Gaan we weer: IT-leveranciers, schrijf gewoon op wat je gaat doen (en wat niet) want zorgplichtvonnissen zijn altijd gedoe

OpenClipart-Vectors / Pixabay

Als je zegt “het beheer” te gaan doen van iemands IT, wil je dan opschrijven wat je daarmee bedoelt? Want als er daarna een berg bestanden in de Sharepoint-prullenbak verdwijnt, dan is het heel wat meer gedoe om dát recht te zetten als de wederpartij roept dat dat jouw schuld is. Het is een van de lessen uit een recent vonnis over dat rare onderwerp van de zorgplicht van de ict-er. De zaak ging, natuurlijk, over de vraag of een nieuwe ICT-leverancier aansprakelijk is voor de schade die het gevolg is van het verlies van data uit de oude ICT omgeving van haar opdrachtgever. Dat is dus vrijwel geheel afhankelijk van wat je opschrijft, dus neem daar alsjeblieft even de tijd voor.

De eiser in deze zaak was een reïntegratiebureau dat “privacygevoelige persoonsgegevens” verwerkt, wat onderstreept dat goed omgaan met data van groot belang voor haar is. En ja, dat is iets dat jij als ict-er moet beseffen als je met deze partij in gesprek gaat. Het bureau had een lokale oplossing met een server bij de oude leverancier, een clouddisk en een Sharepoint/Onedrive omgeving, en wilde naar een nieuwe ict-leverancier (reden wordt niet genoemd, maar zo te lezen wilde men mede over naar Office 365).

Een discussiepunt bij ieder ict-contract is de omgang met data. Zo ook hier: het bureau gaf aan dit zelf te willen regelen:

“Zou jij er voor kunnen zorgen dat Sharepoint en Onedrive zo beveiligd zijn dat ik een nieuwe mappen structuur kan aanmaken en iedereen deze week kan overzetten naar Office 365 Business? De H-schijven kunnen ze zelf overzetten naar Onedrive en de mappen op i-schijf zal ik overzetten als dat nodig is.”
Mijn gevoel is dat men bij het bureau dacht dit zelf te kunnen omdat er een hoop oude data uitgezocht moest worden en wellicht weg kon. Misschien dat ook de kosten meewogen, of dat men dacht het oude Onedrive-account om te kunnen zetten met een naamsverandering. Dat bleek toch niet helemaal gewenst, dus er ontstond discussie over en de nieuwe leverancier maakte een backupmap aan in de nieuwe omgeving, waar men dan zelf de data heen kon kopiëren.

Toen liep kennelijk het oude contract af:

De data van [eiser] van de cloud harddrive en de DTO/ischijf bij [de oude leverancier] zijn op 30 juni 2019 verwijderd. Op zondag 30 juni 2019 zijn een groot aantal bestanden van de “OfficeGrip:Back up Site” in de oude Sharepoint-omgeving van [eiser] (hierna: de Sharepoint back up site) verplaatst naar de prullenbak.
In september werd er diverse mailen gediscussieerd over ongeautoriseerde toegang en verdwenen bestanden, wat voor het bureau reden was om een forensisch onderzoek te willen gaan doen, mede vanwege de zorg over verlies van die bijzondere persoonsgegevens. Dat liep niet lekker, zodat er werd gedagvaard. Niet de eerste keer zo te lezen tussen deze partijen.

De eerste vraag voor de rechter was dan wat de afgesproken vormen van “beheer” inhielden. De rechter interpreteert dit als het beschikbaar houden van de oude data, omdat het geschil daarover gaat. Met enig gezoek is de tussenconclusie dan dat het doel was om deze in een Microsoft cloud-omgeving online te krijgen, zodat we voor de oude netwerkschijf (bij de oude leverancier draaiend) snel klaar zijn:

