Als je afspreekt back-ups te maken, dan zijn niet-gemaakte back-ups echt voor jouw rekening (ongeacht je algemene voorwaarden)
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Recent was in het nieuws dat een ict-leverancier voor een half miljoen aansprakelijk werd gesteld wegens niet-gemaakte back-ups. Kun je uitleggen waarom die leverancier niet gewoon zich op de algemene voorwaarden kon beroepen?
Antwoord: In deze zaak had de klant met de leverancier gecontracteerd voor ICT beheer bij diverse van haar vestigingen. Daarbij hoorde “Dagelijkse back-up controle” als ict-dienst, en apart gecontracteerd was wekelijks een volledige backup maken. Dit alles voor €150.000 per jaar.
Zoals dat gaat in de ict ging er op zeker iets mis:
Op 3 oktober 2024 bleken na een verdere analyse meerdere servers gecrasht en defect. [Leverancier] heeft de gecrashte servers vervangen, opdat back-ups daarop konden worden geplaatst. Tijdens het herplaatsen is duidelijk geworden dat er sinds juli 2022 geen back-up is gemaakt van de nieuwe server, met als gevolg dat alle data van de nieuwe server vanaf juli 2022, die door de crash verloren zijn gegaan, niet teruggeplaatst konden worden maar definitief verloren zijn gegaan.
Nee, die 2022 was geen typefout:
Vast staat dat de server waar de oude versie van het ERP-systeem op draaide één van de servers was waarvan [leverancier] conform de overeenkomst back-ups maakte. Na de vervanging van deze server door [leverancier] (zie 2.6), is [leverancier] abusievelijk gedurende een jaar lang back-ups blijven maken van de oude server die fysiek niet was verwijderd maar niet langer een functie had. Van de gegevens op de nieuwe server heeft [leverancier] geen back-ups gemaakt.
Diverse lezers zien “ERP-systeem” en schrikken zich nu rot. Want inderdaad is dat een bedrijfskritisch proces, de bedrijfsvoering en het productieproces van de klant ligt nu (gedeeltelijk) stil. En dat is iets dat zeker meeweegt als je als ict-beheerder optreedt.
De voorzieningenrechter acht het dan ook onbegrijpelijk dat [leverancier] in haar hoedanigheid van ICT-beheerder van [klant], na de vervanging van de server waarop dit ERP-systeem draaide, back-ups is blijven maken van de oude server, die niet meer in gebruik was, en geen back-ups heeft gemaakt van (de mutaties op) de nieuwe server. Anders dan door een menselijke fout is dit niet te verklaren.
Wanprestatie dus. Maar zoals vrijwel iedereen in de ict had ook deze leverancier algemene voorwaarden met daarin een stevige exoneratie. Alleen “directe schade tot maximaal het bedrag van de voor die overeenkomst bedongen prijs” van het afgelopen jaar kwam voor vergoeding in aanmerking. [Pet peeve: ‘directe schade’ is geen Nederlands juridisch begrip]
Kun je je daarop beroepen in zo’n situatie? Normaal wel, het zijn twee grootzakelijke partijen en die mogen zo ongeveer alles afspreken dat ze willen over ict-dienstverlening. Maar dat voelt hier wel héél onbillijk. En dat triggert artikel 6:248 lid 2 BW:
Een tussen partijen als gevolg van de overeenkomst geldende regel is niet van toepassing, voor zover dit in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn.
De belangrijkste omstandigheid die de rechter hier laat meewegen is dat het maken van back-ups een kernverplichting is van de leverancier. Die term verwijst naar afspraken die de essentie van de overeenkomst raken: dit is waar je voor betaalt, dit is wat je afgesproken had, hoezo mag je dít nalaten zonder dat dat gevolgen heeft?
Ook weegt mee dat het bedrag dat onder die AV moet worden betaald, niet in verhouding staat tot de werkelijke schade. Dit wordt niet uitgespeld maar lijkt te gaan om het verschil tussen € 29.187 wegens uitval productielijnen en € 368.861,73 dat de rechter uiteindelijk toekent. Hadden de AV een plafond van zeg anderhalve ton ingesteld, dan was de discussie mogelijk anders verlopen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Ongetwijfeld voorzien van procedures, protocollen en certificeringen. Anders KAN het niet zo vreselijk mis gaan.
