Als je zegt “het beheer” te gaan doen van iemands IT, wil je dan opschrijven wat je daarmee bedoelt? Want als er daarna een berg bestanden in de Sharepoint-prullenbak verdwijnt, dan is het heel wat meer gedoe om dát recht te zetten als de wederpartij roept dat dat jouw schuld is. Het is een van de lessen uit een recent vonnis over dat rare onderwerp van de zorgplicht van de ict-er. De zaak ging, natuurlijk, over de vraag of een nieuwe ICT-leverancier aansprakelijk is voor de schade die het gevolg is van het verlies van data uit de oude ICT omgeving van haar opdrachtgever. Dat is dus vrijwel geheel afhankelijk van wat je opschrijft, dus neem daar alsjeblieft even de tijd voor.
De eiser in deze zaak was een reïntegratiebureau dat “privacygevoelige persoonsgegevens” verwerkt, wat onderstreept dat goed omgaan met data van groot belang voor haar is. En ja, dat is iets dat jij als ict-er moet beseffen als je met deze partij in gesprek gaat. Het bureau had een lokale oplossing met een server bij de oude leverancier, een clouddisk en een Sharepoint/Onedrive omgeving, en wilde naar een nieuwe ict-leverancier (reden wordt niet genoemd, maar zo te lezen wilde men mede over naar Office 365).
Een discussiepunt bij ieder ict-contract is de omgang met data. Zo ook hier: het bureau gaf aan dit zelf te willen regelen:
“Zou jij er voor kunnen zorgen dat Sharepoint en Onedrive zo beveiligd zijn dat ik een nieuwe mappen structuur kan aanmaken en iedereen deze week kan overzetten naar Office 365 Business?
De H-schijven kunnen ze zelf overzetten naar Onedrive en de mappen op i-schijf zal ik overzetten als dat nodig is.”
Mijn gevoel is dat men bij het bureau dacht dit zelf te kunnen omdat er een hoop oude data uitgezocht moest worden en wellicht weg kon. Misschien dat ook de kosten meewogen, of dat men dacht het oude Onedrive-account om te kunnen zetten met een naamsverandering. Dat bleek toch niet helemaal gewenst, dus er ontstond discussie over en de nieuwe leverancier maakte een backupmap aan in de nieuwe omgeving, waar men dan zelf de data heen kon kopiëren.
Toen liep kennelijk het oude contract af:
De data van [eiser] van de cloud harddrive en de DTO/ischijf bij [de oude leverancier] zijn op 30 juni 2019 verwijderd. Op zondag 30 juni 2019 zijn een groot aantal bestanden van de “OfficeGrip:Back up Site” in de oude Sharepoint-omgeving van [eiser] (hierna: de Sharepoint back up site) verplaatst naar de prullenbak.
In september werd er diverse mailen gediscussieerd over ongeautoriseerde toegang en verdwenen bestanden, wat voor het bureau reden was om een forensisch onderzoek te willen gaan doen, mede vanwege de zorg over verlies van die bijzondere persoonsgegevens. Dat liep niet lekker, zodat er werd gedagvaard. Niet de eerste keer zo te lezen tussen deze partijen.
De eerste vraag voor de rechter was dan wat de afgesproken vormen van “beheer” inhielden. De rechter interpreteert dit als het beschikbaar houden van de oude data, omdat het geschil daarover gaat. Met enig gezoek is de tussenconclusie dan dat het doel was om deze in een Microsoft cloud-omgeving online te krijgen, zodat we voor de oude netwerkschijf (bij de oude leverancier draaiend) snel klaar zijn:
De rechtbank is van oordeel dat uit deze discussie tussen partijen – hoe dan ook – niet kan worden afgeleid dat [het IT-bedrijf] het beheer van de ischijf/DTO zou overnemen. Vast staat namelijk dat de DTO/i-schijf geen onderdeel uitmaakt van de Microsoft-diensten of Microsoft-tenant, maar daar volledig los van staat. De i-schijf is immers een opslagplaats voor data op de lokale server van [de oude IT-leverancier]. Dus ook als [de nieuwe leverancier] het beheer van de bestaande Microsoft-omgeving zou overnemen, dan betekent dat niet dat [deze] daarmee ook het beheer op zich nam over de ischijf op de lokale server van [de oude leverancier].
Vervolgvraag is dan of de nieuwe leverancier de data uit die i-schijf had moeten overnemen naar de nieuwe omgeving, waar zij wél verantwoordelijk voor was. Maar in het offertetraject was daar nog discussie over, en die werd als volgt beslecht:
“- Implementatie Sharepoint gebruiker: Er gaat geen enkele data over.
We vernietigen het meeste en als ik bestanden er toch op wil zetten dan upload ik dat zelf.
(…)
– Datamigratie tool hebben we niet nodig: Niet akkoord. Er gaat 0 data over.”
Dan kun je achteraf wel zeggen dat je alleen doelde op de mailbox-data van gebruikers, maar gezien de formulering is dat dan niet heel overtuigend meer. Zeker omdat vervolgens in de offerte de post datamigratie op nul was gezet. In die context had de nieuwe leverancier ook niet meer hoeven waarschuwen: als iemand zó duidelijk aangeeft “nee, geen enkele data, ik doe het zelf, niet akkoord er gaat 0 data over” dan mag je toch wel aannemen dat daar over nagedacht is.
Uiteindelijk worden de eisen over verloren data en/of signalen van ongeautoriseerde toegang allemaal afgewezen omdat het te speculatief en niet onderbouwd is. Maar het vonnis laat zien dat er daarvoor wel een stevige discussie met de rechter nodig is. Een heldere serie afspraken is dus altijd belangrijk. In dit geval ook door expliciet te benoemen welke data niet over gaat, in plaats van alleen een post op nul te zetten. En door aan te geven dat klant zelf de contacten met de oude leverancier moet onderhouden en eventuele data daar zelf op moet halen.
Arnoud