juridisch kronieken

Kroniek
IT-recht 2023

door Veerle van Druenen, Esther van Genuchten, Robert van Schaik & Wieger Weijland (Kennedy Van der Laan) beeld Floris Tilanus

Ook in 2023 volgden de ontwikkelingen op het gebied van IT elkaar in snel tempo op. Naast een blijvende aandacht voor AI nam het risico op cyberaanvallen opnieuw toe en werden de effecten daarvan steeds groter.1 De aandacht voor cyberrisico’s is terug te zien in nieuwe wetgeving.2 Over cyberincidenten wordt in de civiele rechtspraak steeds vaker geprocedeerd, waarbij veel aandacht uitgaat naar de gevolgen van cyberincidenten en naar de aansprakelijkheid van cryptoplatforms. Voor het overige geeft de jurisprudentie op het gebied van IT-recht een vertrouwd beeld en voeren procedures over de uitleg van IT-contracten, de verant­woordelijk­heden van IT-leveranciers en verzuim de boventoon. Civiele rechtspraak over AI zien wij in de praktijk nog niet of nauwelijks.

In deze Kroniek bespreken we de meest interessante civiele rechtspraak op het gebied van IT. Gezien de grote hoeveelheid rechtspraak zijn wij genoodzaakt daarin een selectie te maken.3, 4 Wij richten ons bovendien primair op de verbintenisrechtelijke aspecten van het IT-recht. Onderwerpen zoals privacy, intellectueel eigendomsrecht en e‑commerce nemen wij – hoe relevant voor IT ook –⁠ niet of in beperkte mate mee. Die onderwerpen rechtvaardigen immers een eigen Kroniek. Omdat het IT-recht vaak casuïstisch is, besteden wij relatief veel aandacht aan lagere jurisprudentie.

Uitleg it-overeenkomst (algemeen)

Of nu sprake is van een uitvoerige overeenkomst of van minimaal vastgelegde afspraken, de vraag hoe een IT-overeenkomst moet worden uitgelegd, staat geregeld ter discussie. Daarvoor gelden geen andere maatstaven dan voor ‘reguliere’ overeenkomsten. Uitlegdiscussies zijn bovendien vaak casuïstisch. Niettemin geeft de rechtspraak over IT-contracten een goed beeld van hoe dergelijke overeenkomsten worden geïnterpreteerd en toegepast. Hierna komt eerst een arrest aan de orde dat relevant is voor de uitleg van (IT-)contracten in het algemeen. Vervolgens belichten we enkele specifieke uitspraken, die zien op de vraag welke verant­woordelijk­heden partijen onder de door hen gesloten overeenkomst hebben.

Uitsluiting van het Haviltex-criterium en grammaticale uitleg

De eerste zaak is geen IT-zaak, maar een arrest van de Hoge Raad (ECLI:NL:HR:2023:1131) over toepassing van de Haviltex-maatstaf.5 De zaak draait om een vaststellings­overeenkomst waarin partijen overeenkomen dat bij de uitvoering daarvan, in afwijking van het Haviltex-criterium, de letterlijke tekst prevaleert boven eventuele partij­bedoelingen, zodat de rechter bij geschillen over de overeenkomst uitsluitend grammaticaal dient uit te leggen en toe te passen. De overwegingen van de Hoge Raad zijn relevant voor de uitleg van alle overeenkomsten, waaronder IT-contracten.

De Hoge Raad stelt vast dat het hof de contractueel overeengekomen uitlegmaatstaf zo heeft uitgelegd dat deze meebrengt dat bij de uitleg van de vaststellingsovereenkomst slechts kan worden aangeknoopt bij begrippen die niet voor meerderlei uitleg vatbaar zijn. Ware dat niet zo, dan zouden immers de bedoelingen van partijen moeten worden betrokken, hetgeen volgens de contractuele uitlegmaatstaf niet is toegestaan. De Hoge Raad oordeelt dat het hof door (daarmee) geen acht te slaan op de aannemelijkheid van de rechtsgevolgen van de gegeven uitleg van de vaststellingsovereenkomst, de grammaticale of objectieve uitlegmaatstaf zoals bedoeld in de rechtspraak niet heeft miskend. Er is hier immers sprake van een eigen, contractuele, uitlegmaatstaf en in cassatie is niet aangevoerd dat het hof deze aan de hand van een onjuiste maatstaf of op onbegrijpelijke wijze heeft uitgelegd. De uitleg die het hof geeft aan het beding blijft dus in stand.6

De verant­woordelijk­heden van partijen: uitleg en de zorgplicht

In 2023 verschenen veel uitspraken over de verant­woordelijk­heden van partijen –⁠  met name IT-leveranciers ⁠– onder de door hen gesloten overeenkomsten. Deels draait het om uitleg van de afspraken tussen partijen. De verant­woordelijk­heid van IT-leveranciers kan daarnaast in- of aangevuld worden door de zorgplicht op grond van artikel 7:401 BW en/of artikel 6:162 BW. Die staat op haar beurt niet los van wat partijen zijn overeengekomen. In de rechtspraak lopen twee onderwerpen dan ook geregeld door elkaar. We bespreken deze daarom hierna tezamen.

De zorgplicht bij (Europese) aanbestedingen

Eerst een vonnis over de zorgplicht van IT-leveranciers in de context van (Europese) aanbestedingen. De zaak gaat over de cyberaanval bij de gemeente Hof van Twente in 2020 (ECLI:NL:RBOVE:2023:1731).7 Verderop in deze Kroniek komt de verant­woordelijk­heid van de IT-leverancier in het kader van monitoring van beveiligingsrisico’s aan de orde. Hier wijzen wij alvast op één overkoepelend aspect, namelijk of bij (Europese) aanbestedingen de zorgplicht nog een rol kan spelen.

Centraal in deze zaak staat een overeenkomst tussen de gemeente Hof van Twente en IT-leverancier Switch IT, die werd gesloten na een Europese aanbesteding. De rechtbank overweegt dat de verplichtingen die uit een dergelijke overeenkomst voortvloeien, moeten worden uitgelegd tegen de achtergrond van de EU-rechtelijke transparantie.8 De rechtbank stelt vervolgens de vraag of aan de prestaties die de IT-leverancier verricht daarnaast andere eisen gesteld kunnen worden op basis van de zorgplicht ex artikel 6:162 BW. In dat licht zou de uitleg van de overeenkomst conform het EU-rechtelijke beginsel van transparantie immers kunnen worden ondergraven. Dit zou op gespannen voet kunnen staan met de uitgangspunten van het Europese aanbestedingsrecht. Aan de vraag of dit daadwerkelijk het geval is, komt de rechtbank niet toe. De rechtbank oordeelt namelijk dat niet is vast komen te staan dat Switch IT haar zorgplicht heeft geschonden (zie ook hierna). De rechtbank werpt hiermee echter een belangrijke vraag op, waarover we in de toekomst ongetwijfeld meer gaan horen.9 Dit is immers een mogelijk interessant verweer voor IT-leveranciers die gecontracteerd zijn na een (Europese) aanbestedingsprocedure en die verweten wordt dat zij hun zorgplicht hebben geschonden.

De verantwoordelijke voor het ontbreken van informatie over koppelingen

IT-projecten mislukken regelmatig door ontbrekende of disfunctionerende koppelingen tussen systemen. Dit kan leiden tot discussie over wie daarvoor verantwoordelijk is. Een dergelijke discussie speelt in een procedure voor de rechtbank Oost-Brabant (ECLI:NL:RBOBR:2023:5782) tussen IT-leverancier Calago en haar afnemer.10 Partijen spreken af dat Calago een groot aantal webshops zal opleveren. Dat doet zij niet, ook niet nadat de beoogde tijdsplanning ruimschoots is overschreden. De afnemer ontbindt vervolgens de overeenkomst. Aan de orde is de vraag of het feit dat de webshops niet zijn opgeleverd aan Calago toe te rekenen is.

De rechtbank meent van wel. Anders dan Calago betoogt, staat niet vast dat problemen met de koppelingen (alleen) te wijten waren aan het ontbreken van documentatie over die koppelingen bij de afnemer. Als die documentatie onmisbaar zou zijn geweest, dan had Calago conform de overeenkomst bovendien meteen de gevolgen van het ontbreken daarvan moeten inventariseren en in overleg met de afnemer een oplossing moeten vinden. Dat heeft Calago niet gedaan. In plaats daarvan is zij op basis van trial-and-error gaan bouwen, wat tot problemen heeft geleid. Het verweer dat de problemen ontstonden doordat de koppeling niet goed was gedocumenteerd, wordt daarom verworpen.11 Of de afnemer Calago voldoende (andere) specifieke informatie heeft verstrekt, kan eveneens in het midden blijven. De rechtbank oordeelt namelijk dat voor zover Calago onvoldoende specifieke informatie kreeg, zij dit (eveneens) uitdrukkelijk aan de afnemer kenbaar had moeten maken. Dat heeft zij niet, althans pas te laat, gedaan. Uit een deskundigenrapport bleek bovendien dat onvoldoende algemene kennis bij Calago aanwezig was over de relevante koppelingen.12 Calago is daarmee toerekenbaar tekortgeschoten in de nakoming van haar contractuele verbintenis om goed werkende webshops te leveren. Dat ook de afnemer in het project fouten maakte, doet naar het oordeel van de rechtbank geen afbreuk aan de tekortkomingen van Calago. Calago mocht er in deze samenwerking redelijkerwijs niet op vertrouwen dat de afnemer eerder aan de bel zou trekken ter voorkoming van een inefficiënte werkwijze en onnodige werkzaamheden en kosten. Het was eerder andersom: Calago had kordaat moeten optreden om het project op de rails te houden.

