Door de vele technische ontwikkelingen die elkaar in hoog tempo opvolgen staat het IT-recht nooit stil. Jurisprudentie biedt ons waardevolle inzichten in hoe deze regels in de praktijk worden toegepast en geïnterpreteerd. In deze blog bespreken we recente uitspraken die het IT-recht verder vormgeven.
Geen backups, spijt te laat
In een recente procedure heeft een IT-leverancier niet voldaan aan één van de kernverplichtingen uit de ICT-overeenkomst en dient zij een schadevergoeding te betalen aan de wederpartij.
Wat was er aan de hand?
In december 2017 hebben een leverancier van mechanische onderdelen (genaamd Blok) en IT-dienstverlener (genaamd Hallo) een overeenkomst van opdracht gesloten, waarbij Hallo het ICT-beheer voor Blok zou gaan verzorgen. Op de overeenkomst waren de standaard algemene voorwaarden voor de ICT-branche (NLdigital) van toepassing. Eén van de (kern)verplichtingen uit de overeenkomst voor Hallo was een dagelijkse back-upcontrole, waarbij ieder kwartaal een rapportage werd verstuurd naar Blok.
In juni 2022 werd opnieuw een overeenkomst gesloten om te upgraden naar een nieuwe server waar een systeem van Blok op draaide. Ook hier werden elk kwartaal rapportages verstuurd naar Blok, waarbij werd aangegeven dat alle servers en back-ups naar behoren functioneerden en werd expliciet aandacht besteed aan de nieuwe server. Blok constateerde in oktober 2024 dat zij geen toegang meer had tot het systeem door een crash in de server. De bedrijfsvoering van Blok kwam stil te liggen. Bij het plaatsen van nieuwe servers door Hallo werd duidelijk dat zij al die tijd back-ups heeft gemaakt van de oude server, in plaats van de nieuwe server. Alle data van de nieuwe server was verloren gegaan.
Blok heeft Hallo aansprakelijk gesteld wegens wanprestatie, omdat Hallo geen back-ups van de nieuwe server had gemaakt. Hallo erkent dat de back-ups niet goed zijn gegaan, maar neemt het standpunt in dat zij wél heeft voldaan aan de contractuele verplichtingen. Hallo heeft Blok een schikking voorgesteld van €150.000,- ter betaling als schadevergoeding, met aftrek van de reeds door Hallo voor Blok gemaakte kosten. Hallo verwijst hierbij naar de aansprakelijkheidsbeperking uit de overeenkomst. Op grond van deze beperking is Hallo slechts aansprakelijk tot het bedrag wat Blok jaarlijks voor de dienstverlening betaalt en dat zou in dit geval €150.000,- zijn. Blok is niet akkoord gegaan met het voorstel en start een kort geding.
Wat zegt de rechter?
De voorzieningenrechter maakt korte metten en oordeelde dat Hallo wel degelijk is tekortgeschoten in haar verplichtingen door geen back-ups te maken van de nieuwe server. Ook was Hallo bekend met het feit dat het systeem van Blok dat op de server draaide, essentieel was voor de bedrijfsvoering van Blok. Juist vanwege de uitgebreide rapportages en de bevestiging van de back-ups van de nieuwe server mocht Blok erop vertrouwen dat Hallo regelmatig back-ups maakte van de nieuwe server.
Over het aansprakelijkheidsbeding zegt de rechter dat Hallo zich hier niet op kan beroepen, omdat het gaat om een geschonden kernverplichting. Daarnaast staat het bedrag van €150.000,- niet in verhouding tot de ontstane schade van Blok.
Dat het gaat om een geschonden kernverplichting speelt een rol bij de hoogte van het schadebedrag. Hallo wordt veroordeeld tot betaling van een voorschot op de schadevergoeding van €368.861,73,- en een dagelijkse schadevergoeding van €5.308,- vanaf 25 oktober 2024 tot 19 november 2024. Een flink verschil met de aansprakelijkheidsbepaling, dus!En dat alles in kort geding.
Prejudiciële vragen aan het Hof van Justitie over collectieve actie tegen Amazon
In een collectieve actie van Stichting Data Bescherming Nederland ('SDBN') tegen Amazon heeft de rechtbank Rotterdam besloten prejudiciële vragen te stellen aan het Hof van Justitie van de Europese Unie ('HvJ EU’).
