juridisch kronieken

Kroniek
IT-recht 2025

door Veerle van Druenen, Esther van Genuchten, Robert van Schaik & Wieger Weijland
beeld Floris Tilanus

In 2025 vonden veel ontwikkelingen plaats op IT-gebied. Zo werden IT-soevereiniteit- en digitale weerbaarheid door geopolitieke ontwikkelingen hot topics.1 Ook de ontwikkelingen op AI-gebied raasden voort. Dit leidde, onder meer, tot aandacht voor de impact van AI op juristen. De orde van advocaten publiceerde aan­bevelingen voor de toepassing van AI in de advocatuur2 en verschillende advocaten werden op de vingers getikt wegens onzorgvuldig gebruik van AI.3 De verbintenisrechtelijke rechtspraak op IT-gebied liet ondertussen echter een vertrouwd beeld zien, met vooral uitspraken over onderwerpen als uitleg, de verant­woordelijk­heid van IT-leveranciers, opzegperikelen en afhankelijkheid. In deze Kroniek bespreken we de meest interessante uitspraken uit 2025.4

Uitleg IT-contracten (algemeen)

Hoe IT-overeen­komsten moeten worden uitgelegd, staat vaak ter discussie. Hoewel daarbij geen andere maatstaven gelden dan voor ‘reguliere’ overeen­komsten, geeft de rechtspraak daarover een goed beeld van hoe IT-overeen­komsten in de praktijk worden toegepast.

Uitleg ‘unlimited’ licenties

In een geschil tussen SDL en de Staat over vermeend licentieoverschrijdend gebruik van Tridion-software, bevestigt het gerechtshof Den Haag (ECLI:​NL:​GHDHA:​2025:1751) dat de Staat niet onrecht­matig handelde. Het geschil draait om uitleg van een licentie voor ‘advanced configuratie’, gedefinieerd als ‘ongelimiteerd aantal servers voor één entiteit’, waarbij in de kolom ‘aantal’ unlimited staat.5 SDL stelt dat deze licentie slechts één installatie (configuratie) toestond. De Staat meent dat zij de software organisatiebreed en meer dan één keer mocht installeren voor intern gebruik. Het hof volgt de Staat. Daarbij speelt mee dat sprake is van een schriftelijke overeen­komst tussen professionele partijen die door SDL is opgesteld en waarover niet is onderhandeld. Op basis van omschrijvingen als ‘unlimited’ en ‘no limits but only for internal needs’, mocht de Staat redelijker­wijs begrijpen dat hij het recht verkreeg de ‘configuratie’ een onbeperkt aantal keer te installeren. Onduidelijkheden komen voor rekening van SDL als opsteller van de licentievoorwaarden.6

De verant­woordelijk­heden van partijen: uitleg en zorgplicht

In veel IT-geschillen staat de verant­woordelijk­heid van de leverancier centraal. Deze discussie kan gevoerd worden in de sleutel van uitleg of de zorgplicht (artikel 7:401 BW).

Geen verplichting leverancier tot handmatig overzetten data

In een vonnis van de recht­bank Midden-Nederland (ECLI:​NL:​RBMNE:​2025:6381) staat de bouw van een webshop centraal, waarbij de leverancier data naar de nieuwe webshop zou overzetten.7 De data bevat fouten en de webshop gaat later live dan afgesproken. De recht­bank oordeelt dat deze tekortkoming niet aan de leverancier kan worden toegerekend. Dat in de overeen­komst geen voorbehoud is opgenomen over foute data, betekent niet dat afnemer Nailbar mocht verwachten dat de leverancier de data tijdig handmatig zou overzetten of zou corrigeren. Bij uitleg van de overeen­komst moet rekening worden gehouden met wat partijen redelijker­wijs van elkaar mochten verwachten. Daarbij is de beperkte prijs in verhouding tot de omvang van de oude webshop relevant, evenals een bericht van rondom de offerte waaruit blijkt dat de set-up, de handelingen die moeten worden verricht en de koppelingen die moeten worden gemaakt vrijwel altijd hetzelfde zijn. Relevant is ook dat Nailbar in eerste instantie niet aandrong op het handmatig overzetten en corrigeren van de data, maar dat zelf ging doen. Die exercitie was bij livegang nog niet afgerond. Nailbar kon in die omstandig­heden redelijker­wijs niet verwachten dat de leverancier artikelen individueel zou corrigeren en overzetten.8

IT-leverancier verplicht tot voeren regie bij implementatie

Een kort geding (ECLI:​NL:​RBNHO:​2025:15321) tussen DHS en De Nederlandse ziet op een project voor het overbrengen van processen van De Nederlandse naar Dynamics.9 Tegen de tijd dat het systeem klaar is voor implementatie loopt het project tweeënhalf jaar (in plaats van de initiële acht maanden) en heeft DHS twee keer het geïndiceerde budget gefactureerd. Als betaling uitblijft, schort DHS haar werkzaamheden op en vordert De Nederlandse voortzetting daarvan. Die vordering wijst de voorzieningen­rechter toe. Het beroep van DHS op opschorting faalt. De onbetaalde facturen zien op een andere overeen­komst en meerwerk dat niet is goedgekeurd. Het bedrag dat openstaat, staat bovendien niet in verhouding tot het bedrag dat De Nederlandse al heeft betaald. Opschorting van alle werkzaamheden is daarom disproportioneel, ook omdat De Nederlandse zekerheid heeft gesteld. De voorzieningen­rechter gaat er eveneens niet in mee dat De Nederlandse eindverantwoordelijk was voor het project. De Nederlandse heeft DHS ingeschakeld om efficiëntere software te implementeren en betaalde ruim het dubbele van het geoffreerde bedrag, zonder dat een zichtbaar resultaat is opgeleverd. Hoewel voor een goed eind­resultaat samen­werking nood­zakelijk is, mag van DHS als professionele IT-leverancier verwacht worden dat zij de regie voert. Dat De Nederlandse voorzitter van een stuurgroep was, maakt dit niet anders. DHS kan haar eigen verant­woordelijk­heid niet afschuiven met het argument dat de Nederlandse geen regie heeft gevoerd, zeker nu zij De Nederlandse daarop niet heeft aangesproken.10

Adviesbureau verantwoordelijk voor voorkomen en oplossen problemen bij implementatie