De tekortkomingen van Calago rechtvaardigden ook een ontbinding van de overeenkomst. Dat het project op korte termijn kon worden afgerond doet daaraan niet af. Interessant zijn ook de overwegingen over de vraag of de prestaties van Calago waarde hadden voor de afnemer. Volgens de rechtbank kan het antwoord daarop in het midden blijven. De afnemer had Calago namelijk in de gelegenheid gesteld aan te geven of er onderdelen van de verrichte prestaties waren waarop haar nieuwe leverancier kon voortborduren. Daarop had Calago volgens de rechtbank onverwijld en nauwgezet moeten ingaan. Dat deed zij niet, waardoor de nieuwe leverancier bij nul moest beginnen. In die omstandigheden hadden de werkzaamheden van Calago, hoewel zeer omvangrijk, geen voor de financiële afwikkeling relevante waarde.13

De relevantie van contractueel niet overeengekomen ISO-normen

In de Kroniek IT-recht 202014 bespraken we een vonnis van de rechtbank Amsterdam in een geschil tussen leverancier Smart Connections en afnemer Allsafe over de ontwikkeling van een CRM-systeem.15 De rechtbank oordeelde daarin dat Smart Connections tekortschoot in de nakoming van haar contractuele verbintenissen. De rechtbank overwoog onder meer dat Smart Connections ‘als professionele IT-dienstverlener een CRM-systeem dient op te leveren dat voldoet aan de verwachtingen die de gemiddelde klant daaraan mag ontlenen’ en dat ‘ook als dit niet met zoveel woorden in de overeenkomst is opgenomen (…), (…) een klant immers van een deskundig ICT-dienstverlener die daarvoor marktconforme prijzen in rekening brengt, [mag] verwachten dat deze een systeem levert waarmee door de gemiddelde werknemer kan worden gewerkt.’16 De rechtbank voegde daaraan toe dat ‘ook als een ISO-norm niet met zoveel woorden is overeengekomen, de klant mag verwachten dat zijn professionele dienstverlener werkt met inachtneming van de normen die binnen de branche gebruikelijk zijn.’17 Deze laatste overweging vonden wij opmerkelijk.

In hoger beroep komt het hof tot een tegengesteld oordeel (ECLI:NL:GHAMS:2023:2532), onder meer door een andere waardering van de feiten en een strakkere uitleg van de overeenkomst.18 Volgens het hof rust op Smart Connections slechts een verplichting in twee fasen een basaal CRM-systeem met expliciet benoemde functionaliteiten te ontwikkelen, gebaseerd op een look-and-feel zoals die bij het sluiten van de overeenkomst is vastgelegd. Eventuele later door Allsafe gewenste onderdelen werden pas in een derde fase ontwikkeld en vielen niet binnen de scope. Smart Connections schoot in de nakoming van deze verbintenissen niet tekort, zo oordeelt het hof.19 Het hof schuift daarbij het deskundigenrapport dat Allsafe overlegt terzijde. Niet alleen is dit rapport gebaseerd op een versie van het systeem dat voor de beoordeling van de rechtsvragen niet relevant is, maar in het rapport wordt het systeem bovendien getoetst aan de ISO-25010-norm en niet aan de overeenkomst. Het hof overweegt dat ‘ook als de ISO-normen zonder dat dat is overeengekomen mede invulling geven aan wat een klant van een redelijk handelend ICT-leverancier mag verwachten, [dat niet] betekent (…) dat zij los van de afspraken van partijen kunnen worden bezien’. Naar het oordeel van het hof kan dit dan ook niet de (enige) maatstaf zijn waaraan het CRM bij de oplevering wordt afgemeten.20 Het hof hanteert dus een veel striktere benadering dan de rechtbank. Of ISO-normen ook zonder dat zij zijn overeengekomen van toepassing kunnen zijn, laat het hof in het midden.

Resultaatsverbintenis of inspanningsverbintenis voor de IT-leverancier?

In een procedure voor de rechtbank Overijssel (ECLI:NL:RBOVE:2023:2138) twisten partijen over welke prestatie IT-leverancier Webstores onder de overeenkomst dient te leveren.21 Heigo en Webstores sluiten een overeenkomst die ziet op de ontwikkeling van een (vernieuwd) online platform. Volgens Heigo verplicht Webstores zich ertoe een duurzaam digitaal platform te ontwikkelen, waarmee Heigo de komende tien jaar vooruit kan. Op grond van artikel 7:401 BW dient Webstores daarbij volgens Heigo geen verouderde software te gebruiken en dient zij (tijdig) updates uit te voeren. Webstores stelt daarentegen dat de overeenkomst haar slechts verplicht ontwikkelcapaciteit te leveren.

De rechtbank legt de overeenkomst uit aan de hand van de Haviltex-maatstaf en acht relevant wat is opgenomen in de geaccepteerde offerte.22 Die bepaalt dat Webstores specialisten beschikbaar stelt van wie de capaciteit in blokken (sprints) kan worden ingedeeld en dat in hechte samenwerking wordt bepaald welke werkzaamheden per sprint worden verricht. Uit de offerte blijkt verder dat Webstores een capaciteitsvoorstel levert, waarin is gekeken naar de doorlooptijd, beschikbaar budget en beschikbaarheid, en advies geeft over de capaciteit van een sprint en het aantal sprints. Uit de offerte blijkt tot slot dat Webstores werkt aan een Minimum Viable Product (MVP), maar dat de minimaal begrote werkzaamheden met haar voorstel niet volledig gedekt zijn. Dit alles leidt de rechtbank tot de conclusie dat niet vaststaat dat Webstores zich jegens Heigo verbonden heeft tot het leveren van een duurzaam werkend online platform. Nergens in de offerte wordt immers gesproken over het tot stand brengen van een bepaald product met een bepaalde levensduur tegen een bepaald bedrag. Dit bevestigt een latere (niet-geaccepteerde) offerte die gebaseerd is op hetzelfde uitgangspunt; het maandelijks inkopen van een aantal uren (sprintbundel) en een begeleidende e-mail daarbij waarin uitdrukkelijk wordt gesproken over ‘capaciteitsreservering’. Webstores heeft onder de overeenkomst dan ook geen resultaatsverbintenis, maar een inspanningsverbintenis.23 Niet vaststaat dat Webstores deze inspanningsverbintenis heeft geschonden door het gebruik van verouderde software en technieken en het niet-uitvoeren van updates, zoals Heigo stelt.24

Verantwoordelijkheid voor verlies data bij overgang naar nieuwe ICT-omgeving

De overgang naar een nieuwe IT-leverancier is niet zonder risico. Zo kunnen daarbij data verloren gaan. De vraag rijst dan wie daarvoor de verant­woordelijk­heid draagt. Die vraag speelt in een procedure tussen Pit en IT-leverancier OfficeGrip voor de rechtbank Noord-Holland (ECLI:NL:RBNHO:2023:2471).25

De rechtbank buigt zich over de vraag of OfficeGrip het ‘beheer’ van de volledige oude ICT-omgeving zou overnemen, waaronder het beheer van een DTO/i-schijf. De rechtbank en signaleert dat partijen geen eenduidige definitie van de term ‘beheer’ geven. Het geschil spitst zich echter toe op de vraag OfficeGrip verantwoordelijk is voor het beschikbaar houden van data zoals die stond opgeslagen op de DTO/i-schijf bij haar oude leverancier. De rechtbank oordeelt dat de overeenkomst tussen Pit en OfficeGrip ertoe strekte dat OfficeGrip een ‘nieuwe situatie’ voor Pit zou creëren (in afwijking van de ‘bestaande situatie’) en dáárover het beheer zou voeren. Dat OfficeGrip de oude ICT-omgeving zou gaan beheren, blijkt dan ook niet uit de overeenkomst.26 Een vervolgvraag is of OfficeGrip, hoewel zij het beheer van de DTO/i-schijf niet overnam maar wel wist dat deze op een bepaald moment door de oude leverancier zou worden verwijderd, een verplichting had de daarop opgeslagen data tijdig veilig te stellen. Ook deze vraag beantwoordt de rechtbank ontkennend. Daarbij is relevant dat Pit OfficeGrip uitdrukkelijk geen opdracht gaf voor het migreren of veiligstellen van data en dat zonder voorbehoud mededeelde dat ‘geen enkele data’ overging. OfficeGrip is dan ook niet aansprakelijk voor eventuele schade van Pit die het gevolg is van dataverlies uit de oude ICT-omgeving.27

De gevolgen van beveiligingsincidenten

De wereldwijde toename van cyberaanvallen en andere beveiligingsincidenten28 vertaalt zich ook in een toename van civiele geschillen over de gevolgen van dergelijke incidenten. Dit signaleerden we al in de IT-Kroniek 2021 en 2022.29 Ook in 2023 zet deze trend door.

Betaling aan hackers na frauduleuze e-mail

Een geschil voor het Gerecht in eerste aanleg van Curaçao (ECLI:NL:OGEAC:2023:168)30 lijkt op de zaak tussen Bol.com en Brabantia die wij in de IT-Kroniek 2021 bespraken31 en laat zien dat onbedoelde betalingen aan cybercriminelen die gebruikmaken van social engineering nog steeds een probleem vormen.32 Nadat CCS jarenlang gelden heeft overgemaakt naar de Nederlandse bankrekening van contractspartij IFC, ontvangt zij van IFC e-mails waarin IFC verzoekt betalingen voortaan over te maken naar een Poolse bankrekening. CCS geeft gehoor aan dit verzoek. Achteraf blijken de e-mails niet afkomstig van IFC, maar van cybercriminelen. Tussen partijen ontstaat vervolgens discussie over of door CCS bevrijdend is betaald.