De rechtbank is van oordeel dat uit deze discussie tussen partijen – hoe dan ook – niet kan worden afgeleid dat [het IT-bedrijf] het beheer van de ischijf/DTO zou overnemen. Vast staat namelijk dat de DTO/i-schijf geen onderdeel uitmaakt van de Microsoft-diensten of Microsoft-tenant, maar daar volledig los van staat. De i-schijf is immers een opslagplaats voor data op de lokale server van [de oude IT-leverancier]. Dus ook als [de nieuwe leverancier] het beheer van de bestaande Microsoft-omgeving zou overnemen, dan betekent dat niet dat [deze] daarmee ook het beheer op zich nam over de ischijf op de lokale server van [de oude leverancier].
Vervolgvraag is dan of de nieuwe leverancier de data uit die i-schijf had moeten overnemen naar de nieuwe omgeving, waar zij wél verantwoordelijk voor was. Maar in het offertetraject was daar nog discussie over, en die werd als volgt beslecht:
“- Implementatie Sharepoint gebruiker: Er gaat geen enkele data over. We vernietigen het meeste en als ik bestanden er toch op wil zetten dan upload ik dat zelf. (…) – Datamigratie tool hebben we niet nodig: Niet akkoord. Er gaat 0 data over.”
Dan kun je achteraf wel zeggen dat je alleen doelde op de mailbox-data van gebruikers, maar gezien de formulering is dat dan niet heel overtuigend meer. Zeker omdat vervolgens in de offerte de post datamigratie op nul was gezet. In die context had de nieuwe leverancier ook niet meer hoeven waarschuwen: als iemand zó duidelijk aangeeft “nee, geen enkele data, ik doe het zelf, niet akkoord er gaat 0 data over” dan mag je toch wel aannemen dat daar over nagedacht is.

Uiteindelijk worden de eisen over verloren data en/of signalen van ongeautoriseerde toegang allemaal afgewezen omdat het te speculatief en niet onderbouwd is. Maar het vonnis laat zien dat er daarvoor wel een stevige discussie met de rechter nodig is. Een heldere serie afspraken is dus altijd belangrijk. In dit geval ook door expliciet te benoemen welke data niet over gaat, in plaats van alleen een post op nul te zetten. En door aan te geven dat klant zelf de contacten met de oude leverancier moet onderhouden en eventuele data daar zelf op moet halen.

Arnoud

 

 

13 reacties

  1. Wat mij dan vooral weer opvalt is dat men dan niet alle data gewoon even veilig opslaat op een lokale harde schijf voor het geval er toch iets mis gaat. Even een harde schijf van 4 TB kopen, aansluiten op de USB en dan alles daar op plaatsen lijkt mij niet al te moeilijk. Zeker omdat we het hier over een Windows-omgeving hebben. Beetje systeembeheerder zou dat zo kunnen doen. En als alles goed gaat kan die schijf gewoon de prullenbak in of een ander doel krijgen…

    En als je dit niet zelf kunt dan vraag je gewoon de oude leverancier of ze de data op een externe schijf kunnen plaatsen en dan op kunnen sturen. Een leverancier zou dit zelfs als een extra service kunnen aanbieden, voor een mooie prijs.

    Maar als het mis gaat dan kan het dus goed mis gaan, zoals in dit geval. Maar goed, backups zijn altijd al lastig geweest voor veel bedrijven, net als beveiliging. Vaak zien ze er niet veel nut in en doen ze het “omdat het moet”… En het mag ook niks kosten, he?

    1. Het probleem is dat als je dat als (nieuwe) IT leverancier zomaar ongevraagd doet, je dan ineens verantwoordelijk bent voor de verwerking van bijzondere persoonsgegevens. Afhankelijk van een eventueel afgesproken verwerkingsovereenkomst (mogelijk was die er niet eens, dat zou immers Microsoft zijn) kan dat best vervelende problemen geven. Als je de AVG links laat liggen, zou ik dat als nieuw IT bedrijf ook gewoon doen. Een paar tientjes investering en mogelijk kun je je nieuwe klant van een hoop problemen behoeden. Als je echter de AVG meeneemt dan wordt het ineens complexer en dan lijkt het mij een prima keuze om je te verschuilen achter de (zeer stellige!) afwijzing van de klant. Overigens zou ik het ook snappen als de leverancier na die afwijzing het simpelweg als risico van de klant bestempelt. Mogelijk is daar veel meer communicatie aan vooraf gegaan dan nu schriftelijk terug te vinden is.

