Als je als klant meer RAM-geheugen gebruikt dan contractueel was overeengekomen, heeft je hostingprovider of ict-dienstverlener dan een informatieplicht over d ekosten? Nee, niet als je zelf weet hoe dat zit. Dat maak ik op uit een recent arrest (via) van het Hof Den Bosch. Ik ben opgehouden te tellen hoe veel zorgplicht-arresten er zijn, ondertussen.
Hoe kun je nou per ongeluk meer werkgeheugen in gebruik nemen dan waar je contractueel recht op had? In grootzakelijke situaties kan dat, zo ook hier. Die extra geheugencapaciteit is dan gereserveerd, maar niet daadwerkelijk gebruikt (“powered off”). Het doel was in dit geval uitwijkcapaciteit bij calamiteiten.
Op zeker moment had de klant deze reservecapaciteit daadwerkelijk geactiveerd en in gebruik genomen. De leverancier stuurde daarop een rekening, want hoeveelheid gebruikt geheugen was contractueel een punt waarvoor gefactureerd mocht worden.
Allereerst maakte de klant daartegen bezwaar omdat zij de meting niet kon verifiëren. Alleen de leverancier had de logs, en dat voelde oneerlijk. Dat is echter voor de rechter te weinig, zeker omdat in de algemene voorwaarden afgesproken was dat logs binden tenzij tegenbewijs wordt geleverd. Bovendien – en belangrijker – zag het hof wel degelijk mogelijkheden voor de klant om eigen meetgegevens over in gebruik zijnde geheugen te verzamelen.
Ten tweede stelde de klant dat de ict-leverancier, als specialist en voorzien van logging en monitoring, haar had moeten waarschuwen over de toegenomen hoeveelheid werkgeheugen (en de bijkomende kosten). En inderdaad, het is deel van je zorgplicht om duidelijk te maken wat je levert en wat de (meer)kosten zijn. Een klant die per ongeluk over een limiet gaat, daar moet je wat mee – en wel meer dan alleen een meerfactuur sturen.
Hier speelde dat echter niet. Het Hof ziet duidelijk bewijs
dat het aanmaken en uitbreiden van de hoeveelheid daadwerkelijk gebruikt werkgeheugen een actieve handeling was die op een eigen interne afdeling van [de klant] plaatsvond. Dat handelen van de eigen afdeling van [de klant], en de wetenschap omtrent uitbreidingen van het werkgeheugen die bij die afdeling bestond, moet aan [de klant] worden toegerekend.Immers, in een van de mails tussen klant en leverancier ging het hier over:
Daarbij wordt ook gesteld, zo verstaat het hof, dat men bij [de klant] niet erg verbaasd is over het feit dat meer werkgeheugen wordt gebruikt dan waarvoor is gefactureerd, omdat het aanmaken en uitbreiden van werkgeheugen bij [de klant] gebeurt en men er bij [de klant] vanuit ging dat [de leverancier] het maximaal te gebruiken werkgeheugen had gelimiteerd en er daarom nooit een controle op heeft plaatsgevonden.Als je zelf op de knop moet drukken en weet wat er dan gebeurt, dan houdt de zorgplicht van de leverancier daar op. De veronderstelling dat er een harde limiet zit op wat je kunt afnemen is er eentje die je zelf moet verifiëren (of navragen), daar mag je niet blind op vertrouwen.
In dit geval met grote gevolgen: een rekening achteraf van een slordige vijf ton. Voor andere bedrijven wellicht een prikkel om even na te vragen hoe hun ict-omgeving ingericht is en welke zachte (zelf uit te zetten) limieten daarbij bestaan?
Arnoud
Ik kan de gedachtegang van het bedrijf me wel voorstellen (dit is pure speculatie). De ICT of finance afdeling huurt een server met X processoren en Y RAM geheugen. Tegen de individuele afdelingen wordt gezegd dat ze dit moeten delen, maar dat ze voor de rest hun eigen gedeelte mogen beheren.
