1. INLEIDING
Dure lading die in de logistieke keten door vele handen gaat. Het is voor criminelen een (vaak te) aanlokkelijke gelegenheid om de lading in hun handen te krijgen. Diefstal van lading is van alle tijden, maar ook criminelen zijn innovatief en vinden steeds weer nieuwe manieren om lading te stelen of ‘digitaal in te breken’, om zo uiterst vertrouwelijke gegevens in handen te krijgen.
‘Cybercrime’ is criminaliteit met ICT als middel én doelwit (1). Het zijn computers die het doelwit zijn van de criminele activiteiten (2). Cybercriminaliteit krijgt veel aandacht van - onder meer - het Openbaar Ministerie, de overheid, brancheorganisaties, verzekeraars en uiteraard de spelers in de logistieke keten zelf. Terecht, want deze vorm van criminaliteit vormt een grote financiële en juridische bedreiging voor verladers, vervoerders en hun verzekeraars.
In deze bijdrage staat centraal de aansprakelijkheid van spelers in de transport- en logistieksector voor schade als gevolg van cybercriminaliteit. Ook wordt aandacht besteed aan de vraag hoe aansprakelijkheid kan worden voorkomen: ‘cybersecurity’.
2. RECENTE VOORBEELDEN VAN CYBERCRIMINALITEIT
Een bekend voorbeeld van cybercriminaliteit vindt plaats op de vrachtuitwisselingssites, zoals Teleroute en Timocom. Voor verladers, vervoerders en hun verzekeraars doemen hier risico’s op, die eerder ook aan de orde kwamen tijdens het SVA-congres 2012 (3) en in Weg en Wagen (4).
De meest voor de hand liggende voorbeelden zijn:
Verlader V biedt een lading aan, waarop een persoon reageert, die zich voordoet als een legitieme, bestaande vervoerder T. Deze persoon haalt de lading op en vervolgens ontbreekt van zowel de dief als de lading ieder spoor.
Verlader V biedt een lading aan, waarop Vervoerder T reageert. T besteedt het transport uit aan een ondervervoerder. Daar waar T denkt met een legitieme, bestaande ondervervoerder O te maken te hebben, is het in feite een fraudeur die zich als O voordoet. Ook hier wordt van de lading nimmer iets terug gezien. Wanneer T zich meldt bij O, blijkt niemand daar uiteraard kennis te hebben van een transportopdracht.
In het eerste scenario heeft V geen contractuele wederpartij om aansprakelijk te stellen. Wordt de dief gepakt, dan kan V de schade trachten te verhalen op deze dief, met een vordering uit onrechtmatige daad. In de praktijk blijkt regres vaak illusoir.
V kan aangifte van diefstal of oplichting doen. V zal de diefstal melden bij zijn goederenverzekeraar. Indien onder de polis wordt uitgekeerd, is regres daarna vaak een brug te ver.
In het tweede scenario zal V vervoerder T aansprakelijk stellen. Op de rechtspositie van T wordt hierna inhoudelijk ingegaan. Een derde voorbeeld is uitvoerig belicht in diverse publicaties (5) en onderwerp geweest van uitgebreid onderzoek door het Openbaar Ministerie. De internetsites van twee containerterminals in de Antwerpse haven werden gehackt door criminelen.
Ook hadden de criminelen de computers van rederijen en expediteurs op het oog. Er werd kwaadaardige software geïnstalleerd via een bijlage bij een verzonden email. De software zorgde ervoor dat screenshots werden gemaakt van de schermen bij de terminals, welke screenshots vervolgens werden doorgezonden naar de externe server van de criminelen.
Zij waren uit op in containers verstopte drugs. Containers werden ontvreemd, teneinde de drugs eruit te vissen.
3. CIJFERS
De omvang van cybercriminaliteit en de daardoor veroorzaakte schade is zorgwekkend en substantieel. Het Cybersecuritybeeld Nederland is leidend als het gaat om inzicht in de problematiek van cyber security (6.) Uit het Cybersecuritybeeld Nederland 2015 volgt dat cybercrime en digitale spionage de grootste bedreigingen blijven voor de digitale veiligheid in Nederland.