      1. Waar het om gaat is dat de klant vraagt om een backup op een aparte schijf, en dat de IT leverancier dit als een optie aanbiedt. Deze schijf gaat dan per post naar de klant en is daarna de verantwoording van de klant. Een losse schijf die niet verbonden is aan het Internet en in principe niet gebruikt wordt tenzij er een calamiteit optreedt zou geen probleem binnen de AVG moeten zijn.

        Nu zijn er echter gegevens verloren gegaan omdat de IT leverancier deze heeft opgeruimd. Op zich is dat voor de leverancier geen probleem, maar wel voor de klant. Ook vanuit het oogpunt van de AVG is dat een probleem omdat mensen nu niet meer kunnen opvragen welke gegevens de klant over hen had. Die zijn immers verloren gegaan! En ook dat is conform de AVG een probleem. Toch?

        1. We praten hier over data die bij de oude leverancier stond, waarbij de klant aangeeft dat zijzelf data overzetten en dat de nieuwe leverancier zich daar niet mee bezig hoeft te houden, en die data is nu kwijt doordat het contract met de oude leverancier afliep en zij de boel opgeruimd hebben? Daar zou ik als nieuwe leverancier ook m’n handen vanaf getrokken hebben als de klant expliciet aangeeft dat de nieuwe leverancier niets met de data hoeft. Sowieso is dit een lekker begin van een langdurige samenwerking tussen klant en nieuwe leverancier…

          Wat de AVG betreft, verschil is natuurlijk dat als je erbij betrokken bent (doordat je ongevraagd actie ondernomen hebt), je als schuldige aangewezen kan worden als nieuwe leverancier. Nu is het iets tussen klant en oude leverancier.

          1. Mee eens. Maar de Klant is bij voorbaat dom en kan beslissingen nemen die niet al te verstandig zijn. Als leverancier heb je dan de keuze dat je de klant zijn gang laat gaan, want die moet maar weten wat ze doen. Of je biedt even een extra service aan en houdt nog even een backup van de data apart voor het geval de klant later merkt dat ze hebben geblunderd. De oude leverancier had de klant erg blij kunnen maken met zo’n backup en een rekening erbij voor de geboden dienst.

            De nieuwe leverancier heeft niets te maken met de data van de oude leverancier. De nieuwe leverancier werkt alleen met data die de klant aanlevert. Als de klant data aanlevert van de oude leverancier, prima. Dat is dus niet gebeurd. En de oude leverancier heeft alles netjes gewist en die data is dus kwijt…

            Echter, zou de oude leveranciers geen backups bijhouden van de data? Lijkt mij logisch dat ze ergens een tape hebben met een incrementele backup die toch zeker 6 maanden terug gaat. Eentje die ze niet direct wissen als de klant weggaat. Backups lijken mij een standaard onderdeel van iedere IT oplossing, dus waar is die backup? Want die kan dan voor de klant op een externe disk worden gezet. Mits de klant ook even de rekening betaalt voor de schijf en uurloon.

  2. Lijkt me ook dat de oude leverancier wel een backup heeft. Dat maakt het ook zo vreemd dat de klant de nieuwe leverancier aanklaagt. Je hebt aangegeven dat er geen data overgezet hoeft te worden door de nieuwe leverancier, daardoor is er geen data op de door de nieuwe leverancier beheerde omgeving en heeft die dus ook geen mogelijkheid om iets te herstellen. De slimme optie was dan ook om met de oude leverancier te gaan babbelen en te vragen of ze de data konden restoren naar een externe schijf. Kost je wel wat, maar dan had je als klant zelf de data maar eerder veilig moeten stellen. Je weet wanneer het contract met je oude leverancier afloopt en als je zegt zelf de data over te hevelen weet je dus ook voor wanneer je dat gedaan moet hebben.

