Recent blogde ik over dat roemruchte vonnis waarin een ICT-bedrijfje opdraaide voor de kosten van een datagijzeling, op grond van zijn zorgplicht als dienstverlener. Dat gaf de nodige heisa, wat ik al overdreven vond, maar nu vond ik recent nog een arrest van het Hof Amsterdam dat juist ómgekeerd naar de zorgplicht keek. Dus ik kom er nog even op terug: wat je afspreekt is superbelangrijk, net als de communicatie in het vervolgtraject. Oftewel, let op wat je zegt en dan gaat het gewoon goed.
Waarom het Amsterdamse vonnis uit 2018 anno 2020 alsnog werd gepubliceerd, is mij een raadsel, maar het sloeg in als een bom. Een administratiekantoor kon haar ict-dienstverlener aansprakelijk stellen voor de gevolgen van een ransomware-aanval, omdat deze zijn zorgplicht had geschonden door geen backups te maken of sterke wachtwoorden in te regelen. Dat de klant weigerde de aangeboden backupoplossingen in te zetten en sterke wachtwoorden maar stom vond, dat deed niet ter zake.
In de zaak uit 2020 betrof het een strafrechtadvocate die haar praktijk verhuisde. Zij wilde haar ict-diensten meenemen en ook thuis kunnen werken. Na de verhuizing stelt de advocate dat de overeengekomen werkzaamheden niet naar behoren zijn uitgevoerd omdat de dienstverlener de verhuizing niet (tijdig) heeft voorbereid als gevolg waarvan pas op de verhuisdag bleek dat de bestaande apparatuur ontoereikend was en het internet te traag en dat toen ad hoc maatregelen genomen moesten worden. Zo werd data snel in een cloudlocatie geplaatst om maar verder te kunnen werken. De juiste apparatuur bleek niet te zijn geselecteerd en de voorbereiding was te laat begonnen.
Een en ander verliep dus nogal rommelig, en de advocate stelde daarop dat de dienstverlener in zijn zorgplicht te kort geschoten was. Dat ziet het Hof anders. Eerst moet men kijken wat precies de overeenkomst was, en pas dan kan worden bepaald waar de zorgplicht op toezag. Een belangrijke factor daarbij was dat de werkzaamheden van deze leverancier eerder incidenteel waren dan permanent ontzorgen, en dat de instructies van de advocate kort maar duidelijk waren. Er was dan ook geen aanleiding tot nader onderzoek. Dat dingen dan later tegen blijken te vallen, is geen schending van de zorgplicht.
Specifiek over backups is het Hof ook snel klaar: uit geen van de stukken blijkt dat overeengekomen is dat de dienstverlener backups zou maken, dus daar is hij ook niet in tekort geschoten.
Hoe deze uitspraken nu met elkaar te verenigen? De meest logische verklaring is dat in de eerste zaak de dienstverlener zich had gepresenteerd als totaaloplosser, terwijl in de tweede zaak de dienstverlener veel ‘lager’ ingestoken had met de dienstverlener. Af en toe hand- en spandiensten leveren tegen betaling is heel wat anders dan op abonnementsbasis iemand permanent ontzorgen. Wie dat laatste toezegt, krijgt een veel hogere zorgplicht op zich gelegd. Dat is ook logisch want de belofte is veel hoger, men mag op meer rekenen.
Ook van groot belang blijkt hoe uitgebreid men opdrachten vastlegt. In de eerste zaak blijkt er weinig tot niets vastgelegd te zijn over te verrichten werk, dat is wel iets dat de dienstverlener kan worden aangerekend. En ook wanneer risico’s langskomen, moet men daarover discussiëren tot consensus is bereikt over hoe verder. Dus wat je niet afbakent, kan zomaar als deel van de opdracht gezien worden.
De belangrijkste les voor mij blijft dan ook: zorg dat je blijft communiceren met je klant en dat je daarin de risico’s ook écht duidelijk maakt. In taal die de klant snapt, met waarschuwingen die er niet om liegen en blijf aandringen op een bevestiging van de vorm “ik snap de risico’s en ik wil het tóch zo”. Dat doe je in de conversatie, niet verstopt in je voorwaarden en niet met een bulletpoint in je offerte. En die conversatie die log je en je komt erop terug als de situatie rijp lijkt voor verbetering. Dat is hoe een goed IT-er zorgt voor zijn klanten.
Arnoud
Een lezer vroeg me:
Een lezer vroeg me: