Beschikbaarheid en toegankelijkheid tot data is voor veel bedrijven cruciaal. Daarom is het maken van bruikbare back-ups van onmiskenbaar belang. Toch gaat dit regelmatig fout waarna geschillen ontstaan tussen de belanghebbende en de IT-dienstverlener over de verantwoordelijkheid voor het maken van bruikbare back-ups. Hieronder wordt uiteengezet hoe de Rechtspraak in de afgelopen jaren heeft geoordeeld over deze verantwoordelijkheid.

Eigen verantwoordelijkheid

Logischerwijs ligt de verantwoordelijkheid voor het beschermen van eigen belangen bij de belanghebbende zelf. Het Nederlandse rechtsstelsel is ook zo ingericht dat de schade lijdende partij in beginsel zijn eigen schade draagt. Van dit beginsel wordt afgeweken indien de schade in een contractuele relatie ontstaat door een wanprestatie of indien er sprake is van een onrechtmatige daad.

Zorgplicht van de opdrachtnemer

De inhoud en reikwijdte van de verplichtingen van partijen wordt in eerste plaats bepaald door hetgeen opdrachtnemer en opdrachtgever overeenkomen. Deze scope wordt vervolgens aangevuld door artikel 7:401 BW. Ingevolge deze wettelijke bepaling dient een opdrachtnemer bij de uitvoering van zijn werkzaamheden de zorg in acht te nemen die van een goed opdrachtnemer verwacht mag worden. Deze verplichting is een open norm, wat inhoudt dat een rechter bij de invulling van de zorgplicht kijkt naar alle omstandigheden van het specifieke geval, waaronder de overeenkomst zelf, de betrokken belangen, de branche en het beroep van de opdrachtnemer.

In alle rechtszaken die hieronder worden besproken, werd een IT-dienstverlener ingeschakeld.  Er werden geen expliciete afspraken gemaakt over het maken van (volledige en bruikbare) back-ups. De belanghebbenden van de data verwachtten daarentegen dat de IT-dienstverlener hen in ieder geval hierover zou adviseren, dan wel zou zorgdragen voor het maken van een bruikbare en volledige back-up.

Rechtspraak back-ups 

Kantonrechter rechtbank Midden-Nederland, 16 januari 2013
De opdrachtnemer is aansprakelijk voor het ontbreken van een bruikbare back-up nadat de harde schijf van een laptop was gecrasht tijdens updatewerkzaamheden die door de opdrachtnemer zijn uitgevoerd. Volgens de kantonrechter was de opdrachtnemer zijn zorgplicht niet nagekomen.  Opdrachtnemer is een professional, terwijl opdrachtgever duidelijk geen of weinig verstand had van computers en software. Volgens de kantonrechter wist of behoorde opdrachtnemer te weten dat een upgrade risico’s met zich meebrengt waarbij data verloren kan gaan. Bovendien is op het inname- en afgiftebewijs vastgelegd dat de opdrachtgever heeft benadrukt dat bij de update geen data verloren mochten gaan. Volgens de kantonrechter had de opdrachtnemer moeten kijken of het mogelijk was om de data van de laptop alvorens het uitvoeren van de update veilig te stellen.

Gerechtshof Amsterdam, 28 april 2015
De server van een staalbouwbedrijf crasht, het staalbouwbedrijf claimt een vergoeding van de schade die zij lijdt door het ontbreken van een bruikbare back-up. Er wordt vastgesteld dat partijen waren overeengekomen dat IT-dienstverlener dagelijks een back-up op een externe server zou maken. Echter, IT-dienstverlener stelt dat het staalbouwbedrijf zelf verantwoordelijk was voor de inhoud van de back-up. Het hof concludeert dat van een IT-dienstverlener niet zonder meer mag worden verwacht dat hij zorg draagt voor de aanwezigheid van een volledige back-up of dat hij verantwoordelijk is te controleren of de klant zich beseft dat hij zelf zorg moet dragen voor de (inhoud van) back-ups, indien dit niet expliciet in het contract is overeengekomen.

Rechtbank Limburg, 21 juni 2017
Dat een beheerder, als redelijk en bekwaam handelend ICT-dienstverlener, er niet zonder controle op mocht vertrouwen dat een door opdrachtgever gemaakte back-up bruikbaar was.  De beheerder was ingeschakeld voor de installatie van een update van een softwareleverancier. Deze softwareleverancier heeft het belang van een back-up vóór installatie benadrukt. De opdrachtgever heeft niet expliciet opdracht gegeven tot het maken van een back-up. Echter, de rechter in deze kwestie vond dat de opdrachtnemer zich niet kan verschuilen achter het ‘blind uitvoeren van opdrachten van opdrachtgever’ zonder ten minste te waarschuwen voor de daaraan verbonden risico’s. 

Conclusie verantwoordelijkheid back-up

In de voornoemde rechtspraak wordt in de ene situatie wel en in de andere situatie niet aangenomen dat het back-uppen van data onder de zorgplicht van de IT-dienstverlener valt. Dit hangt af van de omstandigheden van het geval. In alle gevallen werd door de rechters eerst getoetst of het maken van een back-up expliciet is overeengekomen en werd daarna pas gekeken of de scope van de overeenkomst uitgebreid moest worden omdat het back-uppen deel uitmaakt van de zorgplicht. In de twee gevallen waar een zorgplicht voor het adviseren en het maken van een back-up werd aangenomen, was door de opdrachtgever of door een derde (softwareleverancier) benadrukt dat het belangrijk was om de data veilig te stellen.

Partijen kunnen geschillen achteraf voorkomen door voor het uitvoeren van de werkzaamheden schriftelijk vast te leggen of het uitvoeren of controleren van een back-up de verantwoordelijkheid is van de opdrachtgever of van de opdrachtnemer.