Verlies van data en aansprakelijkheidsperikelen

Het verlies van (digitale) data is anno 2015 nog steeds een actueel – en ook heikel – punt. Bijvoorbeeld in contractuele onderhandelingen voordat partijen met elkaar gaan samenwerken. Maar ook in procedures als er zich een incident heeft voorgedaan waarbij data verloren zijn gegaan. Het onderwerp komt met behoorlijk grote regelmaat in mijn praktijk voorbij, in beide varianten (dus zowel contractonderhandelingen als geschillen).

Bij onderhandelingen betreft het doorgaans, in alle eerlijkheid, gesteggel over de vraag of de leverancier nu wel of niet aansprakelijk is voor verlies van data – met name de discussie of het dan ‘directe’ of ‘indirecte’ schade betreft. Voor de goede orde: de begrippen ‘directe schade’ en ‘indirecte schade’ hebben als zodanig géén zelfstandige betekenis in het Nederlandse recht. Het is overgewaaid uit Anglo-Amerikaanse contracten, waar deze begrippen kennelijk een (afdoende) juridische betekenis hebben. Je doet er dus sowieso verstandig aan om de begrippen directe en indirecte schade nader te definiëren in contracten.

Goed, terug naar de discussie rondom verlies van data. In mijn optiek is goed verdedigbaar dat anno 2015 het verlies van data als een vorm van zaakschade kan worden gezien. Voor de niet-juristen: het probleem zit ‘m met name in de kwalificatie van een ‘zaak’. Een zaak betreft volgens ons wetboek, kort gezegd, een voor menselijke beheersing vatbaar stoffelijk object. En dat zijn digitale data strikt genomen niet.  Mijn argument is echter dat (i) bits en bytes letterlijk plaats innemen – en in die zin dus stoffelijk zijn, en (ii) met hulpmiddelen (lees: computers of gegevensdragers) voor menselijke beheersing vatbaar zijn. Ook zijn er in de jurisprudentie aanwijzingen te vinden: het stelen van een virtueel object kan kwalificeren als diefstal van een goed, en het licentiëren van standaard software is vergelijkbaar gesteld met de koop van een zaak.

Waarom dit pleidooi? Ik ben er namelijk stellig van overtuigd dat dit veel gesteggel bij contractonderhandelingen zal wegnemen en aldus voor zowel afnemer als leverancier het leven bij onderhandelingen een stuk aangenamer zal maken. En voordat de leveranciers nu uit hun slof schieten: een voordeel is denk ik ook dat leveranciers zich makkelijker tegen verlies van data kunnen verzekeren, omdat zaakschade doorgaans onder de dekking valt bij bedrijfs- en/of beroepsaansprakelijkheidsverzekeringen.

Bij geschillen en procedures over verlies van data en de aansprakelijkheidsvraag, is het contract het belangrijkste uitgangspunt – en dan met name de uitleg ervan. Nederland heeft een mooi systeem van contractsuitleg; wij juristen noemen dat ‘Haviltexen’. De Hoge Raad heeft namelijk begin jaren 80 in het Haviltex-arrest bepaald dat het bij de uitleg van contracten draait om de redelijke verwachtingen en bedoelingen van partijen. Dus wij kennen (gelukkig!) geen louter tekstuele uitleg. In het kader van die redelijke uitleg viel mijn oog op een recente – en naar mijn smaak een opmerkelijke – uitspraak in hoger beroep (Gerechtshof Amsterdam), waar de leverancier uiteindelijk niet aansprakelijk wordt gehouden voor verlies van data na een crash.

Het betreft een overeenkomst, waarbij vaststaat dat de leverancier (i) een computerserver, software en onderdelen diende te leveren, alsmede (ii) diende zorg te dragen voor onderhoud en beheer van dit computersysteem en de nodige service diende te verlenen, zoals verzorgen van het wekelijkse onderhoud – op afstand – van de server. U raadt het al: die server crasht en alle data zijn vervolgens zoek.

