juridisch kronieken

Kroniek
IT-recht 2024

door Arnoud de Boer, Veerle van Druenen, Esther van Genuchten, Robert van Schaik & Wieger Weijland
beeld Floris Tilanus

In 2024 was er veel aandacht voor de toenemende invloed van big tech. Ook buiten big tech worden afnemers steeds afhankelijker van hun IT-leveranciers. Dit leidt geregeld tot juridische discussies. Wat als bijvoorbeeld een IT-leverancier alleen bereid is licenties te verlengen tegen prijzen die de afnemer exorbitant acht? En hoe zit het aanbestedings­rechtelijk als door exclusieve rechten maar één partij het onderhoud aan een IT-systeem mag verrichten? En kan een samen­werkingspartner na het einde van de overeenkomst gehouden worden tóch diensten te blijven verrichten? Het zijn allemaal vragen die in de rechtspraak van het afgelopen jaar aan bod kwamen. Ondertussen bleef er aandacht voor de gevolgen van cyber­incidenten en de aansprakelijkheid van crypto­platforms. Daarnaast speelden de gebruikelijke discussies over bijvoorbeeld uitleg en de verant­woordelijk­heid van IT-leveranciers.

Uitleg IT-contracten (algemeen)

Overeenkomst geëindigd zonder expliciete opzegging?

De eerste zaak gaat over de beëindiging van een overeenkomst waaronder Mobiléa aan SdW een beeldzorgapplicatie beschikbaar stelt. De overeenkomst heeft een looptijd van negen maanden en wordt na het verstrijken daarvan zonder tegenbericht verlengd, waarbij een opzegtermijn van twee maanden voor einde looptijd geldt. Tussen partijen ontstaat discussie over de vraag of de overeenkomst na de initiële periode is geëindigd, nu een expliciete opzegging ontbreekt. De rechtbank Zeeland-West-Brabant (ECLI:​NL:​RBZWB:​2024:6434) oordeelt dat SdW er gerecht­vaardigd op mocht vertrouwen dat dit het geval was.1 De rechtbank weegt mee dat de overeenkomst gekoppeld is aan een kostendekkende subsidie die voor negen maanden werd verleend. Relevant is daarnaast dat ook een eerder project ten aanzien waarvan soortgelijke afspraken golden gestaakt werd zonder expliciete opzegging. Mobiléa stuurde bovendien op de laatste dag van de initiële periode een e‑mail waarin zij aangaf dat het project straks financieel afgerond was. Hieruit mocht SdW afleiden dat de overeenkomst ook volgens Mobiléa zou eindigen. Dit vertrouwen kon SdW eveneens ontlenen aan het feit dat Mobiléa na afloop van de initiële periode stopte met factureren. Dit kon anders liggen als SdW onveranderd gebruik was blijven maken van de applicatie. Dat bleek echter niet en SdW mocht ervan uitgaan dat de software slechts nog beschikbaar was vanwege de nieuwe onder­handelingen.2

Impliciet gebruiksrecht op software op basis van precontractuele gedragingen

In een arrest van het gerechtshof Amsterdam (ECLI:​NL:​GHAMS:​2024:3207) gaat het over de uitleg van een koop- en een licentieovereenkomst, waaronder Workrate aan PayingIT de auteursrechten op software overdraagt en Workrate ten aanzien daarvan een licentie verkrijgt.3 In die licentie is commercieel gebruik verboden. Het hof oordeelt op basis van correspondentie tussen partijen dat PayingIT erop mocht vertrouwen dat de gehele software werd verkocht.4 Desondanks stelt het hof een impliciet gebruiksrecht vast voor het (commerciële) gebruik van een deel van de software, die Workrate al commercieel exploiteerde voor het sluiten van de overeenkomst. Het hof constateert dat beide partijen ervan uitgingen dat met de overeenkomst geen wijziging werd beoogd van de bestaande commerciële exploitatie door Workrate. Workrate mocht de software dan ook blijven exploiteren en doorontwikkelen.5

Bestendige werkwijze leidend bij uitleg licentieovereenkomst

In een kort geding voor de rechtbank Midden-Nederland gaat het over de uitleg van een licentieovereenkomst tussen Broadcom en Philips (ECLI:​NL:​RBMNE:​2024:5958).6 Volgens Broadcom komt Philips haar verplichting om twee keer per jaar informatie over haar gebruikersaantallen met Broadcom te delen niet na. Philips heeft volgens haar bovendien meer ‘Full Function Users’ dan doorgegeven. Broadcom ontbindt daarom de overeenkomst en eist dat Philips het gebruik van de software staakt. De voorzieningen­rechter wijst de vorderingen van Broadcom af. Vaststaat dat Philips niet overeenkomstig de overeenkomst heeft gerapporteerd. Het gaat echter te ver dit aan te merken als een ernstige tekortkoming die ontbinding rechtvaardigt. Philips geeft al twintig jaar de aantallen alleen op verzoek van Broadcom door en Broadcom heeft dit altijd geaccepteerd.7 Vaststaat ook dat het aantal Full Function Users dat Philips doorgaf niet overeenstemt met de aantallen in het ‘license portlet’ van het systeem. Als de registratie in het ‘portlet’ klopt, dan heeft Philips het overeengekomen maximumaantal Full Function Users overschreden. De voorzieningenrechter volgt de argumentatie van Broadcom dat de registratie in het ‘portlet’ leidend is en dat Philips geen eigen script mocht gebruiken om gebruikersaantallen vast te stellen echter niet. Philips gebruikt sinds het begin van de overeenkomst een dergelijk eigen script en Broadcom heeft dit twintig jaar geaccepteerd. Het enkele feit dat Philips een eigen meetscript gebruikt, levert dus geen tekortkoming op.8 De voorzieningenrechter acht bovendien aannemelijk dat de overschrijding van de gebruikersaantallen onbedoeld veroorzaakt is door een delegatie­functie in de software en Philips met dit onbedoelde effect geen rekening hoefde te houden.9 Er is daarom geen sprake van een tekortkoming die de ontbinding rechtvaardigt.

Hogere licentievergoeding wegens ‘samengaan’?

Een vonnis van de rechtbank Den Haag (ECLI:​NL:​RBDHA:​2024:15261) gaat over de uitleg van een overeenkomst waaronder Aquila aan MN softwarecomponenten levert voor haar informatiesysteem.10 Partijen spreken af dat MN een aanvullende licentievergoeding verschuldigd is indien zij samengaat met een andere organisatie en het systeem daar inzet. Tussen partijen ontstaat een geschil over of daarvan sprake is bij samen­werkingen met Bovemij en Uneto-VNI. De rechtbank kent groot gewicht toe aan de ratio van de afspraken. Die zijn erop gericht dat MN de ontwikkelde componenten niet zonder toestemming gebruikt voor een andere organisatie, omdat Aquila daardoor de kans wordt ontnomen deze aan die organisatie te verkopen. De afspraken beogen dat Aquila wordt gecompenseerd voor dit verlies van potentiële klanten. De rechtbank oordeelt in het licht daarvan dat de samen­werking tussen MN en Bovemij niet kwalificeert als ‘op enigerlei wijze samengaan’ als bedoeld in de overeenkomst. Bovenmij was al klant van MN en hoewel de samen­werking juridisch anders is vormgegeven, blijft de uitvoering van de werkzaamheden ongewijzigd. Van vermenging of samensmelting van activa of overgang van aandelen, bedrijfsonderdelen of personeelsleden is bovendien geen sprake. Dat de samen­werking is geïntensiveerd, is onvoldoende om te spreken over het ‘op enigerlei wijze samengaan’. Ook ten aanzien van Uneto-VNI is daarvan geen sprake.11

De verant­woordelijk­heden van partijen: uitleg en zorgplicht

In veel IT-geschillen staat de verant­woordelijk­heid van de IT-leverancier centraal. Deze discussie kan gevoerd worden in de sleutel van uitleg, maar ook in die van de zorgplicht van IT-leveranciers (artikel 7:401 BW). Wij bespreken deze onderwerpen daarom tezamen.

