Moet je een klant helpen migreren naar de concurrent?

| AE 13675 | Ondernemingsvrijheid | 2 reacties

Als je een maatwerk-webshop voor een klant bouwt, en je krijgt later ruzie, ben je dan verplicht die klant te helpen migreren naar de concurrent? Oh jee, dat is weer zo’n zorgplicht-vonnis hè? Ja, dat is weer zo’n zorgplicht-vonnis. En zoals bij elk zorgplicht-vonnis komt het aan op hoe je je contract hebt opgesteld en wat daarbij redelijk was om vast te leggen. In dit geval: ja, je moet deze klant helpen migreren, rot voor je dat je ruzie hebt.

In 2019 ontwikkelde de gedaagde (een online marketingbureau) voor een wellnesscenter een webshop, op basis van het open source Magenta pakket. Dit voor een fixed fee met jaarlijks onderhoudskosten, waarbij naast een eigen ontwikkelcontract ook de Nederland ICT voorwaarden werden gebruikt. (De heersende mening is dat wie met NL ICT contracteert, niets hoeft maar wel geld mag pakken van de klant.) Ook werd een specifieke SLA afgesloten voor € 7920 per jaar.

Tijdens de looptijd van bovengenoemde twee overeenkomsten is er tussen partijen veelvuldig gediscussieerd over de correcte nakoming van de uit de ontwikkelovereenkomst voortvloeiende verplichtingen, zo lees ik dan in het vonnis. Juristen weten dan: ruzie in de tent. Op de details gaat de rechter nu niet in, wel zie ik een smak ingebrekestellingen én een stapel facturen. Dit leidde uiteindelijk tot een buitengerechtelijke ontbinding, gevolgd door de nodige stevige gesprekken waarna een kortlopende SLA (één maand met stilzwijgend maandelijkse verlenging) werd gesloten.

Nu wilde de klant overstappen naar de concurrent, wat de ontwikkelaar weigerde. En kon weigeren: hij had de exclusieve toegang tot de Github-broncodeomgeving, de ssh keys voor de productieomgeving, de API-sleutels en dergelijke voor koppelingen met derden en ga zo maar door. Oh, en natuurlijk het fundamentele punt van de auteursrechten op de shop, die conform de voorwaarden bij hem zouden zijn gebleven.

De rechter doet echter wat de rechter moet doen: het contract uitleggen op zoek naar de bedoelingen van partijen, in plaats van slaafs artikel 10.2 van de Nederland ICT voorwaarden voor te lezen. Het ging hier immers om een ontwikkelovereenkomst voor een eenmalig bedrag, gevolgd door een jaarlijkse vergoeding voor beheer van een en ander.

Anders dan [gedaagde] betoogt kan hieruit niet worden afgeleid dat partijen hebben beoogd aan [eiseres] slechts een gebruiksrecht van webshop toe te kennen gedurende de looptijd van de overeenkomst. Daarbij is van belang dat de overeenkomst niet voor een bepaalde duur is gesloten en evenmin sprake is van een betaling van een vergoeding voor het gebruiksrecht gerelateerd aan de duur van de overeenkomst. Integendeel, er is juist een substantieel eenmalig bedrag voor de ontwikkeling van de webshop afgesproken en daarnaast een terugkerend bedrag voor het technische beheer.
Impliciet schemert daar doorheen dat er iets ‘gekocht’ is, of dat de rechten afgekocht worden als je op deze manier contracteert. Een op zich normale constructie in het auteursrecht. En zo’n afspraak gaat dan – als maatwerkafspraak – boven het bepaalde in de algemene voorwaarden. Dat gebruiksrecht dat is er dus nog.

