Laten we ervan uitgaan dat de meeste ICT-dienstverleners wel zo verstandig zijn om regelmatig back-ups te maken. Maar ben je ook verplicht om dit te doen? In deze blog zoeken we naar een antwoord.
Geen back-up, verlies van data: aansprakelijk?
De slogan “data is goud” is inmiddels al een beetje afgezaagd geworden maar treft nog altijd doel. De keerzijde van deze goudkoorts is dat het verlies van data (bijvoorbeeld door een crash van de server) tot grote schade kan leiden voor een onderneming. Het maken van backups is dan ook nimmer een overbodige luxe! Helaas valt niet alles dicht te timmeren en menselijke fouten blijven te allen tijde onvermijdelijk. Al snel kom je dan ook bij de vraag uit wie er verantwoordelijk is voor het maken van een back-up. De opdrachtgever of de ICT-dienstverlener?
Vooropgesteld moet worden dat er in ons wetboek geen bepaling voorkomt die het maken van een back-up – concreet – regelt.
De wet zegt er dus vrij weinig over. Onderling kunnen er natuurlijk wel afspraken zijn gemaakt (bijvoorbeeld in de Algemene Voorwaarden van de ICT-dienstverlener) over het maken van back-ups. Kijk daar dus eerst naar! Ook als er geen afspraken zijn gemaakt kan er, afhankelijk van de omstandigheden, toch een zorgplicht op de ICT-dienstverlener rusten om een back-up te maken. Desalniettemin is het zo dat wij in Nederland de regel hebben dat ieder – in beginsel – zijn eigen schade draagt. Slechts als er sprake is van een wanprestatie of een onrechtmatige daad wordt er van dit beginsel afgeweken. Hoe ver deze zorgplicht reikt, behandelen we hieronder.
Zorgplicht ICT-dienstverlener
In artikel 7:401 van ons Burgerlijk Wetboek is een zorgplicht opgenomen, die luidt als volgt:
“De opdrachtnemer moet bij zijn werkzaamheden de zorg van een goed opdrachtnemer in acht nemen.”
De opdrachtnemer (ICT-dienstverlener) dient dus bij de uitvoering van zijn werkzaamheden
de zorg in acht te nemen die van hem – als opdrachtnemer – mag worden verwacht. Zoals je wellicht zelf ook al wel doorhebt, betreft het hier een “open norm” die nadere invulling vereist om tot concrete verplichtingen en rechten te komen. Het is dan ook met name de rechter die betekenis dient te geven aan een open norm. Hierbij zal de rechter alle relevante omstandigheden van het geval in acht nemen.
Tot op heden is er in de rechtspraak (nog) geen algemene zorgplicht voor ICT-dienstverleners aangenomen tot het maken van een back-up. In beginsel ben je dus gewoon als opdrachtgever verantwoordelijk voor de verlies van je data indien je vergeten bent er eentje te maken. Dat er geen sprake is van een algemene zorgplicht, betekent echter nog niet dat een ICT-dienstverlener nooit verplicht is om een back-up te maken. Bijzondere omstandigheden kunnen ertoe leiden dat de rechter alsnog tot een andere conclusie komt.
In dit arrest oordeelde de rechter bijvoorbeeld dat de ICT-dienstverlener er niet zonder controle op mocht vertrouwen dat de back-up in het systeem van haar opdrachtgever bruikbaar was. Hierbij speelde onder andere een rol dat de ICT-dienstverlener wist dat de desbetreffende data van groot belang was voor de opdrachtgever (het betrof een huisartsenpraktijk waarvan de praktijkgegevens verloren waren gegaan) en dat de ICT-dienstverlener bovendien op de hoogte was van het risico dat een eigen back-up van de opdrachtgever niet goed kon verlopen. De rechter komt dan ook tot de conclusie dat de ICT-dienstverlener tekort is geschoten in zijn verplichtingen.