Begin dit jaar sprak de rechter zich uit over een zaak, waarbij na een niet-volledige installatie van een software-update en het terugzetten van een back-up alle gegevens van een huisartsenpraktijk verloren zijn gegaan. De huisartsen stellen dat de it-dienstverlener toerekenbaar tekort is geschoten en stellen hem aansprakelijk voor de schade. Hoe oordeelt de rechter?
De rechter stelt op basis van de tussen partijen gesloten overeenkomst vast, dat de it-dienstverlener (niet de leverancier van de genoemde software) niet zonder meer de verplichting had om te controleren of de back-ups bruikbaar waren. De huisartsen hadden namelijk specifiek niet gekozen voor de optie ‘Internet Backup’ in deze overeenkomst. Wel zijn er drie externe schijven geleverd voor het maken van back-ups. De rechter geeft o.m. aan, dat: ‘een gemiddeld geïnformeerde, omzichtige en oplettende ondernemer moet begrijpen dat aan voortdurende controle van dagelijkse back-ups meer kosten zijn verbonden dan die zijn begrepen in een maandelijkse prijs van 219 euro exclusief btw.’
De rechter vindt dat wanneer de it-dienstverlener aan de huisartsen een script voor het maken van back-ups ter beschikking had gesteld en via de logs kon zien of de dagelijkse opdracht tot het maken van de back-ups was gegeven, dat hij dan wel een zorgplicht had gehad om de huisartsen te waarschuwen bij onregelmatigheden. Volgens de rechter was er echter geen sprake van dergelijke onregelmatigheden.
In de zaak gaat het fout wanneer de it-dienstverlener een update van een softwarepakket installeert en een back-up probeert terug te zetten. De leverancier van dit softwarepakket had in zijn aanbiedingsbrief geadviseerd om een back-up te maken voor het installeren van de update. De it-dienstverlener stelt echter dat het geen verschil had gemaakt, omdat de back-up van de externe schijven toch niet bruikbaar waren. De rechter wil verder laten onderzoeken of dit verweer klopt.
Wordt vervolgd dus nog voor deze partijen, maar duidelijk is dat het goed is om heldere afspraken te maken over (controle op bruikbaarheid van) back-ups.
Verhaal was ietjes interessanter geweest als het iets meer uitgelicht was. Waar werd die 219 euro per maand voor betaald? Is er sprake geweest van nalatigheid, afgezien dat de IT dienstverlener zich niet aan de update procedure gehouden heeft? Waarom waren de externe schijven toch niet bruikbaar? Waarom zijn ze dan überhaupt ooit verkocht?
Zolang bedrijven denken dat IT net zoiets is als een auto, waar de verantwoordelijkheden over de weg waar je over rijdt, de brandstof die je er in kiepert en je eigen handelen een stuk overzichtelijker zijn (en ja ook hier zijn natuurlijk grijze gebieden, maar echt ordes van grootte minder dan bij IT).
Op het moment dat je als ondernemer (huisarts is ook een ondernemer) en je kiest ervoor om zelf de IT in eigen beheer te hebben (of je die nu uitbesteed of niet) dan voer je als ondernemer (maar dat geldt net zo goed voor overheidsorganisaties) de regie. Jij bent verantwoordelijk voor de regelen van (niet het uit voeren van) gehele stack, van software tot hardware, het onderhoud en alle andere bijkomstige zaken. Krokodillentranen dat een gemiddelde ondernemer dat niet kan, hebben daar geen plaats. Je kan ook alles uitbesteden (compleet in de cloud), dan heb je de meeste verantwoordelijkheid bij de andere partij gelegd. Maar je werkplek en internetverbinding zijn dan nog steeds jouw verantwoordelijkheid. Dus met een brakke laptop met een lekke internetverbinding naar je cloudpakket is jouw pakkie an. Uiteindelijk kun je als organisatie je niet totaal onttrekken aan wat je ook uitbesteed (of dat nu IT, de catering, gebouwbeheer, etc….); dat heet ondernemersrisico.
De uitspraak is hier te vinden : https://www.recht.nl/rechtspraak/uitspraak?ecli=ECLI:NL:RBLIM:2017:90
Conclusies lijken mij duidelijk
Ahum en haha
De rechter is inderdaad niet helemaal zo ingevoerd in de materie technisch gesproken. Dat deze gezien zijn uitspraak heeft beperkt tot de lettertjes van de overeenkomst kan heel goed kloppen. Als een afnemer niet expliciet overeenkomt met een IT dienstenleverancier hoe periodieke backup is ingeregeld en uitgevoerd, heeft geen voet meer om op te staan. Tot zover dat stukje.
Edoch, mij beperkende tot hetgeen hier in deze publicatie naar voren is gebracht….
Het verhaal word anders wanneer de IT leverancier over gaat tot het uitvoeren van een update en dan probeert een back up terug te zetten. Hier is het interessant te weten WIE die back up heeft gemaakt in de eerste plaats.
