Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Aansprakelijkheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht.

In deze zaak

Een IT-bedrijf zou bij een huisartsenpraktijk de Office-infrastructuur komen herzien, waarbij gekozen was voor een simpele backupoplossing met usb-schijven omdat backups via internet veel te traag bleken. Een simpel scriptje dat elke nacht om drie uur een backup maakt, daar kan weinig mis aan gaan toch?

Op zeker moment daarna kwam de leverancier van het medisch pakket Promedico met een nieuwe versie, met in de nieuwsbrief de verstandige aanbeveling ‘Zorg voor een recente back-up.’ Het IT-bedrijf voerde de nieuwe versie door, maar na enige problemen in de werking werd Promedico zelf erbij gehaald en die deden een hernieuwde installatie met dataverlies. Eh oeps. En toen bleken die usb-schijven geen correcte backup te hebben. Dubbel oeps.

Wie is dit nu te verwijten? De huisartsen meenden het IT-bedrijf, maar die kon met zijn offerte (en vooral het afgekeurde stukje van de internetbackupdienst) dat pareren. Als de klant geen backupdienst wil, maar alleen drie usb-schijven, dan houdt het op zeker moment op voor je zorgplicht. Vooral de prijs gaf de doorslag: wie als ondernemer Office-diensten afneemt voor 219 euro per maand, moet weten dat daar geen volledige handjevasthouden-backupdienst bij zal zitten.

Wel had de IT-er een zorgplicht om te kijken of het gebruikte backupscript geen al te rare dingen deed. Daar is eerdere jurisprudentie over: je hebt gewoon een algemene zorgplicht, en daar hoort bij dat je de klant waarschuwt bij dingen die je weet of had moeten weten, of ze dat nu besteld hadden of niet. Maar dat maakt hier niet uit, want het script maakte geen rare fouten. (Wie kan uit het vonnis halen wat de configuratiefout was?)

Maar dan die installatie zonder voorafgaande aparte backup. Sowieso is dat al een best practice, maar als de softwareleverancier dat ook nog eens apart aanraadt, waarom zou je het dan niet doen?

Op zichzelf genomen lag het op de weg van [gedaagde] om als zorgvuldig IT-dienstverlener overeenkomstig het advies in de aanbiedingsbrief van Promedico (zie 2.6.) een back-up te maken alvorens de update te installeren. Een mogelijk aandringen van de zijde van [eiseres] c.s. om de update overdag in plaats van buiten werktijd te installeren, kan geen voldoende reden zijn om dat na te laten, mede gelet op het belang van de gegevens voor de praktijkvoering van [eiseres] c.s., tenzij [gedaagde] vóór de installatie [eiseres] c.s. erop heeft gewezen dat zij (om die reden) geen back-up zou maken. [gedaagde] heeft echter niet aangevoerd dat zij [eiseres] c.s. hierop heeft gewezen.

Iets lastiger ligt het verweer dat zo’n backup zou zijn gemaakt door gewoon dat backupscript even een keertje extra uit te voeren, zodat je dan alsnog een onbruikbare backup zou hebben. Zo backuppen ligt immers meer voor de hand dan apart handmatig uit te zoeken wat te backuppen en dat naar een ander medium te halen.

Het pakket Promedico bleek ook nog een eigen backupfunctie te hebben, en ik vermoed dan ook dat de IT-er geen eigen backup had gemaakt omdat hij er vanuit ging dat Promedico dat wel zou doen. Waarom die backupfunctie niet werkte, blijft even in het midden. Daarom gelast de rechter vervolgonderzoek naar in hoeverre dit nu uiteindelijk verschil had kunnen maken. Maar in het algemeen lijkt het goed af te lopen voor deze IT-leverancier.

Arnoud

Deel dit artikel

  1. Dus, leverancier maakt een back-up, maar controleert niet of deze werkt (fout 1). Upgrade voor applicatie geinstalleerd, zonder daarbij een backup vanuit de applicatie zelf te maken (fout 2). Geen (goede) kopie gemaakt van de mdf bestanden (de database zelf dus) (fout 3). Er is hier dus stiekem wel erg veel fout gegaan. Ik zou dus als klant toch maar eens gaan zoeken naar een nieuwe leverancier.

    Over die online back-ups: Waarom niet eerst een back-up naar USB disk gemaakt via de online back-up software, en daarna alleen de verschillen via internet back-uppen? Dan is de eerste bulk back-up via een snelle verbinding te uploaden (USB disk mee nemen naar een andere locatie en vanuit daar uploaden). Je gaat mij niet vertellen dat een huisartsenpost dagelijks meer dan 2 GB aan differential data creëert. Ik heb dit in het verleden regelmatig gedaan.

