Sony aansprakelijk gesteld voor hack

Op 24 september 2014 werd het netwerk van Sony gehackt. Daarbij werden vijf nog niet uitgebrachte films buitgemaakt, maar bijvoorbeeld ook het script van de (toen nog te filmen) in 2015 uitgebrachte James Bond film ‘Spectre’. Daarnaast werd een grote hoeveelheid e-mails gelekt, waarin onder andere racistische grappen over de Amerikaanse president Barack Obama werden gemaakt.

In eerste instantie werd met de beschuldigende vinger naar Noord-Korea gewezen. De hack zou een wraakactie zijn geweest voor het uitbrengen van de film ‘The Interview’ door Sony. Deze film zou volgens Noord-Korea namelijk de waardigheid van haar leider Kim Jong-un aantasten. In februari 2015 bleek echter uit Amerikaans onderzoek dat de verantwoordelijke hackers waarschijnlijk uit Rusland afkomstig zijn, en niet uit Noord-Korea.

De totale schade voor Sony (waaronder imagoschade) wordt geschat op 100 miljoen dollar. Sony is echter niet de enige die nadeel ondervindt van de hack. Possibility Pictures stelt in ieder geval $ 2.600.000,- te zijn misgelopen doordat de geplande Video On Demand release van de film ‘To Write Love on Her Arms’ is afgeblazen. Daarnaast meent Possibility Pictures schade te hebben geleden doordat, nadat de film op internet beschikbaar werd, de verkoopcijfers tegenvielen. Hierdoor mist zij inkomsten omdat een deel van de inkomsten zou worden verdeeld tussen Possibility Pictures en Sony. Possibility Pictures houdt Sony aansprakelijk voor deze schade, zo valt in de dagvaarding te lezen.

Possibility Pictures stelt dat Sony contractbreuk heeft gepleegd, en wel op een interessante manier. In het contract tussen Sony en Possibility Pictures is de volgende bepaling opgenomen: Anti-Piracy Authorization. Without limiting the foregoing, Licensor hereby confirms that SPWA [Sony Pictures Worldwide Acquisitions] is authorized to protect the Picture worldwide on the Internet directly or through third party vendors, representatives or agents. Licensor hereby confirms that SPWA is authorized to use appropriate technical measures or other techniques, now know or hereafter devised, to assist in efforts to remove, disable or otherwise prevent unauthorized versions of the Picture on the Internet. If licensor is not the owner and copyright claimant for the Picture or if Licensor is a joint owner and/or copyright claimant for the Picture, at SPWA’s request, from time to time, Licensor will obtain and provide written confirmation from all owners and/or copyright claimants to the Picture, as applicable, that SPWA is authorized to protect the Picture worldwide on the Internet as described above.

Deze bepaling geeft Sony het recht om piraterij van de film tegen te gaan, bijvoorbeeld door het gebruik van passende technische maatregelen. Possibility Pictures draait de bepaling echter om, en stelt dat zij schade heeft geleden doordat Sony geen passende maatregelen heeft genomen om piraterij te voorkomen. Dit blijkt uit het feit dat Sony geen maatregelen heeft genomen naar aanleiding van eerdere datalekken, waarschuwingen van medewerkers en negatieve auditrapporten. Zo bleek uit een auditrapport van slechts twee maanden voor het plaatsvinden van de hack dat 17% van de IT-infrastructuur van Sony niet werd gemonitord.

De vraag is echter of de lakse informatiebeveiliging door Sony in dit geval contractbreuk oplevert. De bepaling waar Possibility Pictures zich op beroept schept immers geen verplichtingen voor Sony, de bepaling kent Sony alleen rechten toe, geen verplichtingen. Het is daarom maar zeer de vraag of Sony aan Possibility Pictures een vergoeding zal moeten betalen voor de gestelde contractbreuk.

