Blog

ICT-dienstverlener heeft een algemene back-upplicht, of toch niet?

Na eerder onderzoek concludeerde ik dat uit de rechtspraak volgt dat de gebruiker van een ICT-dienst (de klant, de afnemer) zélf verantwoordelijk is voor het maken van back-ups. Tenzij daarover iets anders is afgesproken. Het Hof Amsterdam onderstreepte die regel in een arrest van april 2015: Er bestaat geen algemene zorgplicht voor een ICT-dienstverlener om te zorgen voor back-ups als daarover niets is afgesproken. Heb je dus geen afspraken over het maken van back-ups gemaakt, dan vis je als afnemer achter het net als er iets mis gaat…. Tot voor kort?

Leverancier had geen back-up gemaakt

De rechtbank Limburg werd een zaak voorgelegd door een huisartsenpraktijk waarbij een database verloren ging door afwezigheid van een back-up. De ICT-dienstverlener had een upgrade doorgevoerd, zonder te waarschuwen voor de risico’s en zonder zelf een back-up te maken. De ICT-dienstverlener dacht dat de praktijk zelf een back-up had, maar die werkte niet goed genoeg.

back up vonnis

Waarschuwingsplicht

Hamvraag was of de ICT-dienstverlener een back-up moest maken. De rechtbank oordeelt dat de huisartsenpraktijk een groot belang had bij haar praktijkgegevens. De ICT-dienstverlener had de praktijk niet gewaarschuwd voor de risico’s. Als deskundig ICT-dienstverlener kon zij zich tegenover de huisartsenpraktijk niet verschuilen achter een beweerd ‘blind uitvoeren van opdrachten’, zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

Tot zover volg ik de rechtbank. Het is standaardrechtspraak dat een ICT-dienstverlener een advies-, informatie- en waarschuwingsplicht heeft.

Zorgplicht tot maken van back-ups

Maar de rechtbank oordeelt vervolgens dat de ICT-dienstverlener als “redelijk bekwaam en redelijk handelend ICT-dienstverlener er niet op mag vertrouwen dat de back-up die de klant zelf heeft goed genoeg is. Dit geldt in ieder geval niet als het belang van die back-up zo groot is terwijl documentatie expliciet waarschuwt om een back-up te maken. Sterker nog: het had zelf al bij offerte voorzien dat een eigen back-up van de klant mogelijk niet goed kon verlopen. De ICT-dienstverlener had een nieuwe back-up moeten (laten) maken, en had deze moeten controleren. Zeker als hij niet in staat was om de bestaande back-up van de klant te controleren. Dat alles had de ICT-dienstverlener niet gedaan, en daardoor is hij (toerekenbaar) tekortgeschoten in de nakoming van haar verplichtingen uit de overeenkomst (wanprestatie).

Gevolgen voor de praktijk: relevante omstandigheden

Leidt dit vonnis nu tot een verandering? Is het nu inderdaad een algemene regel geworden dat ICT-dienstverleners verantwoordelijk zijn voor het maken van back-ups? Ik denk het niet.

Immers, zoals ik al eerder opmerkte zijn er tal van omstandigheden die in het voor- of nadeel van de gebruiker kunnen wijzen. Er moet onder meer gekeken worden naar:

  • het economische belang van de gegevens voor de gebruiker
  • de diensten die de ICT-dienstverlener aanbiedt
  • de eigen verantwoordelijkheid voor het maken van back-ups of het treffen van andere voorzieningen
  • de professionaliteit van de gebruiker
  • de bekendheid van de gebruiker met het risico op het verloren gaan van data
  • specifieke afspraken over het maken van back-ups

In dit geval zijn er blijkbaar (bijzondere) omstandigheden geweest die de rechtbank ertoe hebben overtuigd om te oordelen dat de leverancier kan worden aangepakt: de bekendheid van risico’s, het ‘blind uitvoeren van opdrachten’, het schenden van de waarschuwingsplicht en het belang van de gegevens.

Bij wie ligt het risico voor het maken van back-ups?

Kortom: wees je ervan bewust wie verplicht is tot het maken van back-ups. Is daarover geen afspraak gemaakt, besef je dan goed bij wie het risico ligt gezien de hiervoor genoemde omstandigheden. Van een algemene zorgplicht tot het maken van back-ups kan echter (nog altijd) niet gesproken worden.

 

Gerelateerde berichten