De aansprakelijkheid en zorgplicht van een IT-leverancier

Een onderneming zegt na ruim twee jaar de Service Level Agreement (SLA) met haar IT-leverancier op. De overeenkomst eindigt op 21 juni 2016. De overeenkomst met de nieuwe IT-leverancier gaat pas in op 1 augustus 2016. Maar op 19 juli 2016 wordt de onderneming gehackt en wordt er ransomware geïnstalleerd. Een adequate back up van de systemen ontbreekt. Wie is aansprakelijk voor de schade? De eerste IT-leverancier of de onderneming zelf?

De zorgplicht van een IT-leverancier

Wie een IT-leverancier inschakelt, doet dat meestal op basis van een overeenkomst van opdracht. Daarbij is de IT-leverancier de opdrachtnemer. Op grond van artikel 7:401 van het Burgerlijk Wetboek (BW) heeft de IT-leverancier daarbij een zorgplicht: hij moet bij de uitvoering van zijn werkzaamheden ‘de zorg van een goed opdrachtnemer’ in acht nemen.

Wat deze zorgplicht precies inhoudt is in de wet niet verder uitgewerkt. Vaak wordt deze zorgplicht in ICT-overeenkomsten wel verder ingevuld. Als dan blijkt dat de IT-leverancier zijn verplichtingen uit de overeenkomst niet is nagekomen, kan hij aansprakelijk zijn voor de schade die daaruit voortvloeit.

Ook los van eventuele contractuele bepalingen kan een  IT-leverancier, afhankelijk van de omstandigheden van het geval, zijn zorgplicht schenden. In de rechtspraak is bepaald dat daarbij moet worden gekeken naar wat een redelijk handelende en redelijk bekwame vakgenoot met dezelfde kennis en ervaring in dezelfde situatie zou hebben gedaan. Voor IT-leveranciers geldt daarbij een bijzondere of verzwaarde zorgplicht, net als bij andere beroepsgroepen waarbij de opdrachtnemer aanmerkelijk meer expertise heeft dan de klant, zoals notarissen en financiële instellingen. Als kan worden vastgesteld dat een IT-leverancier in strijd heeft gehandeld met zijn zorgplicht, kan hij ook aansprakelijk zijn voor de schade die daaruit voortvloeit.

Overigens komt niet alle schade automatisch voor vergoeding in aanmerking: het uitgangspunt is dat de IT-leverancier de klant zodanig compenseert dat hij in dezelfde financiële positie komt als wanneer hij als een behoorlijk behandelend vakgenoot zou hebben gehandeld. Bovendien kijken rechters in een zaak ook altijd hoe deskundig de klant was en in hoeverre de klant zelf heeft bijgedragen aan het ontstaan van de schade.

Terug naar de casus

Wie was er nu in de in de inleiding geschetste casus aansprakelijk voor de schade? In een uitspraak van 21 februari 2021 oordeelde het Gerechtshof in Amsterdam dat beide partijen gedeeltelijk voor de schade moesten opdraaien.

Volgens het hof was de IT-leverancier namelijk tekortgeschoten in de nakoming van zijn verplichtingen op grond van de SLA. Daarin was opgenomen dat de IT-leverancier verantwoordelijk was voor het netwerk- en systeembeheer: de IT-leverancier moest het netwerk en de systemen zodanig monitoren dat de werking daarvan gegarandeerd was. Hier hoorde ook het back-upsysteem bij. Volgens het hof betekende dit dat de IT-leverancier op 21 juni 2016 (of zeer kort daarvoor) nog een volledige back-up van het systeem had moeten maken. Dat had de IT-leverancier niet gedaan, de laatste (gedeeltelijke) back up dateerde van 29 april 2016.

Nu er geen recente en volledige back up aanwezig was, werd de klant – om weer toegang te krijgen tot de systemen – gedwongen losgeld aan de hackers te betalen. Volgens het hof had dit (deels) voorkomen kunnen worden als de ICT-leverancier op 21 juni 2016 een goede en volledige back up had gemaakt.

Toch hoefde de IT-leverancier niet alle schade te vergoeden. Volgens het hof was er (op grond van artikel 6:101 BW) ook sprake van eigen schuld aan de kant van de klant. Aangezien het contract met de nieuwe IT-leverancier pas op 1 augustus 2016 in zou gaan, was er gedurende een periode van ruim vijf weken niemand verantwoordelijk voor de beveiliging van de systemen van de klant. Daarmee had de klant het hack volgens het hof in overwegende mate aan zichzelf te danken. Daarom moest de klant tweederde van de schade zelf dragen, en moest de IT-leverancier eenderde daarvan vergoeden.

Vragen?

Heeft u vragen over dit onderwerp? Wilt u zelf uw IT-leverancier aansprakelijk stellen? Of bent u als IT-leverancier aansprakelijk gesteld voor de schade van een van uw klanten? Neemt u dan gerust contact op met onze advocaten ICT recht.