Bij het uit huis plaatsen van uw waardevolle data zijn goede afspraken over back-up van die data van cruciaal belang. Hier zeg ik natuurlijk niets nieuws mee. Toch gaat het in de praktijk nog vaak genoeg fout. Zo ook in een recente uitspraak van de Rechtbank Overijssel in een zaak tussen een gerechtsdeurwaarderskantoor en een leverancier (Tweco). De rechtbank neemt wanprestatie van de leverancier aan en oordeelt dat sprake is van grove schuld zodat de exoneratie opzij wordt gezet. Dit laatste gebeurt niet vaak. Ook interessant is de manier waarop de rechtbank de geleden schade begroot. Welke lessen vallen hier uit te trekken als het gaat om het borgen van continuïteit?
Wat was er aan de hand?
Partijen hadden een dienstverleningsovereenkomst gesloten voor (waarschijnlijk) het ter beschikking stellen of hosten van software, maar welke overeenkomst in ieder geval ook betrekking had op het ter beschikking stellen en het beheer van een online back-up voorziening voor alle, althans de belangrijkste bedrijfsgegevens. Deze gegevens werden feitelijk opgeslagen in een extern data center (bij Equinix).
Omdat de bedrijfsgegevens dagelijks veranderden, werd de back-up bij Equinix dagelijks ververst. Partijen hadden afgesproken dat een werknemer van Tweco de werking van de voorziening zou controleren en monitoren door raadpleging van de statusberichten die Equinix wekelijks naar Tweco mailde. In dit statusberichten stond onder meer wat de laatst geslaagde backup was (inclusief datum).
Daarnaast is door Tweco ook een NAS (network attached storage) verkocht en geleverd voor het lokaal kunnen back-uppen van data.
Op zichzelf is dit een goede en vooral praktische manier om grip te houden op bedrijfsdata en om de risico’s zoveel mogelijk te spreiden.
Murphy’s Law: server crasht, verouderde online backup, geen locale backup
Op 16 april 2015 constateerde het deurwaarderskantoor dat de server niet meer goed reageerde (‘sessie bleef hangen’) en dat haar personeel niet of niet goed meer met de digitale systemen en dossiers konden werken. Nadat deze storing is gemeld bij Tweco bleek dat de harde schijven (in een RAID-configuratie) in de server defect waren. Tweco heeft vervolgens tevergeefs geprobeerd om drie van de vier schijven te vervangen en de opgeslagen data te herstellen. Herstellen (‘rebuilden’) bleek niet meer mogelijk. Daarom moest worden terugvallen op de back-up bij Equinix. De laatste geslaagde back-up bij Equinix bleek echter te dateren van 2 maart 2015. Tot overmaat van ramp bleek dat lokale NAS niet was ingericht als back-up voorziening. Gevolgen: alle nieuwe en bewerkte data in de periode na 2 maart, bleek niet meer te herstellen te zijn.
Het deurwaarderskantoor meent dat hier sprake is van wanprestatie (toerekenbare tekortkoming) en vordert schadevergoeding. Tweco verweert zich door zich te beroepen op haar exoneratiebepaling in haar algemene voorwaarden op grond waarvan de aansprakelijkheid bijna volledig is uitgesloten, behalve als sprake is van opzet of grove schuld. Daarnaast stelt Tweco een tegenvordering in omdat zij meent recht te hebben op vergoeding voor geleverde werkzaamheden in het kader van het herstel.
Rechtbank: wanprestatie aangenomen
De rechtbank oordeel dat Tweco toerekenbaar tekort is geschoten jegens het deurwaarderskantoor door de bij Equinix ondergebrachte back-up voorziening niet goed te beheren. Het deurwaarderskantoor mocht op basis van de gemaakte afspraken rekenen op een goed werkende (online) back-up voorziening en die heeft zij niet gekregen. In het bijzonder wordt aan Tweco aangerekend dat zij de wekelijkse statusinformatie van Equinix niet goed gecontroleerd heeft en niet geverifieerd heeft of de back-ups wel goed waren gedraaid. Deze nalatigheid heeft aanzienlijk dataverlies en schade veroorzaakt waarvoor Tweco aansprakelijk is.