De verhouding tussen uitleg en de zorgplicht

De verhouding tussen uitleg en de zorgplicht komt aan de orde in de zaak Allsafe tegen Smart Connections, die wij voor de derde keer bespreken. Partijen twisten over de vraag of Smart Connections tekortschoot in de nakoming van een overeenkomst met Allsafe. Nadat de rechtbank die vraag positief beantwoordt12 en het hof tot een tegengesteld oordeel komt,13 gaat Allsafe in cassatie. Daarin klaagt Allsafe dat het hof miskent dat zij naast stellingen over de uitleg van de inhoud van de overeenkomst, het standpunt innam dat Smart Connections tekortschoot in haar zorgplicht. De Hoge Raad (ECLI:​NL:​HR:​2024:1798) wijst het cassatie­beroep af, onder verwijzing naar artikel 81 Wet RO,14 maar P⁠-⁠G Valk gaat in zijn conclusie (ECLI:​NL:​PHR:​2024:1072) uitgebreid in op de klacht.15 De P⁠-⁠G constateert dat de zorgplicht de inhoud van de overeenkomst mede kan bepalen. Niet juist is dus dat zorgplichten geen rol spelen bij de vraag wat partijen zijn overeengekomen en schending daarvan slechts een onrechtmatige daad kunnen opleveren. De P⁠-⁠G maakt een vergelijking met hoe uitleg en redelijkheid en billijkheid zich tot elkaar verhouden. Het is vooral een kwestie van aanpak of op een bepaalde vraag al in de uitlegfase wordt beslist, of dat die op basis van de redelijkheid en billijkheid wordt afgedaan. Hetzelfde geldt ten aanzien van de zorgplicht. De zorgplicht kan dus óók betrokken worden bij vaststelling van de redelijke wederzijdse verwachtingen van partijen.16 Allsafe klaagt ook over de beslissing van het hof om haar deskundigenrapport terzijde te schuiven, omdat daarin getoetst werd aan ISO-normen en niet aan de overeenkomst. Aan dit oordeel besteedden wij in onze vorige kroniek aandacht. Dit klachtonderdeel faalt, aldus de P⁠-⁠G. Anders dan Allsafe betoogt heeft het hof niet miskend dat in abstracto ISO-normen van belang kunnen zijn bij de vaststelling van wat redelijkheid en billijkheid of gewoonte meebrengen. Volgens het hof is de inhoud van de overeenkomst echter zodanig dat dit zich in dit concrete geval niet voordoet. Daarbij is van belang dat geen afgerond systeem beloofd was. De klacht mist dus feitelijke grondslag.17

Uitleg en zorgplicht bij maximaal afgenomen geheugen

Uitleg en zorgplicht komen ook als separate onderwerpen terug. Het gerechtshof ’s‑Hertogenbosch (ECLI:​NL:​GHSHE:​2024:137)18 oordeelt in een tussenarrest over wat de omvang is van door Acknowledge van Interconnect afgenomen werkgeheugen. Volgens het hof nam Acknowledge een maximum aan direct te gebruiken werkgeheugen af met een extra deel als opvraagbaar reserve werkgeheugen.19 Daarnaast nam zij eenzelfde capaciteit werkgeheugen af in een apart datacentrum, maar enkel als uitwijkfaciliteit.20 Acknowledge wordt in de gelegenheid gesteld tegenbewijs te leveren, maar slaagt daarin niet. De door haar overgelegde getuigen­verklaringen komen erop neer dat Acknowledge bij het sluiten van de overeenkomst uitging van een bepaalde interpretatie. In het licht van de Haviltex-maatstaf zijn echter bijkomende omstandig­heden nodig die in de richting van deze interpretatie wijzen en waaruit volgt dat Interconnect moest begrijpen dat dit de geldende uitleg zou zijn. Zulke omstandig­heden zijn niet gebleken.21 Acknowledge overschreed dan ook het afgenomen geheugen. Uit het eindarrest (ECLI:​NL:​GHSHE:​2024:2626)22 blijkt dat Acknowledge nog aanvoerde dat deze overschrijding het gevolg was van een schending van de zorgplicht door Interconnect. Interconnect had volgens haar het gebruik proactief moeten bewaken, haar moeten informeren over de kosten van meerverbruik, tijdig moeten waarschuwen voor het meerverbruik en begrenzingen moeten installeren.23 Het hof gaat daar niet in mee. Uit e‑mail­corres­pondentie blijkt dat Acknowledge zich ervan bewust was dat zij meer geheugen kon gebruiken dan waartoe zij gerechtigd was. Acknowledge verzocht bovendien door de jaren heen op eigen initiatief om meer geheugen. Daaruit leidt het hof af dat zij in staat was zelf het gebruik te monitoren en dat actief deed.24 Van een schending van de zorgplicht is daarom geen sprake.

Eisen aan levering van een koppeling

In een procedure tussen zorgverlener Zinzia en IT-dienstverlener Efficy twisten partijen in de sleutel van uitleg over de verant­woordelijk­heden die Efficy heeft onder een overeenkomst tot implementatie van een CRM-systeem. Volgens Zinzia schiet Efficy tekort in de nakoming daarvan, omdat zij geen uitgebreide koppeling tussen het CRM en het door Zinzia gebruikte ONS-systeem oplevert. Efficy stelt daarentegen dat zij slechts een standaardkoppeling hoeft op te leveren. De rechtbank Gelderland (ECLI:​NL:​RBGEL:​2024:103) oordeelt dat de contractdocumentatie op dit punt geen duidelijke afspraken bevat.25 Om te beoordelen wat partijen redelijkerwijs van elkaar mogen verwachten, kijkt de rechtbank daarom naar de context van het te realiseren CRM-systeem. Uit die context en de in de offerte omschreven ‘gewenste situatie’ blijkt dat Zinzia een geautomatiseerd systeem voor ogen had, waarbij wachtlijstbeheer en bedbezetting realtime gekoppeld zouden zijn. Om dit mogelijk te maken, was een uitgebreide(re) ONS-koppeling essentieel. De rechtbank gaat er daarom vanuit dat partijen levering van de uitgebreide koppeling zijn overeengekomen.26, 27

Toepassing zorgplicht in het kader van schuldeisersverzuim

De rechtbank Zeeland-West-Brabant (ECLI:​NL:​RBZWB:​2024:4691)28 past de zorgplicht toe bij de beoordeling van een beroep op schuldeisersverzuim. Als een website­ontwikkelaar er niet in slaagt een werkende website op te leveren, stelt de opdracht­gever zich op het standpunt dat de ontwikkelaar tekortschiet in de nakoming van een tussen partijen gesloten overeenkomst. De ontwikkelaar verweert zich met de stelling dat de opdracht­gever nakoming verhindert, waardoor sprake is van schuldeisersverzuim (artikel 6:266 BW). Volgens de ontwikkelaar maakte de opdracht­gever de opdracht omvangrijker dan afgesproken, waardoor het onmogelijk werd deze voortvarend uit te voeren. De opdracht­gever verzuimde daarnaast stukken in het juiste digitale formaat aan te leveren. Het verweer gaat niet op. De rechtbank oordeelt dat als de opdracht­gever werkzaamheden verlangde die buiten de opdracht vielen het op de weg van de ontwikkelaar lag hem daarop te wijzen en deze niet uit te voeren. Ten aanzien van de aanlevering van stukken overweegt de rechtbank dat op de ontwikkelaar als professionele partij een zorgplicht rust ter zake de advisering van de te ontwikkelen website en wat daarvoor benodigd is. Voldeed het aangeleverde materiaal niet, dan lag het op de weg van de ontwikkelaar om duidelijkheid te verschaffen over wat van de opdracht­gever verlangd werd en hem daarover adequaat te informeren. Dat heeft de ontwikkelaar niet gedaan. De ontwikkelaar voldeed daardoor niet aan zijn zorgplicht. Onder die omstandig­heden kan niet gezegd worden dat de opdracht­gever de nakoming verhinderde. Het beroep van de ontwikkelaar op schuldeisersverzuim faalt.29

Zorgplicht bij agile/​scrum-werkwijze

Voor het gerechtshof Amsterdam (ECLI:​NL:​GHAMS:​2024:1070)30 discussiëren IT-leverancier Triple IT en On Air over welke verant­woordelijk­heden Triple IT heeft bij de ontwikkeling van een front-end. In hoger beroep verwijt On Air Triple IT dat ze haar zorgplicht geschonden heeft. In een tussenarrest stelt het hof vast dat de overeenkomst geen expliciete opleverdatum bevat en gewerkt werd op basis van agile/​scrum. Het hof overweegt dat deze aanpak weliswaar met zich meebrengt dat er geen nauwkeurig omschreven eindproduct tegen een afgesproken datum zou worden geleverd, maar dat dit niet wegneemt dat het streven was een bepaald eindresultaat te behalen: een goed werkende front-end. Triple IT was er ook mee bekend dat voor On Air van belang was dat zij op 30 juni 2021 over een goed werkende front-end kon beschikken, omdat haar toenmalige leverancier er op die datum mee zou stoppen.31 Het hof gelast daarom een deskundigenonderzoek dat erop gericht is te achterhalen of Triple IT op 30 juni 2021 een werkende front-end kon opleveren (zoals zij stelt) en, zo niet, wat de oorzaak was van de vertraging. Het hof wenst ook op een groot aantal andere punten voorlichting van een deskundige, waaronder over de betekenis van terminologie als ‘agile/​scrum’, ‘front-end’ en ‘sprint’ en wat in de branche gebruikelijk is in het kader van een agile/​scrum-ontwikkeltraject.