Moet de leverancier meewerken aan migratie? Dat onderwerp was al regelmatig langsgekomen in de onderhandelingen, tussen het gooien met ingebrekestellingen en facturen door. Daar had hij zich bereid verklaard daar wellicht wel aan mee te werken. En dat krijgt hij nu terug in het gezicht:

Zo heeft [gedaagde] in haar brieven van 22 juli 2022 en 26 juli 2022 (prod. 17 bij dagvaarding) voorstellen gedaan aan [eiseres] om, weliswaar onder voorwaarden, tot migratie van de webshop over te gaan. [gedaagde] kan redelijkerwijs niet, voor het eerst in dit kort geding, onder verwijzing naar haar algemene voorwaarden, het standpunt in te nemen dat van een verplichting om medewerking te verlenen aan migratie (al dan niet onder voorwaarden) geen sprake zou zijn, daar waar zij eerder de bereidheid heeft getoond aan migratie haar medewerking te verlenen.
Ook moet je zo’n vérstrekkende consequentie van een overeenkomst – je betaalt 40k maar als het contract opgezegd wordt, heb je niets – wel iets explicieter melden dan hier is gebeurd, namelijk in het geheel niet totdat men bij de rechter stond. Ik haal daaruit, zet dit expliciet (dus met gewone letters) in je opdracht of offerte. Nee, dat zullen ze niet leuk vinden en ze gaan vast zeggen dat ze zelf eigenaar willen worden en willen weten hoe de dienst blijft draaien als jij ermee stopt. Maar voor iedereen is het beter dat je die discussie voert in het offertetraject, lijkt me.

Dan nog het laatste punt, de openstaande facturen. Veel ondernemers redeneren, er is een openstaande vervallen factuur, ik hoef niets te doen. Dat klopt in principe, je hebt een opschortingsrecht, je mag je werkzaamheden staken als er niet betaald is ondanks een ingebrekestelling. Echter, de opschorting moet wel in verhouding staan tot de schuld. Dat was hier niet zo: van de € 48.553 fixed fee was 40.000 euro voldaan, en de facturen van de overige kosten waren nog niet opeisbaar. Dus dan blijft er te weinig over om een migratie te mogen weigeren.

Ik moest lachen bij het verweer dat de vordering van de webshop tot migratie “onvoldoende bepaald is om te worden toegewezen in kort geding.” Oftewel: de wellness heeft niet gespecificeerd wat zij met een migratie bedoelt, hemeltjelief nu weet ik als IT-professional écht niet wat er moet gebeuren met een Magento-omgeving die ik zelf gebouwd heb en waarvoor ik eerder heb gezegd dat migratie bespreekbaar is. Oh ja, en de beoogde opvolger had een keurig stappenplan aangeleverd met wat er zou moeten gebeuren, en dat was bij de dagvaarding gevoegd. Migreren dus, en wel zo snel als redelijkerwijs haalbaar. Anders een dwangsom die op kan lopen tot een ton.

Bezorgde ondernemers mailen me bij zo’n blog dan vaak, met wat voor tekst in de voorwaarden had deze ondernemer dit kunnen voorkomen? Goeie vraag. Antwoord hangt er dus vanaf wat je wilt bereiken, wil je (tegen redelijke kosten en zo) migraties mogelijk maken, of wil je echt de stekker eruit kunnen trekken en de shop door het putje als je klaar met de klant bent? In beide gevallen geldt dat je dat prima kunt opschrijven, daar heb je echt geen jurist voor nodig:

  • In geval van beëindiging van onze samenwerking zullen we in goed overleg een migratieplan maken om uw webshop tegen een redelijke vergoeding over te zetten naar een door u aangewezen derde. Hierbij bent u een afkoopsom van X verschuldigd voor de auteursrechten op de shop, die wij ons voorbehouden. Openstaande facturen dienen vooraf voldaan te worden.
  • Let op: bij beëindiging van deze overeenkomst kan geen migratie van de aan u geleverde shop worden verricht. U dient in de opzegtermijn (3 maanden) de data te downloaden die u wenst te behouden. De shop en al hetgeen daarmee samenhangt wordt vernietigd op de laatste dag van de overeenkomst. Auteursrechten voorbehouden: het elders herpubliceren van de shop is nadrukkelijk niet toegestaan, ook niet na einde overeenkomst.
Ik geef meteen toe dat die laatste niet heel vriendelijk is en de conversie vast zal verminderen. Maar als je dat bedoelt, dan moet je dat zeggen. Bij beëindiging “ja haha volgens artikel 11.723 sub b algemene voorwaarden hebben we alles daarnet vernietigd” zeggen is écht niet redelijk en gaat je een hoop geld kosten bij de rechter.