Het gerecht neemt tot uitgangspunt dat wanneer iemand door zich valselijk als een ander voor te doen iets voor die ander verklaart, de laatste zich er jegens de geadresseerde van die verklaring op kan beroepen dat de verklaring niet van hem afkomstig is, óók wanneer de geadresseerde heeft aangenomen en redelijkerwijze mocht aannemen dat de verklaring van die ander afkomstig was. Uit het beginsel dat ten grondslag ligt aan de artikelen 3:35, 3:36, 3:61 lid 2 en 6:147 BW vloeit evenwel voort dat dit onder omstandigheden anders kan zijn. Deze omstandigheden moeten dan echter wel van dien aard zijn dat zij rechtvaardigen dat aan degene voor wie valselijk is verklaard, wordt toegerekend dat de geadresseerde de verklaring voor echt heeft gehouden. Daarvan kan ook ten dele sprake zijn. Bij deze beoordeling kan onder meer een rol spelen in hoeverre partijen adequate voorzorgsmaatregelen hebben genomen om te voorkomen dat een derde in staat is zich voor één van hen uit te geven. In zo’n geval mag onder omstandigheden worden verwacht dat zij uiteenzetten welke inspanningen zij zich hebben getroost om te achterhalen op welke wijze de derde zich valselijk als één van hen heeft kunnen voordoen en wat deze inspanningen hebben opgeleverd.33 Het gerecht oordeelt dat de valselijke mededelingen niet aan IFC kunnen worden toegerekend. IFC nam verschillende maatregelen om cyberfraude te voorkomen. Zij heeft daarnaast onderzoek laten doen naar de herkomst van de verdachte e-mails. Daaruit blijkt dat deze niet afkomstig zijn van haar e-mailserver en dat niemand zich in de relevante periode ongeautoriseerde toegang heeft verschaft tot haar mailbox(en). IFC heeft bovendien adequaat gehandeld door na ontvangst van een andere opmerkelijke e-mail uit naam van CCS direct telefonisch contact met CCS op te nemen.34 Gelet op de voormelde maatstaf is irrelevant of CCS ervan mocht uitgaan dat de e-mails van IFC afkomstig waren. Het gerecht overweegt ten overvloede dat daarvan ook geen sprake was. CCS betaalde facturen immers jarenlang op de Nederlandse rekening van IFC en IFC had kort voor de ontvangst van de e-mails aangegeven dat ook de desbetreffende gelden daarnaar moesten worden overgemaakt. De e-mails bevatten bovendien voldoende aanleiding om te twijfelen of die wel van IFC afkomstig waren, onder meer door ongebruikelijk taalgebruik en de opmerkelijke reden voor het wijzigen van de rekening (‘vanwege een lopende belastingkwestie’).35

Cyberaanval gemeente Hof van Twente; functionele- versus security monitoring

Een veelbesproken uitspraak over de gevolgen van cyberincidenten is de hiervoor al genoemde zaak over de cyberaanval bij de gemeente Hof van Twente (ECLI:NL:RBOVE:2023:1731).36 In 2020 vindt bij de gemeente een cyberaanval plaats, waarbij de systemen van het netwerk van de gemeente en back-ups zijn versleuteld en ontoegankelijk gemaakt en vele virtuele servers zijn verwijderd. De gemeente houdt IT-leverancier Switch IT verantwoordelijk voor de door haar als gevolg daarvan geleden (miljoenen)schade. Volgens de gemeente is Switch IT tekortgeschoten in de nakoming van haar contractuele verplichtingen, althans heeft zij haar zorgplicht als ICT-beheerder geschonden.

De overeenkomst tussen partijen is tot stand gekomen na een (Europese) aanbesteding. De rechtbank interpreteert deze daarom aan de hand van de CAO-norm, waarbij de bewoordingen van de bepalingen van de aanbestedingsstukken, gelezen in het licht van de gehele tekst van die stukken, in beginsel van doorslaggevende betekenis zijn.37 De rechtbank concludeert op basis daarvan dat op Switch IT wel de verplichting rustte tot functionele monitoring, dat wil zeggen het monitoren van de door haar beheerde objecten op beschikbaarheid, capaciteit en performance, maar niet tot security monitoring, dus het monitoren op beveiligingsincidenten. Switch IT had verder een verplichting tot het borgen van de adequate back-up en restore van data, adequate antivirusmaatregelen en een adequate firewallinrichting, zo blijkt uit de overeenkomst.38

De rechtbank oordeelt dat Switch IT in de nakoming van deze verplichtingen niet tekort is geschoten. Het voornaamste verwijt van de gemeente luidt dat Switch IT ondanks de tools die zij had signalen die wezen op een cyberaanval en die zij ook bij functionele monitoring zou moeten hebben gezien, heeft gemist. Dit verwijt faalt. Uit de aanbestedingsstukken volgt immers niet dat Switch IT de verplichting had haar monitoring zo in te richten dat beveiligingsincidenten (zoals wachtwoordresets en de aanwezigheid van malware en hackpogingen) meldingen zouden geven waarop actie moest worden ondernomen, ook niet als dit leidde tot afwijkingen in het functioneren van de door haar beheerde objecten.39 De stelling van de gemeente dat zij op basis van de aanbestedingsstukken mocht verwachten dat mislukte of niet-geautoriseerde inlogpogingen zouden leiden tot meldingen en corrigerend optreden baat haar evenmin. Los van of de gemeente dit mocht verwachten, was het gehackte account een account van de gemeente dat door haar zelf werd beheerd en was zij zelf verantwoordelijk voor het opstellen van het wachtwoordbeleid. Onduidelijk is dan ook waarom het afdwingen van dit beleid en het monitoren van wijzigingen van ingestelde wachtwoorden de verant­woordelijk­heid van Switch IT zouden zijn, zeker waar het een door de gemeente beheerd account betrof. Het wachtwoord van het gehackte account voldeed bovendien aan het beleid, waardoor de wijziging hoe dan ook niet tot een melding had geleid. Switch IT diende verder wel een adequate firewall in te richten, maar had niet de verplichting nadien door medewerkers van de gemeente ingevoerde wijzigingen van de firewall te monitoren, althans niet voor zover die niet van wezenlijke invloed waren op de capaciteit, performance en beschikbaarheid van de door Switch IT beheerde systemen. Switch IT schoot ook niet tekort in haar overige verplichtingen onder de overeenkomst, zoals haar verplichting om een adequate back-up en restore, antivirusmaatregelen en firewallinrichting te borgen.40 Daarbij is onder meer relevant dat de gemeente zelf de eis stelde dat back-ups online bereikbaar waren en zij niet inging op een voorstel van Switch IT tot back-up hardening.

De stelling van de gemeente dat Switch IT haar zorgplicht en/of artikel 6:162 BW schond door niet te handelen zoals van een redelijk handelend en vakbekwaam ICT-beheerder mag worden verwacht, volgt de rechtbank evenmin. Voor zover de zorgplicht nog een rol kan spelen bij overeenkomsten die zijn gesloten na een (Europese) aanbesteding (zie hiervoor), geldt dat Switch IT haar zorgplicht niet heeft geschonden. Die zorgplicht gaat immers niet zover dat waar functionele monitoring is overeengekomen, security monitoring daar (kennelijk gratis) onderdeel van uitmaakt. Relevant is verder dat de gemeente zelf beslissingen heeft genomen die het risico op een geslaagde cyberaanval vergrootten en dat de cyberaanval (mede) mogelijk gemaakt werd door onzorgvuldigheden aan de zijde van de gemeente, te weten i) het openzetten van een RDP-poort in de firewall en ii) het instellen van een zwak wachtwoord (Welkom 2020).41

Recht op informatie en instructierecht na cyberaanval

Veel aandacht kreeg ook het kort geding tussen Blauw en Nebu voor de rechtbank Rotterdam (ECLI:NL:RBROT:2023:2931).42 Blauw is een marktonderzoeker die gebruikmaakt van software en IT-dienstverlening van Nebu, in het kader waarvan Nebu persoonsgegevens verwerkt voor Blauw. In maart 2023 vindt een cyberaanval plaats op de servers van Nebu, waarbij de aanvallers data ontvreemden. Blauw acht de informatie die Nebu over het incident verstrekt onvoldoende. Zij vordert daarom in kort geding onder meer dat Nebu meer informatie verstrekt, een externe forensisch deskundige inschakelt om het incident te onderzoeken en de resultaten van dit onderzoek met haar deelt. Blauw baseert zich op bepalingen in een verwerkersovereenkomst, die een verplichting voor Nebu bevat om Blauw te informeren over incidenten met betrekking tot de verwerking van persoonsgegevens en om de instructies van Blauw in een dergelijk geval op te volgen. Tussen partijen is in geschil hoever het instructierecht van Blauw onder de overeenkomst reikt.

De voorzieningenrechter oordeelt dat het instructierecht van Blauw ruim moeten worden uitgelegd. Uit de verwerkersovereenkomst blijkt dat het instructierecht is bedoeld om Blauw in staat te stellen een incident met persoonsgegevens op behoorlijke wijze te onderzoeken, haar reactie daarop te bepalen en zo nodig gepaste stappen te nemen. Daaraan moet Nebu volgens de voorzieningenrechter op een loyale en royale wijze meewerken. Nebu beschikt immers als gevolg van de samenwerking met Blauw over de data van ‘een substantieel deel van de Nederlandse bevolking’ en de gevolgen van een (mogelijk) datalek van die gegevens kunnen groot zijn. Nebu moet daarom instructies van Blauw opvolgen tenzij (i) redelijkerwijs niet valt in te zien dat dit nodig is voor de doelstelling van het instructierecht of (ii) Blauw apert onredelijke eisen stelt. Nu Nebu er binnen een termijn van enkele weken niet in geslaagd is te achterhalen of data van klanten van Blauw geëxfiltreerd zijn en gelet op onder meer de hoeveelheid persoonsgegevens in kwestie, mocht Blauw naast de verstrekking van informatie onder het instructierecht ook de benoeming van een externe forensisch onderzoeker eisen.43

Verzuim: fatale termijnen en blijvende onmogelijkheid

Ook de vraag of de tekortschietende partij in verzuim verkeert, komt in de rechtspraak geregeld aan de orde. Dat is niet verrassend. Verzuim is immers in beginsel vereist voordat een overeenkomst kan worden ontbonden (artikel 6:265 lid 2 BW) of aanspraak gemaakt kan worden op een schadevergoeding (artikel 6:74 lid 2 BW). Het ontbreken van verzuim vormt dan ook een krachtig verweermiddel voor een tekortschietende partij, zeker als een ingebrekestelling ontbreekt. Veel van deze discussies spitsen zich toe op de vraag of sprake is van zogenaamde fatale termijnen. Is daarvan sprake, dan is een ingebrekestelling immers niet vereist en treedt het verzuim van rechtswege in (artikel 6:83 sub a BW). Daarnaast komt in deze context regelmatig aan de orde of nakoming wellicht blijvend onmogelijk is. In dat geval is verzuim immers niet vereist voor ontbinding c.q. schadevergoeding (artikel 6:74 lid 2 en artikel 6:265 lid 2 BW).

