KPN aansprakelijk voor verloren clouddata, ondanks algemene voorwaarden

kpn-online-backupCloudprovider KPN moet een schadevergoeding betalen voor in de cloud (online backup) opgeslagen gegevens die bij een accountmigratie verloren zijn gegaan. Hun algemene voorwaarden die hun aansprakelijkheid beperken, zijn onredelijk bewarend. Dat bepaalde de rechtbank Den Haag in een onlangs gepubliceerd vonnis (via).

De eiser uit deze zaak had een eenmanszaak gericht op fysiotherapie, sportmassage en blessurepreventie. Voor dat werk had zij de nodige documenten, foto’s en video’s ontwikkeld en om die netjes te bewaren had ze bij KPN de dienst Back-up Online afgenomen.

Toen kwam er een harddiskcrash bij haar bedrijf, maar gelukkig had ze de online backup nog. Helaas geen logingegevens meer. KPN heeft dan het beleid dat ze een nieuw account aanmaken en de bestanden overzetten.

Alleen bleken in dit geval de bestanden niet te zijn overgezet. Er “was iets niet goed gegaan”, aldus een KPN-medewerker tijdens de rechtszaak. De rechtbank vindt dat terecht een toerekenbare tekortkoming en volgens de wet moet KPN dan de schade van het benadeelde bedrijf vergoeden.

KPN had -natuurlijk- algemene voorwaarden, die haar aansprakelijkheid beperkten tot dood en letselschade, fysieke schade aan spullen en redelijke kosten ter beperking van verdere schade. (Nee, ik weet ook niet wanneer dat zich kan voordoen bij een online backupdienst.) Voor verlies van gegevens was men dus per definitie nooit aansprakelijk.

Het beperken van je aansprakelijkheid staat op de zogeheten grijze lijst van algemene voorwaarden – je moet als bedrijf kunnen aantonen dat het wél redelijk is je aansprakelijkheid uit te sloten. Dit geldt bij consumenten maar de rechtbank oordeelt dat deze eenmanszaak reflexwerking mag verwachten, omdat online backupdiensten niets te maken hebben met haar eigen kernactiviteiten (fysiotherapie en dergelijke) en het hier gaat om een kleine eenmanszaak tegenover een grote multinational.

Die uitsluiting gaat dus van tafel en KPN moet de schade vergoeden. Maar wat is de schade? De kosten van het opnieuw maken van de betreffende bestanden lijkt het meest logisch aanknopingspunt, waardoor de rechtbank kiest voor uurtarief maal aantal uren voor herstelwerk. Hiervoor krijgen de partijen een gelegenheid om nadere gegevens aan te dragen.

Had mevrouw de schade kunnen voorkomen? Ja, aldus KPN: had die inloggegevens ergens anders bewaard dan had je gewoon bij je backup gekund. Oftewel je had dit kunnen voorkomen. Nee, zegt de rechtbank: de fout van KPN is véél groter en het bedrijf kon gewoon bij de gegevens met die escalatieprocedure voor verloren logins. Dan is het “eigen schuld” noemen net iets te gortig.

Dit vonnis betekent niet dat élke cloudprovider nu automatisch onbeperkt aansprakelijk is voor alle schade. Er moet nog steeds wel een fout zijn gemaakt bij de dienstverlener. En niet elke fout zal zo ernstig zijn als wat KPN hier voor elkaar kreeg. Maar op zich vind ik de uitkomst zeer verteerbaar: bij een online backupdienst is de kern “bewaar de gegevens”. Dus dan mág het niet gebeuren dat gegevens kwijt raken – en in je voorwaarden “verlies van gegevens” uitsluiten van aansprakelijkheid is natuurlijk een tikje zot.

Arnoud