Dwaling

Heeft een overeenkomst een teleurstellend resultaat, dan doen afnemers geregeld een beroep op dwaling, al dan niet omdat daarvoor minder contractuele beperkingen gelden.

Dwaling na ontbinding

In een procedure bij de rechtbank Amsterdam (ECLI:​NL:​RBAMS:​2024:4041) staat een overeenkomst centraal waaronder Aexis IBM Planning Analytics bij Forbo zal implementeren.32 Na drie jaar beëindigt Forbo de overeenkomst, waarbij Aexis zich neerlegt. In rechte vordert Forbo vervolgens vernietiging van de overeen­komst op grond van dwaling. Aexis meent dat Forbo zich gezien de eerdere ontbinding niet meer kan beroepen op dwaling. Dit betoog faalt. Het enkele feit dat Aexis zich heeft neergelegd bij de beëindiging van de overeenkomst, zonder daarbij te erkennen dat zij is tekortgeschoten in de nakoming daarvan, betekent niet dat Forbo de mogelijkheid zich op dwaling te beroepen heeft verspeeld. Niet kan immers worden gezegd dat de rechtsgevolgen van ontbinding al zijn ingetreden.33 Het beroep van Forbo op dwaling slaagt echter niet. Volgens Forbo heeft zij gedwaald als gevolg van inlichtingen van Aexis in de offerte dat de applicatie een ‘fast, flexible and complete planning and analytics tool’ is met een ‘powerful in-memory engine for real-time analysis on large data sets’, in combinatie met het doel het bestaande model van Forbo te vervangen door een betere oplossing. De rechtbank overweegt dat deze mededelingen algemeen van aard zijn en betrekking hebben op de standaardprogrammatuur en niet op de bij Forbo te implementeren applicatie. Dat Aexis toezegde dat die in staat zou zijn realtime­berekeningen te maken, is onvoldoende gebleken. Dergelijke toezeggingen kon Aexis in de commerciële fase ook niet doen, omdat zij op dat moment nog niet beschikte over de benodigde informatie. Documentatie van Aexis over haar werkwijze bevestigt dit. Daaruit blijkt dat voor toepassing van de applicatie binnen het (IT-)systeem van Forbo dat systeem eerst in samenspraak in kaart moet worden gebracht en een daarop toegesneden ontwerp moet worden gemaakt. De toepassing van de applicatie moest daarom voor een belangrijk deel nog een invulling krijgen. Die invulling had Aexis niet al kunnen voorzien op basis van de informatie die zij van tevoren van Forbo ontving. Forbo mocht op basis van de inlichtingen van Aexis er dus niet gerechtvaardigd op vertrouwen dat de applicatie in staat zou zijn op een snelle wijze (fast) realtime of on the fly berekeningen te maken. Daar komt bij dat niet met zekerheid vaststaat dat de applicatie niet in staat is het door Forbo gewenste resultaat, met een betere performance, te bereiken. Er is daarom geen sprake van dwaling.34 Het vonnis bevat ook overwegingen over tekortkomingen, uitleg van exoneraties en onverschuldigde betalingen die het lezen waard zijn.35

Geslaagd beroep dwaling bij extra kosten koppeling

In een zaak voor de rechtbank Amsterdam (ECLI:​NL:​RBAMS:​2024:4655)36 slaagt het beroep van een afnemer van RentVisie, aanbieder voor verhuursoftware, op dwaling wel. Afnemer stelt zich op het standpunt dat RentVisie haar had moeten inlichten dat een koppeling met haar boekhoudsoftware minder functionaliteit had dan zij wilde en dat deze koppeling alleen tegen een meerprijs mogelijk was. RentVisie betwist dat de afnemer bij een juiste voorstelling van zaken de overeenkomst niet had gesloten, omdat de meerkosten van de koppeling gering waren (€ 24,95 per maand) en voor haar niet kenbaar was dat deze voor afnemer van doorslaggevend belang waren. De rechtbank gaat daar niet in mee. De afnemer heeft stevig onderhandeld over de prijs van € 325 per maand. Daarmee is voldoende onderbouwd dat zij de overeenkomst niet had gesloten als de kosten hoger zouden uitvallen. RentVisie moest in het licht daarvan ook begrijpen dat de prijs voor de afnemer van essentiële betekenis was om de overeenkomst te sluiten. De rechtbank acht de kwalificatie dat het gaat om geringe kosten bovendien onjuist, omdat het een verhoging van de prijs met 8% betreft.37

De gevolgen van beëindiging van IT-contracten

Bij IT-overeenkomsten geldt vaak dat partijen niet zomaar uit elkaar kunnen. Hierdoor ontstaan geregeld discussies over wat partijen in het kader van een ‘exit’ van elkaar mogen verwachten.

Verplichting kortstondig voortzetten samen­werking na opzegging

Deze vraag komt aan de orde in een kort geding tussen Orange en Involtum voor de rechtbank Rotterdam (ECLI:​NL:​RBROT:​2024:2706).38 Orange levert intelligente kasten aan gemeenten, die evenementen van stroom voorzien. Deze kasten sturen verbruiks­gegevens naar een app van Involtum, die op grond van een samen­werkingsovereenkomst met Orange zorgdraagt voor facturatie. Als Involtum de overeenkomst opzegt, vordert Orange dat Involtum de dienst­verlening kortstondig voortzet zodat zij eigen vervangende software kan testen en afronden. De voorzieningenrechter wijst de vordering toe. Niet in geschil is dat Involtum de overeenkomst kon opzeggen tegen 1 april 2024. Bij de opzegging wekte Involtum echter de indruk dat zij een nieuwe overeenkomst met Orange wilde sluiten. Gelet op die uitlating lag het niet voor de hand dat Orange direct startte met het ontwikkelen van vervangende software. Pas op 19 januari 2024 wordt duidelijk dat er geen nieuwe overeenkomst komt. De voorzieningenrechter acht daarom aannemelijk dat de opzegtermijn van drie maanden pas op dat moment is ingegaan.39 De voorzieningen­rechter acht daarnaast aannemelijk dat Involtum de overeenkomst op grond van de aanvullende werking van de redelijkheid en billijkheid een extra maand moet nakomen. Daarbij weegt hij mee dat Orange in een vergevorderd stadium is met de ontwikkeling van vervangende software, Orange heeft toegezegd alle kosten van Involtum te zullen vergoeden en niet is gebleken welk gerechtvaardigd belang Involtum heeft om de overeenkomst niet nog kortstondig na te komen.40

Geen verstrekking volledige versie programmatuur, configuratie en documentatie

De medewerkingsverplichting van een leverancier is niet onbegrensd, zo onderstreept een vonnis van de voorzieningenrechter van de rechtbank Den Haag (IT&R 4575).41 Overheidsagentschap Logius sluit een scala aan overeenkomsten met Visma voor de ontwikkeling van software voor ‘Digipoort’. Wanneer Logius voor de ontwikkeling van een nieuw Digipoort Capgemini inschakelt, ontstaat een geschil over de informatie die Visma aan Logius moet verstrekken. Visma levert broncode aan Logius, maar Logius meent dat deze onvolledig is, ofwel strijdig met een tussen partijen gesloten Level Playing Field-overeenkomst. In kort geding vordert Logius dat Visma veroordeeld wordt i) een overzicht van alle software­onderdelen van de Digipoort en ii) een volledige versie van de programmatuur, configuratie en documentatie van de Digipoort aan hem te verstrekken. De voorzieningenrechter wijst de vorderingen af. De eerste vordering is zo breed geformuleerd dat daaronder alle software valt die Visma (ook indirect op de achtergrond) gebruikt. Logius heeft niet onderbouwd waarom hij aanspraak kan maken op een dergelijk overzicht. Voor een deel beschikt Logius bovendien al over de informatie. Visma heeft verder toegelicht dat de nieuwe Digipoort op een ander platform draait, waardoor niet duidelijk is waarom de informatie voor Logius relevant is. Zij stelt ook wekelijks overleg te voeren met Logius en Capgemini, waarbij Logius vragen aan de orde kan stellen. Logius heeft daarom zijn (spoedeisend) belang bij het overzicht onvoldoende concreet gemaakt.42 Ten aanzien van de tweede vordering voert Visma aan dat zij aan haar verplichtingen onder de LPF-overeenkomst heeft voldaan, door een actueel exemplaar van de programmatuur en documentatie met Logius te delen. Ook beschikt Logius al over andere ontwikkelde software­onderdelen en heeft Visma uitdrukkelijk toegezegd de machinecode van de programmatuur alsnog aan Logius te leveren en delta’s aan Logius ter beschikking te stellen voor zover de broncode van de portalen nog wijzigt. Logius heeft hiertegenover onvoldoende concreet gemaakt welk belang hij heeft bij toewijzing van de vordering. Aan de stelling van Logius dat de tot nu toe opgeleverde broncode fouten bevat gaat de voorzieningen­rechter voorbij, omdat Logius dit onvoldoende onderbouwt. Een belangen­afweging leidt niet tot een ander oordeel. Logius heeft onvoldoende aannemelijk gemaakt dat de realisatie van de nieuwe Digipoort onredelijke vertraging oploopt, terwijl Visma een groot belang heeft bij het beschermen van de door haar gebruikte broncode, configuratie en documentatie, mede gelet op de huidige samen­werking tussen Logius en haar concurrent Capgemini.43

