IT-jurisprudentieblog | januari 2025

    - / 27 January 2025

    Door de vele technische ontwikkelingen die elkaar in hoog tempo opvolgen staat het IT-recht nooit stil. Jurisprudentie biedt ons waardevolle inzichten in hoe deze regels in de praktijk worden toegepast en geïnterpreteerd. In dit blog bespreken we recente uitspraken die het IT-recht verder vormgeven.

    Geen backups gemaakt, data kwijt en spijt te laat:

    In deze zaak heeft de voorzieningenrechter in kort geding geoordeeld over het maken van back-ups als kernverplichting onder de gesloten overeenkomst tussen partijen. In december 2017 sloten Blok (leverancier van mechanische onderdelen) en Hallo (IT-dienstverlener) een overeenkomst van opdracht, waarbij Hallo het ICT-beheer voor Blok zou verzorgen. Hierop waren de NLdigital voorwaarden van toepassing. Een kernverplichting van Hallo was de dagelijkse back-upcontrole, met kwartaalrapportages aan Blok. In juni 2022 werd een nieuwe overeenkomst gesloten voor een serverupgrade. Ook hiervoor bleef Hallo verantwoordelijk voor back-ups en rapporteerde dat alles goed functioneerde, inclusief de nieuwe server. In oktober 2024 crashte de nieuwe server, waardoor Blok geen toegang meer had tot haar systeem en de bedrijfsvoering stilviel. Bij het vervangen van de server bleek dat Hallo alleen back-