Blog

Is een ICTdienstverlener verantwoordelijk voor back-ups?

ICTdienstverleners hebben geregeld te maken met de data van hun klanten. De klant kan ze bijvoorbeeld vragen om de data veilig te stellen, beschikbaar te houden, of om het gebruik daarvan te monitoren. Het kan nog wel eens gebeuren dat de data verloren gaan, of corrupt raken. Een reservekopie van de gegevens, een back-up, kan dan uitkomst bieden. Maar wie is verantwoordelijk voor het maken van die back-up?

De wet zegt daar weinig concreets over: De Auteurswet heeft het wel over een reservekopie, maar alleen in die zin dat het maken van een reservekopie door een rechtmatige gebruiker niet als een inbreuk geldt, indien die kopie noodzakelijk is voor het beoogde gebruik. Ook in de Wet bescherming persoonsgegevens kan je wel wat aanknopingspunten vinden, zoals de verplichting voor de verantwoordelijke om persoonsgegevens zorgvuldig te verwerken (en in die zin ook verlies van gegevens moet tegen gaan, bijvoorbeeld door het maken van back-ups), maar dit ziet dus enkel en alleen op persoonsgegevens en niet op andere gegevens.

Veelal zullen partijen daarom moeten terugvallen op een eventuele overeenkomst om te beoordelen of daarin iets wordt bepaald over back-ups. Naast de overeenkomst en de wet zou je verder nog kunnen denken aan de gewoonte (wanneer het in bepaalde gevallen gebruikelijk is dat partijen bepaalde verplichtingen op zich nemen, hoeft dit niet expliciet te worden overeengekomen) of zo ongeveer hét paraplubeginsel van ons Burgerlijk Wetboek: de redelijkheid en billijkheid.

De overeenkomst zegt echter niet vaak echt iets concreets over wie verantwoordelijk zou zijn voor welke back-upverplichtingen. Wanneer er al iets overeengekomen is, is dit vaak in vage bewoordingen in een set algemene voorwaarden, of in een zogenaamde service level agreement (SLA) of onderhoudsovereenkomst. Vaak is dit in (te) vage bewoordingen, waardoor het niet direct duidelijk is wat er wordt bedoeld. In zo’n geval wordt het een kwestie van uitleg van de overeenkomst. Juristen en advocaten noemen dat “Haviltexen”, naar een standaardarrest van de Hoge Raad: Er wordt dan gekeken naar de zin die partijen aan de bepalingen mochten toekennen. Daarbij moet worden gelet op alle omstandigheden van het geval. Ook moet worden gekeken naar wat zij in alle redelijkheid van elkaar mochten verwachten.

Standaard branchevoorwaarden in de ICT-wereld, zoals de Nederland ICT voorwaarden en de ICT~Office voorwaarden zijn ook erg beperkt in afspraken over back-ups:

NederlandICT: Art. 23 Back-up
art. 23.1: Indien de dienstverlening aan klant op grond van de overeenkomst het maken van back-ups van gegevens van klant omvat, zal leverancier met inachtneming van de schriftelijk overeengekomen periodes, en bij gebreke daarvan eens per week, een volledige back-up maken van de bij hem in bezit zijnde gegevens van klant. Leverancier zal de back-up bewaren gedurende de overeengekomen termijn, en bijgebreke van afspraken daaromtrent, gedurende de bij leverancier gebruikelijke termijn. Leverancier zal de back-up zorgvuldig als een goed huisvader bewaren.
ICT~Office Module 6 Webhosting:
art. 2.6: De overeenkomst omvat het verzorgen of ter beschikking stellen van backup-, uitwijk- en recoverydiensten uitsluitend indien dit schriftelijk is overeengekomen.

Deze voorwaarden lijken weinig los te geven, en verwijzen veelal naar de overeenkomst zelf. Die is dus cruciaal, lijkt het.

En dat lijkt ook onderstreept te worden door de rechtspraak. Sinds 2000 zijn er een aantal mooie, interessante uitspraken gewezen door rechters over de vraag wie verantwoordelijk kan worden gehouden voor het maken, controleren en/of terugzetten van back-ups.

De gemene deler in die rechtspraak lijkt wel dat het vaak de gebruiker (de klant, de afnemer) zelf is die verantwoordelijk is voor het maken van back-ups. Dat hoeft echter niet in ieder geval zo te zijn: er zijn tal van factoren die in het voor- of nadeel van de gebruiker kunnen wijzen. Zo moet onder meer worden gekeken naar het (economische) belang van de gegevens voor de gebruiker, de diensten die de ICTdienstverlener aanbiedt, de eventuele eigen verantwoordelijkheid voor het maken van back-ups of het treffen van andere voorzieningen, de professionaliteit van de gebruiker en of hij/zij bekend is met de risico’s van het verloren gaan van data. Maar er is één factor die in de rechtspraak overduidelijk de doorslag kan geven: Is er een specifieke back-up overeenkomst gesloten of niet. In dat geval kan de ICTdienstverlener onder omstandigheden verantwoordelijk worden gehouden.

Is er geen overeenkomst voor back-ups gesloten? Dan zal moeten worden beoordeeld of het verlies van data op grond van andere feiten en omstandigheden voor rekening van de ICTdienstverlener moet komen.

Kortom: het blijft steeds per geval kijken wie verantwoordelijk is voor het maken van back-ups, maar in de regel lijkt die verantwoordelijkheid wel zonder andere afspraken bij de gebruiker zelf te liggen.

Gerelateerde berichten

Leave a comment