Is een Synology Cloudstation juridisch gezien een backup? #zorgplichtdeelzoveel

| AE 13117 | Ondernemingsvrijheid | 13 reacties

Als je klant je vraagt een backupoplossing te installeren, en jij schuift een Synology Cloudstation naar binnen, heb je dan aan je zorgplicht voldaan? De rechtbank Noord-Holland oordeelde recent van wel in een zaak tussen een tandartspraktijk en een ICT support dienstverlener. Na dat configureren van de Cloudstation bleek er iets niet goed te zijn gegaan, en kon de tandarts zijn agenda niet terugvinden in de backup, pardon op de NAS, of nou ja daar ging het dus om. Waar sta je dan als ICT dienstverlener die beloofd had een backupsysteem te leveren?

De discussie wordt onder techneuten vaak gevoerd: is een network attached storage oftewel een netwerkschijf een backup? Natuurlijk, je kunt er een kopie neerzetten van belangrijke bestanden. Dan kun je er overal bij, ook als je lokale apparaten stuk zijn of geïnfecteerd door ransomware, of iets dergelijks. Maar dit is ook de zwakte: zulke ransomware kan gewoon de netwerkschijf benaderen en alle data daar infecteren. Verder ontbreekt versiebeheer: je hebt een kopie van je laatste bestand, maar niet van de vorige drie versies. Backupoplossingen doen dat wel. En zo kun je nog wel even doorgaan.

Ik kan me desondanks goed voorstellen dat bij een klein bedrijf zoals een tandartsenpraktijk een NAS wordt gezien als een redelijke backupoplossing. Vaak heb je daar bestanden die je eenmalig maakt (zoals facturen of röntgenfoto’s) en die je daarna nooit meer aanpast. Tegen “gewoon” uitval van de eigen harddisk is de kopie op de NAS dan een kosteneffectieve oplossing.

De kern van het probleem in deze zaak zat hem in een overstap van het ene tandartsenpraktijksysteem (Evolution) naar het andere (Exquise). Die nieuwe software viel niet onder het contract van de ICT dienstverlener, en dat was dus vervelend toen bleek dat er een berg afspraken uit de agenda weg waren:

Bij e-mail van 3 maart 2020 schrijft Microminder Nederland, de huidige IT-beheerder van [eiser] (hierna: Microminder), aan [eiser]: ‘(…) In oktober 2019 is Microminder benaderd (…) voor hulp omdat de praktijksoftware / database was gecrasht. Wij hebben dit proberen te herstellen door de NAS te onderzoeken, er zou hierop een back-up aanwezig moeten zijn. De bestanden die op de NAS aanwezig waren klopte niet met de laatste werkende versie, dit komt hoogstwaarschijnlijk omdat er een sync programma is gebruikt i.p.v. een back-up programma met de juiste retentie, op een of andere manier is dit niet goed gegaan, wij hebbend dit niet kunnen achterhalen.
“Sync” wil dus zeggen dat wat er lokaal gebeurt, ook op de NAS wordt uitgevoerd. Wis je dus lokaal iets, dan wordt dat op de NAS ook gewist. Dat is een reden om dit geen backup te noemen: die wil je ook hebben om bij een abusievelijke verwijdering wat achter de hand te hebben. Maar wat speelde hier, aldus de rechtbank die de ICT beheerder parafraseert:
Synology zorgde ervoor dat de bestanden in de Cloudstation-map altijd werden gesynchroniseerd. Evolution, waar het [eiser] om ging, stond gekoppeld aan Synology, zodat van die gegevens automatisch een back-up werd gemaakt. Op die manier werd er volgens [gedaagde 1] c.s. geborgd dat er altijd een actuele kopie was van Evolution op een andere computer, zodat een virusaanval geen of beperkte gevolgen zou hebben voor de bedrijfsvoering van [eiser]. Als [eiser] andere bestanden dan uit Evolution aan de back-up koppeling wilde toevoegen, moest zij dat handmatig op de D-schijf in de Cloudstation-map zetten. Het systeem is getest en succesvol opgeleverd, aldus [gedaagde 1] c.s.
Tussen de regels door lees ik dat het probleem dus was dat de database-bestanden van het nieuwe systeem (Exquise) niet aan de synchronisatie-lijst van de Cloudstation waren toegevoegd. Dan worden die inderdaad niet meegenomen, tenzij je dat apart configureert. En dat hoefde deze dienstverlener niet te doen, omdat de adoptie van het nieuwe systeem door een ander verricht zou worden. Buiten scope, dus geen aansprakelijkheid.

