Wie is aansprakelijk voor dataverlies bij een IT-migratie?

Geplaatst op 29-05-2026

Een overstap naar een nieuwe IT-omgeving gaat helaas niet altijd zonder slag of stoot. Als je niet oppast kan maar zo data verloren gaan. Wie is daar dan voor verantwoordelijk ? De oude leverancier, de nieuwe leverancier of de klant zelf? Deze vraag stond onlangs centraal bij het gerechtshof Amsterdam. 

IT-leverancier altijd aansprakelijk voor dataverlies? Zeker niet!

Bij een overstap naar een nieuwe IT-omgeving worden vaak verschillende werkzaamheden uitgevoerd. Denk aan het aanmaken van nieuwe accounts, het overnemen van beheer, het inrichten van SharePoint of het migreren van mailboxen.

Dat betekent echter niet automatisch dat de IT-leverancier ook verantwoordelijk is voor het overzetten of veiligstellen van álle bedrijfsdata. Daarvoor is vooral belangrijk wat partijen precies hebben afgesproken. Afspraken m.b.t. een migratie worden vaak vastgelegd in een IT-overeenkomst. Wat er in zo’n overeenkomst moet staan, wordt niet per se door de wet voorgeschreven. De wet kent immers niet een speciale regeling voor IT-overeenkomsten, anders dan bijvoorbeeld bij arbeidsovereenkomsten. Wel geldt vaak het juridisch kader van de zogenaamde ‘overeenkomst van opdracht’. Partijen hebben echter een grote mate van contractsvrijheid. Dat betekent dat voor de vraag wat partijen van elkaar mochten verwachten, vooral ook naar de inhoud van de afspraken en – als die onduidelijk is – naar de bedoeling van partijen gekeken moet worden. 

Wat was er aan de hand? 

Hoe zat dat nu in de kwestie bij het hof Amsterdam? Een klant stapte in 2019 over van haar oude IT-leverancier naar een nieuwe IT-leverancier genaamd OfficeGrip. In de oude omgeving van de klant stonden onder meer bestanden op een cloud drive, OneDrive en SharePoint.

De oude IT-leverancier heeft aan de klant laten weten dat bepaalde data per 30 juni 2019 zouden worden verwijderd. Om gegevens veilig te stellen, maakte OfficeGrip een tijdelijke SharePoint back-upsite aan. De klant kon daar zelf bestanden plaatsen die bewaard moesten blijven.

Later stelde de klant dat belangrijke data verloren was gegaan. Volgens haar had OfficeGrip moeten zorgen voor het veiligstellen van de gegevens, het herstellen van bestanden uit de prullenbak en het voorkomen van verdere problemen. OfficeGrip betwistte dat zij daarvoor verantwoordelijk was. De klant startte een procedure. 

Wat oordeelde het hof? Doorslaggevend zijn de concreet gemaakte afspraken in de IT-overeenkomst! 

Het hof oordeelde dat OfficeGrip niet aansprakelijk was voor het dataverlies. Doorslaggevend hierbij was vooral dat datamigratie geen onderdeel was van de opdracht. In deze zaak was in de IT-overeenkomst duidelijk opgenomen welke onderdelen wel en niet waren inbegrepen. De datamigratietool stond op het aantal ‘0’ en maakte dus geen onderdeel uit van de opdracht.

Dat OfficeGrip in correspondentie sprak over een migratie, betekende volgens het hof niet dat zij ook alle bestanden van de klant moest overzetten. Het hof maakt dus een onderscheid tussen ‘migratie’ en ‘datamigratie’. Het ging deels om andere werkzaamheden, zoals mailboxmigratie en inrichting van de nieuwe omgeving. Ook benadrukt het hof dat OfficeGrip juist in latere e-mails heeft benadrukt dat de klant de data die ‘mee moet’ zelf moet kopiëren naar de SharePoint back-upsite. 

Ook vond het hof belangrijk dat de klant onvoldoende concreet had onderbouwd welke bestanden precies verloren waren gegaan, of klant aan OfficeGrip (tijdig) had gevraagd die veilig te stellen, of die bestanden nog hersteld konden worden en waarom OfficeGrip daarvoor verantwoordelijk was.

Overigens valt op dat er weinig aandacht wordt besteed aan de zogeheten waarschuwings-/zorgplicht van IT-leveranciers, die vergaande verplichtingen met zich kan brengen. Wilt u daar meer over weten? In een eerder item zijn wij daar dieper op ingegaan.  

Wat kunt u van deze uitspraak leren? 

Deze uitspraak laat goed zien dat een IT-migratie niet alleen een technische kwestie is, maar ook een juridische. In de praktijk kunnen namelijk geschillen ontstaan doordat partijen verschillende verwachtingen hebben over: 

  • of en welke data wordt overgezet;
  • wie verantwoordelijk is voor het maken van back-ups;
  • wie oude systemen mag afsluiten;
  • wie controleert of bestanden volledig zijn veiliggesteld;
  • wat er gebeurt als data in de prullenbak of oude omgeving terechtkomt. 

Zeker als uw onderneming werkt met persoonsgegevens of andere gevoelige informatie, is onduidelijkheid hierover een groot risico.

Vertrouw bij een IT-migratie dus nooit alleen op algemene bewoordingen zoals ‘beheer’, ‘implementatie’ of 'migratie’. Maak concrete afspraken en gebruik daarbij de juiste bewoordingen, zodat daar zo min mogelijk discussie over kan bestaan. Voor IT-leveranciers geldt exact hetzelfde. Leg duidelijk vast wat u wel doet, maar ook wat u niet doet. Daarmee voorkomt u discussie achteraf.

Wanneer dergelijke afspraken ontbreken, kan dat leiden tot aanzienlijke schade en complexe aansprakelijkheidskwesties. 

Wij hebben ervaring met het opstellen van IT-contracten en geschillen over IT-contracten. Heeft u een conflict met een IT-leverancier of wilt u vooraf duidelijke afspraken maken? Wij denken graag met u mee.

Uitspraak: ECLI:NL:GHAMS:2026:595.

Martijn 1

Meer weten over dit onderwerp of een andere vraag?

meer over Martijn Kortier mail Martijn Kortier

Wij plaatsen functionele en analytische cookies. Eventueel kunnen derde partijen tracking cookies plaatsen. U dient daar dan eerst mee akkoord te gaan. Lees meer in onze Privacyverklaring