Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade is, moet nog worden bepaald. In ieder geval vallen daar de kosten onder van het inschakelen van een waarnemend huisarts.
Dit is het vervolg op de zaak waar ik in januari over blogde. In het algemeen lijkt het goed af te lopen voor deze IT-leverancier, schreef ik toen. Maar dat valt nu tegen:
De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een back-up (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van ‘opdrachten’ van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.
De rechtbank doet nu einduitspraak. Voorop staat dat je als “redelijk bekwaam en redelijk handelend ICT-dienstverlener” er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is. In ieder geval niet in situaties waarin het belang van die backup groot is (de administratie van een huisartsenpraktijk) en waarin de documentatie bij upgrade die je gaat uitvoeren expliciet waarschuwt “maak een backup”. Dan moet je écht controleren of deze klopt.
Doe je dat niet, dan hang je:
Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.
En nee, algemene voorwaarden hadden hier waarschijnlijk niet bij geholpen. De rechtbank laat doorschemeren dat deze tekortkoming volgt uit het verzaken van de zorgplicht die je als dienstverlener hebt. Botweg de aansprakelijkheid voor zulk verzaken uitsluiten gaat gewoon niet, dat is niet redelijk. Je gaat gewoon betalen als je klantdata kwijtmaakt of niet zorgt voor een goede backup.
Mogelijk had een expliciete waiver hier wel geholpen. Dan zeg je als dienstverlener “u, klant, wilt iets héél onverstandigs en u tekent hierbij voor afzien van aansprakelijkheidstelling”. Dat kan, maar het moet wel redelijk zijn. Dus dat in je algemene voorwaarden: vergeet het maar. Een op maat gesneden tekst (“Gezien de bloedspoed bij de klus en de schriftelijke verzekering van KPN dat u een online backup heeft, ziet u af van een backup voordat ik begin”) gaat het denk ik wel redden.
Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld.
(Het wordt wel een beetje de week van dataverlies&backup deze week, maar goed, data ís nu eenmaal de kern van ICT-diensten.)
Arnoud
Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!
