Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Aansprakelijkheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade is, moet nog worden bepaald. In ieder geval vallen daar de kosten onder van het inschakelen van een waarnemend huisarts.

Dit is het vervolg op de zaak waar ik in januari over blogde. In het algemeen lijkt het goed af te lopen voor deze IT-leverancier, schreef ik toen. Maar dat valt nu tegen:

De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een back-up (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van ‘opdrachten’ van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

De rechtbank doet nu einduitspraak. Voorop staat dat je als “redelijk bekwaam en redelijk handelend ICT-dienstverlener” er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is. In ieder geval niet in situaties waarin het belang van die backup groot is (de administratie van een huisartsenpraktijk) en waarin de documentatie bij upgrade die je gaat uitvoeren expliciet waarschuwt “maak een backup”. Dan moet je écht controleren of deze klopt.

Doe je dat niet, dan hang je:

Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.

En nee, algemene voorwaarden hadden hier waarschijnlijk niet bij geholpen. De rechtbank laat doorschemeren dat deze tekortkoming volgt uit het verzaken van de zorgplicht die je als dienstverlener hebt. Botweg de aansprakelijkheid voor zulk verzaken uitsluiten gaat gewoon niet, dat is niet redelijk. Je gaat gewoon betalen als je klantdata kwijtmaakt of niet zorgt voor een goede backup.

Mogelijk had een expliciete waiver hier wel geholpen. Dan zeg je als dienstverlener “u, klant, wilt iets héél onverstandigs en u tekent hierbij voor afzien van aansprakelijkheidstelling”. Dat kan, maar het moet wel redelijk zijn. Dus dat in je algemene voorwaarden: vergeet het maar. Een op maat gesneden tekst (“Gezien de bloedspoed bij de klus en de schriftelijke verzekering van KPN dat u een online backup heeft, ziet u af van een backup voordat ik begin”) gaat het denk ik wel redden.

Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld.

(Het wordt wel een beetje de week van dataverlies&backup deze week, maar goed, data ís nu eenmaal de kern van ICT-diensten.)

Arnoud

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Aansprakelijkheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht.

In deze zaak

Een IT-bedrijf zou bij een huisartsenpraktijk de Office-infrastructuur komen herzien, waarbij gekozen was voor een simpele backupoplossing met usb-schijven omdat backups via internet veel te traag bleken. Een simpel scriptje dat elke nacht om drie uur een backup maakt, daar kan weinig mis aan gaan toch?

Op zeker moment daarna kwam de leverancier van het medisch pakket Promedico met een nieuwe versie, met in de nieuwsbrief de verstandige aanbeveling ‘Zorg voor een recente back-up.’ Het IT-bedrijf voerde de nieuwe versie door, maar na enige problemen in de werking werd Promedico zelf erbij gehaald en die deden een hernieuwde installatie met dataverlies. Eh oeps. En toen bleken die usb-schijven geen correcte backup te hebben. Dubbel oeps.

Wie is dit nu te verwijten? De huisartsen meenden het IT-bedrijf, maar die kon met zijn offerte (en vooral het afgekeurde stukje van de internetbackupdienst) dat pareren. Als de klant geen backupdienst wil, maar alleen drie usb-schijven, dan houdt het op zeker moment op voor je zorgplicht. Vooral de prijs gaf de doorslag: wie als ondernemer Office-diensten afneemt voor 219 euro per maand, moet weten dat daar geen volledige handjevasthouden-backupdienst bij zal zitten.

Wel had de IT-er een zorgplicht om te kijken of het gebruikte backupscript geen al te rare dingen deed. Daar is eerdere jurisprudentie over: je hebt gewoon een algemene zorgplicht, en daar hoort bij dat je de klant waarschuwt bij dingen die je weet of had moeten weten, of ze dat nu besteld hadden of niet. Maar dat maakt hier niet uit, want het script maakte geen rare fouten. (Wie kan uit het vonnis halen wat de configuratiefout was?)

Maar dan die installatie zonder voorafgaande aparte backup. Sowieso is dat al een best practice, maar als de softwareleverancier dat ook nog eens apart aanraadt, waarom zou je het dan niet doen?

Op zichzelf genomen lag het op de weg van [gedaagde] om als zorgvuldig IT-dienstverlener overeenkomstig het advies in de aanbiedingsbrief van Promedico (zie 2.6.) een back-up te maken alvorens de update te installeren. Een mogelijk aandringen van de zijde van [eiseres] c.s. om de update overdag in plaats van buiten werktijd te installeren, kan geen voldoende reden zijn om dat na te laten, mede gelet op het belang van de gegevens voor de praktijkvoering van [eiseres] c.s., tenzij [gedaagde] vóór de installatie [eiseres] c.s. erop heeft gewezen dat zij (om die reden) geen back-up zou maken. [gedaagde] heeft echter niet aangevoerd dat zij [eiseres] c.s. hierop heeft gewezen.

