Blog Legal Look: Victor de Pous over data crash

  1. 22 sep 2015
  2. 0 reacties

Victor de Pous

> Wie is verantwoordelijk voor een data crash? Er was eens een Nederlandse leverancier die - ten behoeve van een kant - naast de levering van een server, onder meer wekelijks onderhoud, beheer en service van het systeem op afstand op zich nam. In dit geval heet de klant Staalbouw Trappen en het hieraan verbonden bedrijf Staalbouw Purmerend. En noem het bewuste deel van de levering enigszins trendy: system operation as a service of sysop as a service. De server, waar de leverancier met betrekking tot het systeembeheer voor verantwoordelijk was, crashte op een gegeven moment. Guess what? Daardoor verdwenen allerhande gegevensbestanden van Staalbouw Purmerend als sneeuw voor de zon en kennelijk voor eens en altijd. Dat pikten de staalbouwers niet. Die stapten naar de rechter om schadevergoeding te vorderen. Recent wees het Amsterdam hof - dus in hoger beroep - arrest.

> Wat zegt de rechter? Het hof Amsterdam wees de claim van klant Staalbouw Trappen, dat de leverancier gehouden was te zorgen voor de aanwezigheid van een volledige back-up, af. Staalbouw Trappen slaagde er namelijk niet in te bewijzen dat partijen waren overeengekomen dat de leverancier op eigen initiatief de noodzakelijke back-ups van alle volledige bestanden van Staalbouw Purmerend zou maken. Ook verwierp de rechter de goedgevonden stelling dat van een zorgvuldig handelend systeembeheerder 'mag worden verwacht dat hij zorg draagt voor de aanwezigheid van een volledige back-up, althans dat op hem de verantwoordelijkheid rust zich ervan te vergewissen dat de klant zich beseft dat de back-up in eigen beheer zal worden gedaan'. Deze is namelijk te algemeen van aard, oordeelde de rechter.

De onderhavige casus gaat over de belangrijke rechtsvraag hoever de verantwoordelijkheid van de externe systeembeheerder, die in dit geval zijn werk als dienst op afstand aan de klant levert, reikt. We hebben het over de uitbesteding van een centrale ICT-dienst: systeembeheer. De leverancier beroept zich terecht op de omstandigheid dat hij niet kan bepalen welke bestanden er überhaupt bewaard moeten worden. Tevens wijst hij op het feit dat hij slechts ruimte op zijn server ter beschikking stelt. Bovendien heeft deze leverancier kennelijk uitgelegd op welke wijze de klant zelf een back-up kan maken van de gegevensbestanden, die op de server van de leverancier staan. Staalbouw Purmerend was dus duidelijk geïnstrueerd. In de levering van tegenbewijs - dat er andersluidende afspraken zijn gemaakt - slagen de staalbouwers niet.

> Hebben zorgvuldige afspraken zin? Zeker. Dat partijen er altijd goed aan doen afspraken zorgvuldig te formuleren en vast te leggen, laat zich raden. Behalve de opendeur, wijzen we op een ander uitgangspunt. In de geschiedenis van wat wel wordt genoemd 'mislukte automatisering' blijkt de precontractuele fase - dus de periode voorafgaand aan het sluiten van een overeenkomst - vaak cruciaal voor het succes van het ICT-project te zijn. En die lijn kunnen we van de oorspronkelijke complexe maatwerkprojecten uit de jaren tachtig doortrekken naar eenvoudige (cloud)diensten vandaag. Partijen hebben over en weer een informatieplicht. De klant behoort genoegzaam uit te leggen wat hij wil, terwijl de leverancier een helder aanbod moet doen. Wat behelst het product of de service? Daaruit kunnen we tevens de verantwoordelijkheid van partijen afleiden. Wie doet wat? Het klinkt simpel, maar de praktijk blijkt weerbarstig. En precontractuele misverstanden kennen al gauw een slechte afloop, zoals ook uit dit conflict blijkt.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

 
Dossiers