ICT-dienstverlener aansprakelijk voor schade door ontbrekende back-ups van server

Rb. Noord-Holland 4 december 2024, IT 4694; ECLI:NL:RBNHO:2024:12523 (Blok tegen Hallo) In juni 2022 heeft Hallo een nieuwe server geïnstalleerd voor het ERP-systeem van Blok. Hallo heeft nagelaten back-ups van deze nieuwe server te maken. Op 2 oktober 2024 crashte de server, waardoor de bedrijfsvoering van Blok stil kwam te liggen en aanzienlijke schade werd geleden. Blok vordert schadevergoeding van Hallo wegens wanprestatie, omdat Hallo geen back-ups van de nieuwe server had gemaakt. Hallo stelt dat de verantwoordelijkheid voor de back-ups bij Blok zelf lag en beroept zich op exoneratiebedingen in de ICT-voorwaarden. De voorzieningenrechter oordeelt dat Hallo toerekenbaar tekort is geschoten in haar verplichtingen door geen back-ups van de nieuwe server te maken. De rechter acht de exoneratiebedingen onredelijk en buiten toepassing, gezien de aard van de tekortkoming en de redelijkheid en billijkheid. Hallo wordt veroordeeld tot betaling van een voorschot op de schadevergoeding van € 368.861,73 en een dagelijkse schadevergoeding van € 5.308,- vanaf 25 oktober 2024. Daarnaast moet Hallo Blok informeren over besprekingen met Stellar Data Recovery en relevante bescheiden delen. De voorzieningenrechter concludeert dat Hallo haar kernverplichting om back-ups te maken niet is nagekomen, wat leidt tot aanzienlijke schade voor Blok.

4.7. Het staat vast dat Hallo ermee bekend was dat het ERP-systeem cruciaal was voor de bedrijfsvoering van Blok. Daarom was het evident dat er voortdurend een recente, herplaatsbare back-up van (de gegevens vanuit) dit systeem moest zijn. De voorzieningenrechter acht het dan ook onbegrijpelijk dat Hallo in haar hoedanigheid van ICT-beheerder van Blok, na de vervanging van de server waarop dit ERP-systeem draaide, back-ups is blijven maken van de oude server, die niet meer in gebruik was, en geen back-ups heeft gemaakt van (de mutaties op) de nieuwe server. Anders dan door een menselijke fout is dit niet te verklaren. Dit wordt ook bevestigd door de e-mail van de medewerker van Hallo van 8 oktober 2024 die schrijft dat de nieuwe server door een fout niet in de automatisering rondom back-up is meegenomen (zie 2.10).

4.15. Zoals eerder overwogen is het maken van back-ups een van de kernverplichtingen van de tussen partijen gesloten overeenkomst. Het is essentieel voor de bedrijfsvoering van Blok dat er voor situaties als na een crash een recente, herplaatsbare back-up aanwezig is. Hallo heeft in haar onderhoudsrapporten elk kwartaal aangegeven dat alle servers en back-ups naar behoren functioneerden. Bovendien werd in de rapporten expliciet aangegeven dat er extra aandacht was besteed aan de nieuwe server (waarop het ERP-systeem draaide). Hallo heeft hiermee bij Blok de indruk gewekt dat alles goed geregeld was, waardoor er voor Blok geen reden was nadere maatregelen te treffen. Vast staat dat Hallo bekend is met de bedrijfsvoering van Blok – mede door vele bezoeken van medewerkers van Hallo aan de vestigingen van Blok – en het belang van Blok bij een goed functionerend ERP-systeem. Het ERP-systeem is cruciaal voor het functioneren van Blok; bij het uitvallen van dat systeem komt de bedrijfsvoering nagenoeg stil te liggen. De schade is dan enorm. Juist om dat risico te voorkomen heeft Blok Hallo ingeschakeld en haar fors betaald voor haar dienstverlening. Het risico heeft zich desondanks verwezenlijkt, omdat Hallo ten onrechte geen (herplaatsbare) recente back-up van de data op de cruciale server had gemaakt, terwijl zij Blok in de kwartaalrapportages van het tegendeel in de waan bracht en hield. Ook het controlesysteem van Hallo functioneerde immers niet. Hallo heeft dit zelf beaamd door aan te geven dat de nieuwe server door een fout (...) niet in de automatisering rondom back-up [is] meegenomen, waardoor de server ook niet naar voren is gekomen bij steekproeven die periodiek worden uitgevoerd. Onder de gegeven omstandigheden, waaronder de aard van de fouten van Hallo en het feit dat zij daardoor is tekortgekomen in de nakoming van haar kernverplichting, kan de aansprakelijkheid naar het oordeel van de voorzieningenrechter niet met een beroep op algemene voorwaarden worden beperkt tot een bedrag dat niet in verhouding staat tot de ontstane schade. Verder weegt mee dat partijen hebben verklaard dat bij de totstandkoming van de overeenkomst niet over de ICT-voorwaarden onderhandeld kon worden en dat Hallo een gerenommeerd ICT-bedrijf is, dat op zichzelf draagkrachtig is. Het terzijde schuiven van dit exoneratiebeding leidt niet onoverkomelijke financiële problemen voor Hallo.