Wél fatale termijnen bij agile ontwikkeling

Wanneer sprake is van agile ontwikkeling interpreteert de rechter dat vaak als een aanwijzing dat overeengekomen termijnen niet fataal zijn.44 In een procedure tussen leverancier IPS en Synergy komt de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2023:5936) tot een ander oordeel.45 De zaak draait om een overeenkomst tussen IPS en Synergy voor de ontwikkeling van software voor weegschalen. Gewerkt wordt met een agile werkwijze. De overeenkomst vermeldt een doorlooptijd van ongeveer 24 weken, waarbinnen veertig uur per week wordt geprogrammeerd. De doorlooptijd van 24 weken wordt niet gehaald. Partijen spreken daarop een nieuwe deadline af van 1 juli 2020, die verschoven wordt naar 28 augustus 2020. Ook die deadline wordt niet gehaald. Als medio december 2020 negen van de tien overeengekomen weekblokken zijn opgeleverd, ontbindt Synergy de overeenkomst. Aan de orde is of Synergy de overeenkomst terecht heeft ontbonden.

De rechtbank beantwoordt de vraag of het niet-behalen van de overeengekomen termijnen kwalificeert als een tekortkoming bevestigend. Dat Synergy bereid is geweest de deadlines te verschuiven doet daaraan niet af, de tekortkoming is daarmee immers niet ongedaan gemaakt.46 De termijnen kwalificeren bovendien als fataal. Dat in de IT rechtspraak veelal wordt aangenomen dat termijnen in beginsel niet fataal zijn, omdat termijnoverschrijding bij IT-projecten eerder regel dan uitzondering is, zoals IPS aanvoerde, maakt dit niet anders. De gecommuniceerde termijnen waren voldoende concreet. Dat de deadline een aantal keer niet is gehaald en daarom verschoven is, betekent niet dat daardoor geen sprake (meer) is van een fatale termijn, maar alleen dat Synergy in praktische zin bereid was de deadline te verschuiven om ervoor te zorgen dat het project zou slagen. De stelling dat de vertraging aan Synergy is te wijten, leidt eveneens niet tot de conclusie dat de afgesproken termijnen niet fataal waren. IPS is dan ook van rechtswege in verzuim komen te verkeren.47

De rechtbank oordeelt echter dat de tekortkomingen van IPS de ontbinding niet rechtvaardigen. De rechtbank overweegt dat het slagen van het project een gezamenlijke inspanning vergde en de samenwerking voor beide partijen niet naar tevredenheid verliep. Beide partijen hadden daarin een aandeel. Dat heeft tot gevolg dat als een bepaalde deadline niet wordt gehaald, dit niet zonder meer betekent dat het gerechtvaardigd is om de (gehele) overeenkomst te ontbinden. Daar komt bij dat het project bijna was afgerond en IPS het project op korte termijn kon afronden. Ook dat maakt dat de niet-tijdige oplevering onvoldoende ernstig was om de ontbinding van de gehele overeenkomst te rechtvaardigen.48

Geen (fatale) termijnen overeengekomen

Ook in een procedure voor het gerechtshof Arnhem-Leeuwarden (ECLI:NL:GHARL:2023:6341) tussen een afnemer en appontwikkelaar Toomba ligt de vraag voor of sprake is van fatale termijnen.49 De afnemer geeft Toomba opdracht tot het ontwikkelen van een commerciële (voetbal)app op basis van een ‘blueprint’, waarin het gewenste ontwerp en de functionaliteiten van de app omschreven staan. Uit een begeleidende brief bij de geaccepteerde offerte blijkt dat gewerkt wordt met sprints waarin wordt toegewerkt naar een Minimum Viable Product (MVP). De afnemer is ontevreden over de uitgevoerde werkzaamheden en ontbindt de overeenkomst.

Het hof oordeelt dat de ontbinding niet gerechtvaardigd is. Daarbij is van belang dat niet is komen vast te staan dat partijen een fatale opleverdatum voor de applicatie zijn overeengekomen van 1 september 2019, zoals de afnemer stelt. Die datum is in de overeenkomst niet opgenomen en uit het gedrag van de afnemer blijkt dat ook hij niet uitging van een fatale datum voor de oplevering. Na 1 september 2019 heeft de afnemer Toomba immers in de gelegenheid gesteld de app verder te ontwikkelen en meermaals nieuwe opleverdata met Toomba afgesproken. Dat wijst er niet op dat 1 september 2019 als fatale termijn was overeengekomen. Ook andere omstandigheden leiden tot de conclusie dat geen sprake is van een fatale termijn. Van verzuim op een andere grond is evenmin sprake. De afnemer kon de overeenkomst om die reden niet ontbinden.50

Het hof overweegt ten overvloede dat ook geen sprake is van een tekortkoming. Gezien de drie verschillende project-offertes die Toomba heeft afgegeven met variërende prijsniveaus en bijbehorende werkwijzen, mocht de afnemer van Toomba niet verwachten dat zij de app volledig overeenkomstig de verstrekte blueprint zou opleveren. In plaats daarvan moest voor de afnemer duidelijk zijn dat Toomba slechts een MVP zou opleveren. In die verplichting is Toomba niet tekortgeschoten.51

Schuldeisersverzuim en blijvende onmogelijkheid tot nakoming

In 2023 wees de Hoge Raad arrest in een langlopend geschil tussen afnemer Equihold en leverancier Capgemini over vermeende tekortkomingen bij de ontwikkeling van een app (ECLI:NL:HR:2023:437).52 Het arrest van de Hoge Raad en (vooral) de conclusie van A-G De Bock zijn interessant vanwege de klassieke civielrechtelijke thema’s die erin behandeld worden, zoals de klachtplicht (artikel 6:89 BW) en het schuldeisersverzuim. De Hoge Raad gaat met name in op het laatste thema en onderstreept daarbij het belang van volgordelijkheid. De Hoge Raad oordeelt dat het hof in zijn arrest onvoldoende rekening heeft gehouden met het feit dat Equihold volgens Capgemini vanaf het begin van de samenwerking niet aan haar betalingsverplichtingen voldeed en achterstanden had met het accepteren van door Capgemini aangeleverde versies. Het ging om verhinderingen en/of tekortkomingen van Equihold voorafgaand aan de door haar genoemde tijdstippen waarop Capgemini tekort zou zijn geschoten in haar verplichtingen, dan wel sprake zou zijn van blijvende onmogelijkheid tot nakoming. In die omstandigheden kon het hof niet tot het oordeel komen dat indien vast komt te staan dat de door Capgemini geleverde prestatie ondeugdelijk is het beroep op verzuim van Equihold moet worden verworpen.53

Een ander thema dat in deze zaak aan de orde is, is de vraag wanneer nakoming blijvend onmogelijk is als bedoeld in artikel 6:74 lid 2 BW. De Hoge Raad komt aan de behandeling van dit vraagstuk niet toe. A-G De Bock volgt echter het oordeel van het hof dat hoewel nakoming door Capgemini in theorie nog wel mogelijk was, van een deugdelijke prestatie geen sprake meer kon zijn. Dit zou namelijk vereisen dat de code opnieuw zou worden opgebouwd, hetgeen meerdere jaren zou kosten. Na een dergelijk tijdverloop zou de software technisch en functioneel verouderd zijn, waardoor bestaande en potentiële klanten van Equihold zouden afhaken. Nakoming zou voor Equihold derhalve zinloos zijn, waardoor volgens A-G De Bock sprake is van blijvende onmogelijkheid.54

De beperkende werking van de redelijkheid en billijkheid

Van tussen partijen gemaakte afspraken kan worden afgeweken indien deze leiden tot een resultaat dat naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is (artikel 6:248 lid 2 BW). Een beroep op de beperkende werking van de redelijkheid en billijkheid gaat, zeker bij overeenkomsten tussen professionele partijen, echter niet vaak op.

Geen afdwingbare verplichting om facturen te betalen na onterechte ontbinding

Een vonnis van de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2023:2657) geeft een voorbeeld van een zaak waarin wél een succesvol beroep op de beperkende werking van de redelijkheid en billijkheid werd gedaan (artikel 6:248 lid 2 BW).55 De afnemer van bepaalde dienstverlening (de ontwikkeling van landingspagina’s, het leveren van call tracking en Search Engine Advertising) was niet bevoegd de onderliggende overeenkomst met haar leverancier te ontbinden omdat de leverancier niet in verzuim verkeerde. De afnemer wordt echter niet veroordeeld tot betaling van de openstaande facturen voor overeengekomen maandelijkse vergoedingen omdat niet vaststaat dat de leverancier een prestatie heeft verricht waaraan de afnemer iets heeft gehad. De leverancier erkende dat zij haar verplichtingen over de betreffende periode niet deugdelijk was nagekomen, en stelde voor het saldo over de desbetreffende periode te crediteren. Ook het handhaven van een bepaling waarin stond dat niet alleen alle openstaande termijnen, maar ook alle in de toekomst opeisbare termijnen ineens verschuldigd werden bij de tekortkoming van de afnemer zou volgens de rechtbank tot een buitensporig resultaat leiden, en werd daarom naar maatstaven van redelijkheid en billijkheid onaanvaardbaar geacht. Hierbij speelden onder meer het verschil in positie mee tussen de partijen (grote onderneming tegenover een eenmanszaak) en het feit dat de leverancier niet met cijfers inzichtelijk had gemaakt dat de aanvangsinvestering die zij stelde te hebben gedaan in redelijke verhouding stond tot de gevorderde vergoeding.56

Algemene voorwaarden en elektronisch contracteren

Een terugkerend onderwerp bij elektronisch contracteren is de geldigheid en betrouwbaarheid van elektronische handtekeningen. Vanuit de onderliggende beschermingsgedachte is de wijze van totstandkoming en identificatie, met de elektronische ondertekening als sluitstuk, cruciaal voor een geslaagd beroep op een elektronische handtekening. Uit de rechtspraak blijkt echter dat dit lang niet altijd goed gaat. Ook bij de terhandstelling van algemene voorwaarden gaat het geregeld mis.

