Management

Juridische zaken

Verlies van data

7 oktober 2015
Het verlies van (digitale)data is anno 2015 nog steeds een actueel – en ook heikel – punt. In contractuele onderhandelingen, voordat partijen met elkaar gaan samenwerken, en ook in procedures als zich een incident heeft voorgedaan waarbij data verloren zijn gegaan.

Bij onderhandelingen betreft het doorgaans, in alle eerlijkheid, gesteggel over de vraag of de leverancier wel of niet aansprakelijk is voor verlies van data – met name de discussie of het directe of indirecte schade betreft. Voor de goede ­orde: de begrippen ‘directe schade’ en ‘indirecte schade’ hebben als zodanig géén zelfstandige betekenis in het Nederlandse recht. Het is overgewaaid uit Anglo-Amerikaanse contracten. Je doet er dus verstandig aan om de begrippen directe en indirecte schade nader te definiëren in contracten.

Goed, terug naar de discussie rondom verlies van data. In mijn optiek is goed verdedigbaar dat anno 2015 het verlies van data als een vorm van zaakschade kan worden gezien. Voor de niet-juristen: het probleem zit ’m met name in de kwalificatie van een ‘zaak’. Een zaak betreft volgens ons wetboek, kort gezegd, een voor menselijke beheersing vatbaar stoffelijk object. En dat zijn digitale data strikt genomen niet. Mijn argument is echter dat (i) bits en bytes letterlijk plaats innemen – en in die zin dus stoffelijk zijn, en (ii) met hulpmiddelen (lees: computers of gegevensdragers) voor menselijke beheersing vatbaar zijn. Ook zijn er in de jurisprudentie aanwijzingen te vinden: het stelen van een virtueel object kan kwalificeren als diefstal van een goed, en het licentiëren van standaard software is vergelijkbaar gesteld met de koop van een zaak. Waarom dit pleidooi? Ik ben er stellig van overtuigd dat dit veel gesteggel bij contractsonderhandelingen zal wegnemen en dus voor zowel afnemer als leverancier het leven bij onderhandelingen een stuk aangenamer zal maken. En voordat leveranciers nu uit hun slof schieten: eenvoordeel is, denk ik, dat leveranciers zich makkelijkertegen verlies van data kunnen verzekeren, omdat zaakschade doorgaans onder de dekking valt bij bedrijfs- en beroepsaansprakelijkheidsverzekeringen.

Bij geschillen en procedures over verlies van data en de aansprakelijkheidsvraag, is het contract het belangrijkste uitgangspunt, en dan met name de uitleg ervan. Nederland heeft een mooi systeem van contractsuitleg; wij juristen noemen dat ‘Haviltexen’. De Hoge Raad heeft namelijk begin jaren 80 in het Haviltex-arrest bepaald dat het bij de uitleg van contracten draait om de redelijke verwachtingen en bedoelingen van partijen. Dus wij kennen (gelukkig!) geen louter tekstuele uitleg. In het kader van die redelijke uitleg viel mijn oog op een recente – en naar mijn smaak een opmerkelijke – uitspraak in hoger beroep (Gerechtshof Amsterdam), waar de leverancier uiteindelijk niet aansprakelijk wordt gehouden voor verlies van data na een crash.

Het betreft een overeenkomst, waarbij vaststaat dat de leverancier (i) een computerserver, software en onderdelen diende te leveren, alsmede (ii) diende zorg te dragen voor onderhoud en beheer van dit computersysteem en de nodige service diende te ­verlenen, zoals verzorgen van het wekelijkse onderhoud – op afstand – van de server. U raadt het al: die server crasht en alle data zijn vervolgens zoek. De afnemer stelt de leverancier vervolgens aansprakelijk voor alle schade als gevolg van de crash en het daarmee samenhangende verlies van data. In de procedure draait het om de vraag wie er nu back-ups moest maken. En daar gebeurt, zoals ik al zei, iets opmerkelijks. Vast staat dat de leverancier heeft aangeboden een dagelijkse back-up op een externe server te ­verzorgen, tegen vergoeding van een bedrag van 50 euro per maand. Uit de stukken blijkt voorts dat de ­leverancier dit bedrag ook maandelijks heeft gefactureerd aan de afnemer. De leverancier voert aan dat de afnemer zélf verantwoordelijk was voor de inhoud van deze back-up, en dat de leverancier slechts gehouden was ruimte ter beschikking te stellen op haar server, en voorts dat de gebruiker zelf diende te bepalen welke bestanden bewaard moesten worden.

Het Hof gaat hierin mee en overweegt uiteindelijk: “ten aanzien van de back-up’s is slechts vast komen te staan dat [Leverancier] een dagelijkse back-up zou verzorgen en daarvoor ruimte op haar eigen server ter beschikking zou stellen. [Eiser] heeft onvoldoende toegelicht dat en waarom een en ander in zou houden dat [Leverancier] verantwoordelijk was voor de inhoud van de back-up’s en de bruikbaarheid daarvan voor de bedrijfsvoering van [Eiser]”. Zowel op basis van de overeenkomst als op basis van de algemene zorgplicht, acht het Gerechtshof de leverancier niet aansprakelijk. In mijn optiek wordt het risico hier te veel bij de afnemer neergelegd, want het heeft er alle schijn naar dat een lege huls is geboden. Je koopt immers letterlijk niks voor een betaalde dienst waar kennelijk wel iets van dagelijkse back-ups worden gemaakt, maar waar je als afnemer niks aan hebt als puntje bij paaltje komt – te weten bij een crash. Naar mijn mening had het Gerechtshof juist die zorgplicht kunnen gebruiken om het risico (al dan niet gedeeltelijk) wél bij de leverancier neer te leggen. Teleurstellend dus.

Dan eindig ik maar met het intrappen van een enorme open deur: zorg ervoor dat het contract duidelijk (genoeg) is op het punt van verlies van data en aansprakelijkheden.

Lees meer over
Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.