Op 14 april 2020 heeft het Gerechtshof van Amsterdam een interessant arrest gewezen dat betrekking heeft op een Service Level Agreement (SLA). Het ging in deze zaak om een afnemer die met een ICT-leverancier een SLA had gesloten voor het beheer en onderhoud van haar ICT-systeem. Uit de SLA volgde onder meer de verplichting voor de leverancier om adequate back-ups te maken. Op 21 juni 2016 heeft afnemer de SLA beëindigd en op 1 augustus 2016 is een andere leverancier aan de slag. In de dat de afnemer even geen leverancier had, werd zij getroffen door een ransomware-aanval. Er bleek echter geen goede back-up voorhanden te zijn, waardoor de afnemer veel losgeld heeft moeten betalen.
Rechtszaak
De afnemer stapt vervolgens naar de rechter en vordert dat de eerste ICT-leverancier wordt veroordeeld tot betaling van schadevergoeding. Zij meent namelijk dat de leverancier toerekenbaar tekort is geschoten in de nakoming van de verplichting tot het maken van adequate back-ups.
Service Level Agreement.
Een SLA is een contract dat veel wordt gebruikt door ICT-leveranciers. In een SLA worden afspraken gemaakt over de kwaliteit van de dienstverlening. Zo kan men in een SLA afspraken vastleggen over de beschikbaarheid van een dienst, uptime, downtime, onderhoud, back-ups, service-uren, helpdesk etc. Belangrijk uitgangspunt daarbij is dat de professionele ICT-leverancier een aanzienlijke zorgplicht heeft tegenover zijn, vaak niet ter zake deskundige, klant. Voor meer informatie over die zorgplicht verwijzen wij u naar onze eerdere blog.
Oordeel Gerechtshof Amsterdam
In deze zaak werd in de SLA dus onder meer afgesproken dat de ICT-leverancier verplicht was tot het maken van adequate back-ups. Het hof oordeelt dat de leverancier ervoor had moeten zorgen dat er op 21 juni 2016, de dag dat de SLA eindigde, een recente volledige back-up aanwezig was. Aangezien de laatste back-up dateerde van 29 april 2016, werd door het hof geoordeeld dat de leverancier tekortgeschoten was in de uitvoering van de SLA. Feitelijk heeft zij daarmee haar zorgplicht verzaakt.
Toch meent het hof dat een groot deel van de schade te wijten is aan eigen schuld van de klant. Het hof vindt de omstandigheid dat appellante getroffen kon worden door een ransomware-blokkade namelijk in overwegende mate aan klant zelf toe te rekenen. Zij had er immers zelf voor gekozen om pas na een aanzienlijke tijd (zes weken) na de beëindiging van de eerste SLA, een leverancier te laten beginnen. De schade is daarom volgens het hof voor twee/derde te wijten aan de afnemer zelf.
Dat is opvallend omdat daarmee de verantwoordelijkheid voor een groot deel bij de klant wordt neergelegd. De zorgplicht van de leverancier reikt in deze dus ook weer niet zover dat de schade in dit geval volledig vergoed moet worden.
Op basis van eerdere zorgplicht-jurisprudentie adviseren wij ICT-leveranciers echter desondanks om bij beëindiging van de contracten met klanten, die klanten op de eventuele risico’s van die beëindiging te wijzen. Dat wil niet zeggen dat ze niet mogen opzeggen, maar als de klant op de hoogte is van de risico’s, dan kan zij zelf maatregelen nemen om die risico’s te mitigeren. Daarmee verklein je als leverancier ook je eigen verantwoordelijkheid en aansprakelijkheid.
Heeft u ook een SLA en wilt u weten of de afspraken goed zijn? Denkt u dat uw leverancier de afspraken niet nakomt of wilt u weten wat uw rechten zijn? Wij staan zowel leveranciers als afnemers bij. Meer weten? Vraag het onze specialisten.