    1. Tja, de oude leverancier heeft op 30 juni 2019 de data verwijderd en in September begon men pas op te merken dat er data ontbrak. Volgens mij is de klant in 2021 failliet gegaan, mogelijk door deze problemen. De leverancier is overigens nog gewoon zijn ding aan het doen. Ik vermoed dan ook dat deze kwestie is ontstaan doordat de curator van de klant naar inkomsten zocht en dus de leverancier aansprakelijk ging stellen om te proberen nog iets terug te krijgen. De leverancier mag in ieder geval achteraan sluiten bij de overige schuldeisers betreffende de proceskosten.

      Het faillissement was op 14 Mei 2021 en de dagvaarding was op 19 Augustus 2021 dus dit lijkt mij een curator-actie te zijn geweest. Een domme actie, maar begrijpelijk omdat de curator de data mogelijk wil om te zien of er nog elders inkomsten behaald kunnen worden. Feitelijk twee jaar nadat alles goed mis ging en de data feitelijk verloren is omdat ook de oude leverancier deze vast niet meer heeft.

      Ik zie ook dat het vonnis meldt dat er 53 GB aan data was. Een beetje moderne USB-stick kan dat makkelijk bevatten dus het blijft mij verbazen dat ze niet om een kopie van de data vroegen. Maar het vonnis geeft ook aan dat de klant had aangegeven de meeste data te willen vernietigen, wat ik ook vreemd vind. En kort na het fiasco kon de klant al stoppen met het bedrijf omdat data was verdwenen.

      De vraag is uiteindelijk of de nieuwe leverancier de oude data had over moeten zetten om deze veilig te stellen. Maar een dergelijke actie is gewoon uurtje/factuurtje en de klant heeft daar niet voor betaald en aangegeven dat dit niet hoefde. De leverancier heeft dit zelfs aangeboden maar de klant heeft expliciet aangegeven dit niet te willen. Tja…

      Overigens zaten er 3 weken tijd tussen het begin van de migratie en het einde van het oude contract. In die tijd had de klant zelf die data migratie moeten uitvoeren, maar kennelijk had dit geen prioriteit. De nieuwe leverancier heeft ook meerdere maken gemeld aan de klant dat ze hun data moesten overzetten.

      1. Als die laatste zin klopt dan is het een hele domme curator geweest. Als een klant expliciet aangeeft dat je als leverancier geen data over hoeft te zetten én je wijst ze er meerdere keren op dat ze dat moeten doen omdat het contract met de oude leverancier binnenkort afloopt, heb je als nieuwe leverancier volgens mij prima aan je zorgplicht voldaan. Dat maakt de rechtszaak des te vreemder.

        1. Die snapte ik ook niet helemaal. In reactie op de eerste offerte zegt men bijvoorbeeld “Er gaat geen enkele data over. We vernietigen het meeste en als ik bestanden er toch op wil zetten dan upload ik dat zelf… Datamigratie tool hebben we niet nodig: Niet akkoord. Er gaat 0 data over.”

          Achteraf zegt men dat dit alleen ging over mail, maar dat is niet echt consistent met “geen enkele data” en “bestanden” en “0 data”. Ook de verwijzing naar de migratietool is duidelijk niet op mail gericht, die stond in de offerte toegelicht als echt een opgeslagendatamigratietool en niet een mailboxenmigratietool.

          Verderop komen er wel bestanden in beeld die over moeten, maar dat gebeurt dan met een screenshot en de frase “De bestanden in het plaatje wil ik in mijn One drive opslaan”. Dat lees ik in combinatie met bovenstaande als “ik ga dit doen, laat me weten als dit onmogelijk is / zorg dat ik de rechten heb”. Achteraf dit lezen als “ik wil dat jullie dit doen” is niet echt logisch wat mij betreft. En als je dat bedoelde, en je krijgt geen reactie, dan volg je toch op met bijvoorbeeld “wat gaat dit kosten” of “wanneer is dat af”?

