Nog even terugkomen op die zorgplicht voor ICT-dienstverleners

Recent blogde ik over dat roemruchte vonnis waarin een ICT-bedrijfje opdraaide voor de kosten van een datagijzeling, op grond van zijn zorgplicht als dienstverlener. Dat gaf de nodige heisa, wat ik al overdreven vond, maar nu vond ik recent nog een arrest van het Hof Amsterdam dat juist ómgekeerd naar de zorgplicht keek. Dus ik kom er nog even op terug: wat je afspreekt is superbelangrijk, net als de communicatie in het vervolgtraject. Oftewel, let op wat je zegt en dan gaat het gewoon goed.

Waarom het Amsterdamse vonnis uit 2018 anno 2020 alsnog werd gepubliceerd, is mij een raadsel, maar het sloeg in als een bom. Een administratiekantoor kon haar ict-dienstverlener aansprakelijk stellen voor de gevolgen van een ransomware-aanval, omdat deze zijn zorgplicht had geschonden door geen backups te maken of sterke wachtwoorden in te regelen. Dat de klant weigerde de aangeboden backupoplossingen in te zetten en sterke wachtwoorden maar stom vond, dat deed niet ter zake.

In de zaak uit 2020 betrof het een strafrechtadvocate die haar praktijk verhuisde. Zij wilde haar ict-diensten meenemen en ook thuis kunnen werken. Na de verhuizing stelt de advocate dat de overeengekomen werkzaamheden niet naar behoren zijn uitgevoerd omdat de dienstverlener de verhuizing niet (tijdig) heeft voorbereid als gevolg waarvan pas op de verhuisdag bleek dat de bestaande apparatuur ontoereikend was en het internet te traag en dat toen ad hoc maatregelen genomen moesten worden. Zo werd data snel in een cloudlocatie geplaatst om maar verder te kunnen werken. De juiste apparatuur bleek niet te zijn geselecteerd en de voorbereiding was te laat begonnen.

Een en ander verliep dus nogal rommelig, en de advocate stelde daarop dat de dienstverlener in zijn zorgplicht te kort geschoten was. Dat ziet het Hof anders. Eerst moet men kijken wat precies de overeenkomst was, en pas dan kan worden bepaald waar de zorgplicht op toezag. Een belangrijke factor daarbij was dat de werkzaamheden van deze leverancier eerder incidenteel waren dan permanent ontzorgen, en dat de instructies van de advocate kort maar duidelijk waren. Er was dan ook geen aanleiding tot nader onderzoek. Dat dingen dan later tegen blijken te vallen, is geen schending van de zorgplicht.

Specifiek over backups is het Hof ook snel klaar: uit geen van de stukken blijkt dat overeengekomen is dat de dienstverlener backups zou maken, dus daar is hij ook niet in tekort geschoten.

Hoe deze uitspraken nu met elkaar te verenigen? De meest logische verklaring is dat in de eerste zaak de dienstverlener zich had gepresenteerd als totaaloplosser, terwijl in de tweede zaak de dienstverlener veel ‘lager’ ingestoken had met de dienstverlener. Af en toe hand- en spandiensten leveren tegen betaling is heel wat anders dan op abonnementsbasis iemand permanent ontzorgen. Wie dat laatste toezegt, krijgt een veel hogere zorgplicht op zich gelegd. Dat is ook logisch want de belofte is veel hoger, men mag op meer rekenen.

Ook van groot belang blijkt hoe uitgebreid men opdrachten vastlegt. In de eerste zaak blijkt er weinig tot niets vastgelegd te zijn over te verrichten werk, dat is wel iets dat de dienstverlener kan worden aangerekend. En ook wanneer risico’s langskomen, moet men daarover discussiëren tot consensus is bereikt over hoe verder. Dus wat je niet afbakent, kan zomaar als deel van de opdracht gezien worden.

De belangrijkste les voor mij blijft dan ook: zorg dat je blijft communiceren met je klant en dat je daarin de risico’s ook écht duidelijk maakt. In taal die de klant snapt, met waarschuwingen die er niet om liegen en blijf aandringen op een bevestiging van de vorm “ik snap de risico’s en ik wil het tóch zo”. Dat doe je in de conversatie, niet verstopt in je voorwaarden en niet met een bulletpoint in je offerte. En die conversatie die log je en je komt erop terug als de situatie rijp lijkt voor verbetering. Dat is hoe een goed IT-er zorgt voor zijn klanten.

Arnoud

 

5 reacties

  1. De opdrachtomschrijving is enorm nauw (opzeggen X,Y,Z, aansluiten twee PC’s, VPN maken). Die wordt na wat ik maar zie als adviesgesprek met een paar stappen uitgebreid (mail overzetten, data op één van de pc’s zetten) en blijkbaar in de klachtenperiode nog uitgebreid met installatie NAS. Dan volgen allerlei klachten die niets tot weinig met de opdracht van doen hebben (scannen, faxen, toegang tot bestanden) en eindig je als ZZP-er uiteindelijk bij het hof voor je centen.

    Hoe noemen we dat tegenwoordig? Niet magistraal gedrag. Zie 3.17 voor een opsomming van de falende pogingen om delen van de factuur te betwisten, die ook nog eens gekunsteld en wat triest overkomen.

  2. en pas dan kan worden bepaald waar de zorgplicht op toezag.

    Zag, toch? Hier moet de juristenuitdrukking “zien op = betreffen, geldig zijn voor, betrekking hebben op”, die gewone mensen niet (maar journalist Chris Klomp wel nu ook al, te pas en onpas) toch juist weer wel? (Was dit een duidelijke zin van mij? Nee, dit was geen duidelijke zin. Foei.)

    1. Lange bestandsnamen of lange pad (path) namen?

      Zelf moderne windows heeft een limiet van 260 tekens, dus bv C:/users/jeanatte-van-kleef-jansen/mijn documenten/klantgegevens/2020/onderzoek van naar covid propagatie door Jantje en Pietje versie 5 final v9 updated/Onderzoek naar het verspreiden van lange bestandsnamen in moderns computers door Jannette Peter en Marieke Pieterson.docx kan heel makkelijk een probleem zijn.

      (En nee, helaas niet ver gezocht. Voor al niet de word documenten net de hele eerste pagaraaf als bestandsnaam, want dat zoekt zo lekker makkelijk).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.