  2. Even los van deze zaak, Als de fabrikant een backup aanraadt voor een eventuele upgrade (geen update!, een update is iets anders) dan maak je toch een kopie van de hele machine op harddisk niveau voor je begint. Je boot de betreffende computer eerst van een alternatief medium, maakt een image-level backup, en begint dan pas met het werk. Dat is wel wat meer wachten (de hele schijf wordt gekopieerd) maar dit soort ellende kan dan nooit optreden.

    Elke IT’er die die naam waard is, behoort te weten hoe dit moet!

    Wel over deze zaak, Ik ben het als IT’er niet eens met de conclusie 4.4 Uit het onderzoek van DRN B.V. blijken wel degelijk onregelmatigheden. De bestanden die op de harddisk stonden weken enorm af van wat het had moeten zijn. Een recovery had dus nooit kunnen slagen, zelfs niet zonder deze upgrade. Een goede backup kun je op 3 manieren definieren:

    1) Volledige image-level backup. Dit is gebruikelijk bij gevaarlijke operaties zoals een software-upgrade. 2) Software-backup. Het operating system wordt dan met rust gelaten, maar de applicatie + data wordt gebackupped. 3) Data-backup. Alleen de databases worden backupped, de machine + software worden hersteld door installatie programmas.

    De dienstverlener had duidelijk voor optie 3 gekozen. Voor de upgrade-procedure had hij optie 1 moeten gebruiken en niet zijn zelf-gemaakte script.

    Feitelijk heeft de leverancier wel backup-diensten beloofd (op USB schijf) en had dat dan ook normaal horen te leveren. Dat de prijs te goedkoop is is niet het probleem van de eiseres. (Als je overigens in Amazon AWS kijkt, zijn volledige VPS’en inclusief goede backups ruimschoots goedkoper te krijgen dan 219,- per maand).

    Voor 219,- per maand kan je tegen intern-uurtarief ongeveer 3 werk uren per maand dekken. Als je 1x per kwartaal een restore-test doet, welke 2 uur duurt (exclusief wachten op backup voltooiing) kan dit ruim binnen kostprijs.

    Ik vermoed echter dat een goede machine om die restore-test op te doen ook niet klaarstond.

    Mark.

  3. Op vele fronten moeilijk te geloven. Vooral de praktijkhoudtster komt er niet goed af in mijn beleving. Pennywise, poundfoolish en gedrag iemand met verantwoordelijkheid voor patiënten en medische dossiers imho onwaardig.

    1. Geen schriftelijke contracten – Hoezo ben je dan überhaupt ‘in business’?
    2. ‘Slechte’ internetverbinding, geen digitale backup, geen testen van backups – Lijken me vooral gevolgen van kostenbesparingen.
    3. Onduidelijk of backup vanuit Promedico werd gebruikt – Kostenoverwegingen, maar in ieder geval nooit een fatsoenlijke audit laten uitvoeren.
    4. “Een mogelijk aandringen van de zijde van [eiseres] c.s. om de update overdag in plaats van buiten werktijd te installeren” – Suggestief, maar pff. Dat zou een middenstander nooit doen.

    Je zou als patiënt hopen dat de dame een grotere boete kan krijgen van de AP, dan wat ze nu aan schade probeert te verhalen op de leverancier. Als zorgverzekeraar zou ik ook iedere uitgekeerde cent voor praktijkverbetering terugvorderen.

    • Willem, mag je van een arts verwachten dat die voldoende kennis van ICT-beheer heeft om een redelijk complex systeem op te zetten? (multi-user, meerdere werkplekken, privacy-gevoelig, koppelingen met externe systemen.) Ik vind van niet en dus heel begrijpelijk dat ze daarvoor een gespecialiseerd bedrijf geeft ingeschakeld.

      Het ontbreken van een beschrijving van de uiteindelijke systeeminrichting straalt slecht uit naar de arts, maar nog slechter naar de beheerder… hoe weet die nu wat te beheren en wat te controleren als er geen beschrijving van de systemen is?

      Slechte internetverbinding? Is ADSL slecht, nee, maar met een 1 Mbit uplink niet geschikt voor het maken van een backup “in de cloud”.