Het is lastig hier voor de transport- en logistieksector harde cijfers aan te koppelen. Maar: het Centre for Strategic and International Studies (7) schatte de schade veroorzaakt door cybercrime in Nederland op 1,5% van ons BNP, zo’n EUR 8,8 miljard.
Als gekeken wordt naar de ladingschade in Nederland, beloopt de schade voor de sector jaarlijks zo’n EUR 350 miljoen (8.) Het goede nieuws hierbij is dat het aantal ladingdiefstallen in Nederland in 2015 met 20% gedaald is ten opzichte van 2014.
Maar dat is helaas niet de Europese trend, waar juist een stijging te zien is (9). Overigens zijn deze cijfers gebaseerd op aangiftes.
Enerzijds is er de directe schade door verlies van lading. Anderzijds is er, en dat wordt al snel vergeten, schade wegens het verlies van klanten/opdrachtgevers, of is er reputatieschade die moeilijk te berekenen is. Ook is denkbaar dat er na een ‘aanval’ sprake is van tijdelijke bedrijfsstilstand. Kortom: tal van bedreigingen, met schade als gevolg.
4. RECENTE RECHTSPRAAK OVER AANSPRAKELIJKHEID VERVOERDER
De vraag is niet zo zeer of cybercriminaliteit tot aansprakelijkheid in de logistieke keten leidt. Dat is al snel het geval. Laten we aan de hand van recente rechtspraak kort in kaart brengen hoe die aansprakelijkheid wordt beoordeeld door rechters.
4.1 ‘Gestolen Malibu’
Een in kringen van vervoerrechtspecialisten veel besproken geval van cybercriminaliteit, dat aan de rechter werd voorgelegd, betreft de volgende casus:
Afzender Pernod Ricard geeft opdracht aan vervoerder Verhoeven tot vervoer over de weg van Spanje naar Nederland van een lading bestaande uit flessen Malibu. Verhoeven besteedt het transport uit aan ondervervoerder Schavemaker, die op haar beurt weer een ondervervoerder zoekt én denkt te vinden op Teleroute: Roger Transport. Hier gaat het fout. Alhoewel de Belgische onderneming Roger Transport daadwerkelijk bestaat, zijn het de dieven die zich voordoen als Roger Transport die de lading in Spanje in ontvangst nemen en er met de lading vandoor gaan (10).
Een CMR-vervoerder is aansprakelijk voor de daden van ondergeschikten (zoals de chauffeur) en van alle andere personen, van wie hij zich voor de bewerkstelliging van het vervoer bedient. Daarbij is wel bepaald dat al deze personen handelden in de uitoefening van hun werkzaamheden.
Dit volgt uit artikel 3 CMR. Indien deze personen de lading stelen, gaat een beroep op de CMR-limiet niet op. Artikel 29 CMR sluit dat immers uit. Tussen Schavemaker en Pernod Ricard ontspon zich in deze procedure bij rechtbank en Hof een uitgebreid debat over de vraag of Schavemaker nu wel aansprakelijk was voor de daden van de dieven. Immers, zo stelde Schavemaker, zij had willen contracteren met Roger Transport en zeker niet met de dieven die zich op Teleroute hadden voorgedaan als Roger Transport. De dieven waren niet de personen die Schavemaker voor de bewerkstelliging van het vervoer op het oog had.
Het Hof is duidelijk als het gaat om de vervoerdersaansprakelijkheid. Volgens het Hof stond vast dat Schavemaker de vervoeropdracht had aangenomen en dat zij het vervoer niet zelf had uitgevoerd, maar daartoe een ander had ingeschakeld. In zoverre had Schavemaker zich dus van die ander bediend in de zin van artikel 3 CMR en daarmee werden ingevolge artikel 3 CMR de daden en nalatigheden van die ander(en) toegerekend aan Schavemaker, uiterlijk vanaf het moment waarop in Spanje de goederen werden afgehaald en in ontvangst genomen. Het Hof zegt vervolgens dat het daarbij niet ter zake doet dat deze ander, met wie Schavemaker contact legde via Teleroute en van wie Schavemaker zich aldus heeft bediend, niet degene was, die Schavemaker meende dat hij was.
