ICT-leverancier tekortgeschoten door afwezigheid back-up
ICT-leverancier toerekenbaar tekortgeschoten door afwezigheid back-up
Op 5 juli jl. is de uitspraak gepubliceerd van het vervolg op een tussenvonnis van 11 januari 2017 van de rechtbank Maastricht waarbij de vraag aan de orde is geweest of een ICT-leverancier vóór de installatie van een applicatie-update een (nieuwe) back-up had moeten maken of de bestaande back-up op bruikbaarheid had moeten controleren.
Update doorgevoerd zonder validatie van de back-up
Het gaat in deze zaak om een overeenkomst tussen twee partijen, een ICT-leverancier en een huisartsenpraktijk. De ICT-partij voerde remote beheer uit en verzorgde updates & patches. Op grond van deze overeenkomst was de ICT-leverancier niet zonder meer verplicht om ervoor te zorgen, of te controleren, dat er een daadwerkelijke bruikbare back-up werd gemaakt. De huisartsenpraktijk had onvoldoende reden om erop te vertrouwen dat ICT-leverancier zou zorgen voor een bruikbare back-up. Zij had de dienst ‘Internet Back-up’ niet afgenomen. Voor het maken van een back-up vertrouwde de huisartsenpraktijk op een aantal usb schijven en een back-up script dat door de ICT-leverancier beschikbaar was gesteld. De ICT-leverancier heeft de huisartsenpraktijk vervolgens gewezen op het risico van een niet-correcte back-up.
De huisartsenpraktijk krijgt vervolgens de beschikking over een nieuwe versie van hun medisch softwarepakket, Promedico. Deze nieuwe versie wordt geleverd inclusief een installatiehandleiding waarin staat vermeld: “zorg voor een recente back-up”. Het ICT-bedrijf installeerde deze versie en liep hierbij tegen problemen aan waardoor Promedico er zelf bij werd betrokken. De installatie werd vervolgens opnieuw uitgevoerd met dataverlies tot gevolg. De usb schijven bleken geen correcte back-up te bevatten.
De ICT-leverancier schiet te kort
De huisartsenpraktijk was van mening dat het ICT-bedrijf hiervoor aansprakelijk was. Het ICT-bedrijf daarentegen pareerde dit door te verwijzen naar haar offerte: de huisartsenpraktijd had immers niet gekozen voor de internet gebaseerde back-up dienst.
Voor beantwoording van deze kwestie is het, zo stelt de rechtbank, doorslaggevend of het ICT-bedrijf als redelijk bekwaam en redelijk handelend ICT-dienstverlener, er zonder controle op mocht vertrouwen dat de back-up, gemaakt op het eigen systeem van de huisartsenpraktijk bruikbaar was. Naar het oordeel van de rechtbank is dat niet het geval. De rechtbank stelt bij dit oordeel voorop dat voor het ICT-bedrijf kenbaar was welk groot belang de praktijkgegevens voor een huisartsenpraktijk hebben. Het ICT-bedrijf was bovendien bekend met het risico dat een eigen back-up van een klant met zich meebrengt. Ook in de brief van Promedico is gewezen op het belang van een recente back-up.
Onder deze omstandigheden had het ICT-bedrijf een back-up moeten maken en controleren, of de bestaande back-up op bruikbaarheid moeten controleren, alvorens tot installatie van de update over te gaan. Het (niet)handelen door het ICT-bedrijf is hierdoor aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.
Schadeplichtig
De rechtbank gaat vervolgens in op de vraag of de huisartsenpraktijk schade heeft geleden als gevolg van deze tekortkoming. Die vraag wordt door de rechtbank bevestigend beantwoord: vóór installatie van de update van Promedico waren de praktijkgegevens nog in het systeem van de huisartsenpraktijk aanwezig. Indien het ICT-bedrijf vóór de installatie van de update een back-up had gemaakt en gecontroleerd, of de bestaande back-up had gecontroleerd op bruikbaarheid, had het bedrijf kunnen vaststellen of een bruikbare back-up beschikbaar was. Bij het vaststellen van het schadebedrag volgt de rechtbank niet het voorstel van de huisartsenpraktijk om de schade abstract te begroten door te schatten hoeveel uren moeten worden besteed om elk patiëntendossier te actualiseren en de uren af te rekenen tegen het declaratietarief van de huisartsen. De rechtbank is van oordeel dat het bij dagvaarding opgegeven schadebedrag van € 216.448,- onaannemelijk hoog is. Het daadwerkelijke schadebedrag wordt nog vastgesteld.
Belang van een back-up
Deze casus toont aan hoe belangrijk het is om een goede, gevalideerde, back-up te hebben. Uiteraard, je wilt aansprakelijkheid en de bijkomende boetes vermijden maar bovenal wil je geen dataverlies.
Een back-up is in feite een kopie van je data op een ander medium. Bijvoorbeeld op tape, een andere computer, een NAS of in de cloud. Met een back-up wordt data beschermd bij bijvoorbeeld het per ongeluk verwijderen van bestanden, diefstal, technische problemen maar ook bijvoorbeeld bij encryptie door ransomware. Dankzij een back-up is er altijd data om op terug te vallen. Door toedoen van een applicatiestoring of door menselijke fout kan het voorkomen dat een back-up niet of niet juist wordt uitgevoerd. Dit kan onopgemerkt plaats vinden. Als er vervolgens geen controle op de back-up plaats vindt kun je voor een nare verrassing komen te staan. Dit soort situaties kun je al gemakkelijk voorkomen door regelmatig te controleren of de back-up te restoren is, dit uiteraard op een ander systeem dan het bronsysteem.