Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn hoster daarvoor aansprakelijk stellen?

In principe ja. De hoster heeft contractueel beloofd de dienst van webhosting/datahosting te leveren, en hij doet dat niet. Dat is een contractuele wanprestatie en dan is hij aansprakelijk voor de schade die daaruit voortvloeit.

Natuurlijk wordt dat wel genuanceerd door de precieze afspraken. De algemene voorwaarden van de hoster kunnen bepalen wat er wel en niet hoeft te worden geleverd en met welke kwaliteit. Plus ze kunnen natuurlijk aansprakelijkheid beperken tot bv. een aantal maanden aan facturen of een vast maar laag bedrag. En dat is in principe bindend tegenover de klant.

Het feit dat de leverancier van de hoster niet meer levert, is niet het probleem van de eindklant, de vraagsteller dus. DIe heeft geen contract met die leverancier, dus de hoster lost het maar op. Downtime van zijn leverancier is gewoon zijn wanprestatie. Behoudens overmacht of expliciete algemene voorwaarden (“De backupdienst is mede afhankelijk van de beschikbaarheid van de Dropbox-service van het Amerikaanse bedrijf Dropbox Inc”) valt er dus wel wat te claimen bij dataverlies.

Daar staat wel tegenover dat je anno 2013 moet weten dat data kwijt kan raken. Het maken van backups lijkt me dan ook een volstrekt normale en te verwachten handeling voor ieder bedrijf dat bedrijfskritische data heeft. En dan kom je juridisch bij het begrijp ‘eigen schuld’ (art. 6:101 BW): dan wordt de schade verdeeld tussen de beide partijen. Wie zelf ook schuld heeft, moet zelf ook een stuk schade dragen.

Stelling: wie geen eigen backups maakt, verdient het gewoon 100% zelf de schade te moeten dragen van dataverlies.

Arnoud

Mag ik een hosted dienst afsluiten bij wanbetaling?

Het lijkt vrij logisch bij een internetdienst: als de klant niet betaalt, dan sluit je de toegang tot de dienst af. Dat is immers het sterkste machtsmiddel dat je hebt. En aangenomen dat de klant die dienst belangrijk vindt (waarom betaalt hij er anders voor), zal hij dan snel alsnog over de brug komen met de achterstallige betalingen. Maar helemaal zonder risico is het niet.

De wet noemt het tijdelijk niet leveren van een dienst bij wanbetaling van de wederpartij ‘opschorten’. In principe ben je vrij in de keuze hoe je wilt opschorten, maar je moet daarbij wel altijd rekening houden met de redelijke belangen van de klant en de hoogte van de wanbetaling. De wet zegt dat “opschorting slechts toegelaten [is], voor zover de tekortkoming haar rechtvaardigt.” Het is niet aan te raden om de gehele dienstverlening naar de klant te staken als deze alleen de BTW op een factuur is vergeten te betalen. E-mail van zijn klanten laten bouncen is zelden verstandig. Uitgaande diensten (verzenden van mail bijvoorbeeld) kun je probleemloos wel gewoon blokkeren.

Ik raad altijd aan om een gefaseerd proces van opschorten te hanteren, en dat ook duidelijk in de voorwaarden op te nemen. Mijn standaardaanpak: eerst gaat de applicatie op read only, een week later worden gewone gebruikersaccounts geblokkeerd en een week daarna wordt de gehele applicatie ontoegankelijk. Door dit vooraf te melden én op een duidelijke en redelijke manier uit te werken, sta je sterk als de klant naar de rechter stapt en claimt dat je niet proportioneel hebt gehandeld.

De periode van opschorting mag je in principe laten lopen tot de klant zijn rekening heeft betaald. De klant moet echter gewoon zijn lopende verplichtingen blijven voldoen. Hij moet dus ook betalen voor de periode dat je de dienstverlening opgeschort hebt. Eventueel kun je ook af- of aansluitingskosten in rekening brengen. Maar ook hier geldt: dit moet wel redelijk zijn in de gegeven omstandigheden. Plus, het bestaan van dergelijke kosten moet in de voorwaarden zijn gemeld.

Opschorten is niet zonder risico: als achteraf blijkt dat dit niet terecht was, moet je de klant schadeloos stellen voor de periode dat de dienst niet te gebruiken was. Verwijzen naar de beperkte aansprakelijkheid uit je algemene voorwaarden gaat je niet helpen. Opschorten valt onder “opzettelijK” handelen en daarvoor mag je nooit je aansprakelijkheid uitsluiten.