Dat betekent dat elk kwartaal expliciet aan de klant werd gerapporteerd dat back-ups van de nieuwe server gemaakt en gecontroleerd werden, en dat dat goed ging. De leverancier zei dus zwart op wit dit werkelijk te doen, elk kwartaal opnieuw, en de klant kon op basis van die rapportages niet constateren dat het niet klopte. Dit woog ook mee in de beoordeling van de situatie door de rechter.
Ik ben geen jurist, en ik weet niet in hoeverre het volgende juridisch hout snijdt, maar het is in mijn ogen evident dat die rapportages maken dat het contract en de algemene voorwaarden zelf niet het enige zijn dat zwart op wit staat, en dat de rapportages helemaal los van de overeenkomst al een zware verantwoordelijkheid bij de IT-leverancier leggen. Als dat klopt kan ik me ook goed voorstellen dat om die reden de (financiële) begrenzing op die verantwoordelijkheid uit de algemene voorwaarden in deze situatie irrelevant is.
Ik heb wel een andere (off topic), ik krijg regelmatig email over wijziging van gebruikersvoorwaarden. En die zijn strijdig met het overeenkomstenrecht omdat ze eenzijdig zijn. Als je samen wat afspreekt dan moet je je daar aan houden. Dat kun je niet op eigen houtje veranderen. Van twee kanten niet.
Als er iets een goeie backup is, dan is het wel de ooit overeengekomen overeenkomst.
"a standby, a reserve," 1952; see back up (v.). Specific reference to computing is from 1965.
back up (v.)
1767, "stand behind and support," from back (v.) + up (adv.). The meaning "move or force backward" is by 1834. Of water prevented from flowing, by 1837.
"a standby, a reserve," 1952; see back up (v.). Specific reference to computing is from 1965.
back up (v.)
1767, "stand behind and support," from back (v.) + up (adv.). The meaning "move or force backward" is by 1834. Of water prevented from flowing, by 1837.
Het was een beetje met de natte vinger. Maar up backen hoort inmiddels wel in je systeem te zitten.
Nog meer off topic, het gebeurt nog veel te vaak dat we denken dat alles ok is als alles is upgebackt. Maar als er dan ransomware in de brievenbus zit, dan weten we vaak niet hoe lang het dan duurt om de upgebackte zooi terug te zetten. En om alle tussentijdse "mutaties" terug te zetten zodat alles weer klopt. Voor de gebruiker moet alles altijd werken. Hoe flik je dat zo snel mogelijk. Als uhm niet goed genoeg is.
Nieuwjaarswensje!
Zorg dat er iemand aan boord is die je kernprocessen kent en controleert hoe dat reilt en zeilt.
In dat geval kan de leverancier het zelf uitzoeken, als die het maar kan leveren. En is de backup versleuteld door een hacker, is hun probleem hadden ze maar een betere backup strategie moeten kiezen.
Rapporteren over welk systeem is veiliggesteld, over testen van de backups is gewoon onzin. Dat is gewoon intern rapporteren. Een dienstverlener is pas serieus als deze zonde morren dit in hun standaard dienstverlening hebben zitten. Evenals de integriteit en veiligheid van de data en toegang tot de data (alle data).
Wanneer ik een leverancier zou krijgen welke backups, integriteit en veiligheid als losse regels specificeert dan is het gelijk aan en streep door de offerte heen. Enige wat in de offerte mag staan is dat ze garanderen dat alle data veilig is, integer is, en de dienstverlening met maximaal x verlies aan data binnen x uur weer hersteld is. Hoe ze dat doen, dat is aan hun, zij zijn de experts tenslotte.
Ander issue. Er komen facturen op papier binnen. Die worden gescanned en ge-upload. Daarna worden ze door de shredder gehaald. Hoe oud is de backup bij een crash en wie gaat papiertjes plakken?
Peter
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?