Ten aanzien van de niet als back-up geconfigureerde NAS neemt de rechtbank geen tekortkoming aan omdat er geen afspraken zijn gemaakt op grond waarvan Tweco verantwoordelijkheid droeg voor de complete ICT-inrichting en – voorzieningen van het deurwaarderskantoor.
Geen uitsluiting van aansprakelijkheid vanwege grove schuld
Het beroep op de exoneratiebepaling door Tweco wordt afgewezen omdat de rechtbank meent dat sprake is van grove schuld. Grove schuld wordt aangenomen omdat de werknemer van Tweco ten onrechte geen onderzoek heeft ingesteld na de melding van Equinix op 15 maart dat de laatste geslaagde backup dateert van 3 maart. Er is sprake van een stelselmatige en verwijtbare nalatigheid:
Kennelijk heeft Tweco op geen van die zes berichten gereageerd, zodat moet worden aangenomen dat Tweco naar geen van die zes berichten goed heeft gekeken, althans aan geen van die berichten behoorlijk aandacht heeft geschonken. Dat is een zo stelselmatige en verwijtbare nalatigheid, dat dit ‘grove schuld’ oplevert in de zin van artikel 8.4 van de algemene voorwaarden van Tweco.
Het deurwaarderskantoor heeft derhalve recht op vergoeding van de door haar geleden schade. De concrete schadevergoeding die werd gevorderd wordt echter afgewezen omdat de hoogte daarvan onvoldoende onderbouwd is.
Schadebegroting: percentage van gederfde bruto winst
De rechtbank begroot en schat de schade vervolgens in op basis van een percentage van de bruto winst:
“De schade is veroorzaakt door beschadiging en verlies van bedrijfsmiddelen van [het deurwaarderskantoor] , namelijk digitale bedrijfsgegevens. Om tot een redelijke begroting dan wel schatting te kunnen komen van de financiële omvang van die schade, definieert de rechtbank deze als het verlies van een percentage van de bruto winst van [het deurwaarderskantoor] over 2015, overeenkomstig het gedeelte van dat jaar gedurende welke de onderneming van [het deurwaarderskantoor] als gevolg van die ontbrekende bedrijfsmiddelen geen of nauwelijks tijd kon besteden aan normaal rendabele bedrijfsactiviteiten.
Immers, zonder betrouwbaar digitaal systeem waren dossiers en systemen niet of hooguit gedeeltelijk beschikbaar zodat, naar valt aan te nemen, de medewerkers van [het deurwaarderskantoor] hun werktijd toen noodgedwongen op tijdrovende wijze moesten besteden aan geïmproviseerde praktische probleemoplossingen en foutenherstel, en aan de nodige communicatie met haar opdrachtgevers en andere zakelijke relaties daarover.
De rechtbank schat in dat het kantoor drie weken onrendabel heeft moeten werken door het verlies van de data voorafgaande aan de crash. De geleden schade wordt vervolgens pragmatisch begroot op 3/52 deel van de bruto jaarwinst van het deurwaarderskantoor over 2015. Hierbij wordt de mogelijkheid gelaten om een vergelijking te trekken met de bruto jaarwinst over 2014, waarschijnlijk om eventuele bijzondere pieken of dalen in de jaarwinst weg te nemen.
De reconventionele vordering van Tweco tot betaling van de declaraties voor de verrichte herstelwerkzaamheden wordt eenvoudig afgewezen, omdat [heel kort samengevat] niet is afgesproken dat voor die werkzaamheden een declaratie gestuurd kon worden en die werkzaamheden bovendien niet effectief bleken te zijn.
Welke lessen kun je hier uit trekken?