Schavemaker stelde dat zij alleen aan Roger Transport opdracht gegeven had om het transport uit te voeren, maar daarvan zegt het Hof dat dat niet op gaat, omdat de werkelijke Roger Transport van niets wist. Het Hof was het ook niet eens met de stelling van Schavemaker dat zij niet hebben gehandeld in de uitoefening van hun werkzaamheden. Dat is immers ook een vereiste van artikel 3 CMR. Dat de daders kennelijk van meet af aan de bedoeling hadden de vervoeropdracht niet naar behoren uit te voeren, maar de zending te verduisteren, maakt niet dat zij niet hebben gehandeld in de uitoefening van hun werkzaamheden, zegt het Hof.
Er is voldoende verband tussen de opdracht van Schavemaker aan de daders en hun handelingen, ‘nu zonder die opdracht en de daarbij verstrekte gegevens en ladingpapieren genoemde handelingen niet hadden kunnen plaatsvinden’. Schavemaker probeerde het ook nog met een beroep op overmacht (artikel 17 lid 2 CMR). Daarvan was volgens het Hof geen sprake. Schavemaker had er volgens het Hof zelf voor gekozen om, nu zij een transportopdracht had aangenomen die zij kennelijk zelf niet kon of wilde uitvoeren, via Teleroute een (onder)vervoerder te zoeken.
Schavemaker had geen instructie gekregen om Teleroute te gebruiken. De risico’s van het gebruik van een dergelijk digitaal vrachtuitwisselingssysteem zijn voor rekening van degene die zich daarvan heeft bediend, vindt het Hof. Dit geldt temeer nu Schavemaker zonder enige controle op of verificatie van de aan haar verstrekte gegevens van degene met wie zij via Teleroute contact kreeg – de daders -, aan dezen zodanige gegevens heeft verstrekt dat zij hen in de gelegenheid stelde de lading te verduisteren.
Het Hof trekt de conclusie, dat Schavemaker jegens haar opdrachtgever en de geadresseerde aansprakelijk is. Immers, uit de feiten blijkt dat Schavemaker Roger Transport niet alleen niet kende, maar zelfs geen enkele navraag naar of bij dit bedrijf heeft gedaan, toen met haar telefonisch contact was opgenomen door de daders.
Dus: de opzet van de digitale daders werd via van artikel 3 en artikel 29 CMR toegerekend aan Schavemaker als ware het haar eigen opzet.
4.2 ‘Gestolen vis’
Ook via de vrachtuitwisselingssite Timocom zijn ladingen gestolen. De rechtbank Rotterdam boog zich over een zaak (11) waarin vervoerder Villasan opdracht had om een zending gezouten vis te vervoeren van Rotterdam naar Sevilla, Spanje. Villasan besteedde het vervoer uit via Timocom aan de Poolse vennootschap Miratrans.
Miratrans heeft de lading gezouten vis op instructie van Villasan op 13 juli 2012 in Rotterdam in ontvangst genomen. Helaas: de container is niet in Sevilla afgeleverd. Nadat zij is aangesproken voor het verlies van de partij, doet Villatrans een beroep op overmacht. Miratrans bood zich aan op de online-vrachtbeurs Timocom.
Villasan heeft het vervoer na controle van vergunnings-, verzekerings- en identiteitspapieren aan Miratrans gegund. Villasan stelt dat zij blijkbaar slachtoffer geworden is van een geraffineerde oplichting, waarbij dieven hebben voorgewend Miratrans te zijn. De dieven hebben niet te gelden als hulppersoon van Villasan. Villatrans stelt dat het gebruik van Timocom algemeen geaccepteerd is in de markt en dat zij zich er met de ter controle opgevraagde documenten van vergewist heeft met een bonafide partij van doen te hebben.
