Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Met enige regelmaat ontdekken wij dat niet alle klanten behoefte hebben aan back-ups van hun Office 365-omgevingen. Meestal gaat het dan om budgetkwesties, maar toch maken we ons zorgen gezien de impact die een verloren omgeving zónder back-up kan geven. Nu hadden wij bedacht om voor al onze klanten een back-upoplossing uit te rollen, waarbij we pas geld vragen als de klant deze nodig heeft. Op dat moment begrijpen ze de waarde van een back-up zeker wel. Is dit toegestaan?
Antwoord: Het verzorgen van goede back-ups van data (of dienstverlening) van een klant is eigenlijk altijd een goed idee. Ik durf anno 2024 wel zo ver te gaan door te zeggen dat dit gewoon deel is van je zorgplicht. Een klant verwacht van jou dat er back-ups zijn. Dit is zó gebruikelijk en de impact van geen back-ups is zó enorm, dat je er nauwelijks onderuit kunt.
Natuurlijk, het is mogelijk om af te zien van back-ups. Maar dat moet dan wel heel expliciet gebeuren. Dus doorvragen en expliciet op papier zetten. Het liefst inclusief waarom: de klant heeft al een eigen back-up oplossing, deze dienst is niet bedrijfskritisch, als de data verloren gaat is er geen man overboord. Let op: dit is dus niet hetzelfde als "we hebben in artikel 17.3 Algemene Voorwaarden bepaald dat we geen back-ups maken".
Hier wil de leverancier het omgekeerde doen: juist wél back-ups maken, ook als de klant dat eigenlijk niet wil. Of nou ja, zonder na te gaan of de klant het wil. Ik zie daar in principe geen probleem mee, juist vanwege het enorme voordeel dat het de klant oplevert als de back-up toch noodzakelijk blijkt. Natuurlijk zit je met zaken als vertrouwelijkheid en AVG, maar een goede informatiebeveiliging rondom die back-ups moet dat kunnen oplossen.
Het grootste probleem lijkt me het tarief op het moment dat de data weg blijkt. Dat zal al heel snel overkomen als er een slaatje uit willen slaan. De klant zit in nood, er is een back-up, dat kostte nooit wat en nú wil je X duizend euro voor het terugzetten? Als deze zaak net voor de lunch bij de rechter komt, dan sta je niet heel sterk als dienstverlener.
Ik val dan weer terug op de zorgplicht. Daar hoort ook bij dat je de klant voorlicht en duidelijk maakt wat er nodig is. Back-ups moeten dus onderdeel zijn van dat gesprek. Je kunt daarin prima een back-up meenemen als de defaultoptie: we doen dit gratis voor het geval dat, de restorekosten zijn X. Wil de klant dat niet, dan haal je het eruit mét een motivatie waarom de klant het niet wil. Zegt de klant niets, dan blijft het staan. Maar dan is het besproken, en dán wordt het een stuk redelijker allemaal.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.