      Verder maak ik uit de stukken op dat het door de ICT dienstverlener geleverde “backup script” niet correct gewerkt heeft en zonder foutmelding gefaald heeft. Door gebrek aan controle vanuit de dienstverlener is dat maanden/jarenlang niet opgemerkt… zie het punt over het ontbreken van een systeembeschrijving.

      Wat ik in het vonnis lees wijst op onvoldoende competentie bij de ICT dienstverlener, waar de klant de dupe van is.

      • Begrijp je helemaal hoor, primair had iedere IT-er dit kunnen en horen te voorkomen. Op ieder vlak ging het fout en had het tegen vergelijkbare lasten beter gekund.

        Maar mijn stelling is dus dat iedere ondernemer ‘worth his salt’ zo’n situatie niet had laten ontstaan. Artsen staan zich er vaak op voor ondernemer te zijn. Handel dan ook zo.

        De bedrijfskundige eisen aan het voeren van een medische praktijk zijn hoog en passen niet bij de handelswijze van deze arts.

        • Contracten leg je vast.
        • Als IT niet je domein is, ga je niet gemakkelijk afwijken van voorstellen van leveranciers (rond de online backups).
        • Er is geen reden anders dan kosten voor een dunne uploadpijp in Nederland (dit is Randstad welteverstaan, gezien de locatie van de advocaat). *Met medische dossiers ga je zeer zorgvuldig om. Dat vereist een stukje risk management en activatie bij de ondernemer.
        • Voor zover ik artsen ken presenteren zij zich eerst als zorgverlener en daarna pas (als ze dat al doen) als ondernemer. De gemiddelde arts (zelfstandige of kleine ondernemer) vergelijk ik qua computerkennis met de gemiddelde consument; de arts moet kunnen vertrouwen op een correcte uitvoering door zijn (diensten-)leverancier, de arts heeft de kennis niet om zijn IT-leverancier te kunnen controleren.

          Ja, aan de wijze waarop de arts het heeft laten gebeuren zijn, vooral op het bedrijfskundige en juridische vlak, aanmerkingen te maken; de wijze waarop de IT-dienstverlener de zaken verklooid heeft (OOPS, backup gewist) is tenenkrommend.

          Met betrekking tot de internetaansluiting: Rechtbank Limburg duidt niet op Randstad… En ik weet niet wat de technische mogelijkheden in 2011 voor snel internet in het praktijkgebouw waren: Is er een kabel-tv aansluiting? Wat was het Internet aanbod? ADSL was in die tijd nog behoorlijk beperkt (2.4 Mbit symmetrisch).

    • Als je backups maakt op USB drives zul je, net als bij het maken van backups op tape, ervoor willen zorgen dat tenminste een backup buiten het gebouw bewaard wordt. (Op disk 1 wordt backup gemaakt, disk 2 wordt meegenomen vanaf de externe opslag; na voltooien backup wordt disk 1 vervangen door disk 2, disk 1 gaat naar de externe opslag, disk 3 wordt daar opgehaald…) Een bankkluisje is een goede keus als externe opslagplaats.

  4. Een opvallende kwestie omdat Office tegenwoordig vrijwel standaard backups ondersteund in de Cloud. En software zoals OneDrive, Google Drive, Dropbox en Stack van TransIP maken real-time backups al heel eenvoudig zodat je geeneens een dagelijkse backup hoeft uit te voeren.

    Maar aan de andere kant, backups op USB of in de Cloud? Van medisch zeer gevoelige informatie? Ik denk dat de huisarts zelf ook het een en ander verweten kan worden qua ICT beveiliging. Het is dan ook erg opvallend hoe knullig het er vaak aan toe gaat betreffende ICT oplossingen in de Medische wereld. Maar goed, ICT is niet hun prioriteit…

  5. Promedico is technisch ook niet zo’n wonder. Ze adviseren slechts een “recente” backup te hebben, maar als er risico op dataverlies bestaat, hoort het maken van zo’n backup en het testen daarvan geforceerd te worden als onderdeel van de updateprocedure. Ook een halve dag aan data verliezen is immers onacceptabel. Bovendien is Promedico een professionele partij die software voor veel huisartsen levert, terwijl zo’n ict’er wellicht minder ervaring heeft met zulke bedrijfskritische gegevens.

  6. Je zou binnen een organisatie moeten afspreken dat je onaangekondigd een harde schijf of zo sloopt, en dat de ICT afdeling dan de zaak moet herstellen. Als ze (de ICT afdeling) dat niet durven, of willen weten wanneer dat dan precies gaat gebeuren hebben ze hun recovery procedure niet op orde.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS