Telecomprovider is niet aansprakelijk voor hacken van bedrijfstelefooncentrales

Bedrijven die de beveiliging van hun telefooncentrales verwaarlozen moeten de financiële consequenties daarvan zelf dragen. Dat is de uitkomst van een rechtszaak (lees hier de volledige uitspraak) die diende tussen KPN en een tweetal telefoonpartners in de rechtbank Rotterdam.

Tussen KPN en een van de partijen bestond een overeenkomst op grond waarvan KPN een telefoonverbinding aan de partij leverde tegen betaling van onder meer de kosten van het gebruik van de telefoonverbinding. De voornoemde telefoonverbinding was aangevraagd voor Telefoonaanname B.V. Deze onderneming was ten tijde van de aanvraag in oprichting. Telefoonaanname beantwoordt en verwerkt via haar callcenter telefoonverkeer in opdracht van bedrijven en koppelt dit telefoonverkeer ook terug aan het desbetreffende bedrijf. Ten behoeve van die callcenteractiviteiten is Trends Telematics ingeschakeld voor de aanschaf, het inrichten en het onderhouden van de telefooncentrale. Trends Telematics heeft bij KPN telefoonlijnen en telefoonnummers voor de telefooncentrale aangevraagd op naam van de gedupeerde partij. De telefooncentrale van Telefoonaanname bevat 500 voicemailboxen met eigen codes, waardoor klanten van Telefoonaanname van buitenaf naar het eigen nummer kunnen bellen om voicemailberichten af te luisteren. De code voor het afluisteren van die berichten is bij de ingebruikname van een voicemailbox altijd standaard.

Inbraak

Op 27 september 2009 en 28 september 2009 is er via een van de voicemailboxen van Telefoonaanname ingebroken in de telefooncentrale. KPN heeft op 28 september 2009 een flinke toename in het telefoonverkeer van Telefoonaanname geconstateerd. Er is op die dagen vooral gebeld naar 0900-nummers in Liechtenstein en België. Diezelfde dag heeft KPN telefonisch contact opgenomen met de gedupeerde partij en haar geïnformeerd over de extreme toename van het telefoonverbruik. Trends Telematics heeft op 28 september 2009 de ingang in de telefooncentrale gedicht. KPN heeft aan de gedupeerde partij voor de periodieke en verbruikskosten een factuur toegezonden d.d. 27 oktober 2009 van in totaal 16.544,75 euro (inclusief btw). In dat bedrag zit begrepen een bedrag van 14.956,90 euro inclusief btw (12.568,83 euro exclusief btw) aan verbruikskosten voor internationale telefoongesprekken. De gedupeerde partij heeft de door KPN gefactureerde internationale belkosten van 12.568,83 euro (exclusief btw) tot op het moment van de rechtszaak onbetaald gelaten. Op 29 september 2009 heeft de partij bij de politie Rotterdam-Rijnmond aangifte gedaan van computercriminaliteit.

Vordering

KPN heeft bij dagvaarding gevorderd, de partij te veroordelen tot betaling van het onbetaald gelaten deel van de internationale belkosten ten bedrage van 12.568,83 euro, te vermeerderen met de wettelijke handelsrente vanaf datum dagvaarding tot aan de dag der algehele voldoening. Ondanks herhaalde aanmaningen bleef de partij in gebreke. Daarop heeft KPN zich genoodzaakt gezien haar vordering ter incasso uit handen te geven. KPN stelde tijdens de rechtszaak geen zorgplicht te hebben jegens de gedupeerde partij. KPN informeert haar klanten uit eigen beweging geregeld over de risico’s van fraude. Als voorbeeld noemt KPN een door haar overgelegde nieuwsbrief die zij volgens haar ook naar de gedupeerde heeft gezonden. Ook biedt KPN haar klanten een zogenoemde security check aan en is er een website ingericht teneinde klanten te informeren over fraude met telefooncentrales. KPN speurt ook kosteloos naar opvallende of extreme toenames in telefoonverkeer. Bovendien informeert zij haar klanten dienaangaande wanneer dat nodig lijkt. Zo er al een zorgplicht op KPN rust, heeft zij die zorgplicht niet geschonden. KPN heeft alles gedaan wat in redelijkheid van haar verwacht kon worden. KPN kan niet voorkomen dat er misbruik wordt gemaakt van (wachtwoorden van) telefooncentrales.

Zorgplicht

De tegenpartij stelde dat KPN tekort is geschoten in de op haar rustende zorgplicht om de gedupeerde partij te informeren over de risico’s van het gebruik van een telefooncentrale en van de mogelijkheid tot het hacken van een telefooncentrale. Het (financiële) belang van KPN bij ongewenst telefoonverkeer via telefooncentrales is vele malen groter dan het belang van de contractant bij continuering van ongewenste gesprekken. De door KPN overgelegde nieuwsbrief had de gedupeerde partij volgens eigen zeggen niet ontvangen. KPN zou ten aanzien van haar zorgplicht jegens de gedupeerde partij niet alles hebben gedaan wat in redelijkheid van haar verwacht kon worden. KPN zou pas op maandag 28 september 2009 contact hebben opgenomen met de gedupeerde partij, terwijl reeds vanaf zaterdagnacht vanuit de telefooncentrale van de gedupeerde partij ongewenst telefoonverkeer plaatsvond. De extreme toename van telefoonverkeer zou in een (te) laat stadium aan de gedupeerde zijn doorgegeven. In dit geval zou KPN niet gerechtigd zijn om de kosten van het ongewenste telefoonverkeer tegen het normale tarief bij de gedupeerde partij in rekening te brengen, nu het schadeveroorzakende feit niet aan de partij valt toe te rekenen. De gedupeerde partij kon de geleden schade niet verhalen op de hackers, omdat zij niet traceerbaar waren.

Codes

Verder stelde de gedupeerde partij dat Trends Telematics toerekenbaar tekort is geschoten in de nakoming van de overeenkomst, doordat zij heeft nagelaten om bij de installatie van de telefooncentrale zorg te dragen voor beveiligde codes en doordat zij niet heeft gewezen op het wijzigen van de beveiligingscodes. De gedupeerde partij had volgens eigen zeggen geen kennis van de hard- en software die benodigd is om haar telefoondiensten te kunnen verlenen. De gedupeerde partij had van Trends Telematics mogen verwachten dat zij als professional van de aanpassing van beveiligingscodes op een door haar geleverde en geïnstalleerde telefooncentrale op de hoogte is. Het beveiligen van de codes van de voicemailboxen behoort tot de installatiewerkzaamheden waarvoor Trends Telematics was ingeschakeld. Trends Telematics zou derhalve aansprakelijk zijn voor de door de gedupeerde partij geleden schade.

Monitoren

Tussen partijen staat vast dat de extreme toename van internationale gesprekken naar Liechtenstein en België op 27 en 28 september 2009 heeft plaatsgevonden en dat KPN in het kader van het monitoren van het telefoonverkeer meteen op maandagochtend 28 september 2009 contact met de gedupeerde partij heeft opgenomen en haar heeft gewaarschuwd. Door die handelwijze van KPN heeft de gedupeerde partij vervolgens meteen actie kunnen ondernemen door het gat in de telefooncentrale te laten dichten en is het ontstaan van meer schade voorkomen. Daarnaast heeft KPN onweersproken gesteld dat zij haar klanten met een telefooncentrale op verschillende manieren informeert over het risico van hacken, zoals via nieuwsbrieven, een speciale website en de media. Het verweer van de gedupeerde partij dat zij de door KPN overgelegde nieuwsbrief niet heeft ontvangen, wordt door de rechter verworpen. KPN heeft immers onbetwist gesteld dat zij haar klanten behalve via de reguliere post ook via internet en de media voor misbruik van telefooncentrales waarschuwt.