De rechtbank ziet dat anders en oordeelt dat het stelen/ verduisteren van de zending gezouten vis van Miratrans op grond van artikel 3 CMR voor rekening komt van Villasan, nu zij Miratrans, althans een partij die zich uitgaf voor Miratrans, heeft ingeschakeld voor het vervoer en deze door de zending in ontvangst te nemen heeft gehandeld in de uitoefening van haar werkzaamheden.
Miratrans, althans een partij die zich uitgaf voor Miratrans, heeft de lading (opzettelijk) gestolen/ verduisterd. Deze opzet wordt aan Villasan toegerekend.
4.3 ‘Gestolen koper’
Op 10 februari 2015 oordeelde het Hof Den Haag over de aansprakelijkheid van CMR-vervoerder Trucking KS na diefstal van twee zendingen koper door een Slowaakse ondervervoerder Mija Trans (12). Trucking KS had de transporten uitbesteed via Timocom. De lading komt niet aan op de plaats van bestemming in Duitsland. Uit expertiseonderzoek blijkt dat Mija Trans een spookbedrijf is.
Ook Trucking KS probeert aan aansprakelijkheid te ontsnappen met een beroep op overmacht. Zij voert aan dat zij erop mocht vertrouwen met een bona fide transportbedrijf te hebben gecontracteerd, omdat het vrachtuitwisselingssysteem Timocom strikte veiligheidscontroles uitvoert voordat bedrijven tot de beurs worden toegelaten. Het Hof oordeelt daarover dat krachtens artikel 3 CMR Trucking KS aansprakelijk is voor de daden van Mija Trans, die zij heeft ingeschakeld voor het vervoer, als voor eigen daden. Zij kan zich niet aan deze aansprakelijkheid onttrekken met het argument dat zij dan wel het vrachtuitwisselingssysteem de hulppersoon zorgvuldig heeft uitgekozen. Het Hof vindt het voldoende aannemelijk dat Mija Trans (mede) de hand heeft gehad in de verdwijning van de lading. Geen overmacht!
Conclusie: ondanks de zorgvuldigheid die de vervoerders zeggen te hebben betracht bij het contracteren via Teleroute of Timocom, is de lijn in de jurisprudentie glashelder: de vervoerder is, als ware het voor zijn eigen daden, onbeperkt (!) aansprakelijk voor de daden van digitale dieven, spookpartijen of oplichters. De verladers hebben in de hierboven beschreven scenario’s met succes de schade kunnen verhalen op de voor aansprakelijkheid verzekerde Nederlandse CMR-vervoerders.
5. OOK VERLADER LOOPT RISICO!
Wat te denken van het volgende geval: Verlader/Afzender Q-Food geeft opdracht aan HSF Logistics tot vervoer van acht zendingen vers vlees van België naar het losadres (een koelhuis) in Engeland. Q-Food heeft de partij vlees verkocht aan Batleys. Als Q-Food betaling van de koopprijs van het vlees vordert van Batleys Ltd. (het gaat om een bedrag van ruim EUR 680.000,-), zegt Batleys nooit vlees te hebben besteld en ook niet te hebben ontvangen. Q-Food blijkt het slachtoffer te zijn geworden van geraffineerde oplichting: zij heeft overeenkomsten tot verkoop en levering van het vlees gesloten met een persoon (‘Dawood Pervez’) die zich ten onrechte voordeed als werkzaam bij Batleys.
Tussen Q-Food en deze Pervez waren verschillende e-mails uitgewisseld, onder meer over het losadres, over de ontvangst van een zending en de kwaliteit van het vlees. Dit wekte allemaal geen argwaan bij Q-Food, maar duidelijk is dat achter deze e-mails iemand zat die niets te maken had met Batleys. Deze Pervez had zelfs een vast telefoonnummer opgegeven aan Q-Food. Indien dat nummer werd gebeld, kreeg de beller via een voicemailbericht te horen: ‘Welcome at Batleys. Please hold the line, you will be connected soon’, waarna ‘Dawood Pervez’ aan de lijn kwam.