Gemakkelijke elektronische toegankelijkheid algemene voorwaarden

In digitale context zijn er twee manieren om aan de wettelijke vereisten voor ter handstelling van algemene voorwaarden te voldoen, namelijk i) door de algemene voorwaarden ‘langs elektronische weg’ te verstrekken zodat ze kunnen worden opgeslagen en later toegankelijk zijn (artikel 6:234 lid 2 en 3 BW) of ii) voor zover een beroep kan worden gedaan op het soepelere regime voor dienstverleners door deze ‘gemakkelijk elektronisch toegankelijk’ te maken op een door de dienstverrichter meegedeeld adres (artikel 6:230b jo. 6:230c BW).

In een arrest uit juni 2023 (ECLI:NL:HR:2023:835) verduidelijkt de Hoge Raad wanneer van dit laatste sprake is.57 In deze zaak vermeldt de gebruiker van de algemene voorwaarden op haar facturen dat deze kunnen worden ingezien op haar website. De Hoge Raad overweegt dat de vraag of de algemene voorwaarden daarmee gemakkelijk elektronisch toegankelijk zijn als bedoeld in artikel 6:230c onder 3 BW, afhankelijk is van de omstandigheden van het concrete geval. Indien de algemene voorwaarden zonder noemenswaardige inspanning gevonden kunnen worden op of via de website waarnaar op de facturen is verwezen, moet worden aangenomen dat de algemene voorwaarden gemakkelijk elektronisch toegankelijk zijn, zo oordeelt de Hoge Raad.58 Er geldt dus kennelijk geen algemene regel waaruit volgt dat verwezen moet worden naar een webpagina waarop de algemene voorwaarden direct te lezen zijn, zoals in de feitenrechtspraak wel is aangenomen.

Digitale handtekening onder borgtochtovereenkomst (i)

Vlak voor het einde van 2022 deed de rechtbank Amsterdam uitspraak (ECLI:NL:RBAMS:2022:7462) in een procedure tussen kredietverstrekker Swishfund en gedaagde (Swissfund II).59 Swishfund en gedaagde gaan een ‘kredietovereenkomst’ aan die (inclusief bijlagen) digitaal ondertekend is. In één van de bijlagen bij de kredietovereenkomst met de titel ‘overeenkomst van borgtocht’ wordt gedaagde als borg voor het afgegeven krediet aangewezen. Niet ter discussie staat dat het gedaagde is geweest die de overeenkomst digitaal heeft ondertekend. Om die reden wordt door de rechtbank niet ingegaan op het algemene standpunt dat de digitale wijze van ondertekenen onvoldoende betrouwbaar is. Hierbij is volgens de rechtbank een belangrijk verschil tussen de huidige casus en de eerdere uitspraak in de vergelijkbare zaak-Swishfund I dat in die zaak geen sprake was van direct persoonlijk contact, waardoor er een voorzienbaar en niet te verwaarlozen risico op identiteitsfraude bestond.

Gedaagde betwist wel dat de borgtochtakte onderdeel was van het elektronische ondertekeningsproces. Swishfund licht echter voldoende onderbouwd toe dat bij de digitale ondertekening op iedere pagina afzonderlijk met een muisklik akkoord moet worden gegeven en dat met deze muisklik een paraaf wordt geplaatst. Alléén nadat iedere pagina is geparafeerd, kan de laatste pagina ter bevestiging worden ondertekend. Zelfs al zou gedaagde onoplettend zijn geweest en accordeerde hij onbedachtzaam, dan neemt dat niet weg dat hij iedere pagina heeft geparafeerd om de ondertekening te bevestigen, zo oordeelt de rechtbank.60 De rechtbank concludeert daarom dat de borgtocht onderdeel was van de digitale ondertekening en gedaagde door te tekenen heeft verklaard dat hij de borgtocht wilde aangaan.

Digitale handtekening onder borgtochtovereenkomst (II)

In een soortgelijke zaak buigt de rechtbank Rotterdam (ECLI:NL:RBROT:2023:10194) zich over de vraag of BridgeFund onbetaalde bedragen uit een geldleningsovereenkomst kan verhalen op grond van een borgstelling.61 Partijen liggen niet op één lijn over de vraag of de zakelijke borgstelling rechtsgeldig tot stand is gekomen nu de overeenkomst niet met een ‘natte’ maar elektronische handtekening is ondertekend, die gedaagde betwist te hebben gezet.

De rechtbank oordeelt dat het op grond van artikel 150 Rv aan BridgeFund is om voldoende feiten en omstandigheden naar voren te brengen die het door haar beoogde rechtsgevolg kunnen dragen. Alleen de elektronisch ondertekende overeenkomst van borgtocht is daartoe niet voldoende. Gelet op de beschermingsgedachte achter artikel 3:15a BW moet BridgeFund voldoende inzicht in het totstandkomingsproces van de overeenkomst verschaffen, met de elektronische ondertekening als sluitstuk.62 BridgeFund doet dat niet. Zij zet weliswaar de diverse stappen uiteen, maar op basis hiervan kan niet worden vastgesteld dat dit systeem, waarbij geen persoonlijk contact is geweest met de ondertekenaar, voldoende bestand is tegen misbruik. Een handgeschreven handtekening strekt er namelijk toe een verbinding te leggen tussen een natuurlijk persoon (de ondertekenaar) en de tekst die hij ondertekent. Een elektronische handtekening, mits gekwalificeerd of voldoende betrouwbaar, strekt ertoe een verbinding te leggen tussen een natuurlijk persoon (de ondertekenaar) en elektronische gegevens van het digitale document dat met de handtekening wordt ondertekend. Nu onderhavige digitale handtekening niet als voldoende betrouwbaar kan worden aangemerkt, komt deze betwiste verbinding tussen de natuurlijk persoon, de ondertekenaar, en de digitale gegevens, in dit geval de overeenkomst, niet tot stand. Dat terwijl juist die verbinding, gelet op de aard van de overeenkomst met privé verstrekkende gevolgen, essentieel is, aldus de rechtbank.63 Dit betekent dat het door BridgeFund overgelegde digitale document niet het dwingende bewijs oplevert dat de overeenkomst van borgtocht is gesloten.

Digitale handtekening onder borgtochtovereenkomst (III)

Ook in een zaak voor het gerechtshof Arnhem-Leeuwarden (ECLI:NL:GHARL:2023:687) wordt de betrouwbaarheid van de elektronische handtekening in twijfel getrokken.64 In die zaak speelt de vraag of de betrokkene zich rechtsgeldig borg heeft gesteld voor een tweetal geldleningen die OPR-Finance heeft verstrekt. De particuliere borg betwist dat de elektronische handtekening onder de borgstelling van haar afkomstig is. Relevant in dit kader is de totstandkoming van de overeenkomst en het identificatieproces. Bij zowel het aanvragen als het afsluiten van een lening moet de vertegenwoordiger elektronisch identificeren met behulp van het elektronische identificatiemiddel ‘iDIN’. Het elektronisch identificeren via iDIN vindt plaats met medewerking van de bank waarmee de natuurlijke persoon een contractuele bankrelatie heeft.65 Als, zoals de borg stelt, zij niet zelf maar iemand anders de overeenkomsten op haar naam heeft ondertekend, moet dat dan ook iemand zijn geweest die de beschikking had over de gegevens waarmee zij inlogt op haar bankaccount. Dat is niet gebleken. Voor zover dit wel het geval zou zijn geweest, geldt bovendien dat dit voor haar rekening zou komen. Het hof komt dan ook tot het oordeel dat de handtekening van de borg afkomstig is en de door de geldverstrekker gehanteerde methode voor elektronische ondertekening voldoende betrouwbaar is.66

De aansprakelijkheid van cryptoplatforms

Online fraude is met de opkomst van cryptovaluta enorm toegenomen. Omdat het over het algemeen niet mogelijk is de daadwerkelijke daders van dergelijke fraude aan te spreken, roept dit de vraag op welke verant­woordelijk­heden de aanbieders van cryptoplatforms in dit verband hebben.

Aansprakelijkheid cryptoplatforms bij boilerroom fraude

Een veelvoorkomende vorm van oplichting is de zogenaamde ‘boilerroom fraude’. Bij deze vorm van fraude laten slachtoffers zich door oplichters verleiden tot het aanmaken van een account op een platform voor het handelen in cryptovaluta. De cryptovaluta worden vervolgens naar een beleggingsomgeving van een frauduleuze beleggingsinstelling overgemaakt. Daar lijken de beleggingen goed te renderen. In werkelijkheid zijn de cryptovaluta echter weggesluisd naar een wallet van de oplichters. De slachtoffers kijken naar een gesimuleerde belegging die uiteraard een hoog rendement oplevert, wat ze aanzet tot nog meer investeringen. Op het moment dat de slachtoffers (een deel van) hun cryptovaluta terug willen, worden zij onder druk gezet eerst bepaalde kosten te vergoeden of aanvullende betalingen te doen. Hierdoor loopt het verloren geldbedrag alleen maar hoger op. De cryptovaluta zien ze vervolgens nooit meer terug.

Slachtoffers zoeken na dergelijke fraude (begrijpelijkerwijs) naar mogelijkheden om hun geld terug te krijgen. Daar hoort ook het aansprakelijk stellen van cryptoplatforms bij. Zo kreeg Coinbase meerdere rechtszaken voor haar kiezen en moesten ook Crypto.com en Coin Meester over hun rol verantwoording afleggen bij de rechter. De platforms wordt met name verweten dat zij oneerlijke handelspraktijken uitoefenen, onrechtmatig handelen, hun zorgplichten schenden en/of tekortschieten in de nakoming van hun overeenkomsten met de slachtoffers. De verschillende rechtszaken tegen de cryptoplatforms stemmen in grote mate overeen. Wij behandelen deze daarom hierna gezamenlijk.