Deze zaak is aangebracht bij de rechtbank van Orlando in Florida en het recht van de Verenigde Staten is van toepassing op de overeenkomst tussen Sony en Possibility Pictures. Als dat anders was geweest en het Nederlandse recht zou van toepassing zijn geweest, dan had Possibility Pictures haar vordering wellicht beter (mede) kunnen baseren op onrechtmatige daad. Daarvoor is vereist dat:

• Er onrechtmatig is gehandeld;
• Deze onrechtmatige handeling aan Sony is toe te rekenen;
• Schade;
• Causaal verband tussen de daad en de schade;
• Relativiteit.

Possibility Pictures voert in haar dagvaarding een aanzienlijke hoeveelheid bewijs aan waaruit blijkt dat Sony wist of had kunnen weten dat haar informatiebeveiliging niet voldeed, maar kwalificeert dit als onrechtmatig handelen? Het onrechtmatig handelen zou in dat geval waarschijnlijk moeten liggen in het handelen ‘in strijd met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt’. Daar zou Possibility Pictures best een punt kunnen hebben. Wanneer een film aan een bedrijf ter beschikking wordt gesteld, mag best van dat bedrijf worden verwacht dat zij hem goed beveiligt. Zeker wanneer het een nog niet uitgebrachte film betreft.

Als de onvoldoende informatiebeveiliging door Sony kwalificeert als onrechtmatig handelen, dan is dit handelen zeker toe te rekenen aan Sony. Er is immers maar één partij die verantwoordelijk is voor de informatiebeveiliging door Sony, en dat is Sony. Vervolgens is vereist dat er schade is geleden. Het lijkt overduidelijk dat het uitlekken van een film voordat deze is uitgebracht tot schade leidt, maar Possibility Pictures gaat in haar dagvaarding naar mijn mening te kort door de bocht. Zij stelt dat de film in ieder geval 20.000 maal is gedownload en dat daardoor de verkoopcijfers tegenvielen. Wat mij betreft is het causaal verband daar wel erg dun. De film krijgt slechts een 6,6 op IMDB, dus het zou ook mogelijk zijn dat de tegenvallende verkoopcijfers aan de kwaliteit van de film liggen. Hoe dan ook is niet duidelijk hoeveel van de 20.000 downloaders daadwerkelijk de film hadden bezocht indien zij deze niet hadden gedownload. Immers, niet iedere junk die in Amsterdam een fietst steelt, zou deze fiets hebben gekocht als hij of zij hem niet had gestolen.

Verder stelt Possibility Pictures dat zij $ 2.600.000,- schade heeft geleden doordat, na het uitlekken van de film, de film niet via Video On Demand is gepubliceerd en er bijvoorbeeld ook geen theather, televisie of DVD-exploitatie heeft plaatsgevonden. Ook hier is het causaal verband dun. Het is goed mogelijk dat het uitlekken van de film heeft meegespeeld in het besluit om deze bijvoorbeeld niet via Video On Demand te publiceren, maar er kunnen talloze andere redenen zijn voor ditzelfde besluit.

Het ligt voor de hand dat Possibility Pictures schade heeft geleden doordat haar film is uitgelekt na de hack bij Sony. Het causaal verband tussen de geclaimde schade en het onrechtmatig handelen door Sony is echter dunnetjes. Mogelijk kan door middel van onderzoek worden aangetoond welk gedeelte van (bijvoorbeeld) de slechte verkoopcijfers veroorzaakt is door de hack. Het laatste vereiste is de relativiteit, maar daar zou deze zaak als zij naar Nederlands recht was gevoerd niet op zijn stukgelopen.

Kortom, Possibility Pictures draait op slimme wijze een bepaling uit het contract met Sony om. Of dit ook daadwerkelijk tot contractbreuk leidt is echter maar de vraag. Minstens net zo interessant is de vraag of schade door een dergelijke hack in Nederland voor vergoeding in aanmerking zou komen. Daarvoor lijkt de onrechtmatige daad minstens net zo een goed middel als de contractbreuk, maar het causaal verband tussen een hack en bijvoorbeeld slechte verkoopcijfers zal altijd lastig te bewijzen zijn.

Heeft u vragen naar aanleiding van dit artikel, neemt u dan contact op met Natascha van Duuren, Advocaat/Partner IE/ICT-recht