Wat was er aan de hand?
SDBN komt op voor de belangen van ongeveer 5 miljoen accounthouders van Amazon. SDBN stelt dat Amazon persoonsgegevens van de accounthouders in strijd met de Algemene verordening gegevensbescherming (‘AVG’) verwerkt. De vermeende overtreding bestaat volgens SDBN onder andere uit een onvoldoende adequate beveiliging van de persoonsgegevens en een privacyverklaring die in strijd is met de AVG.SDBN wil dat Amazon hiermee stopt en dat Amazon zowel de materiële als de immateriële schade van haar achterban vergoedt.
Naast de vermeende overtreding van de AVG spelen er vragen over de bevoegdheid van de rechter en het toepasselijk recht. Ook rijst de vraag of SDBN ontvankelijk is om deze collectieve actie in te stellen op grond van de Wet afwikkeling massaschade in collectieve actie (‘WAMCA’) en artikel 80, lid 1 AVG. Omwille van de omvang van dit blog wordt alleen ingegaan op de ontvankelijkheid van SDBN.
Voor de ontvankelijkheid van de collectieve vorderingen op grond van zowel de WAMCA als de AVG geldt een aantal vereisten. Deze eisen lopen voor een groot deel parallel aan elkaar, maar komen niet volledig overeen. Zo moet SDBN op grond van de WAMCA voldoende representatief zijn, gelet op de achterban en de omvang van de vertegenwoordigde vorderingen, terwijl artikel 80, lid 1 AVG op het punt van representativiteit geen eisen stelt aan de belangenorganisatie. Dat betekent dat voor vorderingen op grond van de AVG voor belangenorganisaties in Nederland ingevolge de WAMCA deels nadere eisen gelden. De vraag is of de WAMCA daarmee in de weg staat aan een effectieve werking van de AVG.
Amazon stelt dat SDBN niet ontvankelijk is op grond van de WAMCA en de AVG, omdat zij niet voldoet aan het representativiteitsvereiste. Verder stelt Amazon dat SDBN niet actief is op het gebied van gegevensbescherming, dat de belangen van de achterban onvoldoende gelijksoortig zijn en dat SDBN zich laat leiden door winstoogmerk, omdat SDBN een ‘procesfinancier’ heeft. Ten slotte voert Amazon aan dat SDBN zonder opdracht van haar achterban optreedt en dat er geen schadevergoeding gevorderd kan worden. SDBN betwist deze stellingen.
Prejudiciële vragen
Over de vraag of SDBN zonder expliciete opdrachten van haar achterban schadevergoeding kan vorderen rijst onduidelijkheid. Daarom stelt de rechtbank Rotterdam de volgende prejudiciële vragen aan het HvJ EU:
- Verzetten de eisen die artikel 80 lid 1 AVG stelt aan belangenorganisaties zich ertegen dat lidstaten in hun nationale regelgeving aanvullende ontvankelijkheidseisen stellen aan belangenorganisaties die namens betrokkenen vorderingen instellen op grond van de AVG?
- Zijn de ontvankelijkheidseisen in de WAMCA geoorloofd in het licht van artikel 80, lid 1 AVG als belangenorganisaties een collectieve schadevergoedingsactie willen instellen tegen een verwerkingsverantwoordelijke of verwerker wegens schendingen van de AVG?
- >Staat het opdrachtbegrip in artikel 80, lid 1 AVG en/of het bepaalde in artikel 80, lid 2 AVG in de weg aan een nationale regeling op grond waarvan een belangenorganisatie, die voldoet aan de eisen van artikel 80 lid 1 AVG, een collectieve schadevergoedingsvordering kan instellen ten behoeve van betrokkenen tegen een verwerkingsverantwoordelijke of verwerker vanwege schendingen van de AVG, terwijl die belangenorganisatie op dat moment (nog) geen expliciete opdracht heeft van betrokkenen?
- In hoeverre is het relevant dat die nationale regelgeving betrokkenen de mogelijkheid biedt om op twee momenten schriftelijk te kunnen kiezen om geen gebruik te maken van het optreden door de belangenorganisatie, namelijk binnen de termijn na aanwijzing van de belangenorganisatie door de rechtbank en binnen de termijn na het sluiten van een vaststellingsovereenkomst tussen partijen?
