Cloudprovider DigitalOcean EU hoeft geen gegevens te verstrekken van klanten die worden verdacht van DDoS-aanvallen tegen cloudprovider DreamVPS. Daarnaast kan het bedrijf niet worden gedwongen om maatregelen tegen de klanten te nemen. Dit was het oordeel van de rechter afgelopen februari. Vorig jaar november werd DigitalOcean EU via een verstekvonnis nog opgedragen deze beide acties wel uit te voeren. Waarom is de rechter van mening veranderd? Lees hieronder meer.
De casus
Deze kwestie speelde tussen cloudprovider DreamVPS en cloudprovider DigitalOcean EU. DreamVPS had eind vorig jaar te maken met DDoS-aanvallen via IP-adressen die van DigitalOcean afkomstig waren. DreamVPS vroeg vervolgens aan DigitalOcean EU om klantgegevens van de betreffende aanvallers te verstrekken. DigitalOcean EU stelde zich op het standpunt dat het geen klantgegevens kon en mocht verstrekken. Als gevolg hiervan startte DreamVPS een procedure om de klantgegevens van de aanvallers alsnog te verkrijgen.
Afgelopen november oordeelde de rechter in een verstekvonnis dat DigitalOcean EU verschillende klantgegevens moest verstrekken. Onder deze klantgegevens vielen o.a. adresgegevens, telefoonnummers, IP-adressen en e-mailadressen. Ook moest DigitalOcean EU de gebruikers blokkeren. DigitalOcean EU maakte bezwaar tegen dit verstekvonnis en startte daarnaast een procedure om de tenuitvoerlegging van het verstekvonnis te voorkomen. Deze beide zaken werden uiteindelijk gevoegd.
Verstekvonnis
Een verstekvonnis is een uitspraak van de rechter waarbij de gedaagde (in dit geval DigitalOcean EU) niet verschenen is in de procedure. Bij een verstekvonnis wijst de rechter bij afwezigheid van de gedaagde partij meestal het door eiser gevorderde toe. In dit geval heeft DigitalOcean EU in eerste instantie dus geen verweer gevoerd tegen de eisen van DreamVPS. De rechter heeft daarom de eisen van DreamVPS toegewezen.
Verzet tegen een verstekvonnis is wel mogelijk. De gedaagde heeft namelijk vier weken na betekening van het verstekvonnis de tijd om alsnog zijn standpunten in de procedure naar voren te brengen. DigitalOcean EU heeft dit dan ook gedaan.
Oordeel rechter
Na gevoerd verweer van DigitalOcean EU ging de rechter niet (meer) mee in de eisen van DreamVPS.
DigitalOcean stelde namelijk dat de gebruikers achter de DDoS-aanval geen klant bij DigitalOcean EU zijn, maar bij DigitalOcean LLC. DigitalOcean EU is een dochtervennootschap van de Amerikaanse vennootschap DigitalOcean LLC. DigitalOcean EU voerde daarbij aan dat zij zich alleen bezighoudt met het verlenen van onderhoudsdiensten aan DigitalOcean LLC. Als gevolg hiervan is zij niet bevoegd, noch in staat om klantgegevens van DigitalOcean LLC te verstrekken of om gebruikers te blokkeren.
De rechter volgde dit betoog en oordeelde dat DigitalOcean EU niet bevoegd is om klantgegevens te verstrekken aan DreamVPS.
Verder stelde DreamVPS nog dat DigitalOcean EU toekomstige DDoS-aanvallen kan voorkomen door de servers uit te schakelen. Dit is weliswaar mogelijk, DigitalOcean EU is namelijk eigenaar van de fysieke servers, maar volgens de rechter is dat geen proportionele maatregel. Volgens de rechter zou dat namelijk het risico met zich meebrengen dat gebruikers die niks met de DDoS-aanvallen te maken hebben, worden geblokkeerd (als gevolg van het uitschakelen van de servers).
Kortom, DigitalOcean EU is niet bevoegd om de klantgegevens te verstrekken en kan ook geen proportionele actie ondernemen om een DDoS-aanval te voorkomen. De rechter vernietigt dan ook het eerder uitgesproken verstekvonnis. Het zou interessant zijn te weten wat het oordeel van de rechter zou zijn in geval de juiste partij gedagvaard zou zijn. Helaas is de rechter daar niet aan toegekomen.
Heeft u vragen over het verstrekken van (klant)gegevens door cloudproviders? Neem gerust contact met ons op.