Er zijn maar weinig onderdelen in een ICT-contract die zo hevig bediscussieerd worden als de aansprakelijkheidsregeling. Dat is ook niet verwonderlijk: de ICT is een jong vakgebied en geen enkele ICT-oplossing is écht bullet proof. Ook gerenommeerde ICT-leveranciers kampen regelmatig met beveiligingsproblemen, storingen, datalekken en ander onheil. Dat soort voorvallen kunnen al snel in de papieren lopen. Het maken van duidelijke contractuele afspraken is dan ook een absolute must. Maar waar moet je nou op letten? In deze blog bespreken we de belangrijkste valkuilen.
De kern van een aansprakelijkheidsclausule is dat er een zekere limiet moet worden ingesteld. Soms wordt er gewoon een concreet bedrag genoemd, in andere gevallen wordt de aansprakelijkheid beperkt tot een X-aantal keer de contractwaarde of een X-aantal facturen. Deze varianten hebben ieder hun voor- en nadelen. Zo kan een koppeling met eerdere facturen handig zijn in duurovereenkomsten. Wordt het dienstenpakket van de klant in de loop der tijd op- of afgeschaald, dan ‘groeit’ of ‘krimpt’ het risico voor de ICT-leverancier automatisch mee.
Welke vorm men ook kiest, van belang is om kritisch te kijken naar de manier waarop het maximumbedrag wordt vastgesteld. Geldt de limiet bijvoorbeeld ‘per gebeurtenis’ of ‘per jaar’? Een aansprakelijkheidsbeperking ‘per gebeurtenis’ is voer voor discussie. Want is die mislukte implementatie nou het gevolg van één fout, of zijn er in de loop der tijd meerdere dingen fout gegaan die telkens nieuwe schade hebben veroorzaakt? Dergelijke discussies wil je (in ieder geval als ICT-leverancier) natuurlijk liever voorkomen. Een limiet ‘per jaar’ is dan ook zeer aan te bevelen.
Wordt er een link gelegd met de contractwaarde, bekijk dan kritisch of het redelijk is om alle kosten mee te laten tellen. Stel dat er bij aanvang van het contract flink geïnvesteerd moet worden in hardware (waarop een zeer beperkte marge zit voor de ICT-leverancier), terwijl de doorlopende licentie helemaal niet zo duur is. Is het dan redelijk om die aangeschafte hardware mee te laten tellen voor de aansprakelijkheidslimiet? En een beetje flauw maar wel verstandig om te expliciteren: wordt er bij een claim gekeken naar het factuurbedrag ‘inclusief’ of ‘exclusief’ btw? En gaat het dan om ‘betaalde’ of ‘verschuldigde’ bedragen?
Men ziet ook nog wel eens dat er in de aansprakelijkheidsregeling een koppeling gemaakt wordt met de verzekering van de ICT-leverancier. Om verschillende redenen ben ik hier (in de meeste gevallen) geen voorstander van. De belangrijkste reden is dat de ICT-leverancier rekening moet houden met de belangen van al zijn klanten. Stel dat de leverancier aan klant A toezegt dat hij aanspraak kan maken op het volledige verzekerde bedrag. Dan roept hij daarbij indirect óók een risico in het leven voor klant B, klant C en zo verder. In het geval dat klant A een grote claim heeft, dan lopen zíj immers het risico om met lege handen achter te blijven als er aan hun kant een keer problemen zijn.
In menig ICT-contract wordt ook onderscheid gemaakt tussen ‘directe’ en ‘indirecte’ schade. Alleen de directe schade kan dan verhaald worden. Van belang is om in gedachte te houden dat dit geen vastomlijnde begrippen zijn. In het contract zelf zal dus moeten worden uitgewerkt wat er als direct of indirect wordt gezien. Let er daarbij op dat je niet van beide begrippen een limitatieve omschrijving opneemt. Alle schadeposten die niet als direct of indirect zijn aangemerkt, vallen dan immers tussen wal en schip.
De definities van directe en/of indirecte schade lijken misschien een stukje boilerplate, maar met name voor de afnemer is het zeer belangrijk om hier kritisch naar te kijken. Vaak worden deze definities namelijk ingekleurd door de ICT-leverancier, en die heeft er uiteraard belang bij om zoveel mogelijk risico’s weg te schrijven. Dat kan tot erg eenzijdige en onredelijke teksten leiden.
Om schadevergoeding te kunnen vorderen, moet daar natuurlijk wel een grondslag voor zijn. Die grondslag is vrijwel altijd gelegen in ‘wanprestatie’, oftewel het niet voldoen aan contractuele verplichtingen. Van belang is daarom om bij de beoordeling van de aansprakelijkheidsregeling óók de rest van het contract in ogenschouw te nemen. Menig ICT-contract is namelijk ingestoken op basis van best effort, wat zoveel wil zeggen als “ik doe mijn best, maar kan niet beloven dat het lukt”. Om in zo’n contract succesvol schadevergoeding te kunnen vorderen, valt nog niet mee. Het feit dat de ICT-oplossing niet naar behoren werkt is daarvoor niet voldoende; dat heeft de leverancier immers niet beloofd. Hij heeft enkel toegezegd “zijn best te doen”. En bewijzen dat iemand niet “zijn best heeft gedaan”, dat valt nog niet mee. Een contract met een hoge aansprakelijkheidslimiet, maar volledig gebaseerd op best effort clausules, biedt dus nog steeds weinig zekerheid.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.