Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Aansprakelijkheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade is, moet nog worden bepaald. In ieder geval vallen daar de kosten onder van het inschakelen van een waarnemend huisarts.

Dit is het vervolg op de zaak waar ik in januari over blogde. In het algemeen lijkt het goed af te lopen voor deze IT-leverancier, schreef ik toen. Maar dat valt nu tegen:

De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een back-up (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van ‘opdrachten’ van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

De rechtbank doet nu einduitspraak. Voorop staat dat je als “redelijk bekwaam en redelijk handelend ICT-dienstverlener” er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is. In ieder geval niet in situaties waarin het belang van die backup groot is (de administratie van een huisartsenpraktijk) en waarin de documentatie bij upgrade die je gaat uitvoeren expliciet waarschuwt “maak een backup”. Dan moet je écht controleren of deze klopt.

Doe je dat niet, dan hang je:

Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.

En nee, algemene voorwaarden hadden hier waarschijnlijk niet bij geholpen. De rechtbank laat doorschemeren dat deze tekortkoming volgt uit het verzaken van de zorgplicht die je als dienstverlener hebt. Botweg de aansprakelijkheid voor zulk verzaken uitsluiten gaat gewoon niet, dat is niet redelijk. Je gaat gewoon betalen als je klantdata kwijtmaakt of niet zorgt voor een goede backup.

Mogelijk had een expliciete waiver hier wel geholpen. Dan zeg je als dienstverlener “u, klant, wilt iets héél onverstandigs en u tekent hierbij voor afzien van aansprakelijkheidstelling”. Dat kan, maar het moet wel redelijk zijn. Dus dat in je algemene voorwaarden: vergeet het maar. Een op maat gesneden tekst (“Gezien de bloedspoed bij de klus en de schriftelijke verzekering van KPN dat u een online backup heeft, ziet u af van een backup voordat ik begin”) gaat het denk ik wel redden.

Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld.

(Het wordt wel een beetje de week van dataverlies&backup deze week, maar goed, data ís nu eenmaal de kern van ICT-diensten.)

Arnoud

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Aansprakelijkheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht.

In deze zaak

Een IT-bedrijf zou bij een huisartsenpraktijk de Office-infrastructuur komen herzien, waarbij gekozen was voor een simpele backupoplossing met usb-schijven omdat backups via internet veel te traag bleken. Een simpel scriptje dat elke nacht om drie uur een backup maakt, daar kan weinig mis aan gaan toch?

Op zeker moment daarna kwam de leverancier van het medisch pakket Promedico met een nieuwe versie, met in de nieuwsbrief de verstandige aanbeveling ‘Zorg voor een recente back-up.’ Het IT-bedrijf voerde de nieuwe versie door, maar na enige problemen in de werking werd Promedico zelf erbij gehaald en die deden een hernieuwde installatie met dataverlies. Eh oeps. En toen bleken die usb-schijven geen correcte backup te hebben. Dubbel oeps.

Wie is dit nu te verwijten? De huisartsen meenden het IT-bedrijf, maar die kon met zijn offerte (en vooral het afgekeurde stukje van de internetbackupdienst) dat pareren. Als de klant geen backupdienst wil, maar alleen drie usb-schijven, dan houdt het op zeker moment op voor je zorgplicht. Vooral de prijs gaf de doorslag: wie als ondernemer Office-diensten afneemt voor 219 euro per maand, moet weten dat daar geen volledige handjevasthouden-backupdienst bij zal zitten.

Wel had de IT-er een zorgplicht om te kijken of het gebruikte backupscript geen al te rare dingen deed. Daar is eerdere jurisprudentie over: je hebt gewoon een algemene zorgplicht, en daar hoort bij dat je de klant waarschuwt bij dingen die je weet of had moeten weten, of ze dat nu besteld hadden of niet. Maar dat maakt hier niet uit, want het script maakte geen rare fouten. (Wie kan uit het vonnis halen wat de configuratiefout was?)

Maar dan die installatie zonder voorafgaande aparte backup. Sowieso is dat al een best practice, maar als de softwareleverancier dat ook nog eens apart aanraadt, waarom zou je het dan niet doen?

