Nog even terugkomen op die zorgplicht voor ICT-dienstverleners

| AE 12151 | Ondernemingsvrijheid | 5 reacties

Recent blogde ik over dat roemruchte vonnis waarin een ICT-bedrijfje opdraaide voor de kosten van een datagijzeling, op grond van zijn zorgplicht als dienstverlener. Dat gaf de nodige heisa, wat ik al overdreven vond, maar nu vond ik recent nog een arrest van het Hof Amsterdam dat juist ómgekeerd naar de zorgplicht keek. Dus ik kom er nog even op terug: wat je afspreekt is superbelangrijk, net als de communicatie in het vervolgtraject. Oftewel, let op wat je zegt en dan gaat het gewoon goed.

Waarom het Amsterdamse vonnis uit 2018 anno 2020 alsnog werd gepubliceerd, is mij een raadsel, maar het sloeg in als een bom. Een administratiekantoor kon haar ict-dienstverlener aansprakelijk stellen voor de gevolgen van een ransomware-aanval, omdat deze zijn zorgplicht had geschonden door geen backups te maken of sterke wachtwoorden in te regelen. Dat de klant weigerde de aangeboden backupoplossingen in te zetten en sterke wachtwoorden maar stom vond, dat deed niet ter zake.

In de zaak uit 2020 betrof het een strafrechtadvocate die haar praktijk verhuisde. Zij wilde haar ict-diensten meenemen en ook thuis kunnen werken. Na de verhuizing stelt de advocate dat de overeengekomen werkzaamheden niet naar behoren zijn uitgevoerd omdat de dienstverlener de verhuizing niet (tijdig) heeft voorbereid als gevolg waarvan pas op de verhuisdag bleek dat de bestaande apparatuur ontoereikend was en het internet te traag en dat toen ad hoc maatregelen genomen moesten worden. Zo werd data snel in een cloudlocatie geplaatst om maar verder te kunnen werken. De juiste apparatuur bleek niet te zijn geselecteerd en de voorbereiding was te laat begonnen.

Een en ander verliep dus nogal rommelig, en de advocate stelde daarop dat de dienstverlener in zijn zorgplicht te kort geschoten was. Dat ziet het Hof anders. Eerst moet men kijken wat precies de overeenkomst was, en pas dan kan worden bepaald waar de zorgplicht op toezag. Een belangrijke factor daarbij was dat de werkzaamheden van deze leverancier eerder incidenteel waren dan permanent ontzorgen, en dat de instructies van de advocate kort maar duidelijk waren. Er was dan ook geen aanleiding tot nader onderzoek. Dat dingen dan later tegen blijken te vallen, is geen schending van de zorgplicht.

Specifiek over backups is het Hof ook snel klaar: uit geen van de stukken blijkt dat overeengekomen is dat de dienstverlener backups zou maken, dus daar is hij ook niet in tekort geschoten.

Hoe deze uitspraken nu met elkaar te verenigen? De meest logische verklaring is dat in de eerste zaak de dienstverlener zich had gepresenteerd als totaaloplosser, terwijl in de tweede zaak de dienstverlener veel ‘lager’ ingestoken had met de dienstverlener. Af en toe hand- en spandiensten leveren tegen betaling is heel wat anders dan op abonnementsbasis iemand permanent ontzorgen. Wie dat laatste toezegt, krijgt een veel hogere zorgplicht op zich gelegd. Dat is ook logisch want de belofte is veel hoger, men mag op meer rekenen.

Ook van groot belang blijkt hoe uitgebreid men opdrachten vastlegt. In de eerste zaak blijkt er weinig tot niets vastgelegd te zijn over te verrichten werk, dat is wel iets dat de dienstverlener kan worden aangerekend. En ook wanneer risico’s langskomen, moet men daarover discussiëren tot consensus is bereikt over hoe verder. Dus wat je niet afbakent, kan zomaar als deel van de opdracht gezien worden.

De belangrijkste les voor mij blijft dan ook: zorg dat je blijft communiceren met je klant en dat je daarin de risico’s ook écht duidelijk maakt. In taal die de klant snapt, met waarschuwingen die er niet om liegen en blijf aandringen op een bevestiging van de vorm “ik snap de risico’s en ik wil het tóch zo”. Dat doe je in de conversatie, niet verstopt in je voorwaarden en niet met een bulletpoint in je offerte. En die conversatie die log je en je komt erop terug als de situatie rijp lijkt voor verbetering. Dat is hoe een goed IT-er zorgt voor zijn klanten.

Arnoud

 

Hoe moeten wij omgaan als ICT-bedrijf met AVG-schendende opdrachten van klanten?

| AE 10913 | Ondernemingsvrijheid, Privacy | 5 reacties

Een lezer vroeg me:

Wij staan als ICT leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant schriftelijk te adviseren eerst toestemming te vragen of een acceptable use policy op te stellen?

De beste manier om hiermee om te gaan, is voor jezelf duidelijke regels te maken: hoe willen jullie werken, waar voel je je nog prettig bij en wanneer wordt het echt onacceptabel voor jullie als dienstverlener? Bedrijfsculturen kunnen verschillen natuurlijk, en soms is er gewoon een noodzaak om bij berichten te kunnen.

Dat protocol maak je onderdeel van de opdrachten met de klant, bijvoorbeeld als bijlage bij de SLA of als annex aan je verwerkersovereenkomst. (Je hébt toch een verwerkersovereenkomst met al je klanten? Dat ben je verplicht sinds de AVG gezien het soort dienstverlening.)

Vervolgens zeg je, wij hebben een zorgplicht en afspraken in het protocol en daar werken we onder. Je doet wat er is afgesproken, maar afspraken mogen niet tegen de AVG zijn. De AVG zegt, heb je gerede twijfel dan leg je het werk neer totdat het is opgehelderd. En “volgens ons is het legaal, doe het!!1!” is daarbij niet genoeg, er moet een inhoudelijke argumentatie komen.

Dat protocol mededelen doe je aan de klant, de werkgever in dit geval dus. Die heeft vervolgens de taak om het aan zijn personeel uit te leggen. Jullie hoeven dus niet de werknemers van de klant uit te leggen wat jullie precies wel of niet doen en waarom. En je hoeft al helemaal niet de werknemers akkoord te laten gaan met jullie privacy policies, acceptable use policies en ga zo maar door. Je sluit contracten met je klanten, niet met hun personeel.

Arnoud