Aansprakelijkheid van ICT-dienstverleners. Als een organisatie schade lijdt door digitale problemen zoals cyberhacks, slecht functionerende ICT-systemen of gebrekkige software, dan rijst de vraag in hoeverre het aansprakelijkheidsrecht mogelijkheden biedt om deze schade op een ander te verhalen.

Steeds vaker speelt die vraag een belangrijke rol in rechtszaken tussen ICT-dienstverleners en hun klanten. Genoeg aanleiding voor een blog over de belangrijkste aspecten van de zorgplicht van een ICT-dienstverlener.

de contractuele verhouding

Eerst is relevant om te bepalen wat voor soort relatie een ICT-bedrijf en haar klant hebben. Dit is in de eerste plaats een contractuele relatie, waarbij vaak meerdere overeenkomsten worden gesloten tussen het ICT-bedrijf en de opdrachtgever. Er kan sprake zijn van een gecombineerde overeenkomst waarin zowel een koopovereenkomst (van softwareproducten), als een doorlopende dienstverleningsovereenkomst besloten ligt. Ook andere contractsvormen bestaan, zoals softwareontwikkelingsovereenkomsten, SaaS-contracten (Software as a Service), supportovereenkomsten, en nog veel meer. Uit de contractuele afspraken moet volgen wat partijen van elkaar mogen verwachten.

Het verdient daarbij altijd de aanbeveling dat de werkzaamheden specifiek worden besproken en vastgelegd. Zo ontstond tussen een gehackt retailbedrijf en haar ICT-dienstverlener de discussie of de dienstverlener met het geleverde “totaalpakket” van software en support ook voor de veiligheid van het netwerk had moeten zorgen. Daarover was contractueel niets geregeld, maar was volgens het retailbedrijf vanzelfsprekend onderdeel van wat zij van de dienstverlener mocht verwachten. Nu het bedrijf door een computerhack al haar bestanden kwijt was, meende zij dat het ICT-bedrijf haar contractuele verplichtingen niet was nagekomen en voor de daarmee gepaard gaande schade aansprakelijk was. Volgens de rechtbank die over dit geschil oordeelde, had de ICT-dienstverlener inderdaad de verantwoordelijkheid tegenover haar klant om ofwel (adequate) beveiliging onderdeel van het totaalpakket te maken, of anders met haar klant uitdrukkelijk te bespreken dat zij daar juist niet voor zou zorgen.

aansprakelijkheid van ICT-dienstverleners

Naast de uitleg van de contractuele bepalingen, kan de contractuele verhouding tussen de dienstverlener en de opdrachtgever ook een overkoepelende zorgplicht met zich brengen. Artikel 7:401 Burgerlijk Wetboek bepaalt namelijk dat de opdrachtnemer bij zijn werkzaamheden de zorg van een goed opdrachtnemer in acht moet nemen. Dit kan er in resulteren dat een dienstverlener bepaald handelen of nalaten kan worden verweten, ook als over dat handelen niets staat vermeld in het contract. Bij een afgebakende opdracht voorzien van duidelijke instructies zal daarom een minder hoge zorgplicht bestaan dan bij een opdracht waarbij de afspraken vaag zijn of de opdracht bestaat uit een totaaloplossing.

Of de ICT-dienstverlener haar zorgplicht heeft geschonden, wordt beoordeeld met het antwoord op de vraag hoe een redelijk bekwaam en redelijk handelend vakgenoot in de gegeven situatie zou hebben gehandeld. Per situatie zal moeten worden beoordeeld hoe zulk handelen eruit ziet. Uit rechtspraak volgt dat de omvang en uitwerking van de zorgplicht van de IT-dienstverlener casuïstisch van aard is en een breed scala aan verplichtingen kan inhouden. Zo kan de zorgplicht inhouden:

• onderzoeksplichten, informatie- en mededelingsplichten en waarschuwingsplichten;
• dat de opdrachtnemer alles in het werk moet stellen om het project te laten slagen;
• dat een IT-dienstverlener de opdracht niet alleen uitvoert, maar ook actief meedenkt, de regie neemt en aan de bel trekt zodra zich iets voordoet wat een goede uitvoering van het project in de weg staat;
• dat de opdracht kan verplichten tot het uitvoeren van werkzaamheden waar de opdrachtgever niet om heeft verzocht omdat hij daarvoor niet over de vereiste kennis of deskundigheid beschikt.

Een andere relevante factor van de omvang van de zorgplicht is het doorgaans grote verschil in deskundigheid tussen de ICT-dienstverlener en haar klant. De deskundigheid van de ICT’er maakt dat op hem de zorgplicht rust om zijn klant te adviseren en te waarschuwen voor risico’s waar nodig. Tot op zekere hoogte geldt: hoe groter het contrast in deskundigheid tussen dienstverlener en klant, hoe verder die zorgplicht strekt.

advocaat aansprakelijkheidsrecht in Alphen aan den Rijn

De conclusie van het voorgaande is dat de omvang van de zorgplicht van een ICT-dienstverlener sterk afhangt van de specifieke omstandigheden van het geval.

Heeft u een oplopend conflict met uw IT-dienstverlener of -afnemer, dan kan dit een complexe discussie opleveren waarbij tal van factoren een rol spelen. Het is raadzaam het conflict niet eerst te laten oplopen, maar u tijdig te laten adviseren door een van onze advocaten. Bij In ’t Veen Advocaten is het ons werk om in complexe discussies tot de kern te komen en u te voorzien van passend advies. Heeft u een juridische hulpvraag? Neem dan gerust contact met ons op.