Op zichzelf genomen lag het op de weg van [gedaagde] om als zorgvuldig IT-dienstverlener overeenkomstig het advies in de aanbiedingsbrief van Promedico (zie 2.6.) een back-up te maken alvorens de update te installeren. Een mogelijk aandringen van de zijde van [eiseres] c.s. om de update overdag in plaats van buiten werktijd te installeren, kan geen voldoende reden zijn om dat na te laten, mede gelet op het belang van de gegevens voor de praktijkvoering van [eiseres] c.s., tenzij [gedaagde] vóór de installatie [eiseres] c.s. erop heeft gewezen dat zij (om die reden) geen back-up zou maken. [gedaagde] heeft echter niet aangevoerd dat zij [eiseres] c.s. hierop heeft gewezen.

Iets lastiger ligt het verweer dat zo’n backup zou zijn gemaakt door gewoon dat backupscript even een keertje extra uit te voeren, zodat je dan alsnog een onbruikbare backup zou hebben. Zo backuppen ligt immers meer voor de hand dan apart handmatig uit te zoeken wat te backuppen en dat naar een ander medium te halen.

Het pakket Promedico bleek ook nog een eigen backupfunctie te hebben, en ik vermoed dan ook dat de IT-er geen eigen backup had gemaakt omdat hij er vanuit ging dat Promedico dat wel zou doen. Waarom die backupfunctie niet werkte, blijft even in het midden. Daarom gelast de rechter vervolgonderzoek naar in hoeverre dit nu uiteindelijk verschil had kunnen maken. Maar in het algemeen lijkt het goed af te lopen voor deze IT-leverancier.

Arnoud

Hoe rampzalig zijn de nieuwe btw-regels voor online ondernemers?

| AE 7299 | Contracten, Webwinkels | 89 reacties

btw-belastingSinds 1 januari gelden er nieuwe regels voor het heffen van btw aan consumenten, als je tenminste geautomatiseerde online diensten of software levert. Kort gezegd: je moet het btw-tarief rekenen dat in het land van de consument geldt voor het soort dienst dat je aan die consument verkoopt. En het is jouw probleem om uit te zoeken welk land dat is. Oh en daarna moet je natuurlijk al die btw afdragen aan de belastingdienst van de betreffende landen. En dat kan nog wel eens behoorlijk vervelend uitpakken, zo blijkt.

De nieuwe btw-regels zijn bedoeld om de btw-ontduiking (pardon, geheel legale bedrijfsstructuuropzetten) van grote internetbedrijven aan te pakken. Je kunt immers niet meer je vestigen in een land met hele lage btw en vanuit daar online diensten leveren aan consumenten in landen met hoge btw. Verkoop je aan Duitse consumenten, dan moet je de Duitse btw rekenen waar je ook gevestigd bent. (Weten wat die btw is? Gebruik deze handige VAT info checker.)

Ondertussen pakt het wel heel vervelend uit voor de vele kleine online ondernemers die bijvoorbeeld e-books of cursussen verkopen aan consumenten. Bij Blueberry Dynamic las ik een uitgebreid verhaal over wat dit voor consequenties voor je bedrijf kan hebben:

Het betekent dat als iemand uit Spanje jouw e-course aanschaft jij moet kunnen bewijzen waar deze persoon zich bevond op het moment van aanschaf en je bent verplicht om de BTW over je e-course te betalen in Spanje. … zelfs als jij eenmalig een e-book van €7,50 (of €0,01 zelfs) verkoopt aan een particulier in Bulgarije dan moet jij over dat product BTW-aangifte doen in Bulgarije. Je bent daar dan geregistreerd en moet je de komende 10 jaar kunnen verantwoorden over deze ene aankoop.

Voor dat afdragen van btw is een oplossing: registreer je bij onze Belastingdienst (de BTW-MOSS, btw-mini one stop shop), waarna die jouw btw-bedragen ontvangt en verdeelt over de belastingdiensten per land. Zo heb je maar één loket waar al je btw heen gaat.

Maar het probleem blijft dat je per afnemer moet weten in welk land hij gevestigd is (als hij consument is), omdat je anders niet weet welk btw-tarief er geldt op je dienstverlening. Oh, en dat je moet nagaan of iemand consument is natuurlijk.

