Er zijn grenzen aan de zorgplicht van een IT-dienstverlener. Ook de IT-afnemer heeft verantwoordelijkheden. Dat er een zekere zorgplicht op een IT-dienstverlener rust, is bekend.
Hoe die zorgplicht eruit ziet en hoe te handelen als softwareleverancier, schreven we in een eerdere blog. Informeren, herhaaldelijk waarschuwen en nog eens wijzen op de risico’s en anders teruggeven van de opdracht, zijn denkbare actieve handelingen om aan de zorgplicht te voldoen. Maar dat betekent niet dat je als afnemer van de software zelf geen enkele verantwoordelijkheid hebt. Dit hangt uiteraard wel af van omstandigheden zoals de deskundigheid van de afnemer. Er kan zelfs sprake zijn van eigen schuld, zoals ook het Gerechtshof Arnhem-Leeuwarden op 12 oktober 2021 oordeelde[1].
Wat kun je als softwareleverancier en afnemer concreet doen?
Begin met het maken van goede, duidelijke afspraken met elkaar en spreek het naar elkaar uit. Wat wordt er van elkaar verwacht, wat is de scope van de opdracht, wat gebeurt er als zich een probleem voordoet, en bij wie moet je daarvoor zijn?
De softwareleverancier in deze zaak bood enkel een koppeling (plug-in) aan tussen ‘Magento’ en ‘Exact’ software, maar was niet de aanbieder van die software zelf. De plug-in werkte naar behoren, maar het ging fout in de verwerking van boekhoudkundige gegevens in Exact. Belangrijke gegevens die door de fout onherstelbaar waren verloren. Er waren onder meer geen afspraken gemaakt over regelmatige controles op de plug-in via bijvoorbeeld een Service Level Agreement (‘SLA’), de algemene voorwaarden van de softwareleverancier sloten aansprakelijkheid voor gegevensverlies uit en de ondervonden problemen zijn door de softwareleverancier verholpen. De rechter woog zwaar mee dat de afnemer een organisatie is die zelf een webshop exploiteert. Daarvan mag worden verwacht dat je regelmatig back-ups van je boekhoudkundige gegevens maakt.
Omstandigheden van het geval spelen dus een belangrijke rol in hoeverre de IT-dienstverlener een zorgplicht heeft. Eigen schuld, eigen zorgvuldigheid en eigen verantwoordelijkheid en de professionaliteit van de afnemer worden meegenomen in de afweging of de IT-dienstverlener haar zorgplicht heeft geschonden. Uiteindelijk was de eigen schuld van de afnemer de doorslaggevende factor voor de rechter om haar in het ongelijk te stellen.
Alles kunnen ‘dichttimmeren’ in overeenkomsten is gewoonweg niet realiseerbaar. Wel kun je zoveel mogelijk voorkomen door duidelijke afspraken te maken.
Lees hieronder verder over de rechtszaak, op basis waarvan het hof oordeelt en uiteindelijk beslist.
De vaststaande feiten
Linq5 verkoopt onder andere plug-ins tussen de ‘Magento’ webshops en ‘Exact’ boekhoudsoftware. De plug-in wordt geïnstalleerd in de webshopomgeving zodat transacties van de Magento webshop kunnen worden doorgestuurd naar de boekhoudsoftware van Exact, waaronder ‘Exact Online’. Bittuning exploiteert een webshop waar zij haar producten aanbiedt en verkoopt. Voor het gebruik van het boekhoudprogramma ‘Exact Online’ heeft zij van Linq5 de plug-in afgenomen.
Exact Online maakt gebruik van een tabel waarin zowel de crediteuren als debiteuren in zijn opgenomen. Om ze te kunnen onderscheiden is in de tabel een aparte nummering opgenomen. Op een gegeven moment bleek dat de gegevens van crediteuren werden overschreven door debiteurengegevens. Bittuning nam hiervoor contact op met Linq5. De oorzaak is uiteindelijk door Bittuning achterhaald: een aantal accounts van gastklanten (debiteuren) zonder account heeft deels dezelfde nummering als die van de crediteuren. Linq5 heeft het probleem verholpen waardoor er geen overschrijvingen meer plaats kunnen vinden. Wel zijn er gegevens van crediteuren verloren gegaan. Bittuning spreekt Linq5 hierop aan waarop de laatste aangeeft dat zij niet de gegevens terug kunnen halen, maar vraagt tegelijkertijd of Bittuning geregeld back-ups van Exact maakt. Bittuning is not amused en zegt de overeenkomst met Linq5 op en vordert schadevergoeding voor herstelkosten, vervanging van de plug-in en kosten van de advocaat bij de kantonrechter in Noord-Nederland.
