Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Aansprakelijkheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade is, moet nog worden bepaald. In ieder geval vallen daar de kosten onder van het inschakelen van een waarnemend huisarts.

Dit is het vervolg op de zaak waar ik in januari over blogde. In het algemeen lijkt het goed af te lopen voor deze IT-leverancier, schreef ik toen. Maar dat valt nu tegen:

De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een back-up (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van ‘opdrachten’ van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

De rechtbank doet nu einduitspraak. Voorop staat dat je als “redelijk bekwaam en redelijk handelend ICT-dienstverlener” er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is. In ieder geval niet in situaties waarin het belang van die backup groot is (de administratie van een huisartsenpraktijk) en waarin de documentatie bij upgrade die je gaat uitvoeren expliciet waarschuwt “maak een backup”. Dan moet je écht controleren of deze klopt.

Doe je dat niet, dan hang je:

Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.

En nee, algemene voorwaarden hadden hier waarschijnlijk niet bij geholpen. De rechtbank laat doorschemeren dat deze tekortkoming volgt uit het verzaken van de zorgplicht die je als dienstverlener hebt. Botweg de aansprakelijkheid voor zulk verzaken uitsluiten gaat gewoon niet, dat is niet redelijk. Je gaat gewoon betalen als je klantdata kwijtmaakt of niet zorgt voor een goede backup.

Mogelijk had een expliciete waiver hier wel geholpen. Dan zeg je als dienstverlener “u, klant, wilt iets héél onverstandigs en u tekent hierbij voor afzien van aansprakelijkheidstelling”. Dat kan, maar het moet wel redelijk zijn. Dus dat in je algemene voorwaarden: vergeet het maar. Een op maat gesneden tekst (“Gezien de bloedspoed bij de klus en de schriftelijke verzekering van KPN dat u een online backup heeft, ziet u af van een backup voordat ik begin”) gaat het denk ik wel redden.

Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld.

(Het wordt wel een beetje de week van dataverlies&backup deze week, maar goed, data ís nu eenmaal de kern van ICT-diensten.)

Arnoud

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Aansprakelijkheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht.

In deze zaak

Een IT-bedrijf zou bij een huisartsenpraktijk de Office-infrastructuur komen herzien, waarbij gekozen was voor een simpele backupoplossing met usb-schijven omdat backups via internet veel te traag bleken. Een simpel scriptje dat elke nacht om drie uur een backup maakt, daar kan weinig mis aan gaan toch?

Op zeker moment daarna kwam de leverancier van het medisch pakket Promedico met een nieuwe versie, met in de nieuwsbrief de verstandige aanbeveling ‘Zorg voor een recente back-up.’ Het IT-bedrijf voerde de nieuwe versie door, maar na enige problemen in de werking werd Promedico zelf erbij gehaald en die deden een hernieuwde installatie met dataverlies. Eh oeps. En toen bleken die usb-schijven geen correcte backup te hebben. Dubbel oeps.

Wie is dit nu te verwijten? De huisartsen meenden het IT-bedrijf, maar die kon met zijn offerte (en vooral het afgekeurde stukje van de internetbackupdienst) dat pareren. Als de klant geen backupdienst wil, maar alleen drie usb-schijven, dan houdt het op zeker moment op voor je zorgplicht. Vooral de prijs gaf de doorslag: wie als ondernemer Office-diensten afneemt voor 219 euro per maand, moet weten dat daar geen volledige handjevasthouden-backupdienst bij zal zitten.

Wel had de IT-er een zorgplicht om te kijken of het gebruikte backupscript geen al te rare dingen deed. Daar is eerdere jurisprudentie over: je hebt gewoon een algemene zorgplicht, en daar hoort bij dat je de klant waarschuwt bij dingen die je weet of had moeten weten, of ze dat nu besteld hadden of niet. Maar dat maakt hier niet uit, want het script maakte geen rare fouten. (Wie kan uit het vonnis halen wat de configuratiefout was?)

Maar dan die installatie zonder voorafgaande aparte backup. Sowieso is dat al een best practice, maar als de softwareleverancier dat ook nog eens apart aanraadt, waarom zou je het dan niet doen?

Op zichzelf genomen lag het op de weg van [gedaagde] om als zorgvuldig IT-dienstverlener overeenkomstig het advies in de aanbiedingsbrief van Promedico (zie 2.6.) een back-up te maken alvorens de update te installeren. Een mogelijk aandringen van de zijde van [eiseres] c.s. om de update overdag in plaats van buiten werktijd te installeren, kan geen voldoende reden zijn om dat na te laten, mede gelet op het belang van de gegevens voor de praktijkvoering van [eiseres] c.s., tenzij [gedaagde] vóór de installatie [eiseres] c.s. erop heeft gewezen dat zij (om die reden) geen back-up zou maken. [gedaagde] heeft echter niet aangevoerd dat zij [eiseres] c.s. hierop heeft gewezen.

Iets lastiger ligt het verweer dat zo’n backup zou zijn gemaakt door gewoon dat backupscript even een keertje extra uit te voeren, zodat je dan alsnog een onbruikbare backup zou hebben. Zo backuppen ligt immers meer voor de hand dan apart handmatig uit te zoeken wat te backuppen en dat naar een ander medium te halen.

Het pakket Promedico bleek ook nog een eigen backupfunctie te hebben, en ik vermoed dan ook dat de IT-er geen eigen backup had gemaakt omdat hij er vanuit ging dat Promedico dat wel zou doen. Waarom die backupfunctie niet werkte, blijft even in het midden. Daarom gelast de rechter vervolgonderzoek naar in hoeverre dit nu uiteindelijk verschil had kunnen maken. Maar in het algemeen lijkt het goed af te lopen voor deze IT-leverancier.

Arnoud

Ik wil mijn data van mijn kapotte mobiele telefoon!

| AE 7293 | Software | 12 reacties

sms-belasting-telefoon.pngEen lezer vroeg me:

Mijn mobiele telefoon is kapot gegaan, een defect moederbord volgens de winkel. Dat wordt keurig opgelost onder de garantie, ik krijg een nieuw toestel. Alleen, ze willen de data die op de oude telefoon stond niet kopiëren naar de nieuwe want dat is te veel gedoe. Maar hoe krijg ik nu mijn data terug?

Dit is een lastige, ben ik bang. Juridisch gezien is data niets. Je kunt geen eigendom claimen op data, zoals je dat wel zou kunnen bij bijvoorbeeld het hoesje om je telefoon of de SD-kaart die er nog in zit. (Ook met het auteursrecht of databankrecht kom je er niet.)

In 2013 hadden we een zaak over een op leeftijd zijnde Powerbook, waarbij de reparateur de data op de interne harde schijf had gewist. Dat was toen een tekortkoming in de reparatieovereenkomst, omdat het daar deel van de kern van de dienst was om de data intact te laten.

Maar hier gaat het niet zozeer om het herstellen van een harddisk maar om een geheugenkaart, toch een ander soort reparatie lijkt me dan in die zaak. Je kunt dan twee kanten op: 1) er is niet specifiek gesproken over data en je wéét dat je backups moet maken, dus pech gehad, of 2) je mag als klant verwachten dat je je telefoon terugkrijgt met een nieuw moederbord maar de rest nog in originele toestand, dus mét data.

Ik zou denken dat je mag verwachten dat je opslagmedia onaangetast blijven als het moederbord wordt vervangen. Alleen, bij telefoons is het al snel goedkoper om een nieuwe telefoon te geven in plaats van een reparatie op onderdelen uit te voeren. En ook dat is volgens mij iets dat algemeen bekend is. Je neemt dus een risico als je dan je telefoon laat herstellen zonder een backup te hebben (hoewel dan wel weer zuur is dat je niet bij je data kúnt als het moederbord stuk is, voor de meeste mensen dan).

Juridisch gezien zie ik dus niet echt opties. Praktisch gezien is het handigste denk ik om vanaf nu alle data op een SD-kaartje te bewaren in plaats van op het interne geheugen, en/of regelmatig een backup te maken van de telefoondata naar een extern medium. Of weten jullie iets handigers?

Arnoud

KPN aansprakelijk voor verloren clouddata, ondanks algemene voorwaarden

| AE 6739 | Internetrecht | 18 reacties

Cloudprovider KPN moet een schadevergoeding betalen voor in de cloud (online backup) opgeslagen gegevens die bij een accountmigratie verloren zijn gegaan. Hun algemene voorwaarden die hun aansprakelijkheid beperken, zijn onredelijk bewarend. Dat bepaalde de rechtbank Den Haag in een onlangs gepubliceerd vonnis (via). De eiser uit deze zaak had een eenmanszaak gericht op fysiotherapie, sportmassage… Lees verder

Heel Hyves is gebackupt, mag dát eigenlijk wel?

| AE 6188 | Auteursrecht | 13 reacties

Soms voel ik me een beetje het CBR, met al die “mag dat” vragen. Het Archive Team heeft de krabbels, foto’s en filmpjes van alle accounts van het Nederlandse sociale netwerk gedownload, meldde Webwereld onlangs. De bedoeling is dat de Hyves-back-up uiteindelijk wordt gepubliceerd op Archive.org, de Amerikaanse non-profit webbibliotheek. Maar eh, privacy, auteursrechten, zelfbeschikkingsrecht,… Lees verder

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

| AE 6086 | Beveiliging | 23 reacties

Een lezer vroeg me: Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn… Lees verder

Bewaren van persoonsgegevens: het mag niet maar het moet wel!

| AE 6082 | Privacy | 16 reacties

Een lezer vroeg me: Volgens de Wet bescherming persoonsgegevens moet ik persoonlijke gegevens wissen zodra ik ze niet meer nodig heb. Echter, van andere wetten moet ik die gegevens dan nog bewaren (bv. financiële gegevens voor de Belastingdienst). Tevens heb ik natuurlijk backups, en die opschonen op zulke individuele bestanden is een ramp. Hoe moet… Lees verder