De recht­bank Midden-Nederland (ECLI:​NL:​RBMNE:​2025:3067) legt de verant­woordelijk­heid voor problemen bij een implementatietraject bij een adviesbureau dat de implemen­tatie van een ERP-systeem begeleidt.11 De recht­bank oordeelt dat zij diende te handelen als een redelijk bekwaam en handelend vakgenoot. Verwacht mocht worden dat zij de livegang goed voorbereidde en geen onverantwoorde risico’s nam voor de continuïteit van het bedrijf van afnemer. Ook mocht verwacht worden dat zij de livegang zou monitoren, inzicht had in de problemen en haar best deed die op te lossen. In die verplichtingen schoot het adviesbureau tekort. Uit de documentatie blijkt dat het adviesbureau verantwoordelijk was voor de implementatie en trekker was van het project. Samengevat is sprake van tekortkomingen omdat bij de livegang van alles misging en het adviesbureau dit vooraf niet heeft proberen te voorkomen en toen het zover was te weinig deed om de problemen op te lossen. Hoewel er geen ingebrekestelling is verzonden, verkeert het adviesbureau in verzuim. Tijdens een crisisberaad erkende het adviesbureau geen oplossing te hebben voor de problemen en geen rol meer voor zichzelf te zien. De afnemer mocht daaruit afleiden dat het adviesbureau in de nakoming tekort zou schieten.12

Schending onderzoeks- en waarschuwingsplicht door IT-leverancier

Ook in een geschil tussen GAC en Verano komt het mislukken van een implementatie­traject voor rekening van de leverancier. Partijen sluiten een overeen­komst over implementatie door GAC van een ERP-systeem. Uitgangspunt is dat de applicatie standaard ingezet wordt, zonder maatwerk. De kosten lopen hoog op en tussen partijen ontstaat een geschil. In eerste aanleg krijgt GAC grotendeels gelijk.13 De recht­bank overweegt dat bij beoordeling aan welke verplichtingen een dienstverlener moet voldoen de contracttekst als uitgangspunt geldt en ‘goed opdracht­geverschap’ pas een rol speelt bij leemtes of onbillijke situaties.14 Het gerechtshof ’s‑Hertogenbosch (ECLI:​NL:​GHSHE:​2024:4059) oordeelt daarentegen – onder verwijzing naar de conclusie van P-G Valk inzake Allsafe/​Smart Connections15 – dat de zorgplicht de inhoud van de overeen­komst mede bepaalt.16 Het hof plaatst het geschil in de sleutel van de zorgplicht en overweegt dat GAC de deskundigheid van een professionele IT-leverancier had, althans dat Verano dat mocht verwachten. Verano is geen IT-deskundige. Dat zij beschikte over een (beperkte) IT-afdeling doet daar niet aan af. Voor zover Verano in het voortraject een andere indruk wekte, was het aan GAC dat te verifiëren. Ging GAC er ten onrechte vanuit dat Verano over deskundigheid beschikte, dan komt dat voor haar rekening. Gelet op de bewoordingen van de overeen­komst mocht Verano er verder vanuit gaan dat haar IT-systeem kon worden vervangen door de standaardsoftware, zonder veel meerwerk. Dat dit niet het geval bleek te zijn, komt voor rekening van GAC. Zij heeft zich onvoldoende verdiept in de bedrijfsprocessen van Verano. Dat Verano tegen het advies van GAC geen diagnose wilde laten uitvoeren, maakt dat niet anders. GAC mocht dit als deskundige partij niet zonder meer accepteren. GAC had in ieder geval moeten waarschuwen dat zij niet over de benodigde informatie beschikte. Dat heeft zij niet gedaan. GAC is dan ook tekortgeschoten. De argumenten dat uit de algemene voorwaarden volgt dat zij slechts een inspannings­verplichting had, Verano het meerwerk goedkeurde en sprake was van een fixed fee maken dat niet anders. Het laatste maakt niet dat Verano aan de ramingen geen verwachtingen mocht ontlenen.17 In 2026 werd een cassatie­beroep van GAC tegen het arrest – na een lezenswaardige conclusie van P-G Assink18verworpen.19

Schending door leverancier van informatieplicht ex artikel 7:403 BW

Ook bij het gerechtshof Amsterdam (ECLI:​NL:​GHAMS:​2025:1532) komen de verwachtingen die een afnemer mag hebben over de kosten van een IT-project aan de orde.20 Certscanner en MyBit sluiten een overeen­komst waarbij partijen voor de eerste drie maanden een ontwikkelbudget overeenkomen. De kosten vallen hoger uit, volgens MyBit door extra werkzaamheden waarom Certscanner verzoekt. Certscanner is ontevreden en stopt met betalen. Als Certscanner toegang wil tot de broncode weigert MyBit die te verstrekken zolang Certscanner de facturen niet betaalt. MyBit vordert in kort geding vervolgens betaling van de facturen. Het hof overweegt dat onduidelijk is wat partijen hebben afgesproken. De documentatie duidt er echter op dat een budget is afgesproken voor drie projecten die MyBit in ieder geval zal uitvoeren, met ruimte voor werkzaamheden die op regiebasis worden gefactureerd. Hoewel geen sprake lijkt te zijn van een vast budget betekent dit niet dat Certscanner aan de kostenramingen geen verwachtingen mocht ontlenen. Het is aan MyBit als opdrachtnemer om te zorgen dat de kosten zo veel mogelijk binnen de raming blijven. Onder artikel 7:403 BW heeft MyBit daarnaast een informatieplicht en moet zij rekening en verantwoording afleggen. Bij dreiging van een wezenlijke budgetoverschrijding (vanaf 10 à 15%), dient een opdrachtnemer daarvoor te waarschuwen zodat partijen in overleg kunnen treden. Certscanner mocht op grond van deze bepaling daarnaast verwachten dat facturen dusdanig gespecificeerd werden dat duidelijk was wat van het budget in rekening was gebracht. Dat is niet gebeurd. Het was verder weliswaar aan Certscanner als opdracht­gever om de regie te houden bij het geven van extra opdrachten, maar wanneer die vragen zodanig omvangrijk waren dat onvoldoende werd toegekomen aan de toegezegde werkzaamheden, was het ingevolge artikel 7:403 BW aan MyBit daarop te wijzen. Doordat MyBit aan deze verplichtingen niet heeft voldaan, is een onduidelijke situatie ontstaan en is onvoldoende duidelijk of MyBit een vordering heeft op Certscanner en wat de omvang daarvan is. Niet voldaan is daarom aan de voorwaarden voor toewijzing van een geldvordering in kort geding.21

Geen harde implementatietermijnen overeen­gekomen

Over de betekenis van termijnen ontstaat geregeld discussie. Zo ook in een geschil over een overeen­komst waaronder Topicus aan Aegon de FPS ter beschikking stelt en implementatiediensten levert. De FPS is gebaseerd op software van Topicus, die in componenten wordt opgedeeld. In de componenticering treedt vertraging op, waarna Aegon de overeen­komst ontbindt. Aegon stelt dat harde termijnen zijn overeen­gekomen die niet zijn gehaald. Het gerechtshof Arnhem-Leeuwarden (ECLI:​NL:​GHARL:​2025:2754) oordeelt dat daarvan geen sprake is. De FPS werd ontwikkeld voor meerdere afnemers en niet alleen voor Aegon.22 Uit de overeen­komst blijkt dat Topicus zich flexibiliteit voorbehield ten aanzien van de roadmap. Aegon moest daarom begrijpen dat niet alleen haar belangen bij de ontwikkeling van de FPS een rol speelden. De overeen­komst bepaalt verder weliswaar in algemene zin dat sprake is van een resultaatsverbintenis en als Topicus zich niet aan de termijnen houdt, zij tekortschiet, maar anderzijds dat termijnen niet fataal zijn, tenzij dat specifiek is afgesproken. Dat is niet gebleken. Integendeel, waar relevante termijnen zijn genoemd, zijn die ‘zacht’ gemaakt door toevoegingen als ‘verwacht’ of ‘beoogd’. Door deze formuleringen mocht Topicus ervan uitgaan dat zij niet bedoeld waren als harde termijnen. Partijen zijn verder een opzegregeling overeen­gekomen bij substantiële vertragingen. Als vertragingen een tekortkoming zouden opleveren, valt niet in te zien waarom aan een dergelijke opzegmogelijkheid behoefte zou bestaan. Het hof acht tot slot van belang dat sprake is van een overeen­komst tussen professionele partijen en Aegon ervaringen met gefaalde implementatieprojecten had. Als Aegon harde oplevertermijnen had willen overeenkomen, dan mocht daarom van haar verwacht worden dat zij dit expliciet in de overeen­komst opnam. Ook het argument dat als geen sprake was van harde termijnen, Aegon geen flagrante overschrijding van de termijnen hoefde te verwachten, slaagt niet. Daarbij is (opnieuw) relevant dat de overeen­komst voorziet in enige flexibiliteit en vertraging en voor vertraging ook een remedie bood in de vorm van opzegging.23

Vertraging bij installatie en datamigratie rechtvaardigen geen ontbinding

Ook in een procedure voor de recht­bank Overijssel (ECLI:​NL:​RBOVE:​2025:2459) gaat het over het karakter van overeen­gekomen termijnen.24 MST sluit drie overeen­komsten met Solix, waaronder een licentie­overeen­komst en overeen­komsten die zien op installatie van de software en migratie van data. Het project loopt uit en MST ontbindt de overeen­komst. De recht­bank overweegt dat geen sprake is van fatale termijnen. Daarbij is relevant dat de overeen­komst vermeldt dat wijzigingen in assumpties waarop de inschatting van de tijdlijnen zijn gebaseerd kunnen leiden tot aanpassing daarvan en dat de genoemde data ‘examples included for illustration only’, ‘subject to change’ en ‘not committed, actual dates’ zijn. De recht­bank kent daaraan aanzienlijk gewicht toe, omdat partijen professionele partijen zijn met een juridische afdeling en over de overeen­komst is onderhandeld. Van een tekortkoming door overschrijding van fatale termijnen is daarom geen sprake. Vaststaat wel dat vertraging is opgetreden die deels aan Solix toe te rekenen is. Ook zonder dat fatale termijnen zijn overeen­gekomen, kan dit een tekortkoming van Solix opleveren. Deze tekortkomingen zijn echter niet van dien aard dat zij de ontbinding van de overeen­komst rechtvaardigen, mede omdat ook MST een rol had bij de vertragingen, weinig bekend is over nadelige gevolgen voor MST en Solix een plan van aanpak presenteerde voor afronding van de werkzaamheden. Eventuele gebrekkige communicatie door Solix rechtvaardigt eveneens geen ontbinding, nu die hooguit heeft geleid tot de besproken vertragingen. Van verzuim is eveneens geen sprake. De overeen­komsten zijn wel opgezegd. MST heeft geen recht op terugbetaling van de betaalde licentievergoeding of afgeronde installatiewerkzaamheden. Alleen het bedrag voor support en onderhoud over de periode na opzegging moet Solix terugbetalen.25

Leverancier niet verantwoordelijk voor vaststellen oorzaak traagheid software

In een procedure bij de recht­bank Zeeland-West-Brabant (ECLI:​NL:​RBZWB:​2025:7993) staat de vraag centraal of een door Agro opgeleverd software­pakket snel genoeg is.26 Partijen spreken niets af over de snelheid, maar volgens de afnemer mocht zij in ieder geval verwachten dat het pakket even snel was als een ouder systeem van Agro dat zij gebruikte. Agro betwist dit niet en niet ter discussie staat dat het opgeleverde softwarepakket trager is. Agro betwist echter dat de kwaliteit van het pakket de oorzaak is. De recht­bank stelt vast dat beide partijen de oorzaken van de traagheid onderzocht hebben. Agro heeft na installatie aanpassingen aangebracht en voorgesteld dat de afnemer de performance elders zou bekijken, waarna vervolg­onderzoek kon plaatsvinden. Deze is daar niet op ingegaan. Volgens de netwerkbeheerder van de afnemer lijkt de traagheid te zitten in oude databasetechnologie, die zowel bij het nieuwe als het oude pakket gebruikt werd. Agro betwist dat. Zij stelt dat zij met de nieuwste versie daarvan werkt en andere klanten geen problemen ervaren. Alles beschouwend is volgens de recht­bank geen sprake van voldoende onderzoek waaruit de verifieerbare conclusie volgt dat het pakket gebrekkig is. Weliswaar mag volgens de recht­bank van Agro verwacht worden dat zij de werking van het softwaresysteem onderzoekt, maar dat hoeft zij niet te blijven doen tot vaststaat dat het probleem niet door haar systeem veroorzaakt wordt. Het is immers aan de afnemer om te onderbouwen dat het probleem door het systeem van Agro wordt veroorzaakt.27

De opzegging van IT-contracten

Bij IT-overeen­komst is de leverancier vaak financieel gebaat bij voortzetting. Als de afnemer de overeen­komst opzegt, ontstaat daarom geregeld discussie over de geldigheid van die opzegging.28

Geen andere opzegtermijn voor licenties dan overeen­komst

Ook in een geschil tussen Kompas Zuidlaren en 2Work gaat het mis bij opzegging door de afnemer. De recht­bank Oost-Brabant (ECLI:​NL:​RBOBR:​2025:3418) oordeelt dat Kompas een overeen­komst met 2Work niet tijdig heeft opgezegd.29 Kompas stelt dat hoewel de overeen­komst steeds met drie jaar verlengd werd, voor afzonderlijke licenties een looptijd van twaalf maanden gold met een opzegtermijn van één maand. Voor deze uitleg biedt de overeen­komst onvoldoende aanknopings­punten. De licenties zijn onlosmakelijk verbonden met de samen­werking op basis van de overeen­komst. De kern daarvan is dat Kompas gebruik mag maken van de licenties en partijen zijn overeen­gekomen dat als alle licenties zijn beëindigd en alles is betaald, de overeen­komst als geëindigd wordt beschouwd. In de bepaling over de looptijd wordt bovendien expliciet gesproken over een overeen­komst ‘voor het gebruik van de licenties en bijbehorende dienst­verlening’, die steeds verlengd wordt met drie jaar. Die tekst is duidelijk en wijst erop dat deze opzegtermijn ook voor de opzegging van licenties geldt. Niet gebleken is verder dat Kompas onbeperkt de aantallen licenties mocht wijzigen. Duidelijk is bovendien dat Kompas de intentie had afscheid te nemen van 2Work en dus de bedoeling had de gehele overeen­komst op te zeggen.30 De overeen­komst is onregelmatig opgezegd en 2Work mag kosten in rekening brengen voor de resterende duur.

Afhankelijkheid van IT-leveranciers

Bijna iedere organisatie is voor haar bedrijfsvoering van softwarelicenties afhankelijk. Als prijzen en voorwaarden veranderen, kan dit tot problemen leiden en kunnen afnemers klem komen te zitten. In de Kroniek 2024 schreven we al over een kort geding tussen KPN en Broadcom over dit onderwerp, waarin Broadcom aan het langste eind trok.31

Onzorgvuldig handelen Broadcom door klemzetten RWS

In 2025 loopt een kort geding (ECLI:​NL:​RBDHA:​2025:11349) van RWS tegen Broadcom anders af. RWS is voor het beheer van vitale infrastructuur afhankelijk van VMware, waarvoor zij deels eeuwigdurende licenties heeft aangeschaft. De software kan op korte termijn niet vervangen worden en een goede werking vereist support, die RWS via resellers afneemt onder supportovereen­komsten. In 2023 neemt Broadcom VMware over en kondigt aan dat zij overstapt op een licentiemodel op basis van abonnementen. In lijn daarmee bieden resellers support aan op voorwaarde dat RWS abonnementen met tijdelijke gebruiksrechten afneemt. Als na een kortstondige verlenging van het support door Broadcom de onder­handelingen vastlopen, start RWS een kort geding, gericht op verlenging van het support gedurende drie jaar tegen de oude prijzen. In het kort geding staat niet ter discussie dat de jaarprijzen aanzienlijk hoger liggen dan RWS betaalde en Broadcom in beginsel bevoegd is haar productaanbod te wijzigen.32 De vraag is of Broadcom RWS in staat moet stellen het nieuwe aanbod niet te accepteren door – bij wijze van exitondersteuning – gedurende een zekere tijd support te bieden voor de producten waarvoor RWS over een eeuwigdurende licentie beschikt, dan wel door RWS in staat te stellen zelf in het support te voorzien. Daarvoor is van belang of Broadcom de wijzigingen tijdig heeft aangekondigd en RWS eerder stappen had moeten nemen om VMware uit te faseren. Dat is niet zo. De opeenvolging van supportovereen­komsten brengt weliswaar niet zonder meer mee dat RWS mocht vertrouwen dat het support onder vergelijkbare voorwaarden zou worden verlengd, maar op grond van een lifecycle policy mocht RWS verwachten dat hij voor bepaalde producten zeven jaar support kon ontvangen. RWS hoefde er ook op basis van mededelingen van VMware en Broadcom geen rekening mee te houden dat hij na afloop van de laatste supportovereen­komst geen adequate support meer kon verkrijgen en voor de gebruiksrechten opnieuw een vergoeding moest voldoen. RWS was pas in mei 2024 bekend met het aanbod van Broadcom en gelet op de met migratie gemoeide periode van twee à drie jaar, had RWS toen onvoldoende gelegenheid zich te beraden. Gelet op de afhankelijkheid van RWS van de producten, was RWS aangewezen op onder­handelingen met Broadcom en was geen sprake van ‘vrije commerciële onder­handelingen’ tussen grote professionele partijen. RWS zat feitelijk klem. RWS stelt terecht dat Broadcom geen passend aanbod heeft gedaan. De argumenten van Broadcom dat zij haar portfolio heeft gewijzigd en sprake is van mogelijke toekomstige waarde­creatie voor RWS wekken onvoldoende de indruk dat Broadcom met zorgvuldigheid omgaat met RWS. RWS moet in staat worden gesteld afscheid te nemen van VMware. Door na te laten RWS support te verlenen om de werking van de producten te continueren, handelt Broadcom in strijd met de zorgvuldigheid die in het maat­schappelijk verkeer betaamt. Omdat partijen eens zijn dat een migratie twee à drie jaar duurt, veroordeelt de voorzieningen­rechter Broadcom bij wijze van exitondersteuning voor de duur van twee jaar support te blijven verlenen tegen de (geïndexeerde) oude prijzen.33

De gevolgen van cyber­incidenten

Waar we eerder een toename van uitspraken over cyber­incidenten signaleerden, verscheen in 2025 daarover slechts één belangwekkende uitspraak.

