Om concurrerend te blijven ben je als ondernemer steeds afhankelijker van dataoplossingen. Bijvoorbeeld voor boekhouding, CRM, ERP, website, webshopbeheer, en… vul maar aan!
Die afhankelijkheid wordt nog groter, omdat de data steeds meer op afstand beschikbaar wordt gemaakt en gehouden. Tot zover klinkt het misschien nog wat cryptisch, maar met een voorbeeld wordt het gelijk duidelijk: stel de wifi of het elektranetwerk valt uit. Kan je dan nog bij je data?
Afhankelijkheid heeft dus zijn prijs. Dat afhankelijk zijn zou je kunnen splitsen in ‘positieve’ en in ‘negatieve’ zin. In positieve zin als het gaat om de (periodieke) abonnement- en/of licentiekosten bijvoorbeeld. In negatieve zin als het gaat om ‘uitval’. Want data die niet bereikbaar/beschikbaar is gaat ten koste van productiviteit.
Zorgplicht IT leveranciers
Het is dan ook niet voor niets dat in de rechtspraak een zorgplicht voor IT leveranciers in ontwikkeling is. Net als bij banken, accountants, assurantietussenpersonen geldt ook IT leveranciers een zorgplicht. Die zorgplicht is ook niet zwart/wit vormgegeven. Die zorgplicht wordt ‘ingekleurd’ naarmate de situatie en belangen die spelen.
In zijn algemeenheid wordt ‘de zorgplicht’ samengevat als ‘de zorgvuldigheid die van een redelijk bekwaam en redelijk handelend IT leverancier gevraagd mag worden’. Er zijn in de praktijk diverse voorbeelden van hoe het mis kon gaan en hoever die zorgplicht kan reiken. Hieronder worden er twee beschreven. Het betreft twee totaal verschillende diensten. Maar bij beide is ‘de backup’ een belangrijk thema.
Inrichting / onderhoud IT-infrastructuur
Een voorbeeld uit de praktijk is een zaak uit 2018, waarbij een IT leverancier de IT infrastructuur regelde voor een administratiekantoor. Na ‘de aanleg’ regelde de IT leverancier het beheer en onderhoud van het netwerk, waaronder een backup systeem. Vervolgens werd het administratiekantoor slachtoffer van ransomware. Onder andere de backupbestanden waren versleuteld. Deze ‘gijzeling’ eindigde met losgeld.
Achteraf bleek dat onder andere sprake was van een zwak wachtwoord en had ‘de aanval’ voorkomen kunnen worden. De grenzen van de dienstverlening waren onduidelijk: m.a.w. wat zou de IT leverancier wel en niet doen. Als dat niet duidelijk is, dan loopt je het risico dat diensten (en daarmee verbonden ‘zorgplichten’) worden ‘ingelezen’, zoals ‘een adequate beveiliging’. De IT leverancier werd dus aansprakelijk gehouden.
Levering plug-in
Een ander voorbeeld betreft een partij die een Magento based webshop heeft. De webshop werd met behulp van ‘een plug-in’ gekoppeld aan het boekhoudprogramma Exact. De plug-in werd geleverd door een IT leverancier. Nadien ontstond een probleem. In het boekhoudprogramma werden gegevens foutief overschreven. Er was blijkbaar geen backup want het probleem werd ‘handmatig’ aangepast met alles kosten van dien. Wie is aansprakelijk?
De webshop verweet de IT leverancier dat de plug-in niet goed werkte en dat de IT leverancier geen controle deed. De webshop baseerde die controleverplichting op het bestaan van een serviceverplichting. De IT leverancier toonde met succes aan dat die controleverplichting er alleen was bij een (in mijn woorden) andere oplossing, die niet was afgenomen. Kortom, geen aansprakelijkheid.
Check
In beide zaken zit ‘de ellende’ in het herstellen van de data. Een van de vervelende bijkomstigheden als dingen anders lopen dan de bedoeling was. Om met data doelen te bereiken is dan ook van belang om bedrijfsprocessen en de ondersteunende ICT goed in beeld te krijgen en te houden. Met name omdat processen nog wel eens wijzigen (Bijvoorbeeld door gebruik van andere oplossingen).
Tijd voor een check? Meer weten? Kijk op onze website: www.heijinkenmeure.nl/checklistIT
