Donderdag 22 december 2016

Geen back-up, eigen schuld?

Inleiding

Het is een angst voor veel schrijvers: maandenlang aan een boek schrijven en bij het laten upgraden van de computer – door een computerwinkel – alle data verliezen. In de huidige informatiemaatschappij zijn data van grote waarde en het verlies hiervan kan grote schade tot gevolg hebben. Niet alleen persoonlijke schade zoals het verliezen van vakantiefoto’s; dataverlies kan bij kennisintensieve bedrijven catastrofale financiële gevolgen hebben.

Indien een derde, een computerwinkel, een ICT-dienstverlener of een cloudservice, enige betrokkenheid heeft gehad bij het dataverlies, is het relevant om te achterhalen welke partij aansprakelijk is voor de schade. In dit artikel wordt ingegaan op de vraag welke zorgplichten bestaan omtrent data en de back-up. Hiervoor wordt onder meer gebruik gemaakt van uitspraken van de rechtbank en een gerechtshof. Afsluitend volgen enkele tips, want dataverlies is te allen tijde mogelijk.

 

Zorgplichten in kort bestek

In het civiele recht bestaan verschillende zorgplichten, zowel binnen als buiten een contract. In de kern gaat het bij een zorgplicht om de verplichting om met de belangen van een ander rekening te houden. Zo bestaat er een zorgplicht gebaseerd op de redelijkheid en billijkheid ex artikel 6:248 Burgerlijk Wetboek en buiten het contract berust er een zorgplicht op grond van artikel 6:162 BW, de onrechtmatige daad. Maar er zijn ook specifiekere wettelijke bepalingen die een zorgplicht behelzen. Artikel 7:401 BW bevat een algemeen geldende zorgplicht voor opdrachtnemers: ‘De opdrachtnemer moet bij zijn werkzaamheden de zorg van een goed opdrachtnemer in acht nemen’. Daarnaast volgen enkele specifieke verplichtingen uit de navolgende artikelen 7:402((http://wetten.overheid.nl/BWBR0005290/2016-07-01#Boek7_Titeldeel7_Afdeling1_Artikel402, laatst geraadpleegd 17 oktober 2016)) en 7:403((http://wetten.overheid.nl/BWBR0005290/2016-07-01#Boek7_Titeldeel7_Afdeling1_Artikel403, laatst geraadpleegd 17 oktober 2016)) BW.

Het lastige aan deze zorgplichten is dat het ‘open normen’ zijn. Bij een rechtszaak gaat het echter altijd om de concrete omstandigheden van het geval. De vraag of een opdrachtnemer aan zijn zorgplicht heeft voldaan, is dus niet in zijn algemeenheid te beantwoorden maar dient in elk afzonderlijk geval te worden bekeken. Aan de hand van twee uitspraken zal enigszins duidelijker worden welke omstandigheden hierbij een rol kunnen spelen.

 

Plichten over en weer

In een uitspraak van de Rechtbank Midden-Nederland ((Rechtbank Midden-Nederland, 16 januari 2013, ECLI:NL:RBMNE:2013:BY7960)) gaat het om een schrijver die een back-up wil laten maken van het boek dat hij aan het schrijven is. De computerwinkel adviseert het besturingssysteem van zijn powerbook te upgraden, zodat een harde schijf kan worden aangesloten om de back-up te verrichten. Tijdens de upgrade crasht de harde schijf van de powerbook en zijn alle data van de schrijver verloren gegaan. Het gaat hier om een overeenkomst van opdracht en de schrijver voert aan dat de computerwinkel (de opdrachtnemer) toerekenbaar tekort is geschoten. De kantonrechter oordeelt dat deze stelling niet voldoende is onderbouwd, aangezien het niet uitgesloten is dat de harde schijf van de powerbook ook zou zijn gecrasht indien eiser de powerbook had bediend. De powerbook was op het moment al bijna zeven jaar oud en economisch gezien afgeschreven. Maar, de kantonrechter is ook van oordeel dat de opdrachtnemer toerekenbaar is tekortgeschoten in haar zorgplicht. In de relatie met de opdrachtgever was de opdrachtnemer aan te merken als professional en had deze behoren te begrijpen dat de schrijver geen, althans weinig, verstand had van computers en software. De opdrachtnemer wist, of behoorde te weten, dat een upgrade van het besturingssysteem software risico’s met zich meebrengt en dat dit zelfs kan betekenen dat data verloren kunnen gaan. De opdrachtnemer had, voordat zij met de upgrade-werkzaamheden begon, moeten kijken of het nog mogelijk was om de data van de powerbook veilig te stellen, door de data, en meer in het bijzonder het boek, bijvoorbeeld op een cd-rom te branden, op een usb-stick te plaatsen of te mailen naar een webmail account. ((Rechtbank Midden-Nederland 16 januari 2013, ECLI:NL:RBMNE:2013:BY7960, r.o. 3.4. en 3.5.)) Dit is echter niet het volledige verhaal. Bij toekenning van de schadevergoeding overweegt de kantonrechter dat de schrijver ook eigen schuld heeft. Aan de schrijver kan namelijk worden toegerekend dat hij niet recenter en vaker een back-up van het boek heeft gemaakt. Hij wist dat dit kon, aangezien hij al eens eerder een back-up van het boek door zijn zoon heeft laten maken. ((Rechtbank Midden-Nederland 16 januari 2013, ECLI:NL:RBMNE:2013:BY7960, r.o. 3.10.)) Beide partijen hebben een bepaalde zorgplicht.