Q-Food ziet de schadebui al hangen en spreekt HSF Logistics aan voor een verkeerde aflevering, door de zendingen niet op het opgegeven adres in een koelhuis te lossen, maar op aanwijzing van een persoon die beweerde Batleys te vertegenwoordigen, achter te laten bij de ingang van een terrein waar helemaal geen coldstore was. Q-Food vordert schadevergoeding voor het verlies van de lading.
De rechtbank Gelderland beoordeelt deze vervoerdersaansprakelijkheid op grond van de CMR (13). Volgens de rechtbank dient de oplichter te worden beschouwd als de geadresseerde. Immers, de echte Batleys is niet rechtsgeldig vertegenwoordigd, zegt de rechtbank en vast staat dat de geadresseerde (de oplichter dus) de beschikking kreeg over de partij vlees. HSF Logistics heeft aan deze persoon afgeleverd. De rechtbank concludeert dat, nu HSF Logistics geen verkeerde aflevering valt te verwijten, de CMR geen grondslag biedt voor aansprakelijkheid van HSF Logistics.
Daar houdt het nog niet op voor Q-Food, want de rechtbank gaat verder en bepaalt dat HSF Logistics haar verplichtingen uit de vervoersovereenkomsten nagekomen is en daarom recht heeft op de door Q-Food onbetaald gelaten vracht.
6. VERPLICHTE MELDING VAN DATALEKKEN!
Bijzondere aandacht verdient de ‘meldplicht datalekken’. Sinds 1 januari 2016 zijn bedrijven die persoonsgegevens verwerken verplicht om direct een melding te doen bij de Autoriteit Persoonsgegevens van een ernstig datalek. Daartoe is de Wet bescherming persoonsgegevens aangevuld.
Organisaties die een datalek willen melden bij de Autoriteit Persoonsgegevens kunnen dat doen via het meldloket datalekken (https://datalekken.autoriteitpersoonsgegevens.nl).
Bij een datalek is er een inbreuk op de beveiliging van persoonsgegevens. Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking (14). Bij een datalek moet bijvoorbeeld gedacht worden aan inbraak in een databestand door een hacker, maar ook het verlies van een simpele usb-stick waarop persoonsgegevens staan kan er al onder vallen!
Bij overtreding van de meldplicht datalekken uit de Wbp kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten hoogste het bedrag van de zesde categorie van artikel 23 lid 4 Wetboek van Strafrecht. Dat is per 1 januari 2016 EUR maximaal 820.000,-. Ook kan Autoriteit Persoonsgegevens eerst een bindende aanwijzing opleggen.
7. MAATREGELEN TER BESTRIJDING VAN CYBERCRIME
In de bijdrage in deze syllabus van Dennis de Hoog wordt aandacht besteed aan concrete maatregelen op te sommen die de partijen in de transport- en logistieksector kunnen of zouden moeten nemen ter beperking of voorkoming van de risico’s.
Dat ‘cybersecurity’ stevig op de agenda staat, is helder. Een korte ronde langs de initiatieven, adviezen en regelgeving:
De overheid heeft aangegeven cybercrime aan te willen pakken. Op 21 december 2015 is daartoe een wetsvoorstel van het ministerie van Veiligheid en Justitie ingediend bij de Tweede Kamer (15). Het gaat daarbij om verbetering en versterking van de opsporing en vervolging van computercriminaliteit.
Het moet de opsporingsinstanties (meer) mogelijkheden geven om helers van (digitale) gegevens te arresteren en om op afstand onderzoek te laten doen in computers van criminelen.
Verzekeraars, Transport en Logistiek Nederland (TLN) en EVO hebben een website gemaakt, waarin specifiek op preventie van ladingdiefstal wordt ingegaan: www.preventieinzicht.nl.
