ECLI:NL:RBLIM:2017:6454

• Datum uitspraak: 21 juni 2017
• Publicatiedatum: 5 juli 2017
• Zaaknummer: C/03/224380 / HA ZA 16-471
• Instantie: Rechtbank Limburg
• Type: Uitspraak
• Rechtsgebied: Civiel recht; Verbintenissenrecht
• Procedures: Eerste aanleg - enkelvoudig
• Rechters: W.J.J. Los
• Vindplaatsen: Rechtspraak.nl

AI samenvatting door Lexboost • Automatisch gegenereerd

Aansprakelijkheid ICT-dienstverlener voor dataverlies door onzorgvuldig handelen bij back-up en update installatie

In deze zaak, die voor de Rechtbank Limburg is behandeld, gaat het om de aansprakelijkheid van een ICT-dienstverlener voor dataverlies dat is ontstaan door onzorgvuldig handelen bij het maken van back-ups en het installeren van een software-update. De eisers, een huisartsenpraktijk, hebben de ICT-dienstverlener aangeklaagd omdat zij van mening zijn dat deze niet de nodige zorgvuldigheid in acht heeft genomen bij het uitvoeren van zijn werkzaamheden. De rechtbank heeft in een tussenvonnis van 11 januari 2017 al geoordeeld dat de ICT-dienstverlener had moeten controleren of de back-up bruikbaar was voordat hij de update installeerde. In het vonnis van 21 juni 2017 heeft de rechtbank verder geoordeeld dat de ICT-dienstverlener, ondanks zijn kennis van het belang van de praktijkgegevens voor de huisartsenpraktijk, er zonder controle op heeft vertrouwd dat de back-up in het systeem bruikbaar was. Dit is volgens de rechtbank een toerekenbare tekortkoming in de nakoming van de overeenkomst. De rechtbank heeft vastgesteld dat de eisers schade hebben geleden als gevolg van deze tekortkoming, maar heeft ook aangegeven dat de omvang van de schade nog concreet moet worden gemaakt. De rechtbank heeft de eisers de gelegenheid gegeven om bij akte concrete gegevens te verstrekken over de geleden schade, waarna de gedaagde partij de mogelijkheid heeft om hierop te reageren. De zaak is aangehouden voor verdere behandeling.

Uitspraak

vonnis

RECHTBANK LIMBURG

Burgerlijk recht

Zittingsplaats Maastricht

zaaknummer / rolnummer: C/03/224380 / HA ZA 16-471

Vonnis van 21 juni 2017

in de zaak van

1. de maatschap

[eiseres sub 1] ,

gevestigd te [vestigingsplaats] ,

2.
[eiser sub 2] ,

en

3.
[eiseres sub 3] ,

beiden wonend te [woonplaats 1] ,

eisers,

advocaat mr. M.J. Goedhart,

tegen

[gedaagde] ,

wonende te [woonplaats 2] ,

gedaagde,

advocaat thans mr. A. Karimi.

Partijen zullen hierna [eiseres] c.s. en [gedaagde] genoemd worden.

1. De procedure

1.1.

Het verloop van de procedure blijkt uit:

• het tussenvonnis van 11 januari 2017,
• de akte van [gedaagde] van 8 maart 2017,
• de akte van [eiseres] c.s. van 3 mei 2017.

1.2.

Ten slotte is vonnis bepaald.

2. De verdere beoordeling

2.1.

De rechtbank verwijst naar het tussenvonnis van 11 januari 2017 en blijft daarbij voor zover hieronder niet anders wordt overwogen.

Periodieke back-up

2.2.

[eiseres] c.s. heeft nader aangevoerd dat [gedaagde] en [naam maatschap] waren overeengekomen dat [gedaagde] elke twee weken een back-up zou maken. Ten bewijze hiervan heeft zij een verslag van een op 19 april 2013 plaatsgevonden gesprek overgelegd. De desbetreffende passage luidt:

‘Iedere dag dient er een Back-up gemaakt te worden. Verwisselen van de dagschijven dient iedere dag te gebeuren. Anders risico dat er gegevens verloren gaan over meerdere dagen. Bij [gedaagde] wordt er twee wekelijks een back-up gemaakt.’

2.3.

Zoals in het tussenvonnis onder 2.4 is overwogen, was de dienstverlening in het kader van de tussen partijen gesloten overeenkomst gelijk aan de dienstverlening die [gedaagde] met [naam maatschap] was overeengekomen. [eiseres] c.s. meent daarom dat [gedaagde] de verplichting had om elke twee weken een back-up te maken.

2.4.

[gedaagde] heeft hierop nog niet kunnen reageren. De rechtbank behoeft dit punt echter niet te onderzoeken, omdat het niet van belang is voor de beslissing in deze zaak, zoals hierna zal blijken.

Update en back-up op 27 januari 2016

2.5.

In het tussenvonnis is de vraag aan de orde gesteld of [gedaagde] vóór de installatie van de update van Promedico en vóór het plaatsen van de back-up in het systeem een (nieuwe) back-up had moeten maken of de bestaande back-up op bruikbaarheid had moeten controleren.

2.6.

De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een back-up (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van ‘opdrachten’ van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

2.7.

In hun akten hebben partijen nadere informatie verstrekt over de gang van zaken rond de installatie van de update van Promedico en het plaatsen van de back-up. De informatie heeft meer inzicht gegeven in wat partijen hebben gedaan en nagelaten en wat de mogelijkheden en onmogelijkheden waren. Gelet op hetgeen naar voren is gebracht, is de rechtbank nu van oordeel dat geen nader onderzoek door een deskundige nodig is. De rechtbank zal dat hierna toelichten.

2.8.