Hoe je nagaat of iemand consument is, is een moeilijke. Je kunt je klanten vragen om een btw-nummer, wie dat invult is per definitie geen consument. Maar dan sluit je wel consumenten uit als klant, en dat schiet ook weer niet op. Mensen laten kiezen tussen “Ik koop als consument/Ik koop zakelijk” (en bij optie 2 een btw nummer vragen) is dan misschien iets praktischer.

Vervolgens moet je nagaan waar iemand gevestigd is. De wet eist hierbij twee bewijsstukken, en de Uitvoeringsverordening noemt negen opties die in ieder geval genoeg zijn:

  1. de gegevens van de afnemer zoals zijn factuuradres;
  2. het internetprotocoladres (IP-adres) van het door de afnemer gebruikte toestel of een andere methode voor het bepalen van de geografische locatie;
  3. bankgegevens zoals de plaats waar de voor de betaling gebruikte bankrekening wordt aangehouden, en het factuuradres van de afnemer bij die bank;
  4. de mobiele landencode (MCC) van het IMSI-nummer dat is opgeslagen op de door de afnemer gebruikte simkaart;
  5. de plaats van de vaste aansluiting in een woning, langs dewelke de dienst aan de afnemer wordt verleend;
  6. in het geval van een afnemer die goederen verkoopt via het internet of een soortgelijk elektronisch netwerk, de initiële plaats van vertrek van het vervoer of de verzending van de door die afnemer verkochte goederen;
  7. in het geval van een afnemer die goederen koopt via het internet of een soortgelijk elektronisch netwerk, de uiteindelijke plaats van aankomst van het vervoer of de verzending van de door die afnemer gekochte goederen;
  8. inschrijvingsgegevens van het door de afnemer gehuurde vervoermiddel, indien dat vervoermiddel moet worden ingeschreven op de plaats waar het wordt gebruikt, en andere soortgelijke gegevens;
  9. overige zakelijk relevante gegevens die de dienstverrichter heeft verkregen.

Volgens mij zou je dus in principe toe moeten kunnen met een IP-adres en het opgegeven factuuradres, mits je aan dat IP-adres kunt zien waar iemand woont. Maar als mensen een VPN gebruiken of in het buitenland op vakantie zijn, dan wordt het alsnog ingewikkeld. Het bewijs hiervan moet overigens tien jaar lang bewaard worden, en beschikbaar zijn voor iedere buitenlandse Belastingdienst die de btw-aangifte wil controleren.

Inderdaad, dat is behoorlijk lastig om rekening mee te houden en ik kan me goed voorstellen dat ondernemers nu denken: ik ga alleen nog in Nederland zaken doen. Het moet me dan wel van het hart dat het bij élke nieuwe wet hetzelfde gaat: in alle tijd voordat de wet van kracht wordt, lijkt het niemand te boeien en zodra de wet van kracht is, barst iedereen los met dat het onwerkbaar is, geen rekening houdt met internet en de moderne tijd en ga zo maar door. Argh. Als iedereen nou wat éérder had geklaagd, hadden we nog wat kunnen doen aan die wet.

Hoe dan ook, er is geen quick fix om aan deze wet te ontkomen. Wie met consumenten in het buitenland zaken doet, moet vaststellen in welk buitenland, de btw-tarieven erbij zoeken en vervolgens de btw afdragen aan de relevante buitenlandse Belastingdienst.

Arnoud

Zijn mijn workshops annuleerbaar onder de Wet koop op afstand?

| AE 6071 | Contracten, Webwinkels | 1 reactie

Let op: op 13 juni 2014 is de consumentenwetgeving ingrijpend veranderd. De onderstaande blog is daarom mogelijk verouderd. Voor actuele informatie zie Webwinkelrecht.nl. Een lezer vroeg me: Ik organiseer workshops voor creatievelingen en laat mensen via internet boeken. Dat kunnen zowel individuele privépersonen als bedrijven zijn (personeelsuitjes). Maar nu wil iemand de inschrijving annuleren onder… Lees verder