Bevoegdheid Nederlandse rechter en de toepasselijkheid van Nederlands recht

Zowel de rechtbank Midden-Nederland als de rechtbank Noord-Holland gaat in op de bevoegdheid van de Nederlandse rechter en de toepasselijkheid van Nederlands recht in deze context, omdat het platform (Coinbase) in Ierland gevestigd is (ECLI:NL:RBNHO:2023:5305, ECLI:NL:RBMNE:2023:4311, ECLI:NL:RBMNE:2023:6299 en ECLI:NL:RBNHO:12695).67 In alle gevallen oordeelt de rechtbank dat sprake is van een vordering op contractuele basis, althans een vordering die daarmee onlosmakelijk verbonden is.68 De vraag of de Nederlandse rechter rechtsmacht heeft, moet daarom beantwoord worden aan de hand van de Brussel Ibis verordening.69 In alle gevallen handelden de slachtoffers als consument. Uit artikel 17 tot en met 19 Brussel Ibis verordening volgt dat een Nederlandse consument Coinbase, ondanks een andersluidende forumkeuze, voor de Nederlandse rechter kan oproepen indien Coinbase commerciële of beroepsactiviteiten ontplooide in Nederland, of dergelijke activiteiten met ongeachte welke middelen richtte op Nederland, en de overeenkomst onder die activiteiten valt. Dat is hier volgens beide rechtbanken het geval. Coinbase faciliteert onder meer betaling via het typisch Nederlandse betaalmiddel iDEAL. Zij noemt Nederland daarnaast als één van de landen waarin cryptowisseldiensten beschikbaar zijn en biedt een Nederlandse app en website aan. Bij één of meer zoekmachines werden daarnaast Nederlandstalige resultaten weergegeven bij de zoekterm Coinbase, die verwezen naar de website van Coinbase.70 De Nederlandse rechter is dus bevoegd.

Hoewel door de slachtoffers niet alleen beroep wordt gedaan op de overeenkomst, maar ook op onrechtmatig handelen en met name de wetgeving over oneerlijke handelspraktijken, oordelen beide rechtbanken dat ook in het kader van de vraag naar het toepasselijk recht sprake is van verbintenissen uit overeenkomst.71 De rechtbanken verwijzen in dit verband naar een arrest van het Hof van Justitie waarin beslist is dat ook een door een consument ingestelde vordering inzake wettelijke aansprakelijkheid uit onrechtmatige daad valt onder het begrip ‘verbintenis uit overeenkomst’, indien de vordering onlosmakelijk verbonden is met een overeenkomst die de betrokken consument en de beroepsmatig handelende wederpartij daadwerkelijk hebben gesloten.72 De rechtbanken wijzen er daarnaast op dat artikel 12 van de Rome II verordening73 bepaalt dat als het gaat om precontractuele aansprakelijkheid, ook niet-contractuele verbintenissen geregeerd worden door het recht dat op de overeenkomst van toepassing is. Hoewel de vorderingen in belangrijke mate gebaseerd zijn op het leerstuk van oneerlijke handelspraktijken, dat in Nederland is geregeld als een vorm van wettelijke aansprakelijkheid, zijn de vorderingen onlosmakelijk verbonden met de tussen partijen gesloten gebruikersovereenkomst, aldus de rechtbanken. Daarmee worden de vorderingen, ook voor zover deze zijn gegrond op schending van de zorgplicht, geregeerd door het recht dat op de overeenkomst van toepassing is, en dus door de Rome I verordening.74 Dit maakt dat de overeenkomst op grond van artikel 6 Rome I verordening in principe beheerst wordt door Nederlands recht.

In één zaak deed Coinbase tot slot een beroep op een rechtskeuzebeding, dat kort gezegd inhield dat Iers recht van toepassing is ‘subject to any local mandatory law or rights available to the consumer’. De rechtbank Noord-Holland oordeelt dat deze bepaling onredelijk bewarend is en wijst het beroep op dit beding daarom af. Hoewel door het rechtskeuzebeding de dwingendrechtelijke bepalingen van Nederlands recht toepasselijk blijven, geldt voor het overige immers het Ierse recht. Dat belemmert het slachtoffer, als consument in Nederland, ontoelaatbaar in haar juridische positie ten opzichte van Coinbase, een in Ierland gevestigde, internationaal opererende groep vennootschappen, al is het maar omdat het in Nederland veel moeilijker is een rechtsbijstandsverlener te vinden met kennis van Iers recht dan met kennis van het Nederlandse recht, zo oordeelt de rechtbank.75 Nederlands recht is daarom ook in dat geval van toepassing.

Oneerlijke handelspraktijk platform

In de Coinbase-zaken en drie gevoegde zaken tegen Crypto.com (ECLI:NL:RBGEL:2023:6324),76 stellen de slachtoffers allen dat het platform zich schuldig maakt aan een oneerlijke handelspraktijk als bedoeld in artikel 6:193b BW.77 Het belangrijkste argument dat zij aanvoeren, is dat het platform illegaal actief is op de Nederlandse markt, omdat zij de noodzakelijke registratie op grond van artikel 23b van de Wet ter voorkoming van witwassen en financieren van terrorisme (‘Wwft’) niet heeft. In drie zaken oordeelt de rechtbank dat het ontbreken van de vereiste registratie leidt tot een onrechtmatige handelspraktijk, omdat het platform de indruk wekte dat zij haar cryptodiensten legaal kon aanbieden, terwijl dat niet het geval was (artikel 6:193g aanhef en onder i BW).78

De handelaar die onrechtmatig handelt, is aansprakelijk voor de daardoor ontstane schade, tenzij hij bewijst dat zulks noch aan zijn schuld is te wijten noch op andere grond voor zijn rekening komt, zo volgt uit artikel 6:193j lid 2 BW. De overeenkomst die als gevolg van een oneerlijke handelspraktijk is gesloten, is bovendien vernietigbaar op grond van artikel 6:193j lid 3 BW. Voor alle zaken tegen Coinbase en Crypto.com, ook waarin geoordeeld werd dat sprake was van een oneerlijke handelspraktijk, oordelen de rechtbanken dat het vereiste causale verband voor een schadevergoeding en de vernietiging ontbreekt.79 De slachtoffers zijn op aandringen van de oplichters naar het platform verwezen en hebben daar een account aangemaakt. Niet kan worden aangenomen dat de slachtoffers geen account hadden aangemaakt als het platform had gemeld (nog) niet de verplichte registratie te hebben. Bovendien ontbrak enig kritisch onderzoek naar de platforms door de slachtoffers en werd er geen acht geslagen op waarschuwingen voor beleggingsfraude en het nooit mogen delen van wachtwoorden met derden. De slachtoffers hebben zich geheel laten leiden door de wensen en het handelen van de oplichters. De beslissing om te gaan beleggen en ten behoeve daarvan een account bij de platforms aan te (laten) maken is het gevolg van de mededelingen van de oplichters.80 Het noodzakelijk causale verband ontbreekt dus en de vorderingen op grond van oneerlijke handelspraktijk worden afgewezen.

Onrechtmatige daad en zorgplicht

Subsidiair vorderen de slachtoffers schadevergoeding op grond van onrechtmatige daad (artikel 6:162 BW). De slachtoffers voeren aan dat het ontbreken van de vereiste registratie bij De Nederlandsche Bank (DNB) op grond van artikel 23b Wwft onrechtmatig is. In de zaken waar de rechtbank oordeelde dat sprake was van een oneerlijke handelspraktijk, staat het onrechtmatig handelen bovendien vast op grond van artikel 6:193b lid 1 BW.81 De argumentatie van de slachtoffers ketst echter (ook hier) af omdat de relativiteit en causaliteit zoals de artikelen 6:162 en 6:163 BW vereisen, ontbreken. De rechtbanken overwegen dat de verplichtingen uit de Wwft in het leven zijn geroepen ter bescherming van het algemeen maatschappelijke belang om witwassen en financiering van terrorisme te voorkomen en niet ter bescherming van derden zoals de slachtoffers tegen vermogensschade die kan ontstaan door frauduleus betalingsverkeer.82 Bovendien ontbrak de causaliteit tussen de ten onrechte gewekte indruk dat het platform haar diensten in Nederland legaal aanbood en het aangaan van de overeenkomst met het platform door het slachtoffer.83

De slachtoffers beroepen zich daarnaast op een onrechtmatige daad wegens het schenden van de zorgplicht door de platforms. Die zorgplicht zou volgens de slachtoffers in het algemeen betekenen dat de platforms meer beveiligingsmaatregelen moesten treffen ter preventie en bestrijding van fraude. De rechtbank Noord-Holland overweegt in dit verband dat het platform bij het leveren van haar diensten de zorg van een goed opdrachtnemer in acht moet nemen. Dat betekent dat zij tegenover de opdrachtgever de zorg moet betrachten die van een redelijk bekwaam en handelend vakgenoot mag worden verwacht. Wat dit concreet meebrengt, is afhankelijk van de omstandigheden van het geval, waaronder de aard en inhoud van de opdracht, de positie van opdrachtnemer en de aard en ernst van de betrokken belangen.84 In alle zaken tegen Coinbase en Crypto.com oordelen de rechtbanken dat geen sprake is van een schending door de platforms van hun zorgplicht. Zo oordeelt de rechtbank Gelderland in de gevoegde zaken tegen Crypto.com dat op een cryptodienstverlener in het algemeen niet de verplichting rust alle wallets die bij haar worden gehouden en alle transacties die via haar platform plaatsvinden, doorlopend te controleren op mogelijke fraude.85 Van een dergelijke verplichting zou pas sprake kunnen zijn als daarvoor concrete aanleiding bestaat, in die zin dat er concrete wetenschap of serieuze aanwijzingen zijn voor ongebruikelijke activiteiten.86 Een cryptodienstverlener is ook niet verplicht de persoon of maatschappij achter een wallet waarnaar de crypto’s overgeboekt worden, te achterhalen en/of te controleren.87 Er is daarom geen sprake van het schenden van de zorgplicht door de platforms en de vorderingen op basis van onrechtmatige daad worden afgewezen.

Overige gronden: wanprestatie en nietigheid van de overeenkomst

In twee gevallen deden de slachtoffers meer subsidiair nog een beroep op een tekortkoming door de platforms in de nakoming van hun verplichtingen onder de overeenkomst met de slachtoffers als gebruikers van het platform. Aan deze vordering lagen dezelfde feiten en stellingen ten grondslag als aan de vordering op basis van onrechtmatige daad, zo oordelen beide rechtbanken. Omdat die geen doel treffen, slaagt ook het beroep op wanprestatie niet.88 Tot slot werd in één zaak een beroep gedaan op nietigheid van de overeenkomst in de zin van artikel 3:40 lid 2 BW, aan welke argumentatie opnieuw het ontbreken van een geldige registratie en het schenden van de Wwft ten grondslag lagen. Ook dit beroep wordt afgewezen. Omdat de Wwft zelf voorziet in een sanctie is niet voldaan aan de vereisten van artikel 3:40 lid 2 BW, zo oordeelt de rechtbank.89

Platform aansprakelijk voor rol in hack account

Niet alle zaken tegen cryptoplatforms stranden. In een zaak voor de kantonrechter te Amsterdam (ECLI:NL:RBAMS:2023:5425) hield een slachtoffer Coin Meester succesvol aansprakelijk voor schade die hij leed als gevolg van een hack van zijn account.90 Het slachtoffer heeft een account bij Coin Meester als derden onbevoegd toegang verkrijgen tot zijn e-mailaccount. De hackers verzoeken Coin Meester het wachtwoord van het slachtoffer te wijzigen, waarop Coin Meester een resetlink stuurt. De hackers wijzigen daarmee het wachtwoord en geven opdracht de crypto’s van het slachtoffer om te zetten naar bitcoins en over te dragen naar een externe bitcoinrekening. Het slachtoffer stelt dat Coin Meester haar contractuele verplichtingen en zorgplichten heeft geschonden door –⁠ kort gezegd ⁠– identificatie per e-mail aan te bieden als beveiligingsoptie, terwijl die methode gevoelig is voor misbruik.

De kantonrechter oordeelt dat Coin Meester jegens het slachtoffer verplicht is gelden en crypto’s die hij ter beschikking heeft gesteld voor hem te bewaren en de crypto’s (uitsluitend) volgens zijn opdracht te wisselen of te verkopen. Het gaat daarbij om de belangrijkste prestatie van Coin Meester, waarmee zij zich tot het bereiken van een bepaald resultaat heeft verbonden. Vaststaat dat de verkoop van de crypto’s en de overdracht van bitcoins naar een externe bitcoinrekening door Coin Meester is uitgevoerd vanwege opdrachten die door hackers zijn gegeven, die niet optraden namens eiser. Uit deze vaststelling volgt volgens de kantonrechter dat Coin Meester is tekortgeschoten in de nakoming van haar contractuele verplichting om de crytpo’s voor het slachtoffer te bewaren en alleen te verkopen indien zij daarvoor van hem opdracht krijgt. De vraag of het aanbieden van de mogelijkheid om in te loggen per e-mail op zichzelf een tekortkoming oplevert van Coin Meester behoeft daarom geen beantwoording.91

De tekortkoming is ook toerekenbaar aan Coin Meester. Onvoldoende vast is komen te staan dat het slachtoffer onvoldoende maatregelen nam om zijn e-mailaccount (dat volgens Coin Meester bij acht datalekken betrokken was) te beveiligen. Coin Meester heeft daarnaast onvoldoende aangevoerd om aan te nemen dat als het slachtoffer de beveiligingsmaatregelen zou hebben genomen die van hem als particulier mogen worden verlangd, zijn e-mailaccount niet betrokken zou kunnen raken bij een datalek. Daarentegen volgt uit een door Coin Meester verzonden e-mail dat Coin Meester zich ervan bewust was dat ingeval van een datalek derden zich toegang tot het account van het slachtoffer konden verschaffen. Door niettemin de mogelijkheid te bieden in te loggen met gebruikmaking van een e-mailadres dat –⁠ ook zonder schuld van het slachtoffer ⁠– betrokken kan zijn bij een datalek, heeft Coin Meester het risico in stand gelaten dat zij door onbevoegden zou worden bewogen over de gelden en crypto’s van het slachtoffer te beschikken op een wijze die niet in overeenstemming is met haar verplichtingen jegens het slachtoffer. Het betoog van Coin Meester dat de tekortkoming niet aan haar kan worden toegerekend, faalt dan ook.92

Toch gaat het slachtoffer niet helemaal vrijuit. Coin Meester wees hem uitdrukkelijk en bij herhaling op het risico van het niet-gebruikmaken van een alternatieve, veiligere, inlogmethode (Google Authenticator). Het kan het slachtoffer als eigen schuld worden toegerekend dat hij desondanks niet heeft gekozen voor uitsluitend inloggen met Google Authenticator. Voor de mate waarin sprake is van eigen schuld houdt de kantonrechter rekening met de aard van de dienstverlening van Coin Meester, die gelijkenissen vertoont met het verrichten van betalingstransacties die onder titel 7b van Boek 7 BW vallen. Uit die titel blijkt zonder meer dat een betaaldienstverlener moet instaan voor de veiligheid van betalingstransacties.93 Daarnaast acht de kantonrechter het van belang dat Coin Meester een deskundige partij is en het slachtoffer een consument. Voor de bepaling van de mate van eigen schuld neemt de kantonrechter tot uitgangspunt dat het de verant­woordelijk­heid van Coin Meester is om haar klanten te beschermen tegen frauderisico’s. Het ligt daarom op haar weg te zorgen voor een veilige uitvoering van opdrachten van het slachtoffer om zijn crypto’s te bewaren, te verkopen of over te dragen. De verant­woordelijk­heid van het slachtoffer speelt een daaraan ondergeschikte rol. De schade van het slachtoffer komt daarom vanwege zijn onvoorzichtigheid voor (slechts) 10% voor zijn eigen rekening.94 Een beroep op een aansprakelijkheidsbeperking in de toepasselijke algemene voorwaarden kan Coin Meester tot slot niet baten. Dit beding vernietigt de rechtbank als onredelijk bezwarend.95 Coin Meester dient 90% van de geleden schade aan het slachtoffer te vergoeden, waarbij wordt uitgegaan van de waarde van de crypto’s op het moment van de hack.96

De auteurs zijn allen advocaat in het technologieteam van Kennedy Van der Laan. Zij danken student-stagiair Bart van Beek voor zijn bijdrage aan het jurisprudentieonderzoek.

Noten

  1. Zie bijvoorbeeld Emerce, Risico op cyberaanval neemt toe en effecten worden groter (https://www.emerce.nl/achtergrond/risico-op-cyberaanval-neemt-toe-en-effecten-worden-groter).

  2. Zie voor een overzicht van de nieuwe wetgeving op het gebied van IT: https://www.turing.law/nl/jaaroverzicht-it-2023/. In deze Kroniek beperken wij ons tot rechtspraak.

  3. In rechtspraak op het gebied van IT komen bovendien vaak diverse onderwerpen aan de orde in een zaak. Omwille van de omvang van deze Kroniek maken wij ook op dit punt keuzes en bespreken wij alleen de onderwerpen die wat ons betreft het meest interessant zijn voor de IT-praktijk.

  4. Jurisprudentie die interessant kan zijn maar het niet gered heeft tot deze Kroniek is bijvoorbeeld: i) Rb. Gelderland 30 augustus 2023, ECLI:NL:RBGEL:2023:5120 (Arvato/TenneT) en Hof Arnhem-Leeuwarden 14 november 2023, ECLI:NL:GHARL:2023:9659 (Arvato/TenneT), ii) Rb. Oost-Brabant 12 juli 2023, ECLI:NL:RBOBR:2023:3581 (Verano/GAC), iii) Rb. Amsterdam 1 november 2023, ECLI:NL:RBAMS:2023:7175 (GRIMM), iv) Rb. Oost-Brabant 13 december 2023, ECLI:NL:RBOBR:2023:5780 (Peelgemeenten/Info Support), v) Rb. Oost-Brabant 2 augustus 2023, ECLI:NL:RBOBR:2023:4217 (EOF Europe) en vi) Rb. Den Haag 5 april 2023, ECLI:NL:RBDHA:2023:8753 (Medned/Stichting Groene Hart Ziekenhuis).

  5. Hoge Raad 25 augustus 2023, ECLI:NL:HR:2023:1131 (Partneralimentatie).

  6. R.o. 5.5 en 3.2.2 (Partneralimentatie).

  7. Rb. Overijssel 10 mei 2023, ECLI:NL:RBOVE:2023:1731 (Hof van Twente/Switch IT).

  8. R.o. 4.2.1 (Hof van Twente/Switch IT).

  9. R.o. 4.4.1 (Hof van Twente/Switch IT).

  10. Rb. Oost-Brabant 13 december 2023, ECLI:NL:RBOBR:2023:5782 (Calago).

  11. R.o. 4.4 (Calago).

  12. R.o. 4.6 (Calago).

  13. R.o. 4.19 (Calago).

  14. E.M. van Genuchten, R.H.G. van Schaik & R.J.J. Westerdijk, Kroniek IT-recht 2020, Advocatenblad april 2020.

  15. Rb. Amsterdam 18 december 2019, ECLI:NL:RBAMS:2019:9635 (Smart Connections/Allsafe).

  16. R.o. 4.5-4.6 (Smart Connections/Allsafe).

  17. R.o. 4.5-4.6 (Smart Connections/Allsafe).

  18. Hof Amsterdam 26 september 2023, ECLI:NL:GHAMS:2023:2532 (Smart Connections/Allsafe).

  19. R.o. 4.24-4.41 (Smart Connections/Allsafe).

  20. R.o. 4.27 (Smart Connections/Allsafe).

  21. Rb. Overijssel 7 juni 2023, ECLI:NL:RBOVE:2023:2138 (Heigo/Webstores).

  22. R.o. 5.3 (Heigo/Webstores). Deze maatstaf houdt in dat het bij de uitleg van een schriftelijk contract aankomt op de zin die partijen in de gegeven omstandigheden over en weer redelijkerwijs aan de bewoordingen van de overeenkomst mochten toekennen en hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten. Daarbij zijn alle omstandigheden van het geval van belang, in hun samenhang bezien.

  23. R.o. 5.5 (Heigo/Webstores).

  24. R.o. 5.6-5.12 (Heigo/Webstores).

  25. Rb. Noord-Holland 15 februari 2023, ECLI:NL:RBNHO:2023:2471(Pit/OfficeGrip).

  26. R.o. 5.4-5.5 en 5.8 e.v. (Pit/OfficeGrip).

  27. R.o. 5.22, 5.27, 5.28 en 5.32 (Pit/OfficeGrip).

  28. Zie voetnoot 1.

  29. V. van Druenen, E.M. van Genuchten & R.H.G. van Schaik, Kroniek IT-recht 2021, Advocatenblad, april 2022 en V. van Druenen, E.M. van Genuchten & W. Weijland, Kroniek IT-recht 2022, Advocatenblad, april 2023.