Beslissing Rechtbank Noord-Nederland
De vordering van Bittuning wordt afgewezen, omdat zij haar standpunten over tekortkomingen onvoldoende heeft onderbouwd. De tegenvordering van Linq5 voor verrichte herstelwerkzaamheden wordt ook afgewezen, omdat het onduidelijk voor de rechter is dat Bittuning opdracht daartoe heeft gegeven.
Beoordeling en beslissing Gerechtshof Arnhem-Leeuwarden
Zorgplicht geschonden?
Bittuning stelt dat Linq5 haar zorgplicht, wat van haar als deskundige partij mag worden verwacht, heeft geschonden omdat Linq5:
- Een goed werkende plug-in had moeten installeren;
- Bittuning ervoor had moeten waarschuwen dat te dicht bij elkaar staande nummeringen in Exact overschrijvingen kon veroorzaken;
- De werking van de plug-in niet regelmatig heeft gecontroleerd;
- Na de melding van de issue te laat heeft gereageerd en de plug-in heeft aangepast.
Tekortkoming onvoldoende onderbouwd
Aan de werking van de plug-in lag het niet, zo stelt de rechter. Het ging fout in de verwerking van de gegevens in Excact, niet doordat de plug-in niet juist zou werken (1). Dat Linq5 onvoldoende heeft gewezen op de risico’s van overschrijving door te dicht bij elkaar staande nummeringen in Exact, is onvoldoende door Bittuning onderbouwd (2). Regelmatige controles van de plug-in zijn onderling niet afgesproken, niet via SLA of anderszins (3) en is onvoldoende weerlegd door Bittuning. Kortom, Bittuning slaagt er niet in om aan te tonen dat Linq5 tekort is geschoten in haar zorgplicht.
Algemene voorwaarden Linq5 sluiten aansprakelijkheid gegevensverlies uit
In de algemene voorwaarden van Linq5 is opgenomen dat Bittuning ‘zelf verantwoordelijk is voor het maken van regelmatige back-ups en een adequate informatiebeveiliging van zijn gegevens’. Linq5 is op geen enkele manier aansprakelijk voor het verlies van gegevens. Linq5 heeft wel in haar voorwaarden opgenomen dat zij zich inspant om de gegevens door het gebruik van de plug-in te beschermen. De algemene voorwaarden van Linq5 zijn zowel via het online bestelproces als via de ondertekening van de offerte geaccepteerd en dus geldend.
Eigen schuld: Bittuning laat na een back-up van haar gegevens te maken
Eigen schuld, dikke bult? Van een organisatie die zelf een webshop exploiteert mag volgens de rechter verwacht worden dat je regelmatig back-ups maakt van je boekhoudkundige gegevens. Zeker als je bedenkt dat bij een calamiteit je de gegevens weer vlot wilt kunnen herstellen. Bittuning had de mogelijkheid om back-ups te maken, maar heeft dit nagelaten. Dit valt haar toe te rekenen en niet Linq5. Vooral omdat Linq5 heeft aangegeven dat bij een back-up de overgeschreven gegevens eenvoudig hadden kunnen worden hersteld, en dat de door Bittuning gevorderde schade helemaal niet aan de orde zou zijn geweest. Bittuning had volgens de rechter dus ook zelf de nodige zorgvuldigheid in acht moeten nemen.
Of en in hoeverre Linq5 diende te waarschuwen dat te dicht bij elkaar staande nummeringen in Exact overschrijvingen kon veroorzaken, daar zegt de rechter het volgende over:
“5.14. De eventuele schending van informatie-en waarschuwingsplicht door Linq5 weegt daarvoor onvoldoende zwaar ten opzichte van het niet in acht nemen van de van Bittuning te vergen zorgvuldigheid in de beveiliging van de gegevens in de eigen boekhouding. Het hof betrekt daar ook bij (i) dat het ging om een standaardkoppeling tegen een lage prijs zonder abonnement, (ii) dat de koppeling als zodanig jarenlang goed heeft gefunctioneerd, (iii) dat Bittuning zelf voor Exact Online heeft gekozen, (iv) dat zij zich in de werking en de beperkingen daarvan kennelijk niet voldoende heeft verdiept, (v) dat de koppeling is hersteld en (vi) dat Bittuning niet onderbouwd heeft gesteld dat zij door het tijdelijk kwijtraken van enkele gegevens van crediteuren (andere financiële) problemen heeft ondervonden.”
Ben jij een IT-dienstverlener of afnemer en heb je advies of hulp nodig bij het maken van duidelijke afspraken? Bel of mail ons via info@it-jurist.nl of 050 534 4574!