Als zelfs opschorting geen zoden aan de dijk zet, zal de volgende stap opzegging van het contract zijn wegens wanprestatie. Ook dit middel moet in redelijke verhouding staan tot de wanbetaling. Maar dit middel is een stuk zwaarder, want je gaat nu onherstelbare dingen doen: het account afkoppelen, de dienst onbereikbaar maken en mogelijk zelfs data wissen.

Lastig is dat hier allemaal weinig over geregeld is in de wet. Data is niets dus als die weg is dan kun je als klant niets eisen. Dat voelt niet helemaal lekker, zeker niet als achteraf blijkt dat de reden voor afsluiting een misverstand of overmacht was. Ook hier dus: zorg voor een duidelijke procedure bij afsluiting en bewaar als het even kan de data totdat je zeker weet dat de klant weg blijft.

Arnoud

“Komt u maar terug met een gerechtelijk bevel”

bevel-crimesite.pngHet klinkt ontzettend stoer: “In verband met de privacy/vrije meningsuiting van onze klant/onze positie als neutrale tussenpersoon geven wij geen gehoor aan uw verzoek tot weghalen/afgifte NAW gegevens. U dient een gerechtelijk bevel te overleggen.” Maar juridisch houdbaar is het niet. Ook private partijen kunnen gegevens opeisen of dingen laten weghalen zonder dat een rechter zich daar vooraf over heeft gebogen.

Het standpunt “geen persoonsgegevens zonder gerechtelijk bevel” is over komen waaien uit de VS. Daar speelt internetrecht als vakgebied al wat langer dan hier, en veel van onze vroege algemene voorwaarden en FAQs zijn dan ook simpelweg vertaalde Amerikaanse documenten. De “subpoena” en “court order” die men daar eist, zijn volgens het woordenboek bij ons “gerechtelijk bevel” dus dat zal dan ook wel bij ons de eis zijn, toch?

In Nederland werkt het echter anders. Je bent aansprakelijk als je zaken niet weghaalt terwijl het onmiskenbaar is dat deze tegen de wet zijn. En de Hoge Raad bepaalde in het Lycos/Pessers-arrest dat ook het weigeren NAW-gegevens te geven onrechtmatig is, als voldoende duidelijk is dat deze behoren wél te worden afgegeven. Hier komt geen voorafgaande gerechtelijke toets bij kijken: dat is immers nooit het geval bij onrechtmatig handelen. Wie onrechtmatig handelt, moet de schade vergoeden – en niet pas vanaf het moment dat de rechter bevestigt dat de handeling onrechtmatig was.

Natuurlijk, in twijfelgevallen kun je zeggen: we laten de rechter bepalen óf het onrechtmatig is. Maar formeel is dat een achterafvaststelling, en dat betekent dat de schade die in de tussentijd geleden is door het bericht te laten staan, gewoon vergoed moet worden.

Maar weinig mensen willen aan de uitspraak in Lycos/Pessers. Met name de grote internetproviders weigeren in mijn ervaring categorisch ieder verzoek om afgifte op basis van een klacht, en verwijzen naar de rechter. Mogelijk dat deze houding ingegeven wordt door bureaucratie of onwetendheid bij de klachtendesk (never attribute to malice what can be attributed to incompetence). Ook denkbaar is dat men erop gokt dat de klager tóch niet gaat procederen. Een gok die in 90% van de gevallen juist is, want wie de rechtspraak erop naslaat komt afgezien van de onvermijdelijke stichting Brein slechts een handjevol eisers tegen.

Dat een dergelijke houding daadwerkelijk gevolgen kan hebben voor de provider, blijkt uit de XSnetworks-zaak. In deze zaak had stichting Brein NAW-gegevens geëist van een hostingprovider, maar niet alles gekregen dat de provider tot haar beschikking had. De rechtbank vond dat XSnetworks daarmee onrechtmatig had gehandeld en veroordeelde haar tot betaling van de schade die Brein had geleden, op te maken bij staat. Pijnlijk dus voor providers die menen een gerechtelijk bevel te kunnen verlangen.

En nee, ook deze blog gaat geen bal veranderen aan die opvattingen. Maar je moet toch wát.

Arnoud

Wat mag een webhoster doen bij overlast door een klant?

account-suspended.pngEen lezer vroeg me:

Als webhoster merk ik regelmatig dat sites van mijn klanten overlast veroorzaken. Mensen versturen (bedoeld of onbedoeld) spam, hun websites worden gehackt met spamscripts of Trojans die drive-by-downloads met malware inzetten. Of er staat ineens een proxy of IRC-botje op dat allerlei ongewenst verkeer veroorzaakt.

Nu kan ik natuurlijk het account op zwart zetten, maar dat voelt nogal zwaar als het gaat om één concreet dingetje. Mag ik in zo’n geval ook het bestand in kwestie fixen of verwijderen? Moet ik met de klant overleggen wat te doen? Ben ik sneller aansprakelijk bij het wijzigen van bestanden dan bij het afsluiten van de klant?

