Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Aansprakelijkheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade is, moet nog worden bepaald. In ieder geval vallen daar de kosten onder van het inschakelen van een waarnemend huisarts.

Dit is het vervolg op de zaak waar ik in januari over blogde. In het algemeen lijkt het goed af te lopen voor deze IT-leverancier, schreef ik toen. Maar dat valt nu tegen:

De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een back-up (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van ‘opdrachten’ van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

De rechtbank doet nu einduitspraak. Voorop staat dat je als “redelijk bekwaam en redelijk handelend ICT-dienstverlener” er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is. In ieder geval niet in situaties waarin het belang van die backup groot is (de administratie van een huisartsenpraktijk) en waarin de documentatie bij upgrade die je gaat uitvoeren expliciet waarschuwt “maak een backup”. Dan moet je écht controleren of deze klopt.

Doe je dat niet, dan hang je:

Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.

En nee, algemene voorwaarden hadden hier waarschijnlijk niet bij geholpen. De rechtbank laat doorschemeren dat deze tekortkoming volgt uit het verzaken van de zorgplicht die je als dienstverlener hebt. Botweg de aansprakelijkheid voor zulk verzaken uitsluiten gaat gewoon niet, dat is niet redelijk. Je gaat gewoon betalen als je klantdata kwijtmaakt of niet zorgt voor een goede backup.

Mogelijk had een expliciete waiver hier wel geholpen. Dan zeg je als dienstverlener “u, klant, wilt iets héél onverstandigs en u tekent hierbij voor afzien van aansprakelijkheidstelling”. Dat kan, maar het moet wel redelijk zijn. Dus dat in je algemene voorwaarden: vergeet het maar. Een op maat gesneden tekst (“Gezien de bloedspoed bij de klus en de schriftelijke verzekering van KPN dat u een online backup heeft, ziet u af van een backup voordat ik begin”) gaat het denk ik wel redden.

Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld.

(Het wordt wel een beetje de week van dataverlies&backup deze week, maar goed, data ís nu eenmaal de kern van ICT-diensten.)

Arnoud

Deel dit artikel

  1. Een backup is nooit heilig makend, het kan altijd fout gaan, ik heb backups gezien die 100% waren tijdens het aanmaken en nakijken maar toch op een of andere manier niet terug gezet kunnen worden. De rechter gaat wel kort door een bocht hij gaat er vanuit dat de data het bedrijf mag verlaten wat in meeste gevallen niet mag. Ook opslaan in een cloud kan problemen opleveren aangezien de gegevens naar een openbaar stuk gaan internet genaamd. Hoe het wel hoort wel dat hoort eigenlijk in het protocol van de klant en het ICT bedrijf vast gelegd te worden.

  2. En in hoe veel gevallen wordt een dergelijk protocol opgesteld? Als je een backup van 1tb wilt maken kost dat gewoon tijd. Met name de initiële backup kan veel tijd kosten. Als het via internet gaat en op de betreffende plek is maar 2mbit upload beschikbaar doe je als het mee zit iets van 15mb per minuut. Dan kost zelfs een backup van een paar gb al vele uren. Dit soort verbindingen kom ik bij klanten nog steeds tegen helaas.

      • Laten we aannemen dat de klant een USB2.0 poort kan aanbieden voor de backup; dan bereik je een snelheid van ~35 MB/s, oftewel 126 GB/uur. Daarmee kun je binnen redelijke tijd een beschaafde database veiligstellen, maar een backup van 1 TB vraagt 8 uur. Een NAS met Gigabit ethernet (aangenomen dat de klant ook Gigabit ethernet heeft) kan een factor 3 sneller, dan worden de gebruikte schijven al snel een flessenhals.

  3. Ik blijf het verwarrend vinden. De ene keer zeg je heel stellig “data is juridisch niets”, maar als er van “juridisch niets” geen back-up gemaakt wordt, en de database gaat van “juridisch niets” naar “echt niets”, is het ineens de verantwoordelijkheid van de ICT leverancier?

  4. Echte afdronk voor mij is: “Never stick your chip in crazy”.

    Deze opdracht had gewoon nooit tot stand moeten komen. Een klant die je niet de tijd gunt om gedegen werk te leveren, moet je niet proberen te helpen. De klant komt zo overduidelijk over als cheapster, dat ik de rechtbank die zich voornamelijk richt op professionaliteit niet goed kan volgen. Iedere indicatie van een professionele IT-organisatie ontbreekt en dan is de kleine klusser (afgeleid uit: standplaats Oirsbeek en Google) verantwoordelijk?

    Volgens mij heeft in de details ‘We are Borg’ nog een heel goed punt. Alleen het uitzoeken van of en hoe de (medische persoons-)gegevens gebackupd mochten worden, had al flink wat uren gekost.

  5. Uit de blog van Januari:

    Het IT-bedrijf voerde de nieuwe versie door, maar na enige problemen in de werking werd Promedico zelf erbij gehaald en die deden een hernieuwde installatie met dataverlies.
    Promedico is de veroorzaker van het dataverlies door de herinstallatie. Als je als bedrijf zo’n herinstallatie gaat doen, zorg je toch voor een eigen backup of check je de bestaande backups van de klant op z’n minst?