Eigen verantwoordelijkheid

Bovendien geldt volgens de rechtbank dat de gedupeerde partij als (mede)bestuurder van de telefooncentrale ook een eigen verantwoordelijkheid heeft ten aanzien van het voorkomen van misbruik van die telefooncentrale, in die zin dat zij zich voor de ingebruikname van de telefooncentrale zo goed mogelijk had moeten laten informeren over eventuele beveiligingsrisico’s van een dergelijke centrale en daar ook zelf onderzoek naar had moeten doen. Gelet hierop moet worden geconcludeerd dat KPN alles heeft gedaan wat in redelijkheid van haar verwacht kon worden om de gedupeerde partij over het exploiteren van een telefooncentrale en de risico’s die daarmee gepaard kunnen gaan, te informeren. Het verweer van de gedupeerde partij dat KPN ten tijde van de constatering van het afwijkende telefoongebruik onmiddellijk de verbinding had moeten verbreken, wordt door de rechtbank verworpen. Op dat moment was de oorzaak van dat verbruik bij KPN immers (nog) niet bekend en beschikte KPN niet over een noodnummer waarop de contactpersoon te bereiken was.

Noodnummer

De stelling dat het vragen van een noodnummer aan nieuwe klanten onder de zorgplicht van KPN valt, wordt eveneens door de rechtbank verworpen. Ter zitting is namens KPN immers verklaard dat zij hebben gekozen voor het aanbieden van de service dat klanten worden geïnformeerd indien afwijkend telefoonverbruik wordt geconstateerd. Het stond de gedupeerde partij ook vrij om KPN uit eigen beweging een noodnummer te geven waarop zij te bereiken was. Uit de bovengenoemde omstandigheden volgt dat KPN haar zorgplicht, zo die in dit geval al bestaat, jegens de gedupeerde partij niet heeft geschonden. Dit was wellicht anders geweest indien KPN de gedupeerde partij in het geheel niet of pas veel later zou hebben gewaarschuwd. Daarvan was in dit geval echter geen sprake. De voornoemde omstandigheden vormen volgens de rechter geen aanleiding om de gevorderde verbruikskosten te matigen. Dat het schadeveroorzakende feit niet aan de gedupeerde partij is toe te rekenen doet, indien dit al juist is, immers niets af aan de contractuele verplichting van de gedupeerde partij om verbruikskosten van haar telefooncentrale aan KPN te betalen. Ditzelfde geldt voor de stelling dat de gedupeerde partij de schade niet kan verhalen op de hackers van de telefooncentrale. Deze omstandigheid kan KPN in ieder geval niet worden aangerekend en dient geheel voor risico van de gedupeerde partij als eigenaar van de telefooncentrale te komen. Een en ander leidt tot de conclusie dat de gedupeerde partij betaling van de door KPN gevorderde internationale verbruikskosten van 12.568,83 euro aan KPN is verschuldigd. Dit bedrag en daar bovenop de wettelijke rente per 18 november 2009 worden dan ook toegewezen.

Bedrijven die worden geconfronteerd met een hack van hun bedrijfstelefooncentrale worden al snel geconfronteerd met enorme schadeposten die kunnen oplopen tot tienduizenden euro's per geval. Eigenaren van telefooncentrales hebben nadrukkelijk een eigen verantwoordelijkheid ten aanzien van het voorkomen van misbruik van diezelfde telefooncentrales. Zij moeten zich voor de ingebruikname van de telefooncentrale zo goed mogelijk laten informeren over eventuele beveiligingsrisico’s van een dergelijke centrale en daar ook zelf onderzoek naar doen. Zij kunnen zich niet zomaar verschuilen achter de zorgplicht van de telecomproviders.

 

 

 

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

Magazine

BTG in Business - Voorjaar 2022
Lees de laatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.