Varia IT-contracten

Contractvrijheid voorop, ook bij verlenging licentieovereenkomst

In een kort geding voor de rechtbank Amsterdam (ECLI:​NL:​RBAMS:​2023:7937) twisten KPN en Broadcom over de kosten voor verlenging van belangrijke licenties.44 Tussen partijen geldt een raam­overeenkomst, waaronder KPN middels order forms IT-producten afneemt bij Broadcom. De meest recente order loopt af en betreft softwarelicenties voor vijftien producten. Wanneer de overstap van KPN naar een nieuwe leverancier langer duurt dan verwacht, verzoekt KPN Broadcom een voorstel te doen voor verlenging van licenties voor twee producten. In kort geding stelt KPN dat Broadcom onrechtmatig jegens haar handelt en misbruik maakt van haar economische machtspositie (artikel 24 lid 1 Mededingingswet) door excessieve prijs­verhogingen van 729 of zelfs 1475% voor te stellen. De voorzieningenrechter overweegt dat de contract­vrijheid vooropstaat. Die kan beperkt worden door de redelijkheid en billijkheid. Ook kan het onder omstandig­heden onrechtmatig zijn geen nieuw contract (van een bepaalde inhoud) aan te bieden. De lat voor het aanvaarden van een dergelijke uitzondering ligt hoog.45 Die haalt KPN niet. De voorzieningenrechter ziet geen aanknopings­punten dat Broadcom het onderhandelings­proces moedwillig heeft vertraagd en acht het laatste voorstel van Broadcom niet op voorhand evident onredelijk of in strijd met de redelijkheid en billijkheid. KPN maakt daarnaast onvoldoende aannemelijk dat Broadcom een economische machtspositie heeft.46

Beroep op exoneraties in Nederland ICT Voorwaarden onaanvaardbaar

Een kort geding voor de rechtbank Noord-Holland (ECLI:​NL:​RBNHO:​2024:12523) gaat over de vraag of een IT-leverancier een beroep kan doen op exoneraties in de Nederland ICT Voorwaarden.47 Na een servercrash stelt Blok haar IT-leverancier Hallo aansprakelijk voor schade die zij heeft geleden omdat een back-up van data in haar ERP-software ontbreekt. In kort geding vordert Blok een voorschot op de schade­vergoeding. Hallo doet (subsidiair) een beroep op de exoneraties in de Nederland ICT Voorwaarden. Die bepalen dat de aansprakelijkheid van Hallo beperkt is tot het totaal van vergoedingen voor haar diensten in één jaar, zij slechts aansprakelijk is voor directe schade en dat aansprakelijk­heid voor bepaalde typen schade is uitgesloten. De voorzieningenrechter oordeelt dat het beroep van Hallo op het maximum­bedrag en de uitsluiting van aansprakelij­kheid voor indirecte schade, gevolgschade en schade door bedrijfsstagnatie naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is. Daarbij is onder meer van belang dat het maken van back-ups een kern­verplichting is van Hallo, dat het voor de bedrijfsvoering van Blok essentieel is dat na een crash een back-up aanwezig is van haar ERP-data en dat Hallo van dit belang op de hoogte was. Juist om het risico dat dergelijke data verloren zouden gaan te voorkomen, schakelde Blok Hallo in en betaalde zij haar fors. Bovendien had Hallo volgens de voorzieningenrechter de suggestie gewekt dat alles goed geregeld was, waardoor er voor Blok geen reden was nadere maat­regelen te treffen.48

Termijnen nog fataal na herhaald uitstel?

In een procedure tussen DJI en Unisys bij de rechtbank Den Haag (ECLI:​NL:​RBDHA:​2024:762) speelt de vraag of na herhaald uitstel nog sprake is van een fatale termijn.49 DJI sluit een overeenkomst met Unisys voor levering en implementatie van de kritieke softwareapplicatie BVJ. Het project loopt vertraging op en partijen maken bij herhaling nieuwe afspraken over de termijn voor acceptatie. Als de planning opnieuw niet wordt gehaald, problemen ontstaan bij ingebruikname van een release en DJI een negatief auditrapport ontvangt, ontbindt DJI de overeenkomst. De rechtbank constateert dat partijen in de overeenkomst een fatale termijn zijn overeengekomen voor acceptatie. Partijen hebben dit fatale karakter nadien niet losgelaten. Daaraan doet niet af dat DJI geen consequenties verbond aan het verstrijken van oplevertermijnen. Partijen kwamen steeds nieuwe fatale data overeen. Daarmee hielden ze vast aan fatale termijnen. Unisys wist dat en heeft daartegen geen bezwaar gemaakt. Ook het feit dat DJI niet onmiddellijk na het verstrijken van de laatste fatale termijn ontbond en toen nog gesprekken plaatsvonden over een afronding, leidt niet tot de conclusie dat DJI de fatale termijnen heeft prijsgegeven. Door niet meteen de stekker uit het project te trekken, maar eerst de kwaliteit en robuustheid van de applicatie te (laten) onderzoeken, heeft DJI juist gehandeld als goed opdracht­gever. In een brief waarin DJI schreef concrete afspraken te willen maken voor een succesvolle afronding, hield zij bovendien een slag om de arm. Het auditrapport bevestigde vervolgens de zorgen van DJI. In die omstandig­heden mocht Unisys niet begrijpen dat DJI zich niet langer op de fatale termijnen zou beroepen.50 DJI heeft de overeenkomst terecht ontbonden.51

Afwijzing nakomingsvordering wegens ingrijpende gevolgen voor derde

Een kort geding bij de rechtbank Midden-Nederland (ECLI:​NL:​RBMNE:​2024:1923) illustreert dat een ingrijpend gevolg voor een derde aan toewijzing van een nakomings­vordering in de weg kan staan.52 Nice en Nexus sluiten een overeenkomst waarin een inspannings­verplichting is opgenomen om samen te werken door klanten een totaal­pakket aan te bieden waarin de software van partijen gecombineerd wordt. Vaststaat dat de overeenkomst nog geldt. Nexus weigert echter die na te komen, omdat haar moederbedrijf wil dat zij in plaats van de software van Nice die van een zusterbedrijf implementeert. Nice vordert nakoming. Ten aanzien van twee projecten wijst de voorzieningen­rechter de vordering toe. De software van het zuster­bedrijf is daar nog niet geïmplementeerd. Het is daarom niet bij voorbaat zinloos Nexus aan haar inspannings­verplichting te houden. Ten aanzien van een ander project wijst hij de vordering af. De voorzieningenrechter acht het waarschijnlijk dat een bodemrechter zal oordelen dat partijen over dit project overeenstemming hebben bereikt of dat de onder­handelingen in een dermate vergevorderd stadium verkeerden dat Nexus die niet meer mocht afbreken. Toewijzing van de vordering zou echter ingrijpende gevolgen hebben voor de klant van Nexus. Nexus heeft aan haar inmiddels een ander softwarepakket geleverd en de implementatie daarvan is afgerond. Toewijzing van de gevraagde voorziening zou betekenen dat de software verwijderd moet worden en vervangen door die van Nice, over het hoofd van een klant die geen partij is in het kort geding. Dat gaat de voorzieningen­rechter te ver.53