    Uit het voorgaande volgt dat het niet van belang is of medewerkers van [eiseres] c.s. of Promedico na de installatie van de update, toen die niet naar behoren bleek te zijn uitgevoerd, handelingen hebben verricht die tot verlies van gegevens in het systeem hebben geleid. Indien [gedaagde] vóór installatie van de update zich ervan had vergewist dat een bruikbare back-up aanwezig was, zou dat verlies herstelbaar zijn geweest.

    Waarom wordt enkel de gedaagde verantwoordelijk gehouden? Promedico heeft toch een zelfde zorgplicht? In de brief hebben ze dan wel gemeld dat er een recente backup moest zijn, maar toen ze zich er vervolgens zelf mee gingen bemoeien met een herinstallatie hebben ze dat niet even gechecked?

    Hoe zit dat met verantwoordelijkheden wanneer er meerdere partijen bij betrokken zijn?

    • De gedaagde is als ICT-professional ingeschakeld, en draagt dus de hoofdverantwoordelijkheid. Dat op zeker moment de leverancier langskomt is leuk en aardig, maar de backup had er toen al lang moeten zijn. Het is jouw taak als professional om te verifiëren dat er backups zijn voordat je überhaupt aan de klus begint.

      Vergelijk de klusjesman die een muur sloopt zonder te kijken of deze dragend is. Als dan de muur scheef zakt en je snel een bedrijf met stutten laat komen, en die stutten blijken te dun, dan denk ik toch dat die eerste klusjesman aansprakelijk is. Had hij even gecheckt, dan was de hele situatie niet gebeurd. Het voelt raar om de laatst erbij gehaalde persoon verantwoordelijk te houden voor iets dat de eerste had kunnen voorkomen.

      • Als er voor de herinstallatie van Promedico geen dataverlies was, waarom geldt dit dan niet voor Promedico?

        Het is jouw taak als professional om te verifiëren dat er backups zijn voordat je überhaupt aan de klus begint.
        Ze hadden notabene zelf gezegd dat het belangrijk was om een backup te maken voor de update. Ze hadden op z’n minst de eigen MDF database bestanden kunnen veiligstellen voor herinstallatie.

        Het voelt raar om de laatst erbij gehaalde persoon verantwoordelijk te houden voor iets dat de eerste had kunnen voorkomen.
        Dat zal toch in z’n algemeenheid wel anders geregeld zijn dan hoe het voelt?

        Stel ik word in m’n auto aangereden door iemand die niet oplet en de bumper is ingedeukt waardoor ik niet verder kan rijden. Er komt een sleepwagen en bij het optakelen van de auto breekt de ketting, gevolg: auto total-loss. Dan is toch degene die achterop reed niet verantwoordelijk voor alle schade…

        • Ik vind dat fundamenteel anders, omdat we hier zitten met de zorgplicht van de eerste persoon die erbij komt. Als ik hem herformuleer: jij leent je auto uit aan iemand die er een betaalde taxirit mee gaat uitvoeren, en hij veroorzaakt dat ongeluk en daarna breekt de ketting van de sleepwagen. Vind je dan ook dat ji maar bij de sleepmaatschappij moet zijn, of vind je dan dat die taxichauffeur dat allemaal moet betalen (en eventueel verhalen)?

          • [quote] Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst. [/quote] De lat wordt hier wel erg hoog gelegd. Uiteindelijk kan je hier alleen maar aan voldoen door een backup te maken en deze op een nieuwe (virtuele) machine weer terug te zetten en te testen of de software het doet. En dan zou je misschien ook nog moeten controleren of de data wel overeenkomt. Ik kan me voorstellen dat voor een software update de kosten zo hoog worden dat dit niet meer door een professionele partij gedaan kan worden.

            Tot slot, dat Promedico meldt dat er een backup gemaakt moet worden van de gegevens is een beetje een dooddoener. Ik ben nog nooit een update tegengekomen die me vertelt dat mijn data veilig zal zijn en ik me nergens zorgen over hoef te maken. Dat neemt niet weg dat je natuurlijk een backup moet maken maar dat het nog eens extra hard wordt aangerekend omdat Promedico er voor waarschuwt is wel wat onzinnig.

          • Als ik hem herformuleer: jij leent je auto uit aan iemand die er een betaalde taxirit mee gaat uitvoeren, en hij veroorzaakt dat ongeluk en daarna breekt de ketting van de sleepwagen. Vind je dan ook dat ji maar bij de sleepmaatschappij moet zijn, of vind je dan dat die taxichauffeur dat allemaal moet betalen (en eventueel verhalen)?

            Dat ligt aan wie de sleepwagen heeft ingeschakeld.

            Het lijkt erop dat in dit geval de ICT-er Promedia heeft ingeschakeld en dat die partij zelfstandig de software heeft geüpdatet. In dat geval zal de ICT-er Promedia aansprakelijk moeten stellen, maar dat wordt een lastige kluif, omdat de bewijslast opeens is omgekeerd.

            Heel warrige vonnissen overigens, waaruit weinig echt helder wordt.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS