In een recente kort gedingprocedure werd een beroep op de aansprakelijkheidsbeperking uit de veelgebruikte Nederland ICT-voorwaarden (thans NLdigital) door de rechtbank Noord-Holland afgewezen wegens schending van een kernverplichting door een IT-leverancier: de verplichting om een back-up te maken. In dit blog wordt dit vonnis besproken en stilgestaan bij de (on)mogelijkheid om aansprakelijkheid uit te sluiten bij kernverplichtingen in combinatie met de zorgplicht die rust op IT-leveranciers.
Feiten
In december 2017 hebben Blok (een leverancier van mechanische onderdelen) en IT-support (later gefuseerd met de landelijke ICT-dienstverlener “Hallo”) een overeenkomst van opdracht gesloten, op grond waarvan Hallo het ICT-beheer voor Blok zou gaan verzorgen. Een dagelijkse back-up controle maakte uitdrukkelijk onderdeel uit van de werkzaamheden van Hallo. Ieder kwartaal werd hieromtrent een rapportage verstuurd aan Blok.
Op de overeenkomst waren de Nederland ICT-voorwaarden (thans NLdigital) van toepassing. Dit zijn de standaard algemene voorwaarden binnen de ICT-branche die door veel IT-leveranciers worden gehanteerd. Deze zijn leverancier-vriendelijk van aard.
In juni 2022 werd nogmaals een overeenkomst gesloten, voor een upgrade van de server waar een belangrijk systeem van Blok op draaide. Blok constateerde op 2 oktober 2024 dat zij geen toegang meer had tot het belangrijke systeem. De volgende dag bleek dat zowel deze server waar dit systeem op draaide, als nog enkele andere servers waren gecrasht. Hallo ging over tot het plaatsen van nieuwe servers. Dan wordt duidelijk dat Hallo abusievelijk vanaf juli 2022 back-ups is blijven maken van de oude server en dus niet van de nieuwe geüpgradede server (die in juni 2022 was geïnstalleerd). Alle data van die betreffende server was definitief verloren gegaan.
Blok heeft vervolgens Hallo aansprakelijk gesteld voor het dataverlies. Hallo erkent dat de back-up niet goed gegaan is, maar stelt dat zij de afspraken uit de overeenkomst niet heeft geschonden. Zij biedt een schikkingsbedrag aan ter hoogte van € 150.000,00, en verwijst daarbij naar de aansprakelijkheidsbeperking (een zogenaamd “exoneratiebeding”) zoals opgenomen in artikel 16.1 van de Nederland ICT-voorwaarden. Op grond hiervan is zij slechts aansprakelijk tot het bedrag wat Blok jaarlijks voor haar dienstverlening betaald, in dit geval dus € 150.000,00. Blok wijst dit voorstel af en start een kort geding. In deze procedure vordert zij onder meer dat Hallo de door haar geleden schade volledig vergoed.
Uitspraak
Wel wanprestatie
De voorzieningenrechter oordeelt dat Hallo wel degelijk haar contractuele afspraken heeft geschonden. Op grond van de overeenkomst zou Hallo namelijk het complete ICT-systeem van Blok beheren. Het maken van back-ups van de nieuwe server en de controle daarop behoorden uitdrukkelijk tot deze werkzaamheden. Hallo was ook bekend was met het feit dat het op de server draaiende systeem van Blok essentieel was voor haar bedrijfsvoering, waardoor nog meer zorgvuldigheid mocht worden verwacht met betrekking tot het maken en zorgvuldig bewaren van recente back-ups. Blok mocht er ook op gerechtvaardigd vertrouwen dat Hallo de juiste back-ups maakte, omdat zij elk kwartaal een rapportage ontving waarin Hallo aangaf dat de back-ups succesvol werden gemaakt.
De rechter acht het dan ook onbegrijpelijk dat Hallo in de hoedanigheid van ICT-beheerder back-ups is blijven maken van de oude server, waardoor zij oordeelt dat Hallo toerekenbaar tekort is geschoten in de nakoming van een zogenaamde kernverplichting. Dat een kernverplichting is geschonden, speelt mee bij de bepaling van het schadebedrag.
Geen aansprakelijkheidsbeperking
Gezien de wanprestatie van Hallo, ontstaat een schadevergoedingsplicht. Hallo beroept zich daarbij wederom op de aansprakelijkheidsbeperking die is opgenomen in artikel 16 van de Nederland ICT-voorwaarden.
De voorzieningenrechter oordeelt dat Hallo zich daarop in dit geval niet kan beroepen omdat Hallo door het niet maken van de juiste back-ups een kernverplichting heeft geschonden. En dat terwijl haar kwartaalrapportages Blok in de waan hield dat er niks aan de hand was. Ook het controlesysteem van Hallo functioneerde dus niet (deugdelijk). Deze tekortkoming, in combinatie met het feit dat niet over de branchevoorwaarden kon worden onderhandeld en Hallo door toewijzing van de vorderingen niet in onoverkomelijke financiële moeilijkheden komt, maakt dat de rechter het beroep op het exoneratiebeding naar redelijkheid en billijkheid onaanvaardbaar acht. Hallo dient dan ook als voorschot op de schadevergoeding een bedrag van ruim € 370.000,00 aan Blok te betalen.
Exoneratiebedingen: een secure klus
Dit vonnis is lezenswaardig, omdat (i) een beroep op het exoneratiebeding uit de veelgebruikte ICT-branchevoorwaarden onaanvaardbaar werd geacht en er mede daardoor (ii) in een kort geding een voorschot op een substantiële schadevergoeding wordt toegewezen terwijl rechters hierbij normaliter terughoudend zijn. In dit geval lijkt mij hier wel wat voor te zeggen, nu de vakkundige IT-leverancier niet alleen haar (kern)verplichting schond met betrekking tot het maken van de (juiste) back-ups, maar ook middels de periodieke rapportage herhaaldelijk tegenover de klant heeft bevestigd dat alles naar behoren functioneerde.
Anderzijds blijkt uit jurisprudentie van de Hoge Raad dat in geval van een schending van een kernverplichting een beroep op een exoneratie niet per definitie onaanvaardbaar is. Een dergelijk beding ziet veelal juist op schending van de hoofdverplichting, aangezien deze voor de opdrachtnemer het meeste risico met zich mee brengt. Ter vergelijking kan men denken aan het niet halen van bepaalde service levels op grond van een service level agreement (SLA), wat kan worden gezien als een schending van een kernverplichting. In veel gevallen wordt dan een vaste direct opeisbare boete uitgekeerd. Dit boetebedrag treedt dan in feite in de plaats van de daadwerkelijk geleden schade van de afnemer (indien niet is afgesproken dat de boete het recht op schadevergoeding onverlet laat).
Bovendien is er de laatste jaren een tendens zichtbaar waarbij voor IT-leveranciers een vergaande zorgplicht geldt en zij dus (nog) meer verantwoordelijkheid dragen voor de zorgvuldige uitvoering van IT-gerelateerde opdrachten. In dat kader lijkt het beperken van de aansprakelijkheid tot in ieder geval een bepaald maximum en/of bepaalde soorten schade geen onnodige luxe. Het is daarom te adviseren om een exoneratiebeding secuur op te (laten) stellen, om het risico te verkleinen dat een beroep daarop onaanvaardbaar wordt geacht.
Onze advocaten van de sectie IE, IT en privacy helpen u hierbij graag verder.
Neem contact op