Voor beantwoording van de onder 2.5 gestelde vraag is doorslaggevend of [gedaagde] als redelijk bekwaam en redelijk handelend ICT-dienstverlener er zonder controle op mocht vertrouwen dat de back-up in het eigen systeem van [eiseres] c.s. bruikbaar was. Naar het oordeel van de rechtbank is dat niet het geval. De rechtbank stelt bij dit oordeel voorop dat voor [gedaagde] kenbaar was welk groot belang de praktijkgegevens voor een huisartsenpraktijk hebben. [gedaagde] was bovendien bekend met het risico dat een eigen back-up van een klant niet goed kon verlopen, zoals blijkt uit de offerte van 30 september 2011 (tussenvonnis onder 2.2). Ook in de brief van Promedico waarbij de update werd aangeboden, is gewezen op het belang van een recente back-up (tussenvonnis onder 2.6). Onder deze omstandigheden had [gedaagde] of eerst een back-up moeten maken en controleren, of de bestaande back-up op bruikbaarheid moeten controleren, alvorens tot installatie van de update over te gaan en later de back-up in het systeem van [eiseres] c.s. te plaatsen. Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.

2.9.

Uit het voorgaande volgt dat het niet van belang is of medewerkers van [eiseres] c.s. of Promedico na de installatie van de update, toen die niet naar behoren bleek te zijn uitgevoerd, handelingen hebben verricht die tot verlies van gegevens in het systeem hebben geleid. Indien [gedaagde] vóór installatie van de update zich ervan had vergewist dat een bruikbare back-up aanwezig was, zou dat verlies herstelbaar zijn geweest.

Causaal verband

2.10.

De volgende vraag is of [eiseres] c.s. schade heeft geleden als gevolg van deze tekortkoming. Die vraag kan alleen bevestigend worden beantwoord. Immers, vóór installatie van de update van Promedico waren de praktijkgegevens nog in het systeem van [eiseres] c.s. aanwezig. Indien [gedaagde] vóór de installatie van de update een back-up had gemaakt en gecontroleerd, of de bestaande back-up had gecontroleerd op bruikbaarheid, had hij kunnen vaststellen of een bruikbare back-up beschikbaar was. Het maakt geen verschil of [gedaagde] de back-up had gemaakt op de eigen externe schijven van [eiseres] c.s. of op zijn eigen server, omdat bij controle van de bruikbaarheid aan het licht had moeten komen of de gemaakte back-up bruikbaar was. Was gebleken dat de bestaande back-up niet bruikbaar was, dan had [gedaagde] tijdig een nieuwe back-up kunnen en moeten (laten) maken.

2.11.

[gedaagde] heeft nog aangevoerd dat de praktijkgegevens niet (geheel) verloren zijn gegaan omdat die met de interne back-upfunctie van de software van Promedico als zogenoemd zip-bestand op de server van [eiseres] c.s. waren opgeslagen en dat er ook nog een ‘full back-up’ van drie maanden oud aanwezig was en mogelijk is. De stellingen zijn dermate onwaarschijnlijk, gezien de pogingen die na 27 januari 2016 zijn ondernomen om de gegevens terug te halen, dat de rechtbank daaraan als onvoldoende onderbouwd voorbij gaat. Bovendien heeft [gedaagde] ter comparitie erkend dat de ‘full back-up’ een back-up betreft van [naam maatschap] en niet van [eiseres] c.s. Niet valt in te zien dat die back-up van recentere datum dan 1 juli 2015 had kunnen zijn, omdat [naam maatschap] per die datum is ontbonden. [eiseres] c.s. heeft die back-up ook gebruikt, zoals [gedaagde] zelf heeft verklaard in de conclusie van antwoord (nr. 55).

Omvang schade

2.12.

De rechtbank volgt niet het voorstel van [eiseres] c.s. om de schade abstract te begroten door te schatten hoeveel uren moeten worden besteed om elk patiëntendossier te actualiseren en de uren af te rekenen tegen het declaratietarief van de huisartsen. Het bij dagvaarding opgegeven schadebedrag van € 216.448,- komt onaannemelijk hoog voor.

2.13.

Inmiddels is het anderhalf jaar geleden dat het dataverlies is opgetreden. Ter comparitie op 1 december 2016 heeft [eiseres] c.s. verklaard dat de helft tot driekwart van de verloren gegevens was gereconstrueerd. De werkzaamheden die daarmee waren gemoeid zijn kennelijk deels verricht door de (al) aanwezige apothekersassistenten en verder in tijd die is vrijgekomen door het aantrekken van een waarnemend huisarts voor 2,5 dag per week. Het moet dus nu mogelijk zijn om de schade meer concreet te begroten.

2.14.

De rechtbank zal [eiseres] c.s. de gelegenheid geven bij akte concrete gegevens te verstrekken, zo veel mogelijk gestaafd met bewijsstukken, op basis waarvan de schade zo realistisch mogelijk kan worden begroot. Het ligt daarbij voor de hand alleen daadwerkelijk gemaakte kosten in aanmerking te nemen die niet zouden zijn gemaakt als de gegevens niet verloren waren gegaan. Daarbij valt met name te denken aan de kosten van de waarnemend huisarts.

2.15.

[gedaagde] zal bij antwoordakte mogen reageren.

2.16.

De rechtbank zal elke verdere beslissing aanhouden.

3. De beslissing

De rechtbank

3.1.

verwijst de zaak naar de rol van
19 juli 2017 voor akte aan de zijde van [eiseres] c.s., zoals hiervoor onder 2.14 is overwogen,

3.2.

bepaalt dat [gedaagde] op een termijn van vier weken bij antwoordakte mag reageren,

3.3.

houdt elke verdere beslissing aan.

Dit vonnis is gewezen door mr. W.J.J. Los en in het openbaar uitgesproken. ^[1]

Voetnoten

1. type: WL