Iets lastiger ligt het verweer dat zo’n backup zou zijn gemaakt door gewoon dat backupscript even een keertje extra uit te voeren, zodat je dan alsnog een onbruikbare backup zou hebben. Zo backuppen ligt immers meer voor de hand dan apart handmatig uit te zoeken wat te backuppen en dat naar een ander medium te halen.

Het pakket Promedico bleek ook nog een eigen backupfunctie te hebben, en ik vermoed dan ook dat de IT-er geen eigen backup had gemaakt omdat hij er vanuit ging dat Promedico dat wel zou doen. Waarom die backupfunctie niet werkte, blijft even in het midden. Daarom gelast de rechter vervolgonderzoek naar in hoeverre dit nu uiteindelijk verschil had kunnen maken. Maar in het algemeen lijkt het goed af te lopen voor deze IT-leverancier.

Arnoud

Ik wilde een nieuw toetsenbord en kreeg een lege harde schijf!

| AE 6431 | Aansprakelijkheid | 42 reacties

keyboardEen lezer vroeg me:

Onlangs was van mijn laptop, drie maanden na aanschaf een toets afgebroken. Na reparatie bleek dat de reparateur alle Linux software en verdere software omgeving van de PC verwijderd had zonder toestemming hiervoor te vragen. Het heeft drie volle dagen geduurd voordat ik (als ICT professional) weer alles hersteld had.

Een reparateur moet zoals dat heet de “zorg van een goed opdrachtnemer” in acht nemen (art. 7:401 BW). Dat is een open norm, en je moet die invullen aan de hand van alle feiten van het geval: wat was de opdracht, wat voor oplossingen lagen voor de hand, welke veiligheidsmaatregelen had hij kunnen nemen, en ga zo maar door. Er zijn dus geen harde regels à la “reparateur móet backups maken” of “met handtekening klant mag alles”.

Het is goed denkbaar dat een pc zodanig stuk is dat wipen/herinstallatie de enige optie is. In deze context kan ik me dat heel moeilijk voorstellen: een kapotte toets lijkt me iets dat je prima kunt vervangen zonder aan de harddisk te hoeven komen. Dus dit voelt als nodeloos uitgevoerd.

Mogelijk dat er een dieper defect zat waardoor het wissen van de harddisk nodig was, maar dan gaat de opdrachtnemer buiten de opdracht “herstel het toetsenbord” en dat vereist wel apart overleg. En “ik wil op Windows kunnen werken bij het repareren” is natuurlijk geen enkele grond om Linux eraf te gooien. Als je niet met de klant zijn apparatuur kunt omgaan, dan moet je de opdracht teruggeven.

Sommige reparateurs werken met disclaimers of vrijwaringsbriefjes waar dingen op staan als “Klant geeft toestemming voor elke mogelijke handeling” of “Bedrijf is niet aansprakelijk voor dataverlies, ongeacht oorzaak”. Die laten ze dan de klant tekenen, en dan denken ze een vrijbrief te hebben voor alles waar men zin in heeft.

Dat werkt niet: die wettelijke zorgplicht houd je altijd. Zeker als het gaat om acties die losstaan van het eigenlijke reparatiewerk (de opdracht) kun je écht niet zomaar dingen gaan doen, ook niet met een vrijwaring. Een vrijwaring kan wél zin hebben als je bijvoorbeeld gevraagd wordt iets te doen met groot risico van dataverlies. Dan heb je het overlegd met de klant, snapt hij het risico en aanvaardt hij dat. (Ik houd me aanbevolen voor voorbeelden. Een half-kapotte harddisk die moet worden gebackupt?)

De volgende vraag is dan natuurlijk, kun je deze reparateur aansprakelijk stellen voor je schade? Ja, in principe wel. Ook als de algemene voorwaarden zeggen van niet, want dit riekt naar grove nalatigheid – welke gemiddelde reparateur gaat een harddisk wissen als hij een toetsenbord moet repareren? Grove nalatigheid mag je niet in algemene voorwaarden uitsluiten van aansprakelijkheid.

Wel is de vraag wat de schade nu is. De gemiste data? Ja, maar waarom is daar geen backup van? Is dat neit ook de verantwoordelijkheid van de klant, zijnde een ict-professional? Die vraag zie ik heel vaak bij ict-geschillen en ik blijf hem lastig vinden. Je wéét toch dat je alles moet backuppen, dus hoe kan het dan zijn dat je drie dagen bezig bent met herstel?

Arnoud