De afnemer stelt de leverancier vervolgens aansprakelijk voor alle schade als gevolg van de crash en het daarmee samenhangende verlies van data. In de procedure draait het om de vraag wie er nu back-ups moest maken. En daar gebeurt, zoals ik al zei, iets opmerkelijks. Vast staat dat de leverancier heeft aangeboden een dagelijkse back-up op een externe server te verzorgen, tegen vergoeding van een bedrag van € 50, – per maand.

Uit de stukken blijkt voorts dat de leverancier dit bedrag ook maandelijks heeft gefactureerd aan de afnemer. De leverancier voert echter aan dat de afnemer zélf verantwoordelijk was voor de inhoud van deze back-up, en dat de leverancier slechts gehouden was ruimte ter beschikking te stellen op haar server, en voorts dat de gebruiker zelf diende te bepalen welke bestanden bewaard moesten worden. Het Hof gaat hierin mee en overweegt uiteindelijk: “ten aanzien van de back-up’s is slechts vast komen te staan dat [Leverancier] een dagelijkse back-up zou verzorgen en daarvoor ruimte op haar eigen server ter beschikking zou stellen. [Eiser] heeft onvoldoende toegelicht dat en waarom een en ander in zou houden dat [Leverancier] verantwoordelijk was voor de inhoud van de back-up’s en de bruikbaarheid daarvan voor de bedrijfsvoering van [Eiser]”.

Zowel op basis van de overeenkomst als op basis van de algemene zorgplicht, acht het Gerechtshof de leverancier niet aansprakelijk.  In mijn optiek wordt het risico hier teveel bij de afnemer neergelegd, want het heeft er alle schijn naar dat een lege huls is geboden. Je koopt immers letterlijk niks voor een betaalde dienst waar kennelijk wel iets van dagelijkse back-ups worden gemaakt, maar waar je als afnemer niks aan hebt als puntje bij paaltje komt – te weten bij een crash.  Naar mijn mening had het Gerechtshof juist die zorgplicht kunnen gebruiken om het risico (al dan niet gedeeltelijk) wél bij de leverancier neer te leggen. Teleurstellend dus.

Dan eindig ik maar met het intrappen van een enorme open deur: zorg ervoor dat het contract duidelijk (genoeg) is op het punt van verlies van data en aansprakelijkheden.

 

Auteur:

Menno Weij is gespecialiseerd in ICT-recht en heeft ruime ervaring in het opstellen en beoordelen van ICT-contracten (systeemintegratie-, licentie-, onderhoud-, consultancy- en distributie-overeenkomsten) alsmede B2B- en B2C-contracten (gebruiksvoorwaarden, website-disclaimers, online verkoopvoorwaarden, ASP-, SAAS- en cloud-computing- en hosting-overeenkomsten). Hij adviseert regelmatig over de verwerking van persoonsgegevens en de intellectuele eigendomsaspecten van informatietechnologie en voert procedures over, onder meer, mislukte automatiserings- en outsourcingprojecten, licentievergoedingen en inbreukmakende software.

Voordat Menno bij SOLV aan de slag ging, werkte hij ruim negen jaar als advocaat op de sectie IE & IT bij Baker & McKenzie Advocaten te Amsterdam, en enige tijd bij de vestiging van Baker & McKenzie te Londen. Menno heeft rechten (civiel- en strafrecht) gestudeerd aan de Universiteit Leiden. In 2001 heeft Menno met goed gevolg de post-doctorale opleiding ICT-recht aan de Grotius Academie afgerond en is daarna toegelaten tot de Vereniging Informaticarecht Advocaten (VIRA).

Naast zijn werk als advocaat geeft Menno regelmatig lezingen en workshops alsmede gastcolleges aan universiteiten. Menno vervult een bestuursfunctie bij de Nederlandse Vereniging voor Informatietechnologie en Recht (NVVIR) en is redactielid en columnist van diverse tijdschriften (onder meer Tijdschrift voor Internetrecht en de Automatiseringsgids).

E:  weij@solv.nl

W: www.solv.nl

Uw email zal niet getoond worden op de website.