“Leverancier [zal] met inachtneming van de schriftelijk overeengekomen periodes, en bij gebreke daarvan eens per week, een volledige back-up maken van de bij hem in bezit zijnde gegevens van klant.” Toen ging de backup mis en eiste de klant een half miljoen aan schadevergoeding. Kan Leverancier zich dan beroepen op de beperking van aansprakelijkheid uit de voorwaarden?
De klant had met de leverancier gecontracteerd voor ICT beheer bij diverse van haar vestigingen. Daarbij hoorde “Dagelijkse back-up controle” als ict-dienst, en apart gecontracteerd was wekelijks een volledige backup maken. Dit alles voor €150.000 per jaar.
Zoals dat gaat in de ict ging er op zeker iets mis:
Op 3 oktober 2024 bleken na een verdere analyse meerdere servers gecrasht en defect. [Leverancier] heeft de gecrashte servers vervangen, opdat back-ups daarop konden worden geplaatst. Tijdens het herplaatsen is duidelijk geworden dat er sinds juli 2022 geen back-up is gemaakt van de nieuwe server, met als gevolg dat alle data van de nieuwe server vanaf juli 2022, die door de crash verloren zijn gegaan, niet teruggeplaatst konden worden maar definitief verloren zijn gegaan.
Nee, die 2022 was geen typefout:
Vast staat dat de server waar de oude versie van het ERP-systeem op draaide één van de servers was waarvan [leverancier] conform de overeenkomst back-ups maakte. Na de vervanging van deze server door [leverancier] (zie 2.6), is [leverancier] abusievelijk gedurende een jaar lang back-ups blijven maken van de oude server die fysiek niet was verwijderd maar niet langer een functie had. Van de gegevens op de nieuwe server heeft [leverancier] geen back-ups gemaakt.
Diverse lezers zien “ERP-systeem” en schrikken zich nu rot. Want inderdaad is dat een bedrijfskritisch proces, de bedrijfsvoering en het productieproces van de klant ligt nu (gedeeltelijk) stil. En dat is iets dat zeker meeweegt als je als ict-beheerder optreedt.
De voorzieningenrechter acht het dan ook onbegrijpelijk dat [leverancier] in haar hoedanigheid van ICT-beheerder van [klant], na de vervanging van de server waarop dit ERP-systeem draaide, back-ups is blijven maken van de oude server, die niet meer in gebruik was, en geen back-ups heeft gemaakt van (de mutaties op) de nieuwe server. Anders dan door een menselijke fout is dit niet te verklaren.
Wanprestatie dus. Maar zoals vrijwel iedereen in de ict had ook deze leverancier algemene voorwaarden met daarin een stevige exoneratie. Alleen “directe schade tot maximaal het bedrag van de voor die overeenkomst bedongen prijs” van het afgelopen jaar kwam voor vergoeding in aanmerking. [Pet peeve: ‘directe schade’ is geen Nederlands juridisch begrip]
Kun je je daarop beroepen in zo’n situatie? Normaal wel, het zijn twee grootzakelijke partijen en die mogen zo ongeveer alles afspreken dat ze willen over ict-dienstverlening. Maar dat voelt hier wel héél onbillijk. En dat triggert artikel 6:248 lid 2 BW:
Een tussen partijen als gevolg van de overeenkomst geldende regel is niet van toepassing, voor zover dit in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn.
De belangrijkste omstandigheid die de rechter hier laat meewegen is dat het maken van backups een kernverplichting is van de leverancier. Die term verwijst naar afspraken die de essentie van de overeenkomst raken: dit is waar je voor betaalt, dit is wat je afgesproken had, hoezo mag je dít nalaten zonder dat dat gevolgen heeft?
Ook weegt mee dat het bedrag dat onder die AV moet worden betaald, niet in verhouding staat tot de werkelijke schade. Dit wordt niet uitgespeld maar lijkt te gaan om het verschil tussen € 29.187 wegens uitval productielijnen en € 368.861,73 dat de rechter uiteindelijk toekent. Hadden de AV een plafond van zeg anderhalve ton ingesteld, dan was de discussie mogelijk anders verlopen.
Arnoud