Geen verant­woordelijk­heid Switch voor cyberaanval Hof van Twente

Het gerechtshof Arnhem-Leeuwarden (ECLI:​NL:​GHARL:​2025:1046) buigt zich daarin over de verantwoordelijkheid van leverancier Switch voor een cyberaanval bij de gemeente Hof van Twente en bekrachtigt het vonnis in eerste aanleg.34, 35 Het hof overweegt dat op Switch de verplichting rustte tot functionele monitoring (monitoring van de beheerde objecten op beschikbaarheid, capaciteit en performance) en niet tot securitymonitoring (monitoring op beveiligingsniveau).36 Switch was daarnaast verantwoordelijk voor back-up, antivirus en firewallbeheer, in het kader waarvan zij controles moest uitvoeren. Ook daarbij ging het om controle van performance en niet securitylogfiles. Door de rechten die de gemeente bedong, bestond er ook onduidelijkheid over de verdeling van verant­woordelijk­heden. Ook indien de eindverant­woordelijk­heid bij Switch lag, lag het echter op de weg van de gemeente wijzigingen die zij doorvoerde door te geven. Dat gold evident voor het wijzigen van een regel in de firewall, waardoor een RDP-poort werd opengezet, en het instellen van een makkelijk wachtwoord (Welkom2020). De verplichtingen van Switch hadden verder het karakter van een inspanningsverbintenis. Het feit dat de cyberaanval kon plaatsvinden, betekent daarom niet dat Switch tekortschoot. Daarvoor is vereist dat zij concrete verplichtingen in de overeen­komst schond. Dat is niet het geval. Anders dan de gemeente stelt, schond Switch haar verplichting de firewall adequaat in te richten niet. Ook de back-up was door Switch adequaat ingericht. Aan het zogenaamde 3-2-1-principe was voldaan. Een offline back-up was niet overeen­gekomen en de gemeente accepteerde een offerte van Switch daarvoor niet. De gemeente eiste bovendien dat zij 24/7 toegang tot de back-up had. Dat de aanvallers toegang kregen tot de back-up werd niet veroorzaakt door een onjuiste inrichting daarvan, maar doordat de hackers via het administrator account van de gemeente toegang verkregen. Switch schond ook haar zorgplicht (ex artikel 7:401 BW) niet. Zij betrachtte voldoende zorg voor de belangen van de gemeente en had geen reden de gemeente te waarschuwen voor risico’s, mede gelet op diens eigen verantwoordelijk voor bepaalde aspecten, zoals het wacht­woord­beleid.37

Varia IT-contracten

Er verschenen ook interessante uitspraken over andere onderwerpen.

Geen blijvende onmogelijkheid en verzuim bij ontwikkeling code

In een procedure na verwijzing oordeelt het gerechtshof Den Haag (ECLI:​NL:​GHDHA:​2025:10) over vermeende tekortkomingen van Capgemini bij de ontwikkeling van een sportapplicatie voor Equihold.38, 39 Het hof oordeelt dat nakoming niet blijvend onmogelijk is. Om te bepalen of een prestatie blijvend onmogelijk is, moet er een duidelijk peilmoment zijn vanaf wanneer bij de prestatie geen belang meer bestaat. Equihold heeft onvoldoende onderbouwd dat op het door haar genoemde moment klanten waren weggelopen en niet meer terug wilden keren en zij de applicatie vanaf dat moment niet meer in de markt kon zetten voor nieuwe klanten. De stelling dat Capgemini onvoldoende gekwalificeerde mede­werkers inzette, maakt eveneens niet dat haar kernprestatie blijvend onmogelijk is geworden. Capgemini verkeert ook niet in verzuim. Uit het arrest Fraanje/​Alukon40 volgt dat de rechter een redelijke oplossing moet zoeken naargelang wat in de omstandig­heden van het geval van partijen mag worden verwacht, maar dat doet niet af aan de functie van de ingebrekestelling. Het moet de weder­partij duidelijk zijn dat van haar wordt verwacht dat zij haar prestatie aanpast omdat de schuldeiser anders zijn toevlucht zoekt tot de in de wet geregelde remedies. Dit laatste aspect ontbreekt hier. Equihold verkeert wel in schuldeisersverzuim door betalings­achterstanden te laten ontstaan. Het hof volgt Equihold niet in de door haar eerst in de procedure na verwijzing ingenomen stelling dat zij haar verplichtingen heeft opgeschort. Hoewel een beroep op een opschortingsrecht eerst in een procedure kan worden gedaan, kunnen de eisen van redelijkheid en billijkheid daaraan in de weg staan. Daarbij is van belang of voor Capgemini kenbaar was dat Equihold haar betalings­verplichting opschortte, zodat zij haar gedrag daarop kon aanpassen. Dat is niet gebleken. Uit de correspondentie blijkt dat Equihold de betalingsachterstand erkende en zij stelde die te zullen inlopen. In die omstandig­heden kan niet voor het eerst in de procedure een beroep op het opschortingsrecht worden gedaan.41

Vordering tot afgifte broncode in kort geding pakt nadelig uit

Wanneer softwareontwikkeling niet leidt tot het gewenste resultaat, kan een afnemer de wens hebben fouten laten herstellen door een derde. Daarvoor dient hij te beschikken over de broncode. In een kort geding voor de recht­bank Amsterdam (ECLI:​NL:​RBAMS:​2025:4994) vordert een afnemer afgifte van de broncode van een app die DTT voor haar ontwikkelt.42 Zij baseert deze vordering op een bepaling in de voorwaarden waaruit blijkt dat deze op verzoek verstrekt wordt. Daarbij geldt de eis dat alle opeisbare vorderingen van DTT zijn voldaan. DTT verweert zich op basis daarvan tegen de vordering, met de stelling dat de afnemer ook een fase 2 van haar diende af te nemen. De voorzieningen­rechter oordeelt dat de afnemer DTT opdracht heeft gegeven voor zowel fase 1 als 2. Fase 2 was echter nog niet gestart en de uiterste betaaldatum daarvoor was nog niet verstreken. De vordering van DTT is daarom niet opeisbaar en DTT kan zich op basis daarvan niet verweren tegen de vordering tot afgifte van de broncode. Ook een beroep van DTT op opschorting en schuldeisersverzuim faalt. Voor opschorting is een opeisbare tegen­vordering nodig, waarvan geen sprake is. De weigering om fase 2 af te nemen, staat bovendien niet aan het delen van de broncode in de weg. De voorzieningen­rechter wijst de vordering tot afgifte van de broncode daarom toe. Toch komt de afnemer bedrogen uit. De voorzieningen­rechter merkt namelijk óók op dat niet aannemelijk is dat de ontbinding van de overeen­komst door haar standhoudt. De voorlopige conclusie is daarom dat de afnemer nog gebonden is aan de overeen­komst en fase 2 moet afnemen van én betalen aan DTT.43