Geslaagd beroep op onzekerheidsexceptie na herhaald uitblijven betaling

Tot slot een zaak waarin een geslaagd beroep wordt gedaan op de onzekerheidsexceptie. Webparking ontwikkelt voor een afnemer een nieuwe versie van een factuurportal, die deze op haar beurt levert aan derden. Partijen komen gefaseerde betaling overeen, waarbij de laatste 25% verschuldigd is na oplevering van alle deliverables. Wanneer de afnemer haar betalings­verplichtingen niet nakomt, stemt Webparking in met betalings­uitstel. Als betaling opnieuw uitblijft, schort ze haar werkzaamheden op en meldt dat ze een nieuwe planning kan maken na betaling. Als de afnemer de betaling voldoet, verzoekt Web­parking om vooruitbetaling van de laatste termijn. Partijen treden hierop in onderhande­ling over de betalingsvoorwaarden. Zes weken later gaat de afnemer failliet. De afnemer en haar aandeelhouder stellen Webparking vervolgens aansprakelijk voor hun schade als gevolg van het faillissement, dat veroorzaakt zou zijn door een tekortkoming en onrechtmatig handelen van Webparking. De rechtbank Rotterdam wijst de vorderingen af.54 Het gerechtshof Den Haag (ECLI:​NL:​GHDHA:​2024:246) komt tot hetzelfde oordeel.55 Het hof oordeelt dat Webparking niet in verzuim verkeert. De afnemer heeft Webparking niet in gebreke gesteld. Er is ook geen sprake van een mededeling waaruit de afnemer moest afleiden dat Webparking tekort zou schieten. Het laatste contact betrof een e‑mail waarin Webparking een voorstel van de afnemer voor het verlenen van een pandrecht op een niet-verstrekte subsidie afwees en om een ‘passend voorstel’ vroeg. Die e‑mail kwalificeert niet als mededeling als bedoeld in artikel 6:83 sub c BW. Er was immers nog een opening voor voortzetting van het gesprek over betaling, terwijl niet duidelijk was wat afnemer van Webparking verlangde. Dat laatste weegt voor het hof zwaar, omdat de vertraging veroorzaakt werd door de herhaalde wanbetaling door afnemer.56 Ook als de uitlating van Webparking moet worden opgevat als een strikte voorwaarde van voorafgaande betaling voor verdere uitvoering van de werkzaamheden verkeert Webparking niet in verzuim, omdat zij zich terecht beroept op de onzekerheids­exceptie van artikel 6:263 BW. Gelet op het stelselmatig niet-nakomen van de betalings­verplichting door de afnemer had Webparking goede grond te vrezen dat de laatste termijn niet zou worden voldaan en stond zij in haar recht door betaling vooraf te eisen.

Algemene voorwaarden verstrekt conform artikel 6:230c BW?

In een arrest van het gerechtshof Den Bosch (ECLI:​NL:​GHSHE:​2024:1514) staat centraal of Horeca Grootverbruik voor het aangaan van een zakelijke relatie met geïntimeerde haar algemene voorwaarden op de in artikel 6:230c BW genoemde wijze heeft verstrekt.57 Nadat Horeca Grootverbruik haar memorie van grieven neemt, wijst de Hoge Raad een arrest over de vraag of een vermelding op facturen dat algemene voorwaarden kunnen worden ingezien op een website voldoet aan die bepaling.58 De Hoge Raad overweegt dat dit afhankelijk is van de omstandig­heden van het geval en dat als aangenomen moet worden dat de voorwaarden zonder noemenswaardige inspanning gevonden kunnen worden op of via die de website deze gemakkelijk elektronisch toegankelijk zijn. In een tussenarrest uit 202359 stelt het hof Horeca Grootverbruik in de gelegenheid in te gaan op de gevolgen van dit arrest voor deze zaak. Horeca Grootverbruik licht hierop toe dat de voorwaarden op haar website te vinden zijn via de zoekfunctie en een directe link onderaan de openingspagina en de overige pagina’s. Het hof oordeelt dat daarmee niet voldaan is aan de voormelde maatstaf. De facturen van Horeca Groothandel vermelden niet dat de voorwaarden te vinden zijn op de website. Horeca Groothandel verwijst ook niet elders naar haar site als vindplaats voor de voorwaarden. Een link naar de voorwaarden is bovendien slechts bereikbaar door veel ‘scrollen’. Horeca Groothandel heeft geïntimeerde daarom niet op de in artikel 6:230c BW genoemde wijze in kennis gesteld van haar voorwaarden.60

De gevolgen van cyber­incidenten

Aansprakelijkheid IT-leverancier cyberaanval Enviem

In een ouder tussen­vonnis dat in 2024 werd gepubliceerd (ECLI:​NL:​RBNNE:​2022:5577) houdt Enviem IT-leverancier I⁠-⁠Beheer aansprakelijk voor schade die zij leed als gevolg van een ransomwareaanval.61 Volgens Enviem schoot I⁠-⁠Beheer tekort in de nakoming van haar verplichtingen onder een netwerk­beheer­overeenkomst. Enviem stelt dat de aanval kon plaatsvinden door zes risicofactoren. I⁠-⁠Beheer erkent een aantal daarvan, waaronder het ontbreken van netwerk­segmentatie. I⁠-⁠Beheer erkent ook dat zij voor het back-upsysteem hetzelfde wachtwoord gebruikte als voor het administrator account van de servers. I⁠-⁠Beheer betwist echter dat de genoemde risico­factoren de oorzaak zijn van de ransomware­aanval. Volgens de rechtbank kan in het midden blijven hoe de hackers zijn binnengedrongen. Van belang is dat schade is ontstaan doordat bij de aanval niet alleen de werkbestanden, maar ook back-upbestanden door de hackers zijn versleuteld. Netwerk­segmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-up­voorziening hadden dat kunnen voorkomen. Anders dan I⁠-⁠Beheer stelt, is niet gebleken dat zij Enviem daarop voldoende duidelijk heeft gewezen. Bovendien heeft I⁠-⁠Beheer door voor de back-up gelijkluidende wachtwoorden te gebruiken als voor het administrator account van de servers, zelf bijgedragen aan de kwetsbaarheid van de ICT-omgeving. I⁠-⁠Beheer schoot tekort in haar verplichtingen onder de netwerkbeheerovereenkomst door Enviem niet in duidelijke bewoordingen te wijzen op het ontbreken van netwerk­segmentatie, de kwetsbaarheid van de back-upvoorziening en het gebrekkige wacht­woord­beleid, en de daarmee gepaard gaande beveiligings­risico’s.62 De rechtbank gaat ook uitvoerig in op de vraag of I⁠-⁠Beheer een beroep kan doen op exoneraties in haar algemene voorwaarden.63 Ook de overwegingen daarover zijn het lezen waard, zeker afgezet tegen het hiervoor besproken kort geding tussen Blok en Hallo.

Onvoldoende beveiligings­maat­regelen door het ontbreken van MFA en datasegregatie?

In de IT Kroniek 2023 besteedden we aandacht aan een kort geding tussen Blauw en Nebu, waarin Blauw informatie vorderde nadat bij Nebu een cyberaanval plaatsvond waardoor haar data mogelijk werden geraakt.64 Na het kort geding start Blauw een bodem­procedure voor de rechtbank Rotterdam (ECLI:NL:RBROT:2025:1497), waarin zij Nebu aansprakelijk stelt voor de door haar als gevolg van de cyberaanval geleden schade. Uit de tussen partijen gesloten DPA volgt dat Nebu een verplichting heeft passende technische en organisatorische maat­regelen te nemen om de veiligheid van haar diensten te garanderen en deze maat­regelen regelmatig te evalueren, te updaten, aan te vullen en te verbeteren. Aan de orde is of Nebu aan die verplichting heeft voldaan. Blauw stelt dat dit niet het geval is, omdat Nebu geen verplichte Multi-Factor Authenticatie (MFA) toepaste en sprake was van onvoldoende datascheiding. Nebu betwist dat van haar mocht worden verwacht dat zij MFA voor al haar klanten had ingevoerd. Volgens Nebu was daarnaast sprake van een multi tenant environment-contract met Blauw, waarbij verschillende klanten gebruikmaakten van dezelfde omgeving voor de gegevensopslag. Dat was volgens Nebu gebruikelijk en volgens haar is van daadwerkelijk volkomen gescheiden data alleen sprake als een klant ervoor kiest de gegevens niet in de cloud op te slaan. De rechtbank constateert dat partijen uiteenlopende visies hebben op de gangbaarheid van MFA en de gebruikelijke wijze van datascheiding. Ook hun standpunten over het effect dat die maat­regelen hadden gehad, lopen uiteen. Om hier duidelijkheid over de verkrijgen, is de rechtbank voornemens een deskundige te benoemen.65

Aanbesteding van IT-contracten

Disproportionele eisen aan softwareresellers

In twee kort gedingen bij de voorzieningenrechter te Den Haag (ECLI:​NL:​RBDHA:​2025:241) maakt SoftwareONE bezwaar tegen eisen die de Staat stelt in een aanbesteding. Die is erop gericht dat de Staat met resellers een overeenkomst sluit waaronder zij standaardsoftware van derden leveren. De Staat verklaart de ARBIT-2022 van toepassing. Daaruit volgt dat de reseller bij schending van de AVG onbeperkt aansprakelijk is. De Staat eist daarnaast dat bij verwerking van persoons­gegevens de reseller een (model)verwerkersovereenkomst met de Staat sluit en ook met de leverancier van de software. SoftwareONE betoogt dat deze eisen disproportioneel zijn. De voorzieningenrechter stelt voorop dat de aanbestedende dienst de vrijheid toekomt de uitvraag in een aanbesteding en de modaliteiten daarvan te bepalen. De grenzen van die vrijheid worden bepaald door de Aanbestedingswet 2012 (Aw), de Gids Proportionaliteit en de fundamentele beginselen van het aanbestedingsrecht. In dit geval is de Staat zonder deugdelijke motivering afgeweken van de Gids Proportionaliteit. De voorzieningenrechter acht de gestelde voorwaarden daarom disproportioneel en in strijd met artikel 1.10 lid 1 Aw.66

Technische uitzondering bij exclusiviteit toe te schrijven aan aanbestedende dienst

Het aanbestedingsrecht biedt de mogelijkheid een opdracht een-op-een te gunnen indien technische beperkingen of beperkingen vanuit intellectueel eigendom maken dat een redelijk alternatief of substituut ontbreekt (de ‘technische uitzonderingsgrond’). In een procedure voor het Hof van Justitie van de Europese Unie (HvJ EU) (ECLI:​EU:​C:​2025:4) deed het Tsjechische Ministerie van Financiën een beroep op deze uitzondering bij het gunnen van een onderhouds­overeen­komst aan IBM.67 Het ministerie voerde aan dat alleen IBM het onderhoud mocht uitvoeren vanwege haar exclusieve auteursrechten op de broncode van het IT-systeem. Volgens de Tsjechische mededingingsautoriteit gaat die argumentatie niet op omdat deze exclusiviteitssituatie aan het ministerie zelf te wijten is. Het HvJ EU oordeelt in dezelfde lijn. Indien een aanbestedende dienst gebruikmaakt van de technische uitzonderings­grond, kan deze de bescherming van alleenrechten niet aanvoeren als de reden van die bescherming aan hem is toe te schrijven. Daarbij moet niet alleen gekeken worden naar de omstandig­heden ten tijde van het sluiten van de oorspronkelijke overeenkomst, maar ook naar alle omstandig­heden in de periode tussen sluiting van die overeenkomst en de datum waarop de aanbestedende dienst kiest voor een procedure om vervolgopdrachten te plaatsen.68

Geen rechtsverwerking bij uitstel oplever­datum

Een arrest van het gerechtshof Den Haag (ECLI:​NL:​GHDHA:​2024:945) gaat over een aanbesteding van de RDW voor een telefonieplatform.69 Daarbij geldt als knock-out-eis dat het platform per 31 mei 2021 operationeel is. RDW gunt de opdracht aan Frontline. Cloudoe maakt tegen deze beslissing niet tijdig een kort geding aanhangig. Wel uit zij bedenkingen over de gunning. Als (later) blijkt dat RDW de oplever­datum van 31 mei 2021 loslaat, start Cloudoe een (bodem)procedure. De rechtbank oordeelt dat Cloudoe haar rechten heeft verwerkt.70 Het hof oordeelt anders. RDW heeft Cloudoe niet geïnformeerd over het loslaten van de oplever­datum en Cloudoe was daarvan (daardoor) niet voor het einde van de klachttermijn op de hoogte. De redelijkheid en billijkheid staan er daarom aan in de weg dat RDW zich beroept op rechtsverwerking.71 RDW heeft echter niet onrechtmatig gehandeld.72 De inschrijving van Frontline is niet ongeldig en er is geen sprake van een ontoelaatbare wijziging van de spelregels of wezenlijke wijziging door het wijzigen van de oplever­datum. Ook het hof wijst de vorderingen van Cloudoe daarom af.

Niet-nakoming fatale oplever­datum geen wezenlijke wijziging

Of sprake is van een wezenlijke wijziging komt ook aan de orde in een kort geding voor de rechtbank Midden-Nederland (ECLI:​NL:​RBMNE:​2024:457).73 In een aanbesteding voor IT-dienst­verlening eindigt de zittende leverancier als tweede. Met haar sluit de aanbestedende dienst een wachtkamerovereenkomst. Als het de leverancier aan wie de opdracht is gegund niet lukt de transitiefase voor het einde van een fatale termijn af te ronden, gaat de aanbestedende dienst desondanks met haar door. De zittende leverancier meent dat sprake is van een wezenlijke wijziging en dat de opdracht aan haar moet worden gegund. De voorzieningenrechter oordeelt dat daarvan geen sprake is.74 Het enkele tekortschieten in het halen van een contractuele termijn, ook een fatale termijn, betekent niet dat de aard en omvang van de opdracht materieel worden gewijzigd. De hoofd­verplichtingen blijven immers dezelfde. Er is slechts sprake van een tekortkoming van de leverancier in de nakoming van haar verplichtingen onder de overeenkomst en de aanbestedende dienst heeft binnen de grenzen van het aanbestedings­rechtelijke gelijk­heids­beginsel de autonomie te bepalen hoe zij daarmee omgaat. Zij heeft geen verplichting gebruik te maken van de (contractuele) remedies die haar ter beschikking staan en is vrij enige coulance te betrachten en andere remedies te gebruiken in plaats van onmiddellijke beëindiging. Dat kan zelfs van haar verwacht worden als goed handelend overheidsorgaan. Van een wezenlijke wijziging is dus geen sprake, maar niet uitgesloten is dat bij het geven van voortdurende coulance, en/​of in het geval de aanbestedende dienst compromissen gaat sluiten, het gelijk­heids­beginsel alsnog in het gedrang komt.

De aansprakelijkheid van crypto­platforms

In de vorige Kroniek stonden wij uitgebreid stil bij de trend om crypto­platforms verantwoordelijk te houden voor cryptofraude via dat platform.75 Ook dit jaar speelden weer een aantal zaken over de verant­woordelijk­heid van crypto­platforms.

Kwalificatie overeenkomst met cryptoplatform (1)

Waar de rechtbank Amsterdam vorig jaar nog oordeelde dat een cryptoplatform aan­sprakelijk was voor (een deel van het) verlies als gevolg van fraude,76 oordeelt diezelfde rechtbank dit jaar in een soortgelijke zaak anders (ECLI:​NL:​RBAMS:​2024:6485).77 Interessant zijn de overwegingen van de rechtbank over de kwalificatie van de overeen­komst. De rechtbank oordeelt dat geen sprake is van een licentie­overeenkomst met daaropvolgende koop- en verkoop­overeen­komsten, maar van een opdracht­overeen­komst.78 Het cryptoplatform kan niet kiezen of zij de crypto’s koopt of verkoopt. Na het tonen van de prijs is het aan de gebruiker de transactie te accepteren, waarna het platform deze uitvoert. Het is dus de gebruiker die bepaalde verrichtingen opdraagt, wat kenmerkend is voor een overeenkomst van opdracht.79 Dat het platform zelf optreedt als koper en verkoper en er elementen van koop een rol spelen, doet aan die kwalificatie niet af. Nu sprake is van een opdrachtovereenkomst rust op het crypto­platform de zorgplicht van artikel 7:401 BW.80 De bepalingen met betrekking tot betaaldienst­verlening uit titel 7b van Boek 7 BW spelen geen rol bij het bepalen van de inhoud daarvan.81 Het cryptoplatform valt immers niet onder het toepassings­bereik van Richtlijn (EU) 2015/​2366. Om het handelen van het cryptoplatform via de band van de zorgplicht indirect alsnog langs de lat van die regeling te leggen, gaat in tegen de rechtszekerheid.82 Daarbij begeven gebruikers van het crypto­platform zich vrijwillig in de (nog) niet gereguleerde handel van cryptovaluta, terwijl gebruikers van betaal­systemen die gebruiken om op een normale wijze aan het maatschappelijk verkeer te kunnen deelnemen.83 Wat houdt de zorgplicht dan wel in? In ieder geval moet de beveiliging van het account adequaat zijn en moet het platform ingrijpen als zij (subjectieve) wetenschap heeft van verdachte transacties wanneer het platform de crypto’s ook in bewaring houdt.84 In deze casus schond het crypto­platform haar zorgplicht niet omdat zij tweestaps­verificatie (2FA) via e‑mail of Google Authenticator verplichtte. Het cryptoplatform had eiser voldoende geïnformeerd dat 2FA via Google Authenticator de veiligste optie was.85 De zorgplicht gaat in ieder geval niet zover dat het platform verplicht was om bij wijziging van het wachtwoord het account te blokkeren. Een dergelijke vergaande beperking van het handels­verkeer is richting de gebruikers niet te rechtvaardigen.86 Het platform had geen subjectieve wetenschap van onrechtmatig gebruik van het account van de eiser en was niet gehouden te verifiëren waar de crypto’s naartoe gingen. Het crypto­platform voldeed dus aan wat destijds van haar als redelijk handelend en bekwaam opdrachtnemer mocht worden verwacht.87

Kwalificatie overeenkomst met cryptoplatform (2)

Twee maanden later komt dezelfde rechtbank tot een andere kwalificatie van de over­eenkomst tussen een gebruiker en een cryptoplatform (ECLI:​NL:​RBAMS:​2024:7830).88 De rechtbank oordeelt dat het ter beschikking stellen van software waarmee transacties zelfstandig kunnen worden verricht, zonder bewaardiensten, een vorm van licentie­verlening of ingebruikgeving van software is.89 De bewaardiensten kwalificeren als een onbenoemde rechtsverhouding.90 De dienst­verlening valt buiten de afdeling bewaar­neming van artikel 7:600 BW. Interessant is dat de rechtbank de vereiste mate van beveiliging bepaalt op basis van de aanvullende werking van de redelijkheid en billijkheid (artikel 6:248 lid 1 BW) omdat afspraken over de beveiliging ontbreken. Hoewel de weg ernaar toe verschilt, is de uitkomst overeenkomstig de eerdergenoemde uitspraak van de rechtbank Amsterdam. De vorderingen worden afgewezen.

Andere wegen naar Rome

Nu het niet eenvoudig blijkt crypto­platforms aansprakelijk te houden, zoeken slachtoffers naar andere mogelijkheden om hun geld terug te krijgen. Zo proberen slachtoffers schade te verhalen op de grootbanken. De rechtbank Amsterdam (ECLI:​NL:​RBAMS:​2024:6356)91 wijst een dergelijke vordering in lijn met eerdere uitspraken92 af. De rechtbank Den Haag (ECLI:​NL:​RBDHA:​2024:18170)93 wijst een vordering van slachtoffers op een cryptoplatform om naam- en adresgegevens van de persoon of entiteit achter een account waarmee werd gefraudeerd te verstrekken echter toe. In een ander kort geding (ECLI:​NL:​RBLIM:​2024:297)94 vorderde een slachtoffer van (boiler­room)fraude een ex parte ordemaatregel om een gebruikers­account op een crypto­platform te bevriezen. Ook die vordering wijst de voorzieningenrechter toe. Daarmee wordt de deur op een kier gezet om in ieder geval de fraudeur zelf civiel­rechtelijk aan te spreken.

De kwalificatie van crypto’s

Tot slot twee interessante uitspraken over de kwalificatie van crypto’s. Terwijl de rechtbank Rotterdam eerder oordeelde95 dat geleende bitcoins tegen de waarde in euro per datum van het vonnis terugbetaald moeten worden, oordeelt het gerechtshof Den Haag (ECLI:​NL:​GHDHA:​2024:1406)96 dat bitcoin niet kwalificeert als geld in de zin van afdeling 11 van titel 1 Boek 6 BW. Artikel 6:123 BW mist daarom toepassing en betaling van de tegenwaarde in euro’s van geleende bitcoins is daarom niet aan de orde.97 Het hof oordeelt dat de schuldenaar twee bitcoins moet terugbetalen. De waarde van de bitcoin was sinds de eerste aanleg bijna verdubbeld, waarmee het voor appellant een kostbaar hoger beroep is gebleken. We hopen voor appellant dat hij de bitcoins heeft terugbetaald vóórdat Trump de 47e president van de Verenigde Staten werd. Vlak daarna schoot de koers immers door de magische grens van € 100.000 per bitcoin.

Internationaal privaatrecht

Plaats van uitvoering van een ontwikkelovereenkomst

We sluiten af met een arrest van het HvJ EU (ECLI:​EU:​C:​2024:985) op het gebied van het internationaal privaatrecht.98 Het in Oostenrijk gevestigde VariusSystems ontwikkelt voor een in Duitsland gevestigde afnemer online software voor de analyse van COVID-19-testen. De ontwikkeling vindt in Oostenrijk plaats, maar met het oog op gebruik van de software in Duitsland. Nadat de leverancier voor de Oostenrijkse rechter een incasso­vordering instelt, komt de vraag aan bod wat de ‘plaats van uitvoering’ van de overeen­komst in de zin van artikel 7 lid 1 sub b van de herschikte EEX-Verordening99 is. Op grond van die bepaling is het gerecht in die plaats medebevoegd. De Oostenrijkse rechter stelt prejudiciële vragen aan het HvJ EU. Die oordeelt dat de plaats van uitvoering van een overeenkomst voor de ontwikkeling en de daaropvolgende exploitatie van software die is ontworpen voor een afnemer die in een andere lidstaat dan de ontwikkelaar is gevestigd, de plaats is waar die afnemer toegang tot die software heeft, dat wil zeggen de plaats waar deze software wordt opgevraagd en gebruikt. Doorslaggevend is daarbij dat de kenmerkende verbintenis van een overeenkomst tot onlineverstrekking van software bestaat uit het ter beschikking stellen van de software aan de afnemer.100

De auteurs zijn allen advocaat in het technologieteam van Kennedy Van der Laan te Amsterdam.

Noten

  1. Rb. Zeeland-West-Brabant 18 september 2024, ECLI:​NL:​RBZWB:​2024:6434 (Mobiléa/​SdW).

  2. R.o. 2, 5.1-5.5 en 5.8 (Mobiléa/​SdW).

  3. Hof Amsterdam 19 november 2024, ECLI:​NL:​GHAMS:​2024:3207 (PayingIT/​Workrate).

  4. R.o. 5.4-5.7 (PayingIT/​Workrate).

  5. R.o. 5.10-5.17 (PayingIT/​Workrate).

  6. Rb. Midden-Nederland (vzr.) 22 oktober 2024, ECLI:​NL:​RBMNE:​2024:5958 (Broadcom/​Philips).

  7. R.o. 3.5-3.6 (Broadcom/​Philips).

  8. R.o. 3.7-3.8 (Broadcom/​Philips).

  9. R.o. 3.9-3.10 (Broadcom/​Philips).

  10. Rb. Den Haag 25 september 2024, ECLI:​NL:​RBDHA:​2024:15261 (Aquila/​MN).

  11. R.o. 4.1, 4.6, 4.10 en 4.14 (Aquila/​MN).

  12. Rb. Amsterdam 18 december 2019, ECLI:​NL:​RBAMS:​2019:9635, Computerrecht 2020/​85 (Smart Connections/​Allsafe).

  13. Hof Amsterdam 26 september 2023, ECLI:​NL:​GHAMS:​2023:2532 (Smart Connections/​Allsafe).

  14. Hoge Raad 6 december 2024, ECLI:​NL:​HR:​2024:1798 (Allsafe/​Smart Connections).

  15. Conclusie P-G Valk 18 oktober 2024, ECLINL:PHR:2024:1072 (Allsafe/​Smart Connections).

  16. Al. 3.12 e.v. (Allsafe/​Smart Connections).

  17. Al. 3.42 e.v. (Allsafe / Smart Connections).

  18. Hof ’s‑Hertogenbosch, 23 januari 2024, ECLI:​NL:​GHSHE:​2024:137(Interconnect/​Acknowledge).

  19. R.o. 6.1 (f) (Interconnect/​Acknowledge): 2.229 GB RAM aan direct te gebruiken werkgeheugen, 1.494 GB RAM als opvraagbaar reserve en het totaal van deze twee: 3.723 GB RAM voor de uitwijkfaciliteit.

  20. R.o. 6.4 (Interconnect/​Acknowledge).

  21. R.o. 6.8.3, 6.8.12 en 6.13.1 (Interconnect/​Acknowledge).

  22. Hof ’s‑Hertogenbosch 20 augustus 2024, ECLI:​NL:​GHSHE:​2024:2626(Interconnect/​Acknowledge II).

  23. R.o. 9.10.1 (Interconnect/​Acknowledge II).

  24. R.o. 9.10.2 en 9.4.4 (Interconnect/​Acknowledge II).

  25. Rb. Gelderland 10 januari 2024, ECLI:​NL:​RBGEL:​2024:103 (Stichting Zinzia Zorggroep/​Efficy Nederland).

  26. R.o. 4.2, 4.3 en 5.11 (Stichting Zinzia Zorggroep/​Efficy Nederland).

  27. De rechtbank gaat verder in op de vraag of Zinzia Efficy een voldoende lange termijn heeft gegund om haar tekortkoming te herstellen (r.o. 5.17), of Zinzia in schuldeisersveruim verkeerde (r.o. 5.19) en de gevolgen van ontbinding (r.o. 5.21 en 5.22). Ook deze passages zijn interessant.