Een hoster heeft een zorgplicht naar zijn klant én naar andere klanten. Hij mag alles doen dat redelijkerwijs binnen die zorgplicht past en proportioneel is. Bij één spamrun een hele website offline halen is niet proportioneel bijvoorbeeld. Het lijkt me dan logischer dat je even een zware limiet zet op het aantal mails dat vanuit zijn account naar buiten gaat.

Bestanden wijzigen of weggooien is proportioneler dan een geheel account op zwart zetten. Je hebt alleen wel een groter risico op problemen, want een ontbrekend bestand kan allerlei andere fouten veroorzaken of tot onvoorziene schade leiden. En de vraag is dan of je dat had moeten voorzien; zo ja, dan ben je er voor aansprakelijk. Wat dat betreft is op zwart zetten ‘veiliger’. Maar het voelt niet prettig vanuit klantvriendelijkheid natuurlijk.

Het beste is om dit in de AV van de hoster te regelen. Als daarin staat dat hij alles mag doen dat hem goeddunkt, dan kan er eigenlijk nooit discussie ontstaan. Nou ja, tenzij hij hele grote dingen sloopt om één probleempje op te lossen.

Overleg met de klant is netjes maar de hoster is niet verplicht dit te doen, zeker niet als in de AV staat dat het niet hoeft. En als de klant niet op tijd reageert, dan mag de hoster sowieso zelf door want hij moet toch iets.

Meelezende hosters: hoe gaan jullie om met geïnfecteerde klantwebsites, overlastgevende eggdrops of spamruns bij klanten die niet in het spammerprofiel passen?

Arnoud

Nieuw boek: Hosting: Deskundig en praktisch juridisch advies

In januari aangekondigd, nu verkrijgbaar: Hosting: Deskundig en praktisch juridisch advies van mijn adviesbureau ICTRecht. Op een praktische manier leggen we uit aan welke eisen een hoster moet voldoen en met welke wetgeving hij te maken krijgt.

Bent u bijvoorbeeld aansprakelijk voor downtime, en tot welk bedrag? Kunt u verantwoordelijk worden gehouden als uw klanten iets onrechtmatigs publiceren? Moet u contactgegevens van klanten afstaan als deze beschuldigd worden van illegaal P2P-gebruik? Bent u überhaupt verplicht de privacy van uw klanten te beschermen en in welke mate dan? En geldt die gekke bewaarplicht voor telecomgegevens eigenlijk ook voor u?

Lees ook de recensie van Rashid Niamat.

Het boek is te koop bij ICTRecht zelf maar ook bij Managementboek en Computer Collectief. 19,95 inclusief BTW, vraag naar de verzendkosten.

Arnoud

De juridische betekenis van minimumeisen van software

geheugen-memory-chip.pngEen lezer vroeg me:

Ik heb een virtuele server afgenomen en daarbij is CentOS geïnstalleerd. Alleen werkt het systeem bijzonder traag. Na enig onderzoeken kwam ik erachter dat CentOS minimaal 512MB geheugen vereist, terwijl het pakket dat ik had afgenomen maar 256MB geheugen heeft. Als klant zou je er toch vanuit moeten kunnen gaan dat zo’n pakket voldoende ruimte biedt om er websites op te kunnen draaien?

Het lijkt me dat een professioneel bedrijf de plicht heeft om te zorgen voor een adequate omgeving voor diensten die ze je aanbieden. Ze moeten dus zorgen dat de software naar behoren werkt (conform de SLA). Het lijkt me dat daarbij hoort dat men rekening houdt met minimumeisen van de ingezette software voor het pakket dat de klant afneemt.

Minimumeisen van de leverancier zijn een indicatie maar geen automatische verplichting. Misschien zijn die wel overdreven of is er een slimme manier gevonden om de software met minder RAM te laten werken. Ik zou er echter wel een opmerking over verwachten als ik een pakket afneem dat onder de minimumeisen zit van de software die ik afneem.

De vraag wordt dus of de opzet met 256MB er voor zorgt dat de software echt onder de maat presteert. Zijn die problemen die je signaleert zodanig dat de SLA niet gehaald wordt of voor frequente overlast zorgt? Of is het “alleen maar wat trager”? In het eerste geval denk ik dat je wel kunt eisen dat er gratis extra geheugen bijgezet wordt, maar als het alleen een subjectieve discussie over wel/niet lekker snel is, sta je zwak als professionele afnemer. Je hebt ook zelf een onderzoeksplicht of het pakket dat je kiest, wel geschikt is voor wat je wilt doen.

Arnoud