Exoneratie IT-leverancier niet naar maatstaven van redelijkheid en billijkheid onaanvaardbaar

In een procedure voor de recht­bank Gelderland (ECLI:​NL:​RBGEL:​2025:11617) ligt de vraag voor of leverancier MA een beroep kan doen op een exoneratie.44 In een eerdere procedure oordeelt het hof dat afnemer Primedinners een ontwikkelovereen­komst met MA terecht heeft ontbonden. Voor begroting van de schade wordt de zaak verwezen naar de schadestaat. Primedinners vordert vervolgens een verklaring voor recht dat een beroep van MA op een exoneratiebeding naar maatstaven van redelijkheid onaanvaardbaar is. De recht­bank wijst de vordering af. De recht­bank acht onder meer relevant dat i) niet vaststaat dat de exoneratie in de branche ongebruikelijk is, ii) het verschil in maat­schappelijke positie tussen partijen niet van dien aard is dat die eraan bijdraagt dat het beroep op de exoneratie onaanvaardbaar is, iii) partijen over de overeen­komst hebben onderhandeld en Primedinners de voorwaarden weliswaar laat ontving, maar toepasselijkheid daarvan zonder op- en aanmerkingen heeft aanvaard, iv) sprake is van een zakelijke samen­werking en Primedinners daarom geen beroep toekomt op reflexwerking van de zwarte en grijze lijst (artikel 6:236 en artikel 237 BW), v) MA eventuele risico’s niet heeft verdisconteerd in een geldelijke vergoeding voor haar werk en vi) MA ook met de exoneratie belang had bij nakoming. Dat de exoneratie ziet op de kern van de samen­werking brengt – voor zover al juist – eveneens niet mee dat het beroep daarop naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is.45 Hetzelfde geldt voor de aard en omvang van de schade en de zwaarte van de schuld van MA.46

‘Waarde in het economisch verkeer’ versus ‘gefactureerde inspanning’

In een vonnis van de recht­bank Midden-Nederland (ECLI:​NL:​RBMNE:​2025:84) speelt de vraag of de leverancier na opzegging op grond van artikel 7:411 BW recht heeft op loon.47 Partijen komen voor ontwikkeling van een applicatie een vaste prijs overeen. Als scheuren ontstaan in het vertrouwen beëindigt de leverancier de samen­werking. De afnemer stelt dat de IT-leverancier toerekenbaar tekortgeschoten is en legt een deskundigenrapport over waarin staat dat sprake is van een discrepantie tussen de ‘waarde in het economisch verkeer van het door de IT-leverancier geleverde materiaal’ en de ‘gefactureerde inspanning’. De recht­bank overweegt dat een dergelijke discrepantie bij een tussentijdse beëindiging en een vaste prijs op zichzelf geen tekortkoming oplevert. Of daarvan sprake is, is afhankelijk van of partijen over de stand van het werk op dat moment een afspraak hebben gemaakt. Dat is niet het geval; van een afspraak over de stadia van het werk en daaraan gerelateerde opeisbaarheid van delen van de vaste prijs is geen sprake. De stand van het werk bij beëindiging is daarom niet te relateren aan de verrichte betalingen.48

Aanbesteding van IT-contracten

In deze Kroniek bespreken wij over het algemeen geen zuiver aanbestedings­rechtelijke uitspraken. Ook in 2025 verscheen echter een aantal uitspraken die bijzonder relevant zijn voor IT-contracten.

Geen aanvullende eisen bij IT-aanbesteding

De Belasting­dienst besteedt een aanbesteding uit voor standaardsoftware en gerelateerde dienst­verlening. Capgemini schrijft daarop in, met een oplossing waarbij SAP standaardsoftware levert en Capgemini zorgdraagt voor de implementatie. Daarbij dient zij standaardvoorwaarden van SAP in, waaronder een End User License Agreement (EULA) en een Data Processing Agreement (DPA). De Belasting­dienst verklaart vervolgens de inschrijving van Capgemini ongeldig en is voornemens de opdracht te gunnen aan een andere leverancier. In een kort geding (ECLI:​NL:​RBDHA:​2025:3645) verzoekt Capgemini de recht­bank Den Haag deze gunning te verbieden.49 Volgens Capgemini heeft de Belasting­dienst in afwijking van de aanbestedingsstukken op een aantal punten feitelijk strengere en aanvullende eisen gesteld. Daarin gaat de voorzieningen­rechter niet mee. Van de Belasting­dienst kan niet gevergd worden dat hij een overeen­komst sluit waarvan hij de precieze inhoud niet kent of die in strijd is met de bepalingen van de concept­overeen­komst. Dit moest voor Capgemini duidelijk zijn. Het lag daarom op haar weg bij de inschrijving duidelijk te maken dat SAP akkoord was met bepaalde verplichtingen. Dit geldt temeer nu Capgemini de EULA van SAP ongewijzigd indiende en deze op wezenlijke punten afweek van de conceptovereen­komst en zij aanvankelijk kenbaar maakte niet onvoorwaardelijk akkoord te kunnen gaan met de conceptovereen­komst. Dat de Belasting­dienst heeft gevraagd duidelijkheid te geven over de positie van SAP betekent daarom niet dat hij achteraf een aanvullende eis heeft gesteld. De Belasting­dienst kon op basis van de door Capgemini verstrekte informatie verder niet vaststellen of zij de licentievoorwaarden van SAP zorgvuldig had getoetst op onredelijke beperkende en bezwarende bepalingen. Capgemini garandeerde ook niet dat de doorgelegde licentievoorwaarden niet in strijd waren met de aanbestedingsstukken. Zij stelde zich evenmin garant voor eventuele nadelige gevolgen van afwijkingen en gaf niet aan hoe materiële verschillen waren opgelost. Die verplichting had Capgemini onder de gunningsleidraad wel. Van een aanvullende eis is ook op dit punt geen sprake. De Belasting­dienst oordeelde tot slot terecht dat de DPA niet als een licentie­overeen­komst kan worden aangemerkt en niet onder die noemer mocht worden ingediend. Een DPA is immers iets wezenlijk anders dan een licentie. De DPA kan daarom niet als gebruiksrecht worden aangemerkt, ook niet als die onderdeel uitmaakt van de standaardvoorwaarden van een derde leverancier.50