Zou je zeggen. Want je zorgplicht als dienstverlener kan ver gaan:

De rechtbank is wel van oordeel dat het tot de zorgplicht van [gedaagde 1] c.s. als IT-dienstverlener behoorde dat zij, op het moment dat [gedaagde 1] c.s. ervan op de hoogte raakte dat [eiser] overstapte naar Exquise, [eiser] en/of Vertimart erop attendeerde dat daarvoor geen back-up koppeling bestond.
Dus als je klant iets doet dat buiten jouw contract valt, en jij ontdekt dat (dus niet “had moeten weten” maar “wíst”) dan zul je even moeten zeggen “ho ho, let op dat je de goede koppelingen maakt”. Wat hier ook was gebeurd:
Volgens [gedaagde 1] c.s. heeft zij Vertimart op 8 mei 2018 (de dag dat zij Exquise installeerde bij [eiser]) (a) geïnformeerd over de back-up koppeling van Evolution die op de D-schijf in de Cloudstation draaide, (b) laten zien hoe de Cloudstation werkt en (c) hoe Evolution daarop geïnstalleerd was. Vertimart gaf daarop aan ‘alles helemaal in orde te maken’, aldus [gedaagde 1] c.s. [eiser] heeft die stellingen onvoldoende gemotiveerd weersproken, zodat de rechtbank uitgaat van de juistheid daarvan.
Daarmee heeft de oude dienstverlener keurig gedaan wat van hem verwacht mocht worden. Waarom dan precies het database-bestand niet meegenomen is, vertelt het vonnis verder niet.

Arnoud

Webshop die geen back-ups maakte verliest rechtszaak van softwareleverancier

| AE 12971 | Ondernemingsvrijheid | 9 reacties

Een webshop die geen back-ups van haar boekhoudgegevens maakte, en door een probleem met een softwarekoppeling klantgegevens verloor, heeft de rechtszaak tegen de leverancier van de koppeling verloren. Dat meldde Security.nl vorige week. De koppeling bleek gegevens van crediteuren in het boekhoudprogramma te overschrijven met debiteurenboekingen. Volgens het Gerechtshof staat het vast dat de webshop geen back-ups maakte en heeft de softwareleverancier met recht aangevoerd dat de webshop zelf verantwoordelijk is voor het regelmatig maken van back-ups. “Dat zij dat achterwege heeft gelaten, terwijl het wel mogelijk was, is dan ook een omstandigheid die haar valt toe te rekenen”, aldus het hof.

Het gaat concreet om een koppeling tussen het bekende webshoppakket Magento en Exact Online, waardoor de transacties van de Magento webshop worden doorgestuurd naar de boekhoudsoftware van Exact. Meelezende QA specialisten mogen even wegkijken, voor de rest:

Het boekhoudprogramma maakt gebruik van een tabel van nummering waarbij voor debiteuren en crediteuren dezelfde tabel wordt gebruikt. Beide groepen krijgen om die reden een verschillend startnummer. Voor debiteuren (klanten met een account en gastklanten zonder een account) is in dit geval gekozen voor een nummer beginnend met 3.000 respectievelijk 7.000 en voor crediteuren beginnend met 1-2.999 en vanaf 15.000. De crediteuren moeten handmatig worden ingevoerd, de debiteuren (zowel de bestellingen van klanten met een account als die van gastklanten) worden door de koppeling automatisch in het boekhoudprogramma ingevoerd.
Deze wijze van scheiden van relaties staat onder programmeurs ook wel bekend als een WTF want op deze manier is het natuurlijk mogelijk dat het aantal aankopen zo oploopt dat je de 15.000 aantikt en dat je debiteur dan een crediteur is. En dat gebeurde ook, omdat er een foutje zat in het toekennen van nummers bij klanten die als gast bestellen:
Hallo … De gast accounts beginnen bij 7000. Inmiddels hebben we al meer dan 8000 gast accounts, waardoor je dus uit komt op de nummering van de crediteuren.
Dit hoort natuurlijk niet te gebeuren, en pijnlijk voor de webshop was vervolgens dat men geen backup had van de relevante tabellen zodat het een berg werk was om alle debiteuren en crediteuren weer in ere te herstellen. Is dit nu het soort fout waar je voor aansprakelijk bent vanuit je zorgplicht als ICT-er? Helaas komt het Hof niet aan die vraag toe, maar ze bevestigt wel dat we zoiets best “eigen schuld” kunnen noemen.