 

Het belang van een afspraak

In een uitspraak van het Hof Amsterdam gaat het om de vraag of de leverancier van een computersysteem een zorgplicht had voor de aanwezigheid van een volledige back-up. ((Gerechtshof Amsterdam 24 april 2015, ECLI:NL:GHAMS:2015:1635. )) De leverancier diende zorg te dragen voor het onderhoud en beheer van het computersysteem en diende daarnaast wekelijks – op afstand – onderhoud te verrichten. Er was echter niet afgesproken dat de leverancier daadwerkelijk de back-up zou maken. De leverancier zou er voor zorgen dat er ruimte op de server beschikbaar was voor een back-up. Omdat niet is overeengekomen dat de leverancier een volledige back-up zou maken, kan dit niet tot haar verplichtingen worden gerekend. Als er geen afspraken zijn gemaakt, zijn er dan andere feiten of omstandigheden op grond waarvan het verlies van data voor rekening van de ICT-dienstverlener moet komen? Het Hof is duidelijk: er bestaat geen algemene zorgplicht voor een ICT-dienstverlener om te zorgen voor de aanwezigheid van back-ups als daarover niets is afgesproken.((Gerechtshof Amsterdam 28 april 2015, ECLI:NL:GHAMS:2015:1635, r.o. 3.12.)) In principe is de klant dus verantwoordelijk voor het maken van back-ups als daarover niets is afgesproken.

 

Lessen uit de rechtspraak

Uit de behandelde rechtspraak kunnen we diverse factoren onderscheiden die meespelen bij de vraag welke plichten en verantwoordelijkheden er zijn omtrent het maken van een back-up. Zo is van belang om te achterhalen wat het (economische) belang van de gegevens is, welke diensten de ICT-dienstverlener aanbiedt en wat het technisch kennisniveau van de klant is en zijn bekendheid met de risico’s van het verloren gaan van data. Daarnaast moet er sprake zijn van bijzondere omstandigheden (of een expliciete back-up afspraak) om een opdrachtnemer verantwoordelijk te stellen (o.a. Gerechtshof Amsterdam 28 april 2015, ECLI:NL:GHAMS:2015:1635 en Rechtbank Midden-Nederland 16 januari 2013, ECLI:NL:RBMNE:2013:BY7960.) Zonder een expliciete afspraak of bijzondere omstandigheden, trekt de opdrachtgever al snel aan het kortste eind.

 

Tot slot enige tips

Dataverlies is een groot probleem en kan, zowel privé als bedrijfsmatig, iedereen overkomen. De kans op schade kan wel aanzienlijk verkleind worden door enkele voorzorgsmaatregelen in acht te nemen. De belangrijkste tip is uiteraard altijd zélf meerdere back-ups te maken. Het gebruik van USB-sticks, externe harde schijven of een cloud is hiervoor erg geschikt. Mochten er toch essentiële bestanden kwijt raken, ga dan langs bij een data recovery bedrijf. Vaak is een advies vrijblijvend en wordt duidelijk aangegeven hoe groot de kans op herstel van de data is. Verzorgt een ICT-dienstverlener het onderhoud aan uw systeem, kijk dan goed in de voorwaarden of iets is afgesproken over het maken van een back-up. Een crash is niet altijd te voorkomen, maar ernstige schade in veel gevallen wel.