Arnoud

IT-beheerder niet aansprakelijk voor gevolgen ransomware-aanval

| AE 13406 | Informatiemaatschappij | 7 reacties

Een it-bedrijf uit Berkel en Rodenrijs is niet aansprakelijk voor de gevolgen van een ransomware-aanval op een Haagse stichting, zo heeft de rechtbank Rotterdam geoordeeld. Dat meldde Security.nl afgelopen maandag. Dit is de einduitspraak in vervolg op het tussenvonnis van vorig jaar, waarbij de rechtbank oordeelde dat een deskundige nodig was om te bepalen wat er precies wat gebeurd. Alleen was alle it-infrastructuur in de tussentijd vernietigd of vervangen, zodat dat geen zin meer had. Maar dan is de it-er ook niet meer aansprakelijk te houden.

Eiser was de stichting Zabawas, met als doel een erfenis aanwenden om mensen te steunen op gebied van sport en cultuur. In 2013 sloot ze met it-bedrijf PS Logic een overeenkomst voor “all-inclusive ICT-beheer”, waarbij voor ongeveer 130 euro per maand de it-infrastructuur (zegge vier computers, een server en een printer) werden beheerd:

proactief beheren, onderhouden en bewaken van de ICT-infrastructuur, 24/7 monitoring van service, backups en netwerk, eventuele herinstallatie van werkplekken, netwerken, servers en printers
Op enig moment in 2016 ontstonden problemen met de tapes van de backupserver, waarna werd overgegaan naar een cloudoplossing inclusief MS Office 365 en Verito software voor goede doelen.

In 2018 werd Zabawas getroffen door ransomware (via een kwetsbaarheid in Teamviewer). Daarna bleken relevante backups te ontbreken, waarbij een externe it-dienstverlener met opgetrokken wenkbrauwen constateerde:

Verschillende kwetsbaarheden (afwijkingen van de norm) komen voort uit beginnersfouten, slordigheid, en onverstandige inrichtingskeuzes die een ‘normaal en redelijk handelend’ ICT leverancier (groot of klein) ondanks ontbrekende beveiligingsafspraken niet mag maken. Baaten ICT Security is dan ook niet verbaasd dat zich een ernstig verstorend incident heeft voorgedaan (de ransomware besmetting). Gezien de huidige staat van de ICT omgeving was een dergelijke ernstige verstoring slechts een kwestie van tijd; het niveau van de digitale weerbaarheid is te laag om te kunnen spreken van een passend en marktconform informatiebeveiligingsniveau.
In reactie liet het it-bedrijf weten dat het probleem zat in een gebrekkige (afwezige) backup van de SQL database, wat voor veel bedrijven uiteindelijk het pijnlijkste is. Niet gek dus dat men het bedrijf aansprakelijk stelde: “proactief beheren en bewaken van .. backups” en dan geen data backuppen?

Bij de rechter verweerde het it-bedrijf zich door te stellen dat ze vanaf het moment van die cloudovergang geen backupdiensten meer zouden leveren, omdat een ander bedrijf (Verito, van die goededoelensoftware) dit nu op zich had genomen. De rechtbank las dat anders:

Vaststaat voorts dat ICT-omgeving van Zabawas begin 2017 is gewijzigd, waarbij – voor zover hier relevant – Zabawas gebruik ging maken van een nieuwe server die zich bevond in een extern datacenter en back-ups voortaan via de cloud zouden plaatsvinden (zie 2.10 tot en met 2.12). Naar het oordeel van de rechtbank kan niet worden vastgesteld dat daarmee de onder 2.3 vermelde overeenkomst, met in het bijzonder ten aanzien van de “24/7 monitoring van servers, backups en netwerk” is beëindigd. POS4 stelt dat weliswaar, maar Zabawas betwist dat en POS4 heeft haar stelling dat de “24/7 monitoring van servers, backups en netwerk” voor de nieuwe situatie niet meer gewenst was, niet onderbouwd.
Dat roept dan de vraag op wat er misging met de backups. Volgens de it-leverancier, POS4:
Zij stellen dat POS4 in de nieuwe ICT-omgeving van Zabawas had ingesteld dat dagelijks automatisch kopieën werden gemaakt van de Windows Server bestanden op de server. Op de betreffende server werd ook dagelijks een back-up uitgevoerd van de map SQLBackup. Gebleken is dat Verito de (telkens) nieuwe (wijzigende) bestanden van de SQL server niet heeft weggeschreven naar die daarvoor bestemde back-up map. De SQL back-up map was wel door Verito zelf voor dat doel aangemaakt.
Dat klinkt als een configuratiefout zoals je wel vaker ziet: de backupmap heet A en de te backuppen bestanden gaan naar map B. Maar ook mogelijk is dat de map niet goed opengesteld was voor de synchronisatie naar de cloudserver. Dat is dan typisch iets dat je aan een deskundige vraagt, wat de rechtbank dan ook ging doen.

Probleem daarna:

Zabawas heeft in haar eerste akte na tussenvonnis onder verwijzing naar de brief van haar advocaat van 28 mei 2021 erop gewezen dat de voorzitter en de secretaris van het bestuur van Zabawas bij de mondelinge behandeling hebben verklaard “dat de ICTomgeving van Zabawas zoals die bestond in april 2018 niet meer voorhanden is (vernietigd), alles is het kader van regulier onderhoud in eigen beheer vervangen.” In aansluiting hierop heeft Zabawas in haar eerste akte daaraan toegevoegd: “Voor zover de rechtbank beoogt dat het ICT-systeem van Zabawas dient te worden onderzocht (op de oorzaak van de ransomwarebesmetting, behoort dat dus niet tot de mogelijkheden.”
Dan heeft het dus geen zin meer een deskundige te benoemen om te onderzoeken hoe het ransomware-incident heeft kunnen plaatsvinden, omdat de destijds bestaande ICT-omgeving van Zabawas niet meer aanwezig is en dus ook niet kan worden onderzocht. Maar goed, dan houdt het dus wel een beetje op met de schuldvraag.

Wat niet meehielp, is dat de stichting ook had gesteld dat het wel duidelijk was dat het aan de it-leverancier lag, mede op basis van haar ingehuurde externe deskundige. Dat is voor de rechtbank te mager als bewijs, en het zal aan mij liggen maar ik bespeur hier enige gekrenktheid bij de rechtbank:

Waar Zabawas stelt dat zij ervan uitgaat dat de vraagstelling wordt gewijzigd als de rechtbank ‘ondanks het voorgaande’ toch behoefte aan deskundigenvoorlichting zou hebben, miskent Zabawas dat het niet om een al dan niet bij de rechtbank bestaande behoefte aan voorlichting gaat, maar de mogelijkheid van het laten uitbrengen van een deskundigenbericht een bewijsmiddel is waarvan Zabawas al dan niet gebruik kan maken.
Gevolg is dat alle vorderingen van de stichting worden afgewezen en krijgt men een kostenveroordeling voor de kiezen.

Voor mij een tikje jammer dat er vrij weinig overblijft: de enige les die ik hieruit kan halen, is dat je bij een groot it-incident maar beter voor goede logging kunt zorgen en/of je infrastructuur in de kelder kunt zetten voor forensisch onderzoek achteraf. De ervaring leert alleen dat mensen die dat ingeregeld krijgen, ook de backups wel ingeregeld hebben.