  30. Gerecht in eerste aanleg van Curaçao 3 juli 2023, ECLI:NL:OGEAC:2023:168 (IFC/CCS).

  31. Rb. Midden-Nederland 14 april 2021, ECLI:NL:RBMNE:2021:1528 (Brabantia/Bol.com).

  32. Social engineering is een vorm van psychologische manipulatie van mensen om acties uit te voeren of vertrouwelijke informatie vrij te geven, vaak in combinatie met een aangenomen valse identiteit. Een voorbeeld is CEO-fraude, waarbij cybercriminelen zich uitgeven voor de CEO van een bedrijf en een medewerker van de financiële administratie benaderen met de opdracht tot het uitvoeren van een spoedbetaling.

  33. R.o. 4.4 (IFC/CCS). Het gerecht verwijst in dit verband naar HR 28 mei 2021, ECLI:NL:HR:2021:783 (Devante/Hascor).

  34. R.o. 4.5 (IFC/CCS).

  35. R.o. 4.6 (IFC/CCS).

  36. Rb. Overijssel, ECLI:NL:RBOVE:2023:1731 (Hof van Twente/Switch IT).

  37. De rechtbank verwijst in dit kader naar gerechtshof Den Haag 9 oktober 2018, ECLI:NL:GHDHA:2018:2612, r.o. 5.2 en de daar aangehaalde rechtspraak.

  38. R.o. 4.2.4 en 4.2.5 (Hof van Twente/Switch IT).

  39. R.o. 4.3.3 en 4.3.4 (Hof van Twente/Switch IT).

  40. R.o. 4.3.5-4.3.7 (Hof van Twente/Switch IT).

  41. R.o. 4.4.1-4.4.2 (Hof van Twente/Switch IT).

  42. Rb. Rotterdam (Vzr.) 6 april 2023, ECLI:NL:RBROT:2023:2931 (Blauw/Nebu). Blauw werd in deze procedure bijgestaan door één van de auteurs van deze kroniek (V. van Druenen).

  43. R.o. 5.11 (Blauw/Nebu).

  44. Zie bijvoorbeeld Rb. Noord-Holland 17 november 2021, ECLI:NL:RBNHO:2021:11291 (Vloerkledenwinkel/Pixelindustries). Deze zaak is door ons besproken in de Kroniek IT-recht 2022.

  45. Rb. Midden-Nederland 26 juli 2023, ECLI:NL:RBMNE:2023:5936 (Synergy/IPS).

  46. R.o. 4.4 (Synergy/IPS).

  47. R.o. 4.6-4.8 (Synergy/IPS).

  48. R.o. 4.2-4.12 (Synergy/IPS).

  49. Hof Arnhem-Leeuwarden 25 juli 2023, ECLI:NL:GHARL:2023:641 (Toomba).

  50. R.o. 5.9 (Toomba).

  51. R.o. 5.20 (Toomba).

  52. Hoge Raad 24 maart 2023, ECLI:NL:HR:2023:437 (Capgemini/Equihold). Zie ook de conclusie van P-G De Bock 4 november 2022, ECLI:NL:PHR:2022:1024.

  53. R.o. 3.1.1 en 3.1.2 (Capgemini/Equihold).

  54. ECLI:NL:PHR:2022:1024, par. 4.61-4.72 (Capgemini/Equihold).

  55. Rb. Midden-Nederland 17 mei 2023, ECLI:NL:RBMNE:2023:2657 (verbrekingsvergoeding).

  56. R.o. 4.2-4.8 (verbrekingsvergoeding).

  57. Hoge Raad 2 juni 2023, ECLI:NL:HR:2023:835 (Groothandel slachtafval). Naast de in deze Kroniek besproken vraag gaat de Hoge Raad in dit arrest uitgebreid in op de vraag of een groothandel in slachtafval een dienst is in de zin van de Dienstenrichtlijn.

  58. R.o. 3.2.3 (Groothandel slachtafval).

  59. Deze casus lijkt sterk op de casus die ter beoordeling lag bij de rechtbank Zeeland-West-Brabant in 2020 (Rb. Zeeland-West-Brabant 7 oktober 2020, ECLI:NL:RBZWB:2020:4817). Voor het gemak wordt naar de uitspraak uit 2020 –⁠ die wij in de Kroniek IT-recht 2020 bespraken verwezen als ‘Swishfund I’ ⁠– en naar deze uitspraak uit 2022 als ‘Swishfund II’.

  60. R.o. 4.7 (Swishfund II).

  61. Rb. Rotterdam 1 november 2023, ECLI:NL:RBROT:2023:10194 (BridgeFund).

  62. R.o. 4.5 (BridgeFund).

  63. R.o. 4.8 (BridgeFund).

  64. Hof Arnhem-Leeuwarden 24 januari 2023, ECLI:NL:GHARL:2023:687 (OPR-Finance/BilancioBudget). Naast de in deze Kroniek besproken onderwerpen gaat het hof ook in op de vraag of een elektronisch tot stand gekomen borgtocht heeft te gelden als een ondertekend geschrift in de zin van artikel 7:859 BW.

  65. Het elektronisch identificeren via iDIN vindt plaats in twee stappen. Bij de eerste stap moet de vertegenwoordiger op de website van de kredietverstrekker inloggen via de inlogmethode van zijn bank. Bij de tweede stap wordt aan de bank de opdracht gegeven om persoonsgegevens (voorletter(s), naam, geboortedatum en woonadres) elektronisch te verstrekken aan de kredietverstrekker. Pas daarna wordt toegang gegeven tot het gedeelte van de website waarbinnen een lening kan worden aangevraagd en de overeenkomst elektronisch kan worden ondertekend.

  66. R.o. 4.14-4.16 (OPR-Finance/BilancioBudget).

  67. Rb. Noord-Holland 7 juni 2023, ECLI:NL:RBNHO:2023:5305 (CoinbaseI), Rb. Midden-Nederland 9 augustus 2023, ECLI:NL:RBMNE:2023:4311 (Coinbase II), Rb. Midden-Nederland 15 november 2023, ECLI:NL:RBMNE:2023:6299 (Coinbase III) en Rb. Noord-Holland 13 december 2023, ECLI:NL:RBNHO:2023:12695 (Coinbase IV).

  68. R.o. 3.2 e.v. (Coinbase III) en korter r.o. 4.2.2 e.v. (Coinbase I), r.o. 4.3 e.v. (Coinbase II) en r.o. 4.1 (Coinbase IV), de laatste onder verwijzing naar Coinbase I en Coinbase II.

  69. Verordening (EU) nr. 1215/2012 van het Europees Parlement en de Raad van 12 december 2012 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (herschikking).

  70. R.o. 4.2.4 (Coinbase I), r.o. 4.5 (Coinbase II), ro. 3.2 (Coinbase III) en r.o. 4.1 (Coinbase IV), de laatste onder verwijzing naar Coinbase I en Coinbase II.

  71. Verordening (EG) nr. 593/2008 van het Europees Parlement en de Raad van 17 juni 2008 inzake het recht dat van toepassing is op verbintenissen uit overeenkomst (Rome I).

  72. HvJ EU 2 april 2020, ECLI:EU:C:2020:264 (AU/Reliantco Investments).

  73. Verordening (EG) nr. 864/2007 van het Europees Parlement en de Raad van 11 juli 2007 betreffende het recht dat van toepassing is op niet-contractuele verbintenissen (Rome II).

  74. Zie uitvoerig: r.o. 4.3.1-4.35 (Coinbase I) en korter: r.o. 4.7-4.9 (Coinbase II), r.o. 3.4 (Coinbase III) en r.o. 4.1 (Coinbase IV), de laatste onder verwijzing naar Coinbase I en Coinbase II.

  75. R.o. 4.3.6-4.3.7 (Coinbase I).

  76. Rb. Gelderland 22 november 2023, ECLI:NL:RBGEL:2023:6324 (Crypto.com).

  77. Artikel 6:193b jo. 6:193j lid 3 BW.

  78. R.o. 4.5.4 en 4.5.5 (Coinbase I), r.o. 4.15 (Coinbase III) en r.o. 3.8 (Coinbase IV).

  79. R.o. 4.6.2.-4.6.6 (Coinbase I), r.o. 4.19-4.21 (Coinbase II), r.o. 3.8 (Coinbase III), r.o. 4.19 en 4.23 (CoinbaseIV) en r.o. 5.2 en 5.3 (Crypto.com)

  80. R.o. 4.6.3.-4.6.6 (Coinbase I), r.o. 4.19-4.23 (Coinbase II), r.o. 3.8 (Coinbase III), r.o. 4.21-4.23 (Coinbase IV) en r.o. 5.2-5.3 (Crypto.com).

  81. R.o. 4.7.1-4.7.2 (Coinbase I), r.o. 4.26 (Coinbase II) en r.o. 4.30 (Coinbase IV).

  82. R.o. 4.25 (Coinbase II), r.o. 3.11 (Coinbase III) en r.o. 4.29 (Coinbase IV).

  83. R.o. 4.27-4.30 (Coinbase II), r.o. 4.30 (Coinbase IV) en r.o. 5.4-5.5 (Crypto.com).

  84. R.o. 4.8.2 (Coinbase I).

  85. R.o. 5.4-5.7 (Crypto.com).

  86. Zie voor een soortgelijk oordeel over de zorgplicht ook r.o. 4.8.4 (Coinbase I).

  87. R.o. 5.6-5.7 (Crypto.com).

  88. R.o. 4.31 (Coinbase II) en r.o. 4.39 (Coinbase IV).

  89. R.o. 4.31 (Coinbase II).

  90. Rb. Amsterdam 8 september 2023, ECLI:NL:RBAMS:2023:5425 (Coin Meester).

  91. R.o. 4.6 (Coin Meester).

  92. R.o. 4.9 (Coin Meester).

  93. De rechtbank verwijst in dit kader naar de artikelen 7:522, 7:525, 7:527, 7:528 en 7:529 lid 3 BW.

  94. R.o. 4.10 (Coin Meester).

  95. R.o. 4.11-4.15 (Coin Meester).

  96. R.o. 5.16 (Coin Meester).