Medewerkers van de individuele afdelingen zien dat het knopje meer processoren claimen het niet doet (omdat het maximale aantal in de server al gebruikt wordt), zij denken dat dit komt omdat alle (contractueel) beschikbare processoren al gebruikt worden door andere afdelingen.
Maar het knopje meer RAM doet het wel (het is immers fysiek in de server aanwezig). Zij zijn dus in de veronderstelling dat dit onderdeel is van de ingekochte capaciteit die nog niet door een andere afdeling geclaimed is.
De overkoepelende ICT afdeling zou waarschijnlijk het totaalverbruik in de gaten moeten houden. Maar als zij dat niet doen omdat zij ervan uitgaan dat het in gebruik nemen van meer dan de standaard in het contract via hun gaat, dan zou dit lang onopgemerkt kunnen blijven.
Een vraag zou dan zijn, is het redelijk dat een optie om buiten het normale contract te gaan onderdeel is van een omgeving waar normale gebruikers bij kunnen, ipv alleen hogere administratoren? Dan heb ik het niet over een “normale” administratieve medewerker, maar over iemand die voor zijn werk even snel een virtueel testservertje opzet.
Nog steeds een probleem van het bedrijf zelf. Zij geven gewone sterveling toegang om extra resources aan te maken zonder “LET OP RAM MOET JE AFBLIJVEN” of “RAM via IT” oid. Daar worden de aannames gemaakt.
Ik kan mij goed voorstellen dat bij een IT bedrijf individuele afdelingen zelf virtuele instanties moeten kunnen aanmaken (en stoppen). Tijdens het aanmaken moet je een hoeveelheid RAM aan een instantie toewijzen. Dit allemaal via een centrale ICT afdeling laten lopen is dan niet werkbaar.
Laat ik het voorbeeld iets verder van deze casus afzetten, maar hopelijk wel op een duidelijkere manier. ICT wilt een cloudstorage contract afsluiten. De partij waarmee ze in zee gaan bied verschillende hoeveelheden waartussen geschakeld kan worden indien nodig. ICT gaat voor de 100Gb en zegt tegen de 4 afdelingen dat zij ieder 25Gb kunnen gebruiken. Na een jaar moet afdeling A tijdelijk een wat groter bestand in de cloud zetten waardoor ze over hun 25Gb zouden gaan. De werknemer van die afdeling probeert het gewoon en ziet wel of hij een foutmelding krijgt. Hij krijgt geen foutmelding. Hij denkt dus dat andere afdelingen hun volledige ruimte niet gebruikt hadden waardoor zij even iets meer kunnen gebruiken. Zodra ze een melding van ICT krijgen, halen ze dat bestand er weer af. Dat bericht komt maar niet, dus laten ze het staan. Inmiddels gebruiken de andere afdeling ook hun 25Gb (of iets meer) zonder foutmeldingen. Wat blijkt, op de achtergrond is het cloudstorage contract automatisch naar de volgende categorie gegaan. Het cloudstorage bedrijf heeft immers genoeg opslagcapaciteit. ICT controleert dit niet, want die ging ervan uit dat er een limiet van 100Gb op zat, totdat zij die zelf hoger instelden.
Hetzelfde kon in de casus aan de hand zijn geweest. ICT dacht dat er een RAM limiet was die zij konden verhogen bij calamiteiten. Onderwater bleek dit limiet er niet te zijn, maar ging wel het calamiteiten tarief lopen zodra er meer dan de standaard verbruikt werd.
Of nog simpeler. Iemand die trakteert besteld een taart met 12 punten voor zijn verjaardag. 12 gasten pakken een punt uit de doos. Daarna probeert gast 13 ook een punt te pakken en dat lukt. De persoon die trakteerde krijgt een dikke rekening voor de 13e punt, terwijl hij er bewust maar 12 had besteld en verwachtte niet dat gasten meer hadden kunnen pakken dan dat hij besteld had.