Cloudleverancier hoeft back-up niet te maken of te controleren, tenzij…

Victor de Pous

Wie is waarvoor verantwoordelijk? Het antwoord op deze repeterende vraag aan leverancier en gebruiker is niet alleen van groot belang voor de rechtspositie van partijen, maar tevens voor bedrijfscontinuïteit van de gebruikersorganisatie. Het cruciale issue ‘back-up’ kwam recent opnieuw voor de rechter, ditmaal voor de Maastrichtse rechtbank in de zaak Huisartsenpraktijk versus ICT-eenmanszaak.

Na de niet-volledige installatie van een update en terugzetten van de back-up bestanden, zijn alle gegevens van de betreffende huisartsenpraktijk verloren gegaan. De dagelijkse gemaakte back-ups op externe schijven bleken - toen puntje bij paaltje kwam - onbruikbaar. De rechter is er in een tussenvonnis klip en klaar over: de ICT-leverancier heeft geen verplichting om ervoor te zorgen of te controleren dat bruikbare back-ups werden gemaakt. Voor de volledigheid: de leverancier moest wel een back-up maken vóór installatie van de update. De vraag of deze back-up (ook) onbruikbaar zou zijn geweest en of ICT-dienstverlener fout heeft gemaakt bij terugzetten back-up door verwijderen map en/of door de back-up niet te controleren. Partijen hebben van de rechter de gelegenheid gekregen zich hierover nader uit te laten. De zaak wordt dus nog vervolgd.

Eigenlijk weten we het wel. ‘Information is the lifeblood of a vibrant economy’, aldus het geroemde overheidsrapport Digital Britain uit 2009. Wij voegen daar weinig verrassend aan toe: en tevens van cruciaal belang voor iedere organisatie. De praktijk toont soms een diametraal beeld. Organisaties hebben hun datazaken niet op orde. Door trendy modernismen zoals bring-your-own-device en cloud computing is de bestuurskamer het overzicht en dus de controle kwijt over de bedrijfsinformatie. Waar bevindt zich welke kopie van welk bestand?

Daar komt nog andere problematiek bij: de back-ups. Opnieuw blijkt uit een automatiseringsconflict, dat partijen soms geen dan wel onvoldoende afspraken hebben gemaakt over deze basale, maar op deze grond niet minder cruciale, digitale handeling. Het maken - en controleren - van back-up-bestanden van bedrijfsinformatie. Wie is waarvoor verantwoordelijk: leverancier of gebruikersorganisatie? Antwoord: dat hangt af van de overeenkomst tussen partijen.

In een andere zaak werd namelijk bepaald dat een leverancier van een computersysteem, die mede wekelijks onderhoud, beheer en service op afstand verzorgt, niet verantwoordelijk is voor de gevolgen van de crash van een server waardoor bedrijfsinformatie van de klant verloren zijn gegaan. Het Amsterdamse Gerechtshof wees de claim van klant Staalbouw Trappen - dat de leverancier gehouden was te zorgen voor de aanwezigheid van een volledige back-up - af. Staalbouw Trappen slaagde er namelijk niet in te bewijzen dat partijen waren overeengekomen, dat de leverancier op eigen initiatief de noodzakelijke back-ups van alle volledige bestanden van Staalbouw Trappen zou maken.

Belangrijk. Het hof verwierp tevens de goedgevonden stelling dat van een zorgvuldig handelende systeembeheerder ‘mag worden verwacht dat hij zorg draagt voor de aanwezigheid van een volledige back-up, althans dat op hem de verantwoordelijkheid rust, zich ervan te vergewissen dat de klant beseft dat de back-up in eigen beheer zal worden gedaan’. Deze is namelijk te algemeen van aard.

Nog een conflict. Wanneer er juist wel back-up afspraken zijn gemaakt, betreft de omstandigheid dat de leverancier deze niet nakomt, een zo stelselmatige en verwijtbare nalatigheid, dat dit grove schuld oplevert in de zin van zijn algemene voorwaarden. Aldus blijkt het vonnis in de zaak Gerechtsdeurwaarderskantoor versus Tweco IT BV, gewezen door de Rechtbank Overijssel. Vast staat dat partijen in de dienstenovereenkomst betreffende de externe back-up de toepasselijkheid van die voorwaarden zijn overeengekomen. Die bepalen dat leverancier Tweco IT aansprakelijk is voor de schade, behoudens contractuele exoneratie. Een beroep op haar exoneratiebeding kan echter volgens de rechter niet slagen. De schade van het gerechtsdeurwaarderskantoor voor het ontbreken van een back-up van 15 maart 2015 tot 16 april 2015 moest zij vergoeden.

Maak zorgvuldige afspraken en handel hiermee vervolgens in overeenstemming; in het bijzonder ten aanzien van back-up procedures.

Mr. V.A. de Pous is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).

Dossiers