De rechtbank in Amsterdam heeft geoordeeld dat de oud-eigenaren van Diginotar in ieder geval de verkoopsom van 3,4 miljoen euro plus rente moeten terugbetalen aan Vasco. Voor een verdere vergoeding moet de Amerikaanse leverancier van ict-beveiligingsoplossingen een schadestaatprocedure starten. Vasco kocht Diginotar begin 2011, maar na de beruchte hack in de zomer van datzelfde jaar ging de Beverwijkse ontwikkelaar van Diginotar ten onder. Vasco bleek een kat in de zak te hebben gekocht en stelde de ex-eigenaren in december 2012 aansprakelijk voor de geleden schade.
Op 10 januari 2011 werden alle aandelen in Diginotar door Diginotar Holding (later Ratonigid) verkocht en overgedragen aan Vasco. De bestuurders Dick Batenburg en Tony de Bos waren via hun vennootschappen bestuurders en aandeelhouders van Diginotar. De koopprijs voor de aandelen bedroeg 3,7 miljoen euro. Een deel van de koopprijs was afhankelijk van het in 2011 door DigiNotar te behalen brutoresultaat. In dat kader sloten partijen een escrow-overeenkomst waarbij een deel van de koopsom (1,4 miljoen euro) op de rekening van een notaris werd gestald.
Nadat het door de hack vreselijk misging bij Diginotar, en het bedrijf uiteindelijk failliet ging, stelde Vasco de Ratonigid-holding aansprakelijk op grond van een schending van de garantie in de aandelenkoopovereenkomst. Eind 2012 eiste het bedrijf een schadeloosstelling van in totaal zo’n twaalf miljoen euro.
Garantieschending
De Amsterdamse rechtbank oordeelt dat er inderdaad sprake is van garantieschendingen en dat de verkoper de schade die de koper hierdoor lijdt, moet vergoeden. De schade bestaat ten minste uit de koopprijs van de aandelen. Volgens de rechtbank heeft Diginotar nagelaten om zijn systemen afdoende te beveiligen om een inbraak zoals die zich in de zomer van 2011 voordeed, te voorkomen (zoals gegarandeerd in de aandelenkoopovereenkomst). In de uitspraak constateert de rechter dat Ratonigid al in 2009 door beveiligingsexperts op tekortkomingen in de beveiliging van het Diginotar-netwerk was gewaarschuwd, zoals voor het onversleuteld opslaan van wachtwoorden en credentials en de kwetsbaarheden in de oudere versies van DotNetNuke, maar dat de bestuurders geen verbeteringen hebben doorgevoerd.
Naast het terugvorderen van de koopsom (met rente) eist Vasco een aanvullende schadevergoeding, onder meer wegens derving van toekomstige winsten en rechtsbijstandskosten. Het bedrijf schat zelf in dat de gederfde winst tot en met 2014 ruim zeven miljoen euro bedraagt. Voor een vaststelling van deze post ‘overige schade’ verwijst de rechtbank Vasco door naar het opstarten van een schadestaatprocedure.
Raadsvrouw Eveline Kruisifikx van advocatenkantoor DVDW Advocaten, die namens Ratonigid en de vennootschappen van de oud-bestuurders Dick Batenburg en Tony de Bos optreedt, zegt dat cliënten zich niet kunnen vinden in het vonnis en overwegen in hoger beroep te gaan.
Als ik vanuit perspectief redeneer is constatering dat in 2009 al bekend was dat er kwetsbaarheden waren dan lijken me er enige politieke consquenties te trekken uit het feit dat Donner c.s. regelrecht falen te verwijten valt. Tenslotte had Diginotar toch een verklaring van goedkeuring van de OPTA, twee jaar langer dus dan blijkbaar gerechtvaardigd was. Een reconstructie van webwereld laat namelijk een heel ander beeld zien, Vasco lijkt me dus ook verwijtbaar als ik overweeg dat het allemaal niet ‘rozengeur en maneschijn’ was:
http://webwereld.nl/beveiliging/93-de-opkomst-en-ondergang-van-diginotar
Kan er natuurlijk ontzettend naast zitten maar als ik overweeg dat bij de minste of geringste aanbesteding hele financiële handel en wandel geopenbaard moet worden is het opmerkelijk dat uit stukken van KvK blijkt dat Diginotar alleen maar rode cijfers schreef. Ik insinueer niets maar dat werpt toch een heel ander licht op de situatie, als alle lichten op rood staan is het namelijk wachten op de klap.
@Ewout
Je lijkt er iets te gemakkelijk van uit te gaan dat alle informatie (“dat in 2009 al bekend was dat er kwetsbaarheden waren”) ook openbaar beschikbaar is. Hier kun je je de vraag stellen wie er heeft geconstateerd dat er kwetsbaarheden waren en aan wie dat vervolgens is gemeld. Wanneer dat geheel binnen de organisatie van Diginotar viel (of in opdracht van Diginotar is uitgevoerd), was het voor hen eenvoudig om dit ‘onder de pet’ te houden. Er valt dan anderen buiten Diginotar niet zomaar iets te verwijten op basis van deze informatie.
@Philippe
Ik ga er niet vanuit dat alle informatie openbaar is, het gaat meer om de puntjes met elkaar verbinden om het plaatje compleet te maken en in te kleuren. Google is hier je vriend want er is ondertussen veel geanalyseerd maar hier bij Computable vrij weinig over gepubliceerd. Zie wat dat betreft ook de links die ik in reactie bij een andere opinie over dit onderwerp geplaatst heb. Het euvel is namelijk inderdaad gemak, het gemak van alle spelers in dit verhaal wat leidde tot een debacle dat vertrouwen van de burgers in de digitale dienstverlening van de overheid in elk geval geen goed heeft gedaan.
Rapport onderzoeksraad verwijt bijvoorbeeld ook Logius en bestuurders overheidsorganisaties want deze hebben onvoldoende verantwoordelijkheid genomen. Politieke olifantenpaadjes zorgen ervoor dat vertrouwen als sex is, iedereen wil het hebben maar niemand wil de consequenties ervan aanvaarden. Baseer me dus niet op de summiere informatie die Computable geeft en kom in stukken vaak zinsnede: “mede in verband met de hoge kosten” tegen wat mogelijk root cause kan zijn. Bestuurlijke arrogantie kost dan ook steeds vaker en meer geld, de ‘niet goed, geld terug’ garantie hebben belastingbetalers namelijk niet. Toezichthouders schieten tekort in hun taken omdat ze het bed delen met de spelers die ze moeten controleren. En als de slager zijn eigen vlees gaat keuren dan weet niemand meer wat er precies in de worst zit om de woorden van Donner te gebruiken.
Aanbevelingen van onderzoeksraad lijken tenslotte nog niet echt ter harte genomen als ik kijk naar NZa dossier, het zijn dan ook geen incidenten meer waar we over praten maar problemen.