          Dus nee ik vond het ook niet echt sterk onderbouwd. “

        2. Tja, Het vonnis geeft niet precies aan wie de zaak heeft aangespannen, behalve dan de klant. En de Curatoren website meldt de surseance van deze klant per 14 mei 2021. De dagvaarding is van 19 augustus 2021 dus op dat moment was de curator bezig om te liquideren.

          Maar of de curator dom is geweest? Als curator moet je zoeken naar manieren om geld binnen te harken en een IT leverancier verantwoordelijk houden voor ontstane schade is dan een manier, ook al is de kans op succes erg klein. Als je verliest dan heeft de leverancier een schadeclaim die gewoon bovenop alle ander schulden komt. Die €17,013,- die de leverancier nu kan vorderen kunnen ze mogelijk op hun buik schrijven. De curator en de belastingdienst komen eerst, en daarna de rest…

          Ik heb geen idee of de IT leverancier de proceskosten op de curator kan verhalen. Misschien dat @Arnoud dat wel kan uitleggen? Volgens mij is de curator niet persoonlijk verantwoordelijk, tenzij hij wist dat de zaak bij voorbaat verloren was. Maar volgens mij had de curator wel een klein kansje. Eentje die teniet werd gedaan door een zinnetje in de communicatie tussen de klant en de leverancier…

          1. Dat zinnetje had allang bekend moeten zijn bij de curator. Ik mag hopen dat de eerste stap niet het aanspannen van een rechtszaak geweest is, maar dat hij contact heeft gezocht met de IT-leverancier. Als die iets in de trant van “we hebben geen data gemigreerd omdat de klant zelf aangegeven heeft dat zelf te doen, kijk hier maar”, had hij al moeten weten dat het kansloos was, zo expliciet als het aangegeven is vanuit de klant.

            1. Mee eens, alleen weet ik niet hoeveel de curator heeft meegekregen over de gehele kwestie. Waarschijnlijk waren er voor die tijd al de nodige problemen en heeft de curator de boel alleen voortgezet omdat er al lopende kwesties waren. Als ik de deze uitspraak bekijk dan blijkt al voor de surseance al het nodige gaande geweest te zijn tussen klant en leverancier. De vraag is alleen in hoeverre de klant de curator op de hoogte heeft gesteld van alle feiten.

              Opvallend is hierbij dat in deze uitspraak de leverancier aangeeft dat de klant nog een fors bedrag heeft openstaan dat betaald moet worden, wat dus niet is gebeurd. En dat de klant even beslag heeft weten te leggen op 2 miljoen euro bij de bank! Maar dat is weer snel komen te vervallen.

              De curator moet ook hiervan hebben geweten en heeft zich mogelijk niet verdiept in de kwestie maar gewoon de boel voortgezet om de leverancier in gebreke te houden. Sowieso had de klant op dat moment al forse schulden en een negatief vermogen van twee ton. De klant beweerde echter dat ze door dit verlies van data 5 miljoen aan inkomsten zijn kwijtgeraakt. Dat wordt niet onderbouwd maar is wel wat de klant beweerde voor de curator het over nam.

              Het zou mij niet verbazen als de klant de curator valse voorlichting heeft gegeven en de curator op basis daarvan tot dit besluit kwam. Nu de zaak is verloren mag de curator nu gaan klagen bij de klant maar een kale kip kun je niet plukken, he… (Wel slachten!) Nu was de klant weer onderdeel van een grotere holding en die holding bestaat nog. Geen idee dus wie uiteindelijk de rekening van de proceskosten mag gaan betalen. Maar voor de curator was het een gok met een klein kansje, indien hij af moest gaan op de informatie van de klant. En ik weet niet in hoeverre hij nog een discussie heeft gehad met de leverancier. (Want dat kost juist geld, he?)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.