Resellerconstructie met sublicentiemodel disproportioneel

Dat aanbestedende diensten niet zonder meer een constructie kunnen eisen waarbij resellers standaardprogrammatuur via een sublicentie van vendoren leveren, blijkt uit een kort geding voor de recht­bank Den Haag (ECLI:​NL:​RBDHA:​2025:27115).51 De Staat organiseert twee openbare aanbestedingsprocedures voor de levering van standaard­programmatuur en gerelateerde diensten, waaronder onderhoud. Hoewel vendoren de standaardprogrammatuur vervaardigen en daaraan gerelateerde dienst­verlening leveren, beoogt de Staat met de aanbestedingsprocedures raam­overeen­komsten te sluiten met een of meerdere resellers die van vendoren het recht hebben verworven softwarelicenties aan de Staat te verkopen. Volgens de voorzieningen­rechter konden de resellers niet anders begrijpen dan dat zij een licentie­overeen­komst moesten sluiten met een vendor om deze vervolgens via een sublicentie aan de Staat te leveren, onder toepassing van Arbit-2022.52 In het kort geding overleggen de resellers verklaringen van tientallen vendoren die betogen niet mee te willen werken aan het door de Staat uitgevraagde model van sub­licentiëring. Op de tweedehandsmarkt worden bovendien geen licenties met onderhouds­contract aangeboden. De voorzieningen­rechter stelt daarom vast dat de resellers na inschrijving niet kunnen leveren waartoe zij op grond van de uitvraag en daarop gebaseerde offerteaanvragen gehouden zijn. Het een en ander leidt tot de conclusie dat het uitvragen in de onderhavige aanbestedingen van het gehanteerde sublicentiemodel strijdig is met het proportionaliteitsbeginsel. Voor zover de Staat wenst vast te houden aan dit model moet hij in de aanbestedingsstukken op basis van marktonderzoek inzichtelijk maken dat er onder vendoren bereidheid bestaat op basis van dit model zaken te doen, en dient hij de aanbestedingsstukken transparanter te maken. Tot dat moment moet de Staat de aanbestedingen staken.53

De auteurs zijn allen advocaat in het technologieteam van Kennedy Van der Laan te Amsterdam.

Noten

  1. Zie de vele nieuwsberichten over dit onderwerp, zoals: https://​nos.nl/​artikel/​2569697-kabinet-wil-geen-harde-regels-voor-overheidsgebruik-amerikaanse-clouds, https://​nos.nl/​artikel/​2591400-blijft-digid-veilig-of-worden-we-kwetsbaar-als-solvinity-in-amerikaanse-handen-komt en https://​www.rijksoverheid.nl/​actueel/​nieuws/​2025/​12/​12/​nieuwe-visie-legt-fundament-voor-een-autonome-en-soevereine-digitale-overheid.

  2. https://​www.advocatenorde.nl/​voor-advocaten/​digitalisering-ai/​aan­bevelingen-ai-de-advocatuur.

  3. Zie bijvoorbeeld Rb. Noord-Nederland 19 november 2025, ECLI:​NL:​RBNNE:​2025:4814 en https://​nos.nl/​artikel/​2603525-advocaten-krijgen-waarschuwing-en-moeten-op-cursus-na-verkeerd-gebruik-ai.

  4. Wij zijn genoodzaakt een selectie te maken, zowel waar het de zaken als de onderwerpen betreft. Jurisprudentie die interessant kan zijn maar het niet gered heeft tot deze Kroniek is bijvoorbeeld: i) Hof Arnhem-Leeuwarden 19 november 2024, ECLI:​NL:​GHARL:​2024:7033; ii) Hof ’s‑Hertogenbosch 19 augustus 2025, ECLI:​NL:​GHSHE:​2025:2269; iii) Rb. Rotterdam 3 september 2025, ECLI:​NL:​RBROT:​2025:12419; iv) Rb. Amsterdam 15 januari 2025, ECLI:​NL:​RBAMS:​2025:507; v) Rb. Amsterdam 15 januari 2025, ECLI:​NL:​RBAMS:​2025:197; vi) Rb. Midden-Nederland 11 juni 2025, ECLI:​NL:​RBMNE:​2025:2811; vii) Rb. Noord-Nederland 20 mei 2025, ECLI:​NL:​RBNNE:​2025:2589, viii) Hof ’s‑Hertogenbosch 19 augustus 2025, ECLI:​NL:​GHSHE:​2025:2269; ix) Hof Arnhem-Leeuwarden 21 oktober 2025, ECLI:​NL:​GHARL:​2025:6520; x) Rb. Midden-Nederland 11 juni 2025, ECLI:​NL:​RBMNE:​2025:2811 en Gerecht in Eerste Aanleg van Aruba 19 november 2025, ECLI:​NL:​OGEAA:​2025:347. Onderwerpen als privacy, IE en e‑commerce laten wij buiten beschouwing.

  5. Hof Den Haag 15 juli 2025, ECLI:​NL:​GHDHA:​2025:1751 (SDL/​Staat der Nederlanden).

  6. R.o. 6.5, 6.7 en 6.14 (SDL/​Staat der Nederlanden).

  7. Rb. Midden-Nederland 29 oktober 2025, ECLI:​NL:​RBMNE:​2025:6381 (Nailbar/​Leverancier).

  8. R.o. 3.3-3.5 (Nailbar/​Leverancier).

  9. Rb. Noord-Holland 23 december 2025, ECLI:NL:RBNHO:15321 (De Nederlandse/​DHS).

  10. R.o. 4.2-4.13 (De Nederlandse/​DHS).

  11. Rb. Midden Nederland 28 mei 2025, ECLI:​NL:​RBMNE:​2025:3067 (Eisers/​Gedaagde).

  12. R.o. 3.5, 3.7-3.11 en 3.20-3.23 (Eiseres/ Gedaagde).

  13. Rb. Oost-Brabant 12 juli 2023, ECLI:NL:2023:3581 (Verano/​GAC I).

  14. R.o. 5.4 (Verano/​GAC I).

  15. Conclusie P-G Valk 18 oktober 2024, ECLI:​NL:​PHR:​2024:1072 (Allsafe/​Smartconnections). Zie ook uitgebreider de Kroniek IT-Recht 2024, Adv.bl. 2025/​03.

