Mag je als clouddienstverlener data gijzelen als er niet wordt betaald? Klinkt hard, maar in de ‘gewone’ offline wereld kan een fietsenmaker of keukenleverancier dat gewoon doen. Dat heet retentierecht. Maar kan dit ook bij data?
In een eerdere blog schreef ik over de problemen rondom de juridische determinatie van het begrip ‘data’. Conclusie was dat ‘data’ juridisch gezien niks is en dat er dus duidelijk afspraken gemaakt moeten worden wanneer data van de ene partij in de macht van een ander is. Met name bij clouddiensten komt deze situatie veel voor. De afnemer van een clouddienst voert allerlei informatie in via de dienst die vervolgens wordt opgeslagen op de servers van de clouddienstverlener. Dit geeft de clouddienstverlener een bepaalde macht, en die macht kan gebruikt en misschien wel misbruikt worden.
Tussen clouddienstverlener en afnemer kunnen conflicten ontstaan over de dienstverlening. Waar de onenigheid ook door is ontstaan, het gevolg is vaak een opschorting van de betaling door de afnemer. De afnemer zal dan aanmaningen sturen maar die leveren niet altijd het gewenste effect op. Uiteindelijk is de relatie tussen partijen dan dusdanig verziekt dat de afnemer een andere partij zal zoeken. Uiteraard wil hij wel eerst zijn data exporteren naar de nieuwe clouddienstverlener. Een clouddienstverlener kan hier weigeren zijn medewerking aan te verlenen totdat de openstaande rekeningen betaald zijn. Is dit juridisch in de haak?
We horen wel eens dat een clouddienstverlener in zo’n geval een beroep doet op het ‘retentierecht’. Laten we eens kijken of dat juist is.
Het retentierecht is de bevoegdheid die in de bij de wet aangegeven gevallen aan een schuldeiser toekomt, om de nakoming van een verplichting tot afgifte van een zaak aan zijn schuldenaar op te schorten totdat de vordering wordt voldaan. (art 3:290 BW)
Denk hierbij aan een automonteur die de gerepareerde auto niet mee hoeft te geven zolang de rekening voor de reparatie niet is voldaan. Als we deze situatie nu verplaatsen naar een clouddienst waarbij de clouddienstverlener de rol van de automonteur speelt en de afnemer de eigenaar van de auto is lijkt de vergelijking goed te gaan. De clouddienstverlener is schuldeiser ten aanzien van de onbetaalde facturen en de afnemer eist afgifte van zijn data.
Probleem zit hem in de vergelijking tussen de auto en de data. Een auto is een ‘zaak’ en data is dat niet. De wettekst laat er geen misverstand over bestaan dat het hier om een zaak moet gaan. De gedachte hierachter is dat er sprake moet zijn van feitelijke macht. Zaken zijn stoffelijke objecten en daarvan is het duidelijk te zien wie daar de macht over uitvoert. Data is iets ongrijpbaars en dus geen zaak. Het uitvoeren van een retentierecht lijkt daarom ten aanzien van data niet gerechtigd. Een beroep op dit artikel helpt je als clouddienstverlener niet verder. Retentierecht op data is dus onzin.
Wat kan een clouddienstverlener dan wel doen? Een clouddienstverlener zou wel een beroep kunnen doen op artikel 6:52 BW en 6:262 BW, het opschortingsrecht. Op grond van deze artikelen is het wél mogelijk om de toegang tot de data te ontzeggen. Bij opschorting kan de prestatie (toegang verlenen tot de data) worden opgeschort zolang de rekeningen niet zijn betaald. Feitelijk gebeurt hier hetzelfde maar dan op basis van een andere rechtsgrond. Van een retentierecht is in zo’n situatie echter nooit sprake.
Wat zou je kunnen afspreken om bovenstaande situatie te voorkomen? Een drietal tips:
1. Maak als afnemer van een clouddienst een back-up van je (belangrijkste) data op eigen systemen of op die van een onafhankelijke derde.
2. Spreek met elkaar af dat de beschikbaarheid van data gegarandeerd wordt ondanks opschorting.
3. Sluit het opschortingsrecht volledig uit.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.