Iedereen die met digitale gegevens werkt in de bedrijfsvoering, moet daar gewoon backups van hebben. Want of het nou gaat om ransomware, dikke vingers of een API koppeling die debiteuren moet invoeren maar die soms als crediteur aanmerkt, als je die data kwijt bent dan heb je een enórm probleem.

Juridisch gezien kom je dan uit bij “eigen schuld” (art. 6:101 BW): weliswaar ontslaat dat de leverancier niet van aansprakelijkheid, maar hij hoeft minder van de schade te vergoeden omdat de gevolgen mede aan de webwinkel te wijten zijn.

Het is aannemelijk dat geen handmatig herstel met de gevorderde kosten nodig was geweest als de door [de webwinkel] gestelde tekortkoming achterwege zou zijn gebleven (zo die na bewijslevering zou komen vast te staan). Maar dat geldt ook indien [de webwinkel] zelf de nodige zorgvuldigheid zou hebben betracht door een back-up te maken. De kosten van de advocaat in verband met het verhaal van herstelkosten bij [de leverancier] zouden ook niet gemaakt zijn.

Je kunt je natuurlijk afvragen of de leverancier niet meer had moeten doen. Nee, niet in dit geval:
Het hof betrekt daar ook bij (i) dat het ging om een standaardkoppeling tegen een lage prijs zonder abonnement, (ii) dat de koppeling als zodanig jarenlang goed heeft gefunctioneerd, (iii) dat [de webwinkel] zelf voor Exact Online heeft gekozen, (iv) dat zij zich in de werking en de beperkingen daarvan kennelijk niet voldoende heeft verdiept, (v) dat de koppeling is hersteld en (vi) dat [de webwinkel] niet onderbouwd heeft gesteld dat zij door het tijdelijk kwijtraken van enkele gegevens van crediteuren (andere financiële) problemen heeft ondervonden.
Met name dat laatste geeft voor mij de doorslag: er zijn geen daadwerkelijke problemen, alleen maar rotzooi die opgeruimd moest worden omdat er geen backup was. Heel vervelend, maar dát is dan het gevolg van je eigen schuld.

Ondertussen blijft wel open de vraag of de leverancier beter had moeten programmeren, bijvoorbeeld een check dat het debiteurennummer altijd kleiner dan 15.000 had moeten zijn. Als je een koppeling met Exact verkoopt, en die heeft deze rare constructie in haar database-tabellen, dan moet je zulke dingen wel doen lijkt me. Maar kennelijk komt het weinig voor dat Exact Online-gebruikers meer dan 8000 klanten zonder registratie hebben?

Arnoud

Nog even terugkomen op die zorgplicht voor ICT-dienstverleners

| AE 12151 | Ondernemingsvrijheid | 5 reacties

Recent blogde ik over dat roemruchte vonnis waarin een ICT-bedrijfje opdraaide voor de kosten van een datagijzeling, op grond van zijn zorgplicht als dienstverlener. Dat gaf de nodige heisa, wat ik al overdreven vond, maar nu vond ik recent nog een arrest van het Hof Amsterdam dat juist ómgekeerd naar de zorgplicht keek. Dus ik kom er nog even op terug: wat je afspreekt is superbelangrijk, net als de communicatie in het vervolgtraject. Oftewel, let op wat je zegt en dan gaat het gewoon goed.

Waarom het Amsterdamse vonnis uit 2018 anno 2020 alsnog werd gepubliceerd, is mij een raadsel, maar het sloeg in als een bom. Een administratiekantoor kon haar ict-dienstverlener aansprakelijk stellen voor de gevolgen van een ransomware-aanval, omdat deze zijn zorgplicht had geschonden door geen backups te maken of sterke wachtwoorden in te regelen. Dat de klant weigerde de aangeboden backupoplossingen in te zetten en sterke wachtwoorden maar stom vond, dat deed niet ter zake.

