, op 28 juni 2011 om 12:31 en om 15:59 aan KPN een waarschuwing van mogelijke fraude doorgegeven. KPN heeft op 28 juni 2011 om 16:32 NEC op de hoogte gesteld van de mogelijke fraude.

2.5.

Bij e-mail van 30 juni 2011 deelde KPN aan NEC mede dat de totale extra kosten van deze fraude € 1.171,00 bedroegen, voorzien van een gedetailleerde opgave waaruit bleek dat de hack vier dagen zou hebben geduurd, namelijk van 17 tot en met 20 juni 2011.

2.6.

Bij factuur d.d. 27 oktober 2011 heeft KPN aan NEC een bedrag groot

€ 176.895,05 in rekening gebracht.

3. Het geschil

3.1.

KPN vordert samengevat - veroordeling van NEC tot betaling van € 169.618,73 (inclusief 19% BTW), vermeerderd met de wettelijke handelsrente vanaf 26 december 2011 tot de dag der algehele voldoening, buitengerechtelijke kosten groot € 1.815,00 en de kosten van de procedure.

3.2.

De grondslag van de vordering is nakoming van de overeenkomst. KPN vordert betaling van het openstaande deel van de factuur.

3.3.

NEC voert verweer dat strekt tot afwijzing van de vordering. Zij stelt - kort gezegd - dat op KPN een (verzwaarde) zorgplicht rust, dat gezien de grote discrepantie tussen de opgave van 30 juni 2011 en de factuur van 27 oktober 2011 van haar, zonder nadere toelichting, in redelijkheid geen betaling kan worden verlangd; dat op KPN een verzwaarde bewijslast rust ten aanzien van de factuurspecificatie en dat NEC geen wettelijke handelsrente verschuldigd is gezien haar gerede twijfel over de juistheid van het openstaande gedeelte van de factuur.

3.4.

Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.

4. De beoordeling

4.1.

Tussen partijen staat vast dat de hack is geplaatst op de PBX-centrale van NEC (doordat een NEC PBX-toestel met een makkelijke pincode buiten het bedrijf van NEC is geraakt) en dat als gevolg daarvan frauduleus telefoonverkeer heeft plaatsgevonden op de datalijnen waaraan de PBX-centrale was gekoppeld. Hun verschil van mening betreft de gevolgen van de hack en voor wiens rekening en risico die zouden moeten komen.

4.2.

De overeenkomst betreft de levering van voicediensten. Daarin zijn geen specifieke bepalingen opgenomen met betrekking tot beveiliging van de door NEC zelf gebouwde PBX-centrale waarop de hack heeft plaatsgevonden. De rechtbank concludeert dan ook dat de beveiliging van die PBX-centrale voor rekening en risico van NEC komt. Voorts bevat de overeenkomst geen specifieke bepalingen waarbij aan KPN een verplichting tot monitoren van de datalijnen is opgelegd.

4.3.

NEC stelt dat zij door KPN niet is gewezen op of gewaarschuwd voor (de omvang van de) risico’s van voicediensten. Deze stelling wordt gepasseerd. NEC heeft immers gebruik gemaakt van de voicediensten met een door haar zelf gebouwde PBX-centrale die door middel van een router gekoppeld was aan het Wide Area Network (de datalijnen). NEC was derhalve zelf binnen deze branche als professional actief en deskundig. Daarom mag NEC voldoende bekend worden verondersteld met de risico’s van een hack op haar eigen PBX-centrale. Daar komt bij dat NEC al eerder was geconfronteerd met een hack die tot een schade van € 40.000,00 had geleid (zie onder 2.3.). Voor zover de risico’s van voicediensten al niet duidelijk zouden zijn geweest bij aanvang, staat vast dat NEC van die risico’s in elk geval op 7 februari 2011, door de eerdere hack op haar eigen PBX-centrale, op de hoogte was en dat NEC zelf maatregelen ter beperking van die risico’s diende te treffen. Vast staat bovendien dat NEC ook beschikte over mogelijkheden om de gevolgen van hack’s te beperken. Immers, de hack in de periode tussen 11 en 18 juni 2011 werd door NEC zelf ontdekt door een test en met een Perpexion Voice Reporting bestond de mogelijkheid voor NEC om zelf het dataverkeer in het oog te houden. De hack van voor 7 februari 2011 heeft NEC kennelijk geen aanleiding gegeven tot het treffen van maatregelen om de gevolgen van een hack op haar eigen PBX-centrale te beperken. Bij comparitie heeft NEC - kort gezegd - gesteld dat zij niet weet wat KPN in de e-mail van 11 februari 2011 nu precies heeft aangeboden. Dat NEC dit, voor zover al niet uit bedoelde e-mail volgt wat is aangeboden, zelf niet verder heeft onderzocht blijft voor rekening en risico van NEC. Gesteld noch gebleken is dat NEC met betrekking tot de hack van voor 7 februari 2011 KPN heeft verweten, of haar er op heeft gewezen, dat KPN de datalijnen niet heeft gemonitord. Dat KPN er van uitging dat die verplichting tot monitoren bij NEC lag en dat NEC daarvan op de hoogte was, blijkt uit de e-mail van 11 februari 2011 (zie 2.3.). Het had op de weg van NEC gelegen om KPN dan op de zorgplicht te wijzen. Nu dat niet is gebeurd, ging NEC kennelijk op dat moment niet van een verplichting tot monitoren aan de zijde van KPN uit.

4.4.

