Net als de rechtbank Overijssel komt het gerechtshof Arnhem-Leeuwarden tot de conclusie dat de cyberaanval op de gemeente Hof van Twente in 2020 niet het gevolg is van fouten van Switch IT Solutions. Switch IT Solutions en haar moederbedrijf Dustin Group zijn daarom niet aansprakelijk voor de schade die de gemeente door de cyberaanval heeft geleden. De vorderingen van de gemeente worden daarom ook in hoger beroep afgewezen.

De gemeente had haar systeembeheer en aanverwante ICT-beheerdienstverlening na een Europese aanbestedingsprocedure in 2018 uitbesteed aan Switch IT Solutions. Switch IT Solutions had als taak het systeembeheer en aanverwante ICT-beheerdienstverlening van de gemeente te verzorgen. De bestaande situatie met de ‘housing’ van de ICT-infrastructuur op locatie van de gemeente bleef daarbij gehandhaafd, in combinatie met de off-site opslag van een kopie van de back-up data. De ICT-beheerdienstverlening omvatte onder meer het borgen van de adequate werking van de systeemsoftware, back-up en restore van data, antivirusmaatregelen en firewallinrichting. Switch IT Solutions werd verantwoordelijk voor het configuratiebeheer van de servers, opslag en netwerkvoorzieningen. De gemeente bleef verantwoordelijk voor de overige apparatuur. De technisch applicatiebeheerders van de gemeente hielden daarbij volledige beheerrechten. De gemeente heeft uitdrukkelijk bedongen dat zij een eigen account behield, dat zij zelf beheerde om externe leveranciers toegang te kunnen geven tot haar netwerk. Aan dit account waren de hoogste beheerrechten gekoppeld. Tot de eisen van de gemeente behoorde verder dat zij 24/7 toegang had tot de back-ups.

Cyberaanval 2020
Op 1 december 2020 vond bij de gemeente een cyberaanval plaats. Daarbij zijn de systemen van het netwerk van de gemeente en de back-up versleuteld en ontoegankelijk gemaakt en vele servers verwijderd. Uit onderzoek na de cyberaanval is gebleken dat een jaar voor de aanval door een medewerker van de gemeente een regel in de firewall was aangepast, waardoor een zogeheten RDP-poort is opengezet die later een opening bleek naar de rest van het netwerk. Enkele weken voor de aanval was het wachtwoord van het gemeente-account gewijzigd in het eenvoudig te raden wachtwoord Welkom2020. Waarschijnlijk is daarna bij aanvallen van buitenaf het wachtwoord geraden. Omdat het account de hoogste rechten binnen het netwerk van de gemeente had, konden de aanvallers zich hierna vrij over het netwerk bewegen. Ook waren zij hierdoor in staat de back-ups te verwijderen.

Claim van de gemeente
De gemeente hield Switch IT Solutions verantwoordelijk voor het feit dat de cyberaanval heeft plaatsgevonden. De gemeente meende dat Switch IT Solutions is tekortgeschoten in de nakoming van haar contractuele verplichtingen, of in elk geval haar zorgplicht als ICT-beheerder heeft geschonden, waardoor de cyberaanval heeft kunnen plaatsvinden. Op grond daarvan vorderde de gemeente ontbinding van de overeenkomst, terugbetaling van wat zij op grond van de overeenkomst aan Switch IT Solutions heeft betaald en schadevergoeding. Zij richtte haar vorderingen ook tegen Dustin Group, de moedermaatschappij van Switch IT Solutions, op grond van een door Dustin Group afgelegde aansprakelijkheidsverklaring.

De rechtbank heeft de vorderingen van de gemeente afgewezen. De gemeente is in hoger beroep gegaan om haar vorderingen alsnog toegewezen te krijgen. Ook het gerechtshof komt tot de conclusie dat de vorderingen van de gemeente niet toewijsbaar zijn, omdat niet is gebleken dat Switch IT Solutions is tekortgeschoten in de nakoming van haar verplichtingen uit de overeenkomst, of haar zorgplicht tegenover de gemeente heeft geschonden.