De beslissing van het HvJ EU in deze zaak zal een belangrijke rol spelen bij toekomstige collectieve rechtszaken op basis van de AVG in Nederland. Het zal duidelijk worden hoe ver de WAMCA reikt en welke mogelijkheden belangenorganisaties hebben om namens getroffen partijen op te treden in kwesties rondom privacy.
Schriftelijk is niet altijd via de mail
Een ICT-dienstverlener (Xiab) had een overeenkomst met haar opdrachtgever (Contourdetwern) voor het leveren van een softwareapplicatie. Na verlenging van de overeenkomst heeft Contourdetwern de overeenkomst opgezegd. Xiab betwist dat Contourdetwern rechtsgeldig heeft opgezegd, omdat zij niet heeft voldaan aan het schriftelijkheidsvereiste dat was overeengekomen. De titel verraadt de uitkomst al: de opzegging was volgens het hof wel schriftelijk gedaan.
Wat was er aan de hand?
Op 22 augustus 2016 sloten Xiab en Contourdetwern een overeenkomst waarbij Xlab een softwareapplicatie (genaamd BLIK) leverde. De overeenkomst liep tot 30 juni 2021, met automatische verlenging van 5 jaar, tenzij drie maanden van tevoren schriftelijk werd opgezegd. Medio 2020 heeft Contourdetwern aan Xiab kenbaar gemaakt op zoek te gaan naar een nieuwe softwareapplicatie. In oktober 2020 is de hoofdovereenkomst verlengd voor zes maanden van 1 juli 2021 tot en met 31 december 2021, om Contourdetwern tijd te geven een nieuwe softwareoplossing te selecteren. Op 8 juni 2021 heeft Contourdetwern in een e-mail aan Xiab geschreven dat zij graag samen willen kijken naar de overgang op een nieuwe applicatie en wat daarvoor nodig is. Op 4 november 2021 bevestigde Contourdetwern per e-mail de beëindiging van de overeenkomst per 1 januari 2022. Deze beëindiging was eerder telefonisch aangekondigd en besproken in een Teams-overleg. Xlab betoogt dat de verlengingsovereenkomst is doorgelopen voor de in de hoofdovereenkomst overeengekomen periode van vijf jaar, omdat de verlengingsovereenkomst niet is opgezegd conform het schriftelijkheidsvereiste en vordert nakoming van een betalingsverplichting.
Wat zegt de rechter?
Het hof gaat mee met de beslissing in eerste aanleg en gaat er bij de beoordeling van uit dat de overeenkomst moest worden opgezegd en niet van rechtswege zou eindigen. De verlengingsovereenkomst kon rechtsgeldig worden opgezegd als dat schriftelijk gebeurde vóór 1 oktober 2021 en Xiab dat per e-mail bevestigde. Een dergelijk schriftelijkheidsvereiste heeft tot doel om te voorkomen dat bij partijen onduidelijkheid bestaat over de vraag of en zo ja op welke datum is opgezegd.
Van belang is dat de verlengingsovereenkomst was aangegaan met als doel om Contourdetwern eenmalig extra tijd te geven om te komen tot een keuze voor een nieuwe applicatie. Contourdetwern heeft er geen twijfel over laten bestaan dat het haar bedoeling was om over te gaan op een nieuwe softwareapplicatie van een andere partij. Wat ook meespeelt is dat Xiab tijdens de verlengingsovereenkomst heeft meegewerkt aan de conversie naar een nieuwe applicatie. Als Xiab twijfelde over de opzegging en zij aansprakelijkstelling door Contourdetwern vreesde als zij de applicatie mogelijk ten onrechte stop zou zetten op 1 januari, dan had het op de weg van Xiab gelegen om bij Contourdetwern opheldering hierover te vragen. Xiab heeft dat niet gedaan, waardoor eventuele onduidelijkheid voor haar rekening komt. De e-mail van 8 juni 2021 kwalificeert dan ook als schriftelijke opzegging van de verlengingsovereenkomst. Het beroep van Xiab op het schriftelijkheidsvereiste voor opzegging is naar maatstaven van redelijkheid en billijkheid onaanvaardbaar.
Heb je vragen over één van de onderwerpen in dit blog? Neem gerust contact met ons op.
