Blog

Hof: Leverancier van tokens niet aansprakelijk voor hack in systeem derde

Deze maand deed het Hof Arnhem-Leeuwarden uitspraak in een interessante IT-zaak. De zaak betrof een geschil tussen de politie en Motiv – IT-securityspecialist en leverancier van bepaalde tokens. In deze blog zal ik de (best ingewikkelde) feiten zo kort en duidelijk mogelijk weergeven, en ingaan op de beslissing van zowel de rechter in eerste instantie als de rechter in hoger beroep.

Feiten

2003

In 2003 heeft de politie bij een wederverkoper van een producent van digitale beveiligingsproducten – namelijk RSA – een beveiligingssysteem met bijbehorende tokens aangeschaft waarmee haar medewerkers op afstand toegang kunnen krijgen tot het ICT-netwerk van de politie.

Via het systeem kunnen medewerkers van de politie inloggen op het ICT-netwerk van de politie door middel van een pincode in combinatie met een door het token gegenereerde code (tweefactorauthenticatie). Dit is vergelijkbaar met de wijze waarop bij sommige banken kan worden ingelogd en waarop advocaten met hun advocatenpas kunnen inloggen.

2006

In 2006 schaft de politie een update van het beveiligingssysteem aan bij een andere wederverkoper van RSA. Bij de installatie van die update is de politie verplicht akkoord te gaan met de licentievoorwaarden. De politie gaat daar dus mee akkoord.

Later in 2006 sluit de politie met, een derde partij, Motiv een raamovereenkomst, waaronder vervolgens verschillende tokens en software updates door de politie worden aangeschaft en licenties worden uitgebreid. De tokens hebben namelijk een beperkte levensduur van 3 tot 4 jaar. Bij uitbreiding van het aantal tokens dient ook de licentie te worden uitgebreid. Voor al deze aankopen en uitbreidingen zijn door Motiv offertes uitgebracht. Op het merendeel van die offertes wordt verwezen naar de voorwaarden uit de tussen de politie en Motiv gesloten raamovereenkomst.

2011

In 2011 vindt er een hack plaats bij RSA. Daarbij is waarschijnlijk de seed database gestolen, waardoor de door de tokens gegenereerde codes ook door derden zouden kunnen worden gereproduceerd.

De politie heeft daarop het advies gekregen om de tokens te vervangen door nieuwe tokens, waarvan de seeds niet zijn buitgemaakt. Motiv heeft in dat kader aan de politie een voorstel verzonden voor de kosteloze levering van vervangende tokens.

De politie meent echter dat Motiv aansprakelijk is voor schade die zij hebben geleden door de hack. Immers, de hack zou een schending zijn van de tussen de politie en Motiv gesloten raamovereenkomst. De politie zou door het incident schade hebben geleden omdat de tokens vanaf het moment van de hack tot het moment van vervanging niet zouden beantwoorden aan het doel waarvoor ze waren aangeschaft.

Motiv wijst iedere aansprakelijkheid van de hand.

De rechtbank

De politie besluit een gerechtelijke procedure tegen Motiv te starten. De rechtbank oordeelt echter dat Motiv niet aansprakelijk is tegenover de politie voor de door de hack ontstane schade. Het door de politie aangeschafte – en gehackte – beveiligingssysteem van RSA valt namelijk niet onder de tussen de politie en Motiv gesloten raamovereenkomst:

“4.10. De rechtbank is van oordeel dat de voor 1 november 2006 door de Politie van RSA, al dan niet via een distributeur, aangeschafte RSA-software niet onder de voorwaarden van de Raamovereenkomst valt. De Politie heeft weliswaar gesteld dat de Raamovereenkomst, als jongere overeenkomst, gaat boven de eerder gesloten RSA overeenkomst, maar die stelling gaat niet op. Motiv was immers op het moment van het sluiten van de Raamovereenkomst geen partij bij de RSA overeenkomst en RSA was geen partij bij de Raamovereenkomst. Omdat niet sprake is van dezelfde partijen kan daardoor al geen sprake zijn van het vervangen van de oudere overeenkomst door de jongere overeenkomst. Uit niets blijkt dat partijen hebben beoogd om de rechtsverhouding tussen de Politie en RSA over te dragen aan Motiv of om Motiv daar op een of andere wijze in te betrekken. In de Raamovereenkomst of de latere nadere overeenkomsten (want zo kunnen de inkoopopdrachten gekwalificeerd worden) is geen bepaling opgenomen waaruit blijkt dat de RSA overeenkomst door de Politie wordt overgedragen aan Motiv.”

Kortom, het gebrek in het beveiligingssysteem van RSA kwalificeert niet als een tekortkoming in de nakoming van de raamovereenkomst door Motiv.

Het oordeel van het hof

Het Hof volgt het oordeel van de rechtbank en stelt vast dat aan de tokens zelf door de hack niets is veranderd. Zowel voor als na de hack functioneren de tokens naar behoren. Dat de seeds door de hack mogelijk bekend zijn bij derden is geen gebrek aan de tokens. Mogelijk is dit wel een gebrek aan het beveiligingssysteem als geheel, maar dit systeem is niet bij Motiv aangeschaft. En valt niet onder de met Motiv gesloten raamovereenkomst. Motiv is dan ook niet aansprakelijk voor gebreken in het systeem, want er is geen sprake van een tekortkoming in de nakoming van de overeenkomst door Motiv:

“5.5 Het complete systeem, dat mogelijkerwijs door de hack niet meer de eigenschappen (het veiligheidsniveau) bezit dat De Politie mocht verwachten en aldus wellicht non-conform is geworden, is evenwel niet geleverd door Motiv. De Politie had dat systeem immers zelf bij RSA aangeschaft, lang voordat de overeenkomsten tussen De Politie en Motiv werden gesloten. Motiv heeft slechts aanvullende/vervangende tokens en software-updates geleverd, maar is bij de keuze en de aanschaf van het systeem niet betrokken geweest. Als er sprake zou zijn van eén (later opgetreden) gebrek in het systeem, zou Motiv daarvoor dus niet aansprakelijk zijn.

5.6 De Politie heeft zelf de kwestie treffend vergeleken (memorie van grieven sub 49) met de koop van een slot dat op zichzelf goed functioneert, maar waarvan derden door een inbraak bij de fabrikant kopieën van de sleutels in handen hebben gekregen. De Politie legt evenwel niet uit waarom in die situatie zou moeten worden aangenomen dat de winkelier bij wie (alleen) het slot is gekocht, ook zou moeten instaan voor de gevolgen van een (latere) inbraak bij de fabrikant, zodat dit voorbeeld niet leidt tot de door De Politie gewenste oplossing.”

rechtspraak

Tot slot

De politie krijgt dus in hoger beroep wederom nul op het rekest. Ik meen dat dit terecht is. Het voorbeeld dat de politie noemt met betrekking tot het gekochte slot en de bij de fabrikant gestolen sleutels vind ik treffend (maar ongelukkig gekozen door de politie). Ook in dat geval zou de verkoper van het slot niet aansprakelijk moeten zijn voor de gevolgen een inbraak bij de fabrikant. Hetzelfde geldt wat mij betreft in deze zaak.

Gerelateerde berichten