  28. Rb. Zeeland-West-Brabant 3 juli 2024, ECLI:​NL:​RBZWB:​2024:4691(Leverancier/​Afnemer I).

  29. R.o. 4.9-4.10 en 4.13-4.15 (Leverancier/​Afnemer I).

  30. Hof Amsterdam 23 april 2024, ECLI:​NL:​GHAMS:​2024:1070(On Air/​Triple IT), Computerrecht 2024/​217 m.nt. Dijkmans van Gunst & Koolhaas.

  31. R.o. 4.5.5 (On Air/​Triple IT).

  32. Rb. Amsterdam 3 juli 2024, ECLI:​NL:​RBAMS:​2024:4041(Forbo Flooring/​Aexis). Forbo werd in deze procedure bijgestaan door twee van de auteurs van deze Kroniek, V. van Druenen & W. Weijland.

  33. R.o. 5.8-5.9 (Forbo Flooring/​Aexis).

  34. R.o. 5.15 (Forbo Flooring/​Aexis).

  35. R.o. 5.18-5.41 (Forbo Flooring/​Aexis).

  36. Rb. Amsterdam 21 februari 2024, ECLI:​NL:​RBAMS:​2024:4655 (RentVisie/​Klant).

  37. R.o. 4.6 (RentVisie/​Klant).

  38. Rb. Rotterdam 29 maart 2024, ECLI:​NL:​RBROT:​2024:2706.

  39. R.o. 2.7 (Orange Mobility/​Involtum Services).

  40. R.o. 2.6 en 2.8-2.10 (Orange Mobility/​Involtum Services).

  41. Rb. Den Haag (vzr.) 6 juni 2024, IT&R 4575 (Staat der Nederlanden/​Visma Connect).

  42. R.o. 4.4-4.5 (Staat der Nederlanden/​Visma Connect).

  43. R.o. 4.5-4.21 (Staat der Nederlanden/​Visma Connect).

  44. Rb. Amsterdam (vzr.) 7 december 2023, ECLI:​NL:​RBAMS:​2023:7937 (KPN/​Broadcom).

  45. R.o. 4.5-4.8 (KPN/​Broadcom).

  46. R.o. 4.12-4.13 (KPN/​Broadcom).

  47. Rb. Noord-Holland (vzr.) 4 december 2024, ECLI:​NL:​RBNHO:​2024:12523 (Hallo/​Blok).

  48. R.o. 4.12-4.16 (Hallo/​Blok).

  49. Rechtbank den Haag 31 januari 2024, ECLI:​NL:​RBDHA:​2024:762(Unisys / DJI).

  50. R.o. 4.4-4.6 (Unisys/​DJI).

  51. De rechtbank gaat ook uitgebreid in op de gevolgen van de ontbinding. Ook deze overwegingen zijn interessant.

  52. Rb. Midden-Nederland (vzr.) 26 februari 2024, ECLI:​NL:​RBMNE:​2024:1923 (Nice/​Nexus).

  53. R.o. 3.8-3.13 (Nice/​Nexus).

  54. Rb. Rotterdam 16 november 2022, ECLI:​NL:​RBROT:​2022:9970. Webparking werd in deze zaak bijgestaan door een van de auteurs, V. van Druenen.

  55. Hof Den Haag 27 februari 2024, ECLI:​NL:​GHDHA:​2024:246 (Appellanten/​Webparking). Ook in hoger beroep werd Webparking bijgestaan door een van de auteurs, V. van Druenen.

  56. R.o. 6.1-6.2 (Appellanten/​Webparking).

  57. Hof ’s‑Hertogenbosch 30 april 2024, ECLI:​NL:​GHSHE:​2024:1514 (Horeca Grootverbruik II).

  58. Hoge Raad 2 juni 2023, ECLI:​NL:​HR:​2023:835.

  59. Hof ’s‑Hertogenbosch 27 juni 2023, ECLI:​NL:​GHSHE:​2023:2086 (Horeca Grootverbruik I)

  60. R.o. 6.3-6.6 (Horeca Grootverbruik II).

  61. Rb. Noord-Nederland 21 september 2022, ECLI:​NL:​RBNNE:​2022:5577 (Eviem/​I⁠-⁠Beheer).

  62. R.o. 4.2-4.8 (Enviem/​I⁠-⁠Beheer).

  63. R.o. 4.12 e.v. (Enviem/​I⁠-⁠Beheer).

  64. Rb. Den Haag (vzr.) 10 januari 2025, ECLI:​NL:​RBDHA:​2025:241, JAAN 2025/​40 (SoftwareOne/​Staat).

  65. R.o. 4.20 – 4.24 (Blauw / Nebu).

  66. R.o. 4.8-4.12 (SoftwareOne/​Staat).

  67. HvJ EU 9 januari 2025, ECLI:​EU:​C:​2025:4, C-578/​23 (Česká republika – Generální finanční ředitelství/​Úřad pro ochranu hospodářské soutěže).

  68. R.o. 20-439 (Česká republika – Generální finanční ředitelství/​Úřad pro ochranu hospodářské soutěže).

  69. Hof Den Haag 25 juni 2024, ECLI:​NL:​GHDHA:​2024:945, JAAN 2024/​119 (Cloudoe/​RDW).

  70. Rb. Den Haag 12 april 2023, ELIC:NL:RBDHA:2023:5098.

  71. R.o. 6.2-6.4 (Cloudoe/​RDW).

  72. R.o. 6.5-6.9 (Cloudoe/​RDW).

  73. Rb. Midden-Nederland (vzr.) 9 januari 2024, ECLI:​NL:​RBMNE:​2024:457, Computerrecht 2024/​101 (Aanbestedende dienst/​Klager). Uit het vonnis blijkt dat ook nog een bodemprocedure tussen partijen aanhangig is (of was).

  74. R.o. 3.5-3.11 (Aanbestedende dienst/​Klager).

  75. E.M. van Genuchten, R.H.G. van Schaik, V. van Druenen & W. Weijland, Kroniek IT-recht 2023, Adv.bl. 2024-3, p. 101-114.

  76. Rb. Amsterdam 8 augustus 2023, ECLI:​NL:​RBAMS:​2023:5425(Eisers/​Coin Meester 2023).

  77. Rb. Amsterdam 18 oktober 2024, ECLI:​NL:​RBAMS:​2024:6485 (Eisers/​Coin Meester 2024).

  78. R.o. 4.2 (Eisers/​Coin Meester 2024).

  79. R.o. 4.2 (Eisers/​Coin Meester 2024).

  80. R.o. 4.3 (Eisers/​Coin Meester 2024).

  81. Vergelijk r.o. 4.10 van Eisers/​Coin Meester 2023 waarin titel 7b van Boek 7 BW wordt gebruikt voor het bepalen van de mate van eigen schuld van eiser.

  82. R.o. 4.4 (Eisers/​Coin Meester 2024-I).

  83. R.o. 4.4 (Eisers/​Coin Meester 2024-I).

  84. R.o. 4.5 (Eisers/​Coin Meester 2024-I).

  85. R.o. 4.6.1 en 4.6.2 (Eisers/​Coin Meester 2024-I).

  86. R.o. 4.6.4 (Eisers/​Coin Meester 2024-I).

  87. R.o. 4.7 (Eisers/​Coin Meester 2024-I).

  88. Rb. Amsterdam 13 december 2024, ECLI:​NL:​RBAMS:​2024:7830(Eiser/​Coin Meester 2024-II).

  89. R.o. 4.5 (Eiser/​Coin Meester 2024-II).

  90. R.o. 4.6 (Eiser/​Coin Meester 2024-II).

  91. Rb. Amsterdam 23 oktober 2024, ECLI:​NL:​RBAMS:​2024:6356(Eiser/​Rabobank).

  92. Zie bijvoorbeeld Rb. Amsterdam 29 maart 2023, ECLI:​NL:​RBAMS:​2023:1746(Eiser/​ABN AMRO).

  93. Rb. Den Haag 7 november 2024, ECLI:​NL:​RBDHA:​2024:18170(Eisers/​Nest Services).

  94. Rb. Limburg 24 april 2024, ECLI:​NL:​RBLIM:​2024:2977(Eiser/​Kyrrex).

  95. Rb. Rotterdam 20 april 2024, ECLI:​NL:​RBROT:​2022:3208(Eiser/​Gedaagde).

  96. Hof Den Haag 2 april 2024, ECLI:​NL:​GHDHA:​2024:1406(Appellant/​Verweerder).

  97. R.o. 5.9 (Appellant/​Verweerder).

  98. Hof van Justitie van de Europese Unie 28 november 2024, ECLI:​EU:​C:​2024:985 (VariusSystems/​GR).

  99. Verordening (EU) nr. 1215/​2012 van het Europees Parlement en de Raad van 12 december 2012 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (herschikking).

  100. R.o. 22 en dictum (VariusSystems/​GR).