In de tweede plaats is de IT diensten leverancier wel degelijk vokomen verantwoordelijk te houden voor het volgende;
– Het testen van de uitvoering
– Het Piloten van de uitvoering
– Het checken van de backup voor gebruik
– Het zorg dragen voor een volkomen en juiste uitvoering van de voorgenomen update
Dat er geen sluitende contractuele clausule is die een back up af dekt, kan zijn. Wanneer de IT dienstenleverancier gebruik gaat maken van ‘een back up’…. zal die dienstenleverancier zeer gedegen moeten kijken en controleren of de betreffende back up, bruikbaar is. Of zij/hij moet zichzelf contractueel voor dit stukje hebben gevrijwaard. Dat staat overigend dan weer volkomen los van de maandelijks overeengekomen fee.
Interessant om verder te volgen dit.
Ja, een typisch gevalletje ‘van kwaad tot erger’ in combinatie met ‘shit happens’.
Configuratiebeheer en Continuïteitsbeheer lopen hier door elkaar heen. Iets dat via deugdelijk contractmanagement opgelost had behoren te worden.
De rechter zit er ook een beetje mee, zwalkt wat in zijn argumentatie – o.a. over of gedaagde nu niet (4.2/4.3 ) of wèl (4.4/4.6) had moeten zorg dragen voor een bruikbare backup – en komt terecht tot aanwijzing van een deskundigenonderzoek.
Het lijkt mij wèl duidelijk dat de oorspronkelijk *op één PC* geïnstalleerde backup-oplossing (RAID1 + 3 externe HDs + script) niet het bedoelde resultaat had. Dat bij het maken van de *dagelijkse* backup steeds een backup werd gemaakt naar dezelfde locatie met een recente versie van het zelfde bestand, waarbij steeds een oudere versie werd overschreven door de nieuwe, lijkt te suggereren dat er slechts één backup voorhanden was nl. die van de vorige dag.
Vanuit Continuïteitsbeheer was er geen controle op backups afgesproken, er is uitsluitend een backup-oplossing geleverd. Het Continuïteitsbeheer met deze backup-oplossing was verder aan de klant.
Vanuit Configuratiebeheer lag een dergelijke controle wèl voor de hand. Danwel het uitdrukkelijk uitsluiten van elke aansprakelijkheid daarvoor, voorafgaand aan de installatie van de update. Dat is ook een stukje contractmanagement en protocollering.
Dat is niet gebeurd anders had gedaagde daar in punt 4.6/4.7 op kunnen wijzen.
Onderdeel van het Remote Beheer was conform offerte/overeenkomst weliswaar ook het controleren van belangrijke punten en het uitvoeren van schijfcontroles en onderhoud. De hardwarematige backup-oplossing zou daarvan in theorie deel van hebben kunnen uitmaken.
Overigens blijken er twéé backup-oplossingen voorhanden te zijn geweest : genoemde hardware-oplossing en de binnen Promedico voorhanden software-oplossing.
Dat roept nog meer vragen op over de kennis en kunde bij zowel eisers, gedaagde als Promedico.
Kennelijk is bij gedaagde sprake geweest van het jarenlang routinematig zonder issues uitvoeren van beheer (incl. updates en patches) conform de offerte/overeenkomst. In de laatste is door gedaagde aansprakelijkheid voor kwijt raken van software, bestanden of losse documenten uitdrukkelijk uitgesloten. Dan kan men wat minder scherp worden, niet alleen de leverancier, maar ook de klant. De klant is immers verantwoordelijk voor verloop en resultaat van de dagelijkse backup. Ook de klant lijkt jarenlang dagelijks een backup te hebben draaien zonder dat daar daadwerkelijk naar werd omgekeken, en kennelijk zónder dat men belang en reikwijdte daarvan inzag.
Niettemin bleek na de update van de Promedico-programmatuur zowel programma als data beschikbaar. Helaas (b)lijkt daarvan geen door beide partijen ondertekend (test)protocol voorhanden, noch enige logging.
Dan komen we bij wat volgens mij de crux van de zaak is.
Merkwaardig is nl. dat vervolgens door eiser wordt geconstateerd dat een deel van de update niet correct was verlopen waarbij onduidelijk is wát niet correct was, en dat men daarover contact zoekt niet met gedaagde maar met Promedico. En dat vervolgens niet gedaagde maar Promedico de update opnieuw heeft geïnstalleerd. En bovendien zónder voorafgaand een back-up te maken en zónder voorafgaand contact op te nemen met gedaagde.
En nóg merkwaardiger is dat Promedico vervolgens de handen van de zaak trekt en eiser adviseert om gedaagde te verzoeken de backup van voor de update terug te zetten. Een update die Promedico zélf feitelijk had behoren te maken.
Als klap op de vuurpijl is het ronduit dom van gedaagde om daarmee akkoord te gaan zónder hierover voorafgaand duidelijke afspraken te maken. Per slot had gedaagde geen bemoeienis met de backup-oplossing, noch met de solo-updateactie van eiser gezamenlijk met Promedico.
Waarna het met dit handelen door gedaagde, vermoedelijk goed bedoeld in ‘klantbelang’, het vervolgens van kwaad naar erger gaat.
Zoals juristen zeggen ‘Vertrouwen is goed, contracten zijn beter’.
Immers, als ‘shit happens’ verkom je daarmee dat het ‘van kwaad tot erger’ gaat.
Het vervolg na het tussenvonnis van 11-01-2017 (ECLI:NL:RBLIM:2017:90) is te vinden op https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:6454