Is een Synology Cloudstation juridisch gezien een backup? #zorgplichtdeelzoveel

| AE 13117 | Ondernemingsvrijheid | 13 reacties

Als je klant je vraagt een backupoplossing te installeren, en jij schuift een Synology Cloudstation naar binnen, heb je dan aan je zorgplicht voldaan? De rechtbank Noord-Holland oordeelde recent van wel in een zaak tussen een tandartspraktijk en een ICT support dienstverlener. Na dat configureren van de Cloudstation bleek er iets niet goed te zijn gegaan, en kon de tandarts zijn agenda niet terugvinden in de backup, pardon op de NAS, of nou ja daar ging het dus om. Waar sta je dan als ICT dienstverlener die beloofd had een backupsysteem te leveren?

De discussie wordt onder techneuten vaak gevoerd: is een network attached storage oftewel een netwerkschijf een backup? Natuurlijk, je kunt er een kopie neerzetten van belangrijke bestanden. Dan kun je er overal bij, ook als je lokale apparaten stuk zijn of geïnfecteerd door ransomware, of iets dergelijks. Maar dit is ook de zwakte: zulke ransomware kan gewoon de netwerkschijf benaderen en alle data daar infecteren. Verder ontbreekt versiebeheer: je hebt een kopie van je laatste bestand, maar niet van de vorige drie versies. Backupoplossingen doen dat wel. En zo kun je nog wel even doorgaan.

Ik kan me desondanks goed voorstellen dat bij een klein bedrijf zoals een tandartsenpraktijk een NAS wordt gezien als een redelijke backupoplossing. Vaak heb je daar bestanden die je eenmalig maakt (zoals facturen of röntgenfoto’s) en die je daarna nooit meer aanpast. Tegen “gewoon” uitval van de eigen harddisk is de kopie op de NAS dan een kosteneffectieve oplossing.

De kern van het probleem in deze zaak zat hem in een overstap van het ene tandartsenpraktijksysteem (Evolution) naar het andere (Exquise). Die nieuwe software viel niet onder het contract van de ICT dienstverlener, en dat was dus vervelend toen bleek dat er een berg afspraken uit de agenda weg waren:

Bij e-mail van 3 maart 2020 schrijft Microminder Nederland, de huidige IT-beheerder van [eiser] (hierna: Microminder), aan [eiser]: ‘(…) In oktober 2019 is Microminder benaderd (…) voor hulp omdat de praktijksoftware / database was gecrasht. Wij hebben dit proberen te herstellen door de NAS te onderzoeken, er zou hierop een back-up aanwezig moeten zijn. De bestanden die op de NAS aanwezig waren klopte niet met de laatste werkende versie, dit komt hoogstwaarschijnlijk omdat er een sync programma is gebruikt i.p.v. een back-up programma met de juiste retentie, op een of andere manier is dit niet goed gegaan, wij hebbend dit niet kunnen achterhalen.
“Sync” wil dus zeggen dat wat er lokaal gebeurt, ook op de NAS wordt uitgevoerd. Wis je dus lokaal iets, dan wordt dat op de NAS ook gewist. Dat is een reden om dit geen backup te noemen: die wil je ook hebben om bij een abusievelijke verwijdering wat achter de hand te hebben. Maar wat speelde hier, aldus de rechtbank die de ICT beheerder parafraseert:
Synology zorgde ervoor dat de bestanden in de Cloudstation-map altijd werden gesynchroniseerd. Evolution, waar het [eiser] om ging, stond gekoppeld aan Synology, zodat van die gegevens automatisch een back-up werd gemaakt. Op die manier werd er volgens [gedaagde 1] c.s. geborgd dat er altijd een actuele kopie was van Evolution op een andere computer, zodat een virusaanval geen of beperkte gevolgen zou hebben voor de bedrijfsvoering van [eiser]. Als [eiser] andere bestanden dan uit Evolution aan de back-up koppeling wilde toevoegen, moest zij dat handmatig op de D-schijf in de Cloudstation-map zetten. Het systeem is getest en succesvol opgeleverd, aldus [gedaagde 1] c.s.
Tussen de regels door lees ik dat het probleem dus was dat de database-bestanden van het nieuwe systeem (Exquise) niet aan de synchronisatie-lijst van de Cloudstation waren toegevoegd. Dan worden die inderdaad niet meegenomen, tenzij je dat apart configureert. En dat hoefde deze dienstverlener niet te doen, omdat de adoptie van het nieuwe systeem door een ander verricht zou worden. Buiten scope, dus geen aansprakelijkheid.