NEC stelt dat uit artikel 7:401 BW een (verzwaarde) zorgplicht voortvloeit voor KPN om eventuele fraude op de datalijnen te voorkomen, althans de gevolgen daarvan te beperken door afwijkend telefoonverkeer tijdig te signaleren. KPN is deze zorgplicht niet nagekomen. Hierbij verwijst NEC naar de jurisprudentie betreffende telefoonverkeer en de daarin aangenomen verplichting van KPN om telefoonverkeer adequaat en regelmatig te monitoren en op afwijkend telefoonverkeer binnen drie dagen adequaat te reageren. NEC meent dat uit artikel 4.3. van de algemene voorwaarden, waarin KPN toezegt dat zij “the reasonable care and skill of a competent and reputable provider of IT and telecommunication services” in acht zal nemen, een met artikel 7:401 BW vergelijkbare verplichting voortvloeit. Omdat het volgens NEC om een vergelijkbare zorgplicht gaat kan in het midden blijven of de algemene voorwaarden van toepassing zijn en zal beoordeeld worden of de door NEC gestelde (verzwaarde) zorgplicht uit artikel 7:401 BW voortvloeit.

4.5.

Voicediensten zijn niet gelijk te stellen aan internet- of telefoondiensten. In het bijzonder is het volgende van belang. Bij voicediensten wordt van verschillende toeleveranciers gebruik gemaakt. KPN heeft gesteld dat zij de lijnen van die toeleveranciers (in dit geval van bijvoorbeeld Brittish Telecom) niet kan monitoren. Weliswaar wordt dit door NEC betwist, maar zij onderbouwt dit verder niet. Voorts wordt niet slechts gebruik gemaakt van ‘hardware’ van of gehuurd van KPN maar heeft NEC met een zelfgebouwde PBX-centrale van die voicediensten gebruik gemaakt. Voor de beveiliging van deze PBX-centrale is NEC zelf verantwoordelijk. Bovendien beschikte NEC zelf over mogelijkheden om de schade ten gevolge van een hack op haar eigen PBX-centrale te beperken, waarvan zij geen gebruik heeft gemaakt na geconfronteerd te zijn met een eerdere hack. Dit brengt mee dat de door NEC gestelde zorgplicht van KPN inhoudende het monitoren van de datalijnen niet van toepassing is en dat van schending van deze zorgplicht ook geen sprake kan zijn. Voor zover dit anders zou zijn kan NEC op de door haar gestelde zorgplicht geen beroep doen omdat zij op 7 februari 2011 wist of behoord te weten dat KPN de lijnen niet monitorde, KPN toen niet op de verplichting tot monitoren heeft gewezen en zij van de mogelijkheden die zij zelf had om een hack (vroeger) te ontdekken geen gebruik heeft gemaakt. Dat het bij de hack van voor 7 februari 2011 ging om een schade van € 40.000,00 en thans om een veelvoud daarvan, maakt een en ander niet anders.

4.6.

NEC betwist de hoogte van de factuur van KPN. Zij stelt dat de eerste opgave van € 1.171,00 de geloofwaardigheid van deze factuur niet ten goede komt en dat KPN erg lang heeft gewacht met het verstrekken van een onderbouwing van die factuur. Bij de onderbouwing ontbreken de gesprekken vermeld in de eerste opgave. De verschuldigdheid van de wettelijke rente wordt betwist omdat NEC goede grond had voor twijfel met betrekking tot de hoogte van de factuur, aldus NEC.

KPN heeft gesteld dat zij met een snelle opgave heeft gepoogd de omvang van de schade ten gevolge van de hack inzichtelijk te maken. Daarbij is zij afhankelijk van de gegevens verstrekt door haar toeleverancier. Die opgave is achteraf echter onjuist gebleken. Dat aanvankelijk een onjuiste opgave is verstrekt is geen schade-oorzaak, aldus KPN.

De stellingen van NEC vormen een onvoldoende betwisting van de specificatie van de factuur, zoals door KPN als productie 7 bij conclusie van antwoord in het geding gebracht.

Het gevorderde bedrag zal daarom worden toegewezen. Ook de wettelijke rente zal worden toegewezen als gevorderd. Terecht wenste NEC een specificatie, doch dit doet er niet aan af dat de voicediensten zijn verricht en NEC volgens de overeenkomst binnen zestig dagen na factuurdatum moest betalen. Bovendien heeft NEC ook na het verstrekken van de specificatie niet betaald.

4.7.

De gevorderde buitengerechtelijke incassokosten zullen worden afgewezen nu KPN niet heeft onderbouwd welke buitengerechtelijke werkzaamheden zijn verricht.

4.8.

NEC zal als de in het ongelijk gestelde partij in de proceskosten worden veroordeeld. De kosten aan de zijde van KPN worden begroot op:

- dagvaarding € 76,71

- griffierecht 3.715,00

- salaris advocaat
2.842,00 (2 punten × tarief € 1.421,00)

Totaal € 6.633,71

5. De beslissing

De rechtbank

5.1.

veroordeelt NEC om aan KPN te betalen een bedrag van € 169.618,73, vermeerderd met de wettelijke handelsrente als bedoeld in art. 6:119a BW over het toegewezen bedrag met ingang van 26 december 2011 tot de dag van volledige betaling,

5.2.

veroordeelt NEC in de proceskosten, aan de zijde van KPN tot op heden begroot op € 6.633,71,

5.3.

verklaart dit vonnis tot zover uitvoerbaar bij voorraad,

5.4.

wijst het meer of anders gevorderde af.

Dit vonnis is gewezen door mr. S.H. Gaertman en in het openbaar uitgesproken op 2 juli 2014. ^[1]

Voetnoten

1. type: SG 4371