Arnoud

Is een Synology Cloudstation juridisch gezien een backup? #zorgplichtdeelzoveel

| AE 13117 | Ondernemingsvrijheid | 13 reacties

Als je klant je vraagt een backupoplossing te installeren, en jij schuift een Synology Cloudstation naar binnen, heb je dan aan je zorgplicht voldaan? De rechtbank Noord-Holland oordeelde recent van wel in een zaak tussen een tandartspraktijk en een ICT support dienstverlener. Na dat configureren van de Cloudstation bleek er iets niet goed te zijn gegaan, en kon de tandarts zijn agenda niet terugvinden in de backup, pardon op de NAS, of nou ja daar ging het dus om. Waar sta je dan als ICT dienstverlener die beloofd had een backupsysteem te leveren?

De discussie wordt onder techneuten vaak gevoerd: is een network attached storage oftewel een netwerkschijf een backup? Natuurlijk, je kunt er een kopie neerzetten van belangrijke bestanden. Dan kun je er overal bij, ook als je lokale apparaten stuk zijn of geïnfecteerd door ransomware, of iets dergelijks. Maar dit is ook de zwakte: zulke ransomware kan gewoon de netwerkschijf benaderen en alle data daar infecteren. Verder ontbreekt versiebeheer: je hebt een kopie van je laatste bestand, maar niet van de vorige drie versies. Backupoplossingen doen dat wel. En zo kun je nog wel even doorgaan.

Ik kan me desondanks goed voorstellen dat bij een klein bedrijf zoals een tandartsenpraktijk een NAS wordt gezien als een redelijke backupoplossing. Vaak heb je daar bestanden die je eenmalig maakt (zoals facturen of röntgenfoto’s) en die je daarna nooit meer aanpast. Tegen “gewoon” uitval van de eigen harddisk is de kopie op de NAS dan een kosteneffectieve oplossing.

De kern van het probleem in deze zaak zat hem in een overstap van het ene tandartsenpraktijksysteem (Evolution) naar het andere (Exquise). Die nieuwe software viel niet onder het contract van de ICT dienstverlener, en dat was dus vervelend toen bleek dat er een berg afspraken uit de agenda weg waren:

Bij e-mail van 3 maart 2020 schrijft Microminder Nederland, de huidige IT-beheerder van [eiser] (hierna: Microminder), aan [eiser]: ‘(…) In oktober 2019 is Microminder benaderd (…) voor hulp omdat de praktijksoftware / database was gecrasht. Wij hebben dit proberen te herstellen door de NAS te onderzoeken, er zou hierop een back-up aanwezig moeten zijn. De bestanden die op de NAS aanwezig waren klopte niet met de laatste werkende versie, dit komt hoogstwaarschijnlijk omdat er een sync programma is gebruikt i.p.v. een back-up programma met de juiste retentie, op een of andere manier is dit niet goed gegaan, wij hebbend dit niet kunnen achterhalen.
“Sync” wil dus zeggen dat wat er lokaal gebeurt, ook op de NAS wordt uitgevoerd. Wis je dus lokaal iets, dan wordt dat op de NAS ook gewist. Dat is een reden om dit geen backup te noemen: die wil je ook hebben om bij een abusievelijke verwijdering wat achter de hand te hebben. Maar wat speelde hier, aldus de rechtbank die de ICT beheerder parafraseert:
Synology zorgde ervoor dat de bestanden in de Cloudstation-map altijd werden gesynchroniseerd. Evolution, waar het [eiser] om ging, stond gekoppeld aan Synology, zodat van die gegevens automatisch een back-up werd gemaakt. Op die manier werd er volgens [gedaagde 1] c.s. geborgd dat er altijd een actuele kopie was van Evolution op een andere computer, zodat een virusaanval geen of beperkte gevolgen zou hebben voor de bedrijfsvoering van [eiser]. Als [eiser] andere bestanden dan uit Evolution aan de back-up koppeling wilde toevoegen, moest zij dat handmatig op de D-schijf in de Cloudstation-map zetten. Het systeem is getest en succesvol opgeleverd, aldus [gedaagde 1] c.s.
Tussen de regels door lees ik dat het probleem dus was dat de database-bestanden van het nieuwe systeem (Exquise) niet aan de synchronisatie-lijst van de Cloudstation waren toegevoegd. Dan worden die inderdaad niet meegenomen, tenzij je dat apart configureert. En dat hoefde deze dienstverlener niet te doen, omdat de adoptie van het nieuwe systeem door een ander verricht zou worden. Buiten scope, dus geen aansprakelijkheid.

