ICT-bedrijf Aansprakelijk Voor Back-ups?

Door Wouter Dammers
backup ict bedrijf

ICT-bedrijven beschikken vaak over veel data van klanten. Het is mogelijk dat de data verloren gaan, of beschadigd raken. Een back-up kan dan uitkomst bieden. Maar wie is verantwoordelijk voor het maken van die back-up?

De wet zegt daar weinig concreets over: De Auteurswet heeft het wel over een reservekopie, maar alleen in die zin dat het maken van een reservekopie door een rechtmatige gebruiker niet als een inbreuk geldt, indien die kopie noodzakelijk is voor het beoogde gebruik. Ook in de Wet bescherming persoonsgegevens kan je wel wat aanknopingspunten vinden, zoals de verplichting voor de verantwoordelijke om persoonsgegevens zorgvuldig te verwerken (en in die zin ook verlies van gegevens moet tegen gaan, bijvoorbeeld door het maken van back-ups), maar dit ziet dus enkel en alleen op persoonsgegevens en niet op andere gegevens.

Wat staat er in de overeenkomst over back-up?

Veelal zullen partijen daarom moeten terugvallen op een eventuele overeenkomst om te beoordelen of daarin iets wordt bepaald over back-ups. Naast de overeenkomst en de wet zou je verder nog kunnen denken aan de gewoonte (wanneer het in bepaalde gevallen gebruikelijk is dat partijen bepaalde verplichtingen op zich nemen, hoeft dit niet expliciet te worden overeengekomen) of zo ongeveer hét paraplubeginsel van ons Burgerlijk Wetboek: de redelijkheid en billijkheid.

De overeenkomst zegt echter niet vaak echt iets concreets over wie verantwoordelijk zou zijn voor welke back-upverplichtingen. Wanneer er al iets overeengekomen is, is dit vaak in vage bewoordingen in een set algemene voorwaarden, of in een zogenaamde service level agreement (SLA) of onderhoudsovereenkomst. Vaak is dit in (te) vage bewoordingen, waardoor het niet direct duidelijk is wat er wordt bedoeld.

In zo’n geval wordt het een kwestie van uitleg van de overeenkomst. Juristen en advocaten noemen dat “Haviltexen”, naar een standaardarrest van de Hoge Raad: Er wordt dan gekeken naar de zin die partijen aan de bepalingen mochten toekennen. Daarbij moet worden gelet op alle omstandigheden van het geval. Ook moet worden gekeken naar wat zij in alle redelijkheid van elkaar mochten verwachten.

Standaard voorwaarden erg beperkt

Standaard branchevoorwaarden in de ICT-wereld, zoals de Nederland ICT voorwaarden en de ICT~Office voorwaarden zijn ook erg beperkt in afspraken over back-ups:

NederlandICT: Art. 23 Back-up
art. 23.1: Indien de dienstverlening aan klant op grond van de overeenkomst het maken van back-ups van gegevens van klant omvat, zal leverancier met inachtneming van de schriftelijk overeengekomen periodes, en bij gebreke daarvan eens per week, een volledige back-up maken van de bij hem in bezit zijnde gegevens van klant. Leverancier zal de back-up bewaren gedurende de overeengekomen termijn, en bijgebreke van afspraken daaromtrent, gedurende de bij leverancier gebruikelijke termijn. Leverancier zal de back-up zorgvuldig als een goed huisvader bewaren.

ICT~Office Module 6 Webhosting:
art. 2.6: De overeenkomst omvat het verzorgen of ter beschikking stellen van backup-, uitwijk- en recoverydiensten uitsluitend indien dit schriftelijk is overeengekomen.

Overeenkomst zelf is cruciaal

Deze voorwaarden lijken weinig los te geven, en verwijzen veelal naar de overeenkomst zelf. Die is dus cruciaal, lijkt het. En dat lijkt ook onderstreept te worden door de rechtspraak. Sinds 2000 zijn er een aantal mooie, interessante uitspraken gewezen door rechters over de vraag wie verantwoordelijk kan worden gehouden voor het maken, controleren en/of terugzetten van back-ups.

De gemene deler in die rechtspraak lijkt wel dat het vaak de gebruiker (de klant, de afnemer) zelf is die verantwoordelijk is voor het maken van back-ups. Dat hoeft echter niet in ieder geval zo te zijn: er zijn tal van factoren die in het voor- of nadeel van de gebruiker kunnen wijzen:

Zo moet onder meer worden gekeken naar:

  • het (economische) belang van de gegevens voor de gebruiker
  • de diensten die het ICT-bedrijf aanbiedt
  • de eventuele eigen verantwoordelijkheid voor het maken van back-ups of het treffen van andere voorzieningen
  • de professionaliteit van de gebruiker
  • of hij/zij bekend is met de risico’s van het verloren gaan van data

Maar er is één factor die in de rechtspraak overduidelijk de doorslag kan geven: Is er een specifieke back-up overeenkomst gesloten of niet. In dat geval kan de ICT-dienstverlener onder omstandigheden verantwoordelijk worden gehouden.

Is er geen overeenkomst voor back-ups gesloten? Dan zal moeten worden beoordeeld of het verlies van data op grond van andere feiten en omstandigheden voor rekening van het ICT-bedrijf moet komen.

Juridisch advies nodig van een advocaat die gespecialiseerd is in IT-conflicten?

Via onafhankelijk platform LegalDutch krijg je snel advies voor een vaste prijs >>

Conclusie back-ups

Kortom: het blijft steeds per geval kijken wie verantwoordelijk is voor het maken van back-ups, maar in de regel lijkt die verantwoordelijkheid wel zonder andere afspraken bij de gebruiker zelf te liggen.

Wouter Dammers

Over de auteur

Bekijk het profiel van Wouter Dammers, advocaat bij Lawfox en is gespecialiseerd in IT-, privacy-, intellectueel eigendom-, e-commerce en verbintenissenrecht.