De waarde van data in het bedrijfsleven is anno 2017, aan de vooravond van de vierde technologische revolutie, hoger dan ooit tevoren. Het is dan ook niet vreemd dat er jaarlijks miljoenen wordt uitgegeven aan de verzameling en opslag van een groot scala aan verschillende soorten data.
Uit deze behoefte heeft zich een aantal jaar terug een nieuwe tak van diensten ontwikkeld, namelijk die van data storage provider . Deze aanbieders bieden verschillende diensten aan voor het opslaan van data en het maken van back-ups, zowel online in de “Cloud” als op fysieke harde schijven. Gezien het feit dat data voor een groot aantal beroepsgroepen van essentieel belang is voor de dagelijkse bedrijfsvoering is het vanzelfsprekend dat aan partijen die de rol van data storage provider op zich nemen bepaalde eisen en verwachtingen mogen worden gesteld omtrent de omgang met de desbetreffende data.
In het onlangs verschenen tussenvonnis van de rechtbank Limburg is deze vanzelfsprekendheid besproken en met de nodige kanttekeningen en vragen vooruitgeschoven voor nader onderzoek en een uiteindelijke eindbeslissing. In casu lag de oorzaak van de onmogelijkheid om een werkende back-up aan te leveren in het feit dat gedaagde vóór de mislukte update van de door klant gebruikte administratiesoftware geen back-up had gemaakt waardoor de eerder opgeslagen data niet hersteld kon worden.
Daarnaast had een medewerker van gedaagde een van de opgeslagen mappen van eiser verwijderd waardoor de twee data-pakketten niet meer synchroon liepen . Gedaagde stelt dat het maken van een extra back-up vóór de update geen invloed zou hebben gehad op de mogelijkheid tot herstel van de verloren data. Dit terwijl de door gedaagde geleverde dienst erin voorzag elke nacht een back-up te maken van de data van eiser op de door gedaagde geleverde harde schijven. De rechtbank oordeelt dat, alvorens zij tot een eindbeslissing kan komen, het duidelijk moet worden welke gegevens door gedaagde zijn verwijderd en of zij de back-up kon en had moeten controleren voordat zij poogde deze opnieuw in het systeem plaatsten.
De rol en met name de aansprakelijkheid van dergelijke data storage providers is al in eerdere uitspraken aangehaald en verduidelijkt. In laatstgenoemde uitspraak werd beslist dat een storage provider, verantwoordelijk voor het maken van back-ups van data van haar klanten, niet aansprakelijk kon worden gehouden voor het verwijderen van data van haar klant door middel van het geven van een verkeerd commando aan een gebruikt hulpprogramma. Hierbij speelde echter het feit dat een individu werkzaam bij de klant de bestaande back-up had overschreven door handmatig een back-up van de meest recente gegevens te maken. Gedaagde beriep zich op haar algemene voorwaarden waarin zij aansprakelijkheid voor verlies of verminking van data, behouders gevallen van opzet en grove schuld, had uitgesloten. De rechtbank oordeelde dat er gelet op de feiten niet vanuit kon worden gegaan dat het geven van een verkeerd commando bij het creëren van een back-up door de storage provider in beginsel zou leiden tot opzet of grove schuld. Opvallend, aangezien de opslag van data nu juist de kerntaak van gedaagde was.
In een eerder vonnis oordeelde de rechtbank Den Haag anders. Hier ging het om een online opslagdienst waarbij gedaagde KPN doordat ‘er iets niet goed was gegaan’ alle data van eiser verloor bij het overhevelen van de gegevens naar een nieuwe account van haar klant. De rechtbank oordeelde dat dit een toerekenbare tekortkoming in de nakoming opleverde aangezien het veilig opslaan van de data nu juist was wat eiser met gedaagde was overeengekomen. Het beding in de algemene voorwaarden waarin KPN stelde niet aansprakelijk te zijn voor verlies van gegevens werd door de rechtbank terecht aangemerkt als een onredelijk bezwarend beding, aangezien eiser een eenmanszaak en gedaagde een multinational was, en het beheer en de opslag van data niet tot de kerntaken van eiser behoorde, waardoor reflexwerking van de grijze lijst ex art. 6:237 BW op zijn plek was.
Na lezing van deze uitspraken komen verschillende vragen omtrent de aansprakelijkheid van data storage providers naar boven drijven, met name omtrent het verschil tussen consument en professionele partij. Zo lijkt het nog niet duidelijk te zijn in hoeverre een storage provider wettelijk aansprakelijk is voor dataverlies door eigen handelen en in hoeverre het redelijk kan worden geacht om zich voor schade uit desbetreffende handelingen te exonereren in zijn algemene voorwaarden, aangezien de behoefte om data veilig op te slaan juist de reden is waarom deze data opslag diensten überhaupt bestaansrecht hebben.
Kan de aansprakelijkheid voor schade door wanprestatie zo makkelijk worden uitgesloten wanneer het gaat om een dienst die zo essentieel is voor de dagelijkse bedrijfsvoering? En zijn bedrijven dan uiteindelijk zelf verantwoordelijk voor de (externe) opslag van hun data? Als dat het geval is, wat is dan eigenlijk de toegevoegde waarde van deze data-opslagdiensten? Het is te verwachten (in ieder geval te hopen) dat een deel van deze vragen beantwoord zal worden door het eindvonnis van de rechtbank Limburg.
Met dank aan Mike Marshall