Zou je zeggen. Want je zorgplicht als dienstverlener kan ver gaan:

De rechtbank is wel van oordeel dat het tot de zorgplicht van [gedaagde 1] c.s. als IT-dienstverlener behoorde dat zij, op het moment dat [gedaagde 1] c.s. ervan op de hoogte raakte dat [eiser] overstapte naar Exquise, [eiser] en/of Vertimart erop attendeerde dat daarvoor geen back-up koppeling bestond.
Dus als je klant iets doet dat buiten jouw contract valt, en jij ontdekt dat (dus niet “had moeten weten” maar “wíst”) dan zul je even moeten zeggen “ho ho, let op dat je de goede koppelingen maakt”. Wat hier ook was gebeurd:
Volgens [gedaagde 1] c.s. heeft zij Vertimart op 8 mei 2018 (de dag dat zij Exquise installeerde bij [eiser]) (a) geïnformeerd over de back-up koppeling van Evolution die op de D-schijf in de Cloudstation draaide, (b) laten zien hoe de Cloudstation werkt en (c) hoe Evolution daarop geïnstalleerd was. Vertimart gaf daarop aan ‘alles helemaal in orde te maken’, aldus [gedaagde 1] c.s. [eiser] heeft die stellingen onvoldoende gemotiveerd weersproken, zodat de rechtbank uitgaat van de juistheid daarvan.
Daarmee heeft de oude dienstverlener keurig gedaan wat van hem verwacht mocht worden. Waarom dan precies het database-bestand niet meegenomen is, vertelt het vonnis verder niet.

Arnoud

Webshop die geen back-ups maakte verliest rechtszaak van softwareleverancier

| AE 12971 | Ondernemingsvrijheid | 9 reacties

Een webshop die geen back-ups van haar boekhoudgegevens maakte, en door een probleem met een softwarekoppeling klantgegevens verloor, heeft de rechtszaak tegen de leverancier van de koppeling verloren. Dat meldde Security.nl vorige week. De koppeling bleek gegevens van crediteuren in het boekhoudprogramma te overschrijven met debiteurenboekingen. Volgens het Gerechtshof staat het vast dat de webshop… Lees verder

Nog even terugkomen op die zorgplicht voor ICT-dienstverleners

| AE 12151 | Ondernemingsvrijheid | 5 reacties

Recent blogde ik over dat roemruchte vonnis waarin een ICT-bedrijfje opdraaide voor de kosten van een datagijzeling, op grond van zijn zorgplicht als dienstverlener. Dat gaf de nodige heisa, wat ik al overdreven vond, maar nu vond ik recent nog een arrest van het Hof Amsterdam dat juist ómgekeerd naar de zorgplicht keek. Dus ik… Lees verder

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij… Lees verder

Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Ondernemingsvrijheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade… Lees verder

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Ondernemingsvrijheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht. In deze… Lees verder

Ik wilde een nieuw toetsenbord en kreeg een lege harde schijf!

| AE 6431 | Ondernemingsvrijheid | 42 reacties

Een lezer vroeg me: Onlangs was van mijn laptop, drie maanden na aanschaf een toets afgebroken. Na reparatie bleek dat de reparateur alle Linux software en verdere software omgeving van de PC verwijderd had zonder toestemming hiervoor te vragen. Het heeft drie volle dagen geduurd voordat ik (als ICT professional) weer alles hersteld had. Een… Lees verder