ARNHEM – Het gerechtshof Arnhem-Leeuwarden heeft op 25 februari 2025 uitspraak gedaan in het hoger beroep dat de gemeente Hof van Twente heeft ingesteld tegen de vonnissen van de rechtbank Overijssel in de zaak tussen de gemeente enerzijds, en Switch IT Solutions B.V. en Dustin Group AB anderzijds over de cyberaanval bij de gemeente in 2020.
Net als de rechtbank komt het gerechtshof tot de conclusie dat de cyberaanval niet het gevolg is van fouten van Switch IT Solutions. Switch IT Solutions en haar moederbedrijf Dustin Group zijn daarom niet aansprakelijk voor de schade die de gemeente door de cyberaanval heeft geleden. De vorderingen van de gemeente worden daarom ook in hoger beroep afgewezen, meldt de rechtbank.
De gemeente heeft haar systeembeheer en aanverwante ICT-beheerdienstverlening na een Europese aanbestedingsprocedure in 2018 uitbesteed aan Switch IT Solutions. Switch IT Solutions had als taak het systeembeheer en aanverwante ICT-beheerdienstverlening van de gemeente te verzorgen. De bestaande situatie met de ‘housing’ van de ICT-infrastructuur op locatie van de gemeente bleef daarbij gehandhaafd, in combinatie met de off-site opslag van een kopie van de back-up data.
De ICT-beheerdienstverlening omvatte onder meer het borgen van de adequate werking van de systeemsoftware, back-up en restore van data, antivirusmaatregelen en firewallinrichting. Switch IT Solutions werd verantwoordelijk voor het configuratiebeheer van de servers, opslag en netwerkvoorzieningen. De gemeente bleef verantwoordelijk voor de overige apparatuur. De technisch applicatiebeheerders van de gemeente hielden daarbij volledige beheerrechten.
De gemeente heeft uitdrukkelijk bedongen dat zij een eigen account behield, dat zij zelf beheerde om externe leveranciers toegang te kunnen geven tot haar netwerk. Aan dit account waren de hoogste beheerrechten gekoppeld. Tot de eisen van de gemeente behoorde verder dat zij 24/7 toegang had tot de back-ups.
Op 1 december 2020 vond bij de gemeente een cyberaanval plaats. Daarbij zijn de systemen van het netwerk van de gemeente en de back-up versleuteld en ontoegankelijk gemaakt en vele servers verwijderd. Uit onderzoek na de cyberaanval is gebleken dat een jaar voor de aanval door een medewerker van de gemeente een regel in de firewall was aangepast, waardoor een zogeheten RDP-poort is opengezet die later een opening bleek naar de rest van het netwerk.
Enkele weken voor de aanval was het wachtwoord van het gemeente-account gewijzigd in een eenvoudig te raden wachtwoord. Waarschijnlijk is daarna bij aanvallen van buitenaf het wachtwoord geraden. Omdat het account de hoogste rechten binnen het netwerk van de gemeente had, konden de aanvallers zich hierna vrij over het netwerk bewegen. Ook waren zij hierdoor in staat de back-ups te verwijderen.
Claim van de gemeente tegen Switch IT Solutions en Dustin Group
De gemeente houdt Switch IT Solutions verantwoordelijk voor het feit dat de cyberaanval heeft plaatsgevonden. De gemeente meent dat Switch IT Solutions is tekortgeschoten in de nakoming van haar contractuele verplichtingen, of in elk geval haar zorgplicht als ICT-beheerder heeft geschonden, waardoor de cyberaanval heeft kunnen plaatsvinden.
Op grond daarvan vordert de gemeente ontbinding van de overeenkomst, terugbetaling van wat zij op grond van de overeenkomst aan Switch IT Solutions heeft betaald en schadevergoeding. Zij richt haar vorderingen ook tegen Dustin Group, de moedermaatschappij van Switch IT Solutions, op grond van een door Dustin Group afgelegde aansprakelijkheidsverklaring.
De rechtbank heeft de vorderingen van de gemeente afgewezen. De gemeente is in hoger beroep gegaan om haar vorderingen alsnog toegewezen te krijgen. Ook het gerechtshof komt tot de conclusie dat de vorderingen van de gemeente niet toewijsbaar zijn, omdat niet is gebleken dat Switch IT Solutions is tekortgeschoten in de nakoming van haar verplichtingen uit de overeenkomst, of haar zorgplicht tegenover de gemeente heeft geschonden.