Het gerechtshof Amsterdam heeft onlangs een noemenswaardig arrest gewezen over de aansprakelijkheid en zorgplicht van de it-dienstverlener. Uit dit arrest volgt (wederom) het belang om duidelijke afspraken te maken en deze op schrift te stellen.
In deze zaak speelde het volgende. Een it-dienstverlener sloot enige tijd geleden een overeenkomst met een afnemer in verband met de levering van een computersysteem, alsmede het onderhoud, beheer en service daarvan. Daaronder werd tevens verstaan het verzorgen van wekelijks onderhoud – op afstand – van de server. Vervolgens crasht de server, waardoor belangrijke data van de afnemer verloren gaat. De afnemer lijdt schade door dit dataverlies, die zij verhaalt op de it-dienstverlener.
De afnemer stelt zich op het standpunt dat partijen hebben afgesproken dat de it-dienstverlener op eigen initiatief de noodzakelijke back-ups zou maken van alle volledige bestanden van de afnemer. De it-dienstverlener stelt echter dat deze afspraak nimmer is gemaakt. Volgens de dienstverlener diende deze enkel ruimte ter beschikking te stellen op zijn server voor het maken van een back-up, en heeft ook aan de afnemer uitgelegd hoe een back-up diende te worden gemaakt.
Het gerechtshof beoordeeld vervolgens alle bewijsstukken, en komt tot het oordeel dat partijen niet hebben afgesproken dat de it-dienstverlener de verplichting had om volledige back-ups te maken van alle bestanden van afnemer. De afnemer stelt dan dat op de it-dienstverlener een zorgplicht rust om deze back-ups te maken. Daar gaat het gerechtshof niet in mee. De afspraak is niet gemaakt en een beroep op de zorgplicht wordt gepasseerd.
Kortom, als afnemer van it-diensten is het van belang om goed te kijken naar de inhoud van de (SaaS-, PaaS- en sla-) contracten en daarin goed vast te leggen welke verplichtingen gelden voor de it-dienstverlener. Want zoals ook hier is gebleken, is voorkomen beter dan genezen.
“ja maarrr, ik dacht dat zij de backup maakten :-(”
🙂
En toen werd duidelijk waarom de uitbesteding onder die scherpe prijs mogelijk was. 🙂
Om maar even op Felix aan te sluiten.
Een zakelijke IT dienstverlener doet niets op eigen initiatief.
Zelfs de meest simpele backup software kan een mailtje sturen of een backup wel of niet goed gelukt is. En een keer in de maand een restore test uitvoeren kan niet zo moeilijk zijn.
Het is de plicht van de dienstverlener om afnemer uitdrukkelijk te wijzen op het maken van backups. Wanneer de afnemer geen backups maakt dat dient de dienstverlener afnemer duidelijk te wijzen op de risico’s welke hij loopt. het is aan de afnemer of hij hier iets mee doet.