TLN en EVO waarschuwen op hun respectievelijke websites met regelmaat voor de risico’s die cybercriminaliteit oplevert. Het Verbond van Verzekeraars kwam met een document waarin het Cybercrime centraal stelde en wees op de mogelijkheden die cyberverzekeringen bieden ter beheersing van de financiële risico’s (16).
Niet alleen de ‘droge’ transportsector heeft oog voor cybercrime en cybersecurity. Het is in dit kader goed te wijzen op de scheepvaartsector. Ook die sector is bekend met tal van adviezen en initiatieven. Ik volsta met de volgende:
BIMCO publiceerde in januari 2016 richtlijnen voor cybersecurity aan boord van schepen. Daarin wordt vooral gewezen op het belang van risicoanalyse, risicobeperking en risicomanagement (17).
8. CONCLUSIE
Cybercriminaliteit vormt een grote financiële en juridische bedreiging voor verladers, vervoerders en hun verzekeraars. Commerciële partners werken samen op basis van vertrouwen. Vertrouwen is goed, maar de partijen in de markt dienen zich goed te realiseren welke risico’s zij lopen. Het is zaak ervoor te zorgen dat de bedrijfssystemen en -gegevens veilig en beveiligd zijn. Digitale criminelen zijn buitengewoon inventief en kunnen op vele manieren uiterst vertrouwelijke informatie en uiteindelijk ook de lading in handen krijgen. Lukt hen dat, dan leidt dat tot forse schade. Er zijn inmiddels tal van voorbeelden in de rechtspraak waaruit blijkt dat vervoerders, ondanks betrachte zorgvuldigheid, aansprakelijk zijn voor de daden van de criminelen. Ook zijn er voorbeelden waarbij verladers met lege handen blijven zitten.
Het is zaak tijdig maatregelen ter voorkoming van aansprakelijkheid te nemen. Cybercrime krijgt terecht aandacht, maar cybersecurity is minstens zo belangrijk!
VOETNOTEN
1 www.rijksoverheid.nl/onderwerpen/cybercrime.
2 www.om.nl/onderwerpen/cybercrime.
3 Syllabus SVA-congres 2012, Mr. C.P. ten Bruggencate, ‘Internetbeurzen’, pag. 49-52.
4 Weg en Wagen nr. 74, Prof. mr. M.H. Claringbould, ‘Vrachtuitwisseling via internet: geef dieven geen kans!’, pag. 3-6.
5 Voorbeeld: www.transport-online.nl/site/6661/drugshandelaren-hacken-rederijenen- ontvreemden-containers-met-cocaine/ d.d. 17 juni 2013.
6 www.nctv.nl/onderwerpen-a-z/cybersecuritybeeld-nederland.aspx.
7 Estimating the Global Cost of Cybercrime’, Centre for Strategic and International Studies, juni 2014.
8 www.tln.nl/actueel/algemeen/ladingdiefstallen-in-nederland-aspx.aspx
9 Jaarrapportage Transportcriminaliteit 2015, Dienst Informatievoorziening Politie, 15 januari 2016.
10 ECLI:NL:GHSHE:2014:1068, Hof ’s-Hertogenbosch 15 april 2014, S&S 2014/116.
11 ECLI:NL:RBROT:2014:8768, Rechtbank Rotterdam 24 september 2014, S&S 2015/44.
12 ECLI:NL:GHDHA:2015:350, Hof Den Haag 10 februari 2015, S&S 2015/102.
13 ECLI:NL:RBGEL:2015:488, Rechtbank Gelderland 28 januari 2015, S&S 2015/81.
14 Artikel 13 Wet bescherming persoonsgegevens.
15 Wetsvoorstel bestrijding cybercrime (computercriminaliteit III), Kamerstukken 34 372.
16 Position Paper: ‘Virtuele risico's, echte schade’, oktober 2013.
17 www.bimco.org/News/2016/01/04_Cyber_security_guidelines.aspx.
