In het beschreven geval had een huisartsenpraktijk behoefte aan een update van haar informatiesysteem. Alle (medische) gegevens van patiënten stonden in dit systeem opgeslagen en het functioneren van de praktijk was daarvan afhankelijk. De dienstverlener die de update verzorgde had in de offerte aangegeven dat de huisartsenpraktijk verantwoordelijk was voor de kwaliteit en de inhoud van de back-up. Bij het installeren van de update ging er iets mis. Daarna bleek dat de in eigen beheer van de praktijk gemaakte back-up niet bruikbaar was. Typisch voorbeeld van Murphy’s Law: anything that can go wrong, will go wrong. Het complete patiëntenbestand van de huisartsenpraktijk ging verloren. De dienstverlener wees aansprakelijkheid af, onder meer met het verweer dat handelingen van anderen na de installatie van de update hadden bijgedragen aan het dataverlies.

Wat vindt een rechter hier nu van? Volgens de rechtbank mag van een ‘redelijk bekwaam en redelijk handelend ICT-dienstverlener’ worden verwacht dat deze (a.) eerst controleert of de (in eigen beheer door de klant gemaakte) back-up bruikbaar is, of (b.) een bruikbare back-up maakt, desnoods op eigen server. Daarbij speelde een rol dat bekend was bij de ICT-dienstverlener dat het ging om een bedrijfskritisch systeem en dat het risico van onbruikbaarheid van de back-up in de offerte en de opdrachtbevestiging was benoemd. De ICT-dienstverlener had dus minstens voor het installeren van de back-up doeltreffende maatregelen moeten nemen om het geïdentificeerde risico te verminderen.

De maatstaf van een ‘redelijk bekwaam en redelijk handelend’ beroepsbeoefenaar is een gebruikelijke term om vast te stellen wat de ‘norm’ is, waaraan het gedrag van professionals wordt afgemeten.

Vooropgesteld: ik ben niet betrokken bij deze zaak en ik ken de offerte en de correspondentie niet. Opvallend is dat het risico in de offerte wel was benoemd, maar dat er in de procedure (kennelijk) geen beroep op een contractuele aansprakelijkheidsuitsluiting is gedaan. Het zou voor de hand hebben gelegen om aan te geven in de offerte dat een bepaald risico aanwezig was en vervolgens een concreet aanbod te doen voor diensten om dat risico te verminderen en de aansprakelijkheid voor het achterwege laten van de maatregelen uitdrukkelijk bij de klant te leggen. Doe je dit niet, dan loop je als ICT-dienstverlener het risico dat maatregelen, die jij als ‘extra’ beschouwt, door de klant en de rechter niet als zodanig worden ervaren. Mijn aanname is, dat de offerte het risico wel benoemde, maar er geen contractuele regeling aan had gekoppeld.

Stel nu dat de overeenkomst wel goed zou zijn ingericht, dan had de huisarts in kwestie moeten aantonen, dat de inhoud van de contractuele regeling wegens strijd met de eisen van redelijkheid en billijkheid onaanvaardbaar was. En dat wordt natuurlijk lastig als je als klant een uitdrukkelijke keuze hebt gemaakt om bepaalde maatregelen niet te nemen.

Maar zou het als ICT-dienstverlener niet veel sterker zijn om aan te geven dat je de update helemaal niet verricht als uit voorafgaande controle blijkt dat de back-up niet bruikbaar is? Dan laat je zien dat je de veiligheid en betrouwbaarheid van het systeem voor je klant (en diens patiënten) echt serieus neemt. Ja, dit leidt tot een hogere prijs voor de klant, maar de toegevoegde waarde neemt ook exponentieel toe. Hoe je business model er ook uit ziet, alleen risico’s benoemen is voor een ICT-dienstverlener riskant. Linksom of rechtsom zal je daadwerkelijk iets moeten doen om de klant te waarschuwen voor die risico’s en de aansprakelijkheid daarvoor uitdrukkelijk uit te sluiten en – als je dat niet doet – maatregelen moeten nemen om die risico’s te beheersen.

Geheel terzijde, dit geval speelde in 2015, dus voor de aanpassing van de inwerkingtreding van Wet bescherming persoonsgegevens, die de melding van datalekken verplicht stelde. Ook het verloren gaan van persoonsgegevens kan een datalek vormen in de zin van deze wet en van de Algemene Verordening Gegevensbescherming, die op 25 mei 2018 in werking treedt. Een dergelijke calamiteit zou nu moeten leiden tot een melding van een datalek bij de Autoriteit Persoonsgegevens.

Heeft u zicht op het juridische perspectief op de IT-diensten, die u verleent en afneemt? Weet u waar u mee bezig bent op het gebied van privacy? Voldoet uw organisatie aan alle verplichtingen van de Wbp en bent u tijdig voorbereid op de invoering van de AVG, zodat u per 25 mei 2018 in overeenstemming daarmee handelt? Heeft u de juiste instelling? Neem vrijblijvend contact met ons op om te bekijken hoe wij – of andere adviseurs, waarmee wij goede ervaringen hebben – u verder kunnen helpen bij het vergroten van het maatschappelijk vertrouwen in uw organisatie.

Vragen?

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.