Een goede back-up voorziening is bij cloud computing of het anderszins uit huis plaatsen van software en data van levensbelang voor een organisatie. De in de beschreven casus opgenomen back-up voorziening waarbij zowel online als lokaal beoogd is om back ups te maken, is een hele goede en praktische voorziening. Natuurlijk moet deze wel goed worden ingericht en gemonitord. De opdrachtgever (hier het deurwaarderskantoor) blijft in dit verband in de basis wel eindverantwoordelijk. Het zijn immers haar bedrijfsdata. Als je die verantwoordelijkheid geheel of gedeeltelijk delegeert aan een leverancier dan vereist dat hele heldere afspraken. De afspraken waren in dit geval kennelijk niet helder genoeg als het gaat om de inrichting van de lokale NAS.
In de praktijk zien wij helaas nog vaak genoeg dat hier onvoldoende bij wordt stilgestaan. Er wordt te snel gevaren op de beste bedoelingen van partijen, doorvragen wordt al snel ervaren als drammerig gedrag, een halve motie van wantrouwen. Dat is echt onterecht. Beide partijen moeten zich bij het uit huis plaatsen van data en/of software goed realiseren dat continuïteit van de dienstverlening zoals het beschikbaar zijn van software en data essentieel is voor de continuïteit van de bedrijfsvoering van de opdrachtgever. Dat daar dus eisen aan worden gesteld is niet meer dan logisch.
Hoe ziet een goede continuiteitsregeling er uit? Een goede continuiteitsregeling gaat echter veel verder dan alleen maar back-ups. Het heeft in ieder geval weinig zin om pure juridische oplossingen te zoeken in de vorm van garanties dat het niet fout gaat, of garanties rondom beschikbaarheid. Het moet gaan om een samenspel van juridische en vooral praktische afspraken die goed geborgd moeten worden in een contract. Of dat een Service Level Agreement is, maakt daarbij niet uit als het maar wordt vastgelegd. Continuïteit splitst zich in ieder geval op in drie deelonderwerpen die even belangrijk zijn:
- Uitwijk voor het geval het primaire data center (al dan niet tijdelijk) uitvalt of een internetverbinding uitvalt (heb je een tweede lijn naar buiten?
- Een adequate back-up regeling (zoals de in deze casus beoogde variant van een combinatie van online naar offline).
- Regeling rondom het wegvallen van je primaire leverancier, wie neemt zijn taken dan over.
Hierbij is vooral ook van belang om hele gedetailleerde afspraken te maken over wie nu precies welke verantwoordelijkheid draagt. Wie monitort wat, wie rapporteert wat, etc.?
De opdrachtgever moet hierbij altijd “in control” zijn. Dit vloeit niet enkel voort uit allerlei regelgeving op het gebied van het verwerken en beveiligen van persoonsgegevens (waar in de praktijk al heel snel sprake van is), maar ook uit “common sense”, het gaat immers om de data van de opdrachtgever.
Het risico op dataverlies is nooit volledig uit te bannen, maar je kunt het wel zo veel mogelijk zien te voorkomen. Je zult dus ook afspraken moeten maken over het kunnen controleren van de leverancier. Denk eventueel aan een audit-recht, aan informatieverplichtingen e.d. Je moet als afnemer kunnen afdwingen dat je je een beeld kunt vormen wat de kwaliteit van dienstverlening is. Het is te gemakkelijk om te zeggen: “Dat moet mijn leverancier maar regelen, hij is toch de expert”. Vergelijk het met de situatie dat alles nog lokaal werd gehost, toen kon je de verantwoordelijkheid en aansprakelijkheid toch ook niet 100% neerleggen bij de afdeling ICT?
Staar je in dit soort contracten niet blind op een exoneratiebepaling van een leverancier. Natuurlijk is ook die belangrijk (niet in de minste plaats omdat die doorgaans veel te eenzijdig en veel te ver gaan), maar een schadevergoeding brengt je verloren data niet terug. Het is hooguit een doekje voor het bloeden. Je kunt je beter concentreren op het voorkomen van ellende.