  16. Hof ’s‑Hertogenbosch 17 december 2024, ECLI:NL:2024:4059 (GAC/​Verano II).

  17. R.o. 3.6,6, 3.7.1-3.7.3, 3.9.6 en 3.11.1-3.11.6 (GAC/​Verano II). Het hof verwijst in het kader van de overwegingen over de verwachtingen ontleend aan kostenramingen ook naar: Hof Arnhem-Leeuwarden 11 mei 2022, ECLI:​NL:​GHARL:​2022:3667 (Kabel-Zaandam/​Columbus).

  18. Conclusie P-G Assink 16 januari 2026, ECLI:​NL:​PHR:​2026:93.

  19. Hoge Raad 13 maart 2026, ECLI:​NL:​HR:​2026:402 (GAC/​Verano III).

  20. Hof Amsterdam 10 juni 2025, ECLI:​NL:​GHAMS:​2025:1532 (Certscanner/​MyBit).

  21. R.o. 5.7, 5.8 en 5.10 (Certscanner/​MyBit).

  22. Hof Arnhem-Leeuwarden 6 mei 2025, ECLI:​NL:​GHARL:​2025:2757 (Aegon/​Topicus).

  23. R.o. 5.12-5.18 en 5.20 (Aegon/​Topicus).

  24. Rb. Overijssel 16 april 2025, ECLI:​NL:​RBOVE:​2025:2459 (MST/​Solix).

  25. R.o. 5.5-5.9, 5.15-5.19 en 5.27 (MST/​Solix).

  26. Rb. Zeeland-West-Brabant 29 oktober 2025, ECLI:​NL:​RBZWB:​2025:7993 (Agro IT/​afnemer).

  27. R.o. 4.5-4.9 (Agro IT/​afnemer).

  28. Over de vraag of redelijk loon verschuldigd is na een opzegging werd een aantal uitspraken gewezen. Zie naast de in deze Kroniek besproken zaak MST/​Solix: Rb. Midden Nederland 15 januari 2025, ECLI:​NL:​RBMNE:​2025:84 (Afnemer/​Leverancier) en Rb. Amsterdam, 12 maart 2025, ECLI:​NL:​RBAMS:​2025:1620 (Cimico/​GLT).

  29. Rb. Oost-Brabant 11 juni 2025, ECLI:​NL:​RBOBR:​2025:3418 (2Work/​Kompas Zuidlaren).

  30. R.o. 4.5-4.9 (2Work/​Kompas Zuidlaren).

  31. Zie ook Rechtbank Amsterdam 7 december 2023, ECLI:​NL:​RBAMS:​2023:7937 (KPN/​Broadcom) en daarover uitgebreider de Kroniek IT-Recht 2024, Adv.bl. 2025/​03.

  32. Rechtbank Den Haag 27 juni 2025, ECLI:​NL:​RBDHA:​2025:11349 (RWS/​Broadcom).

  33. R.o. 4.3-4.9, 4.11 (RWS/​Broadcom).

  34. Hof Arnhem-Leeuwarden 25 februari 2025, ECLI:​NL:​GHARL:​2025:1046 (Hof van Twente/​Switch II).

  35. Rb. Overijssel 15 mei 2023, ECLI:​NL:​RBOVE:​2023:1731 (Hof van Twente/​Switch I). Over dit vonnis schreven wij ook in de Kroniek IT-recht 2024, Adv.bl. 2025/​03.

  36. R.o. 5.7 (Hof van Twente/​Switch II).

  37. R.o. 5.7, 5.16-5.18, 5.20-5.22 en 5.24-5.29 (Hof van Twente/​Switch II).

  38. In deze procedure vertegen­woordigd door een voormalig aandeelhouder aan wie de vorderingen van het inmiddels gefailleerde Equihold zijn overgedragen.

  39. Hof Den Haag 14 januari 2025, ECLI:​NL:​GHDA:​2025:10 (Equihold/​Capgemini).

  40. Hoge Raad 11 oktober 2019, ECLI:​NL:​HR:​2019:1581 (Fraanje/​Alukon).

  41. R.o. 7.16-7.20, 7.23-7.40 (Equihold/​Capgemini).

  42. Rb. Amsterdam 3 juli 2025, ECLI:​NL:​RBAMS:​2025:4994 (Afnemer/​DTT).

  43. R.o. 4.5-4.9 (Afnemer/​DTT).

  44. Rb. Gelderland 23 juli 2025, ECLI:​NL:​RBGEL:​2025:11617 (Primedinners/​Media Artists).

  45. R.o. 4.14 (Primedinners/​Media Artists), onder verwijzing naar Hoge Raad 29 januari 2021, ECLI:​NL:​HR:​2021:153 (Bakker Bart).

  46. R.o. 4.8, 4.10-4.14, 4.16 en 4.18 (Primedinners/​Media Artists).

  47. Rb. Midden Nederland 15 januari 2025, ECLI:​NL:​RBMNE:​2025:84 (Afnemer/​Leverancier).

  48. R.o. 4.3-4.8 (Afnemer/​Leverancier).

  49. Rb. Den Haag 4 maart 2025, ECLI:​NL:​RBDHA:​2025:3645 (Capgemini/​Belasting­dienst).

  50. R.o. 5.5, 5.8 en 5.11 (Capgemini/​Belasting­dienst).

  51. Rb. Den Haag 23 december 2025, ECLI:​NL:​RBDHA:​2025:27115 (Protinus IT/​de Staat).

  52. Algemene Rijksinkoopvoorwaarden bij IT-overeen­komsten 2022.

  53. R.o. 5.5, 5.6 en 5.9 (Protinus IT/​de Staat).