Zou je zeggen. Want je zorgplicht als dienstverlener kan ver gaan:

De rechtbank is wel van oordeel dat het tot de zorgplicht van [gedaagde 1] c.s. als IT-dienstverlener behoorde dat zij, op het moment dat [gedaagde 1] c.s. ervan op de hoogte raakte dat [eiser] overstapte naar Exquise, [eiser] en/of Vertimart erop attendeerde dat daarvoor geen back-up koppeling bestond.
Dus als je klant iets doet dat buiten jouw contract valt, en jij ontdekt dat (dus niet “had moeten weten” maar “wíst”) dan zul je even moeten zeggen “ho ho, let op dat je de goede koppelingen maakt”. Wat hier ook was gebeurd:
Volgens [gedaagde 1] c.s. heeft zij Vertimart op 8 mei 2018 (de dag dat zij Exquise installeerde bij [eiser]) (a) geïnformeerd over de back-up koppeling van Evolution die op de D-schijf in de Cloudstation draaide, (b) laten zien hoe de Cloudstation werkt en (c) hoe Evolution daarop geïnstalleerd was. Vertimart gaf daarop aan ‘alles helemaal in orde te maken’, aldus [gedaagde 1] c.s. [eiser] heeft die stellingen onvoldoende gemotiveerd weersproken, zodat de rechtbank uitgaat van de juistheid daarvan.
Daarmee heeft de oude dienstverlener keurig gedaan wat van hem verwacht mocht worden. Waarom dan precies het database-bestand niet meegenomen is, vertelt het vonnis verder niet.

Arnoud

Kan ik mijn geld terugkrijgen voor die defecten Synology NASsen?

| AE 9276 | Ondernemingsvrijheid | 11 reacties

Een lezer vroeg me:

Recent is bekend geworden dat de Intel C2000 CPU-serie een fabricagefout bevat waardoor deze na 18 maanden (of later) zomaar kan uitvallen, en systemen met deze CPU niet meer kunnen opstarten. Deze chips zitten onder meer in de Synology NAS die ik heb gekocht voor mijn thuisnetwerk, maar Synology weigert de producten terug te nemen. Ze geven wel een jaar langer garantie (3 in plaats van 2) maar daar heb ik weinig aan. Wat zegt de wet hierover?

De wet zegt helaas erg weinig over dit soort specifieke problemen. Het gaat hier om een chip van een leverancier van de fabrikant van een netwerkschijf, die een heel specifieke fout heeft waardoor het apparaat defect kan gaan bij intensief gebruik. Wetten gaan niet over dat soort situaties; die zeggen algemeen hoe iets zou moeten gaan.

Het juridische begrip hier is ‘conformiteit’: een product moet voldoen aan de redelijkerwijs gewekte verwachtingen. Van een NAS mag je verwachten dat hij via een netwerk bereikbaar gemaakt kan worden en dat hij gegevens opslaat (en bewaart). Dat het apparaat na 18 maanden zomaar kan uitvallen, lijkt me niet direct iets dat je mag verwachten. Zeker niet bij een A-merk als Synologie.

De oorzaak van de fout is minder van belang. Of het nu een chip van Intel is of een draadje van bedrijf Xyz of een softwarebug geprogrammeerd door Synology zelf, het resultaat is hetzelfde: hij doet het niet en je mocht verwachten van wel. Daarmee is het conformiteitsgebrek gegeven.

Of je daar wat mee kunt, is vers twee. Allereerst moet je kijken of sprake is van een consumentenkoop of niet. Ook bij zakelijke aankopen geldt conformiteit, maar in de verkoop- of leveringsvoorwaarden kan dat worden uitgesloten. Als bedrijf kun je dus iets kopen en nul garantie hebben (wat redelijk kan zijn als je dan als koper een flinke korting eist).

Vervolgens wordt de vraag of er werkelijk sprake is van een gebrek. Niet alle producten vallen meteen uit na 18 maanden, sommigen kunnen het jaren langer uithouden. En dan kom je in de discussie terecht hoe lang de levensduur is die je mag verwachten. Die is nog echt niet uitgekristalliseerd bij dit soort apparatuur. En daar komt bij dat je moet aantonen dat sprake is van een fabricagefout die de oorzaak was van de uitval. Ga er maar aan staan als koper.

(En als laatste moet je natuurlijk terug naar de winkel en niet naar Synology om je recht te halen. Conformiteit geldt immers tegen de verkoper en niet tegen de fabrikant of importeur.)

Arnoud