In de zaak uit 2020 betrof het een strafrechtadvocate die haar praktijk verhuisde. Zij wilde haar ict-diensten meenemen en ook thuis kunnen werken. Na de verhuizing stelt de advocate dat de overeengekomen werkzaamheden niet naar behoren zijn uitgevoerd omdat de dienstverlener de verhuizing niet (tijdig) heeft voorbereid als gevolg waarvan pas op de verhuisdag bleek dat de bestaande apparatuur ontoereikend was en het internet te traag en dat toen ad hoc maatregelen genomen moesten worden. Zo werd data snel in een cloudlocatie geplaatst om maar verder te kunnen werken. De juiste apparatuur bleek niet te zijn geselecteerd en de voorbereiding was te laat begonnen.

Een en ander verliep dus nogal rommelig, en de advocate stelde daarop dat de dienstverlener in zijn zorgplicht te kort geschoten was. Dat ziet het Hof anders. Eerst moet men kijken wat precies de overeenkomst was, en pas dan kan worden bepaald waar de zorgplicht op toezag. Een belangrijke factor daarbij was dat de werkzaamheden van deze leverancier eerder incidenteel waren dan permanent ontzorgen, en dat de instructies van de advocate kort maar duidelijk waren. Er was dan ook geen aanleiding tot nader onderzoek. Dat dingen dan later tegen blijken te vallen, is geen schending van de zorgplicht.

Specifiek over backups is het Hof ook snel klaar: uit geen van de stukken blijkt dat overeengekomen is dat de dienstverlener backups zou maken, dus daar is hij ook niet in tekort geschoten.

Hoe deze uitspraken nu met elkaar te verenigen? De meest logische verklaring is dat in de eerste zaak de dienstverlener zich had gepresenteerd als totaaloplosser, terwijl in de tweede zaak de dienstverlener veel ‘lager’ ingestoken had met de dienstverlener. Af en toe hand- en spandiensten leveren tegen betaling is heel wat anders dan op abonnementsbasis iemand permanent ontzorgen. Wie dat laatste toezegt, krijgt een veel hogere zorgplicht op zich gelegd. Dat is ook logisch want de belofte is veel hoger, men mag op meer rekenen.

Ook van groot belang blijkt hoe uitgebreid men opdrachten vastlegt. In de eerste zaak blijkt er weinig tot niets vastgelegd te zijn over te verrichten werk, dat is wel iets dat de dienstverlener kan worden aangerekend. En ook wanneer risico’s langskomen, moet men daarover discussiëren tot consensus is bereikt over hoe verder. Dus wat je niet afbakent, kan zomaar als deel van de opdracht gezien worden.

De belangrijkste les voor mij blijft dan ook: zorg dat je blijft communiceren met je klant en dat je daarin de risico’s ook écht duidelijk maakt. In taal die de klant snapt, met waarschuwingen die er niet om liegen en blijf aandringen op een bevestiging van de vorm “ik snap de risico’s en ik wil het tóch zo”. Dat doe je in de conversatie, niet verstopt in je voorwaarden en niet met een bulletpoint in je offerte. En die conversatie die log je en je komt erop terug als de situatie rijp lijkt voor verbetering. Dat is hoe een goed IT-er zorgt voor zijn klanten.

Arnoud

 

Eh, de fysieke inhoud van een gevonden portemonnee hoef je dus niet te vernietigen van de AVG

| AE 11544 | Privacy | 25 reacties

Ik raakte mijn portemonnee kwijt in de supermarkt en toen ik terugkwam, bleek het ding te zijn vernietigd want de AVG he meneertje. Nee, niet mijzelf overkomen maar ik las het op Reddit (dank tipgever). Oké, in Engeland waar ze wel meer rare dingen doen maar het voelt zomaar als een beleidsregel die ook bij… Lees verder

Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Ondernemingsvrijheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade… Lees verder

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Ondernemingsvrijheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht. In deze… Lees verder

Ik wilde een nieuw toetsenbord en kreeg een lege harde schijf!

| AE 6431 | Ondernemingsvrijheid | 42 reacties

Een lezer vroeg me: Onlangs was van mijn laptop, drie maanden na aanschaf een toets afgebroken. Na reparatie bleek dat de reparateur alle Linux software en verdere software omgeving van de PC verwijderd had zonder toestemming hiervoor te vragen. Het heeft drie volle dagen geduurd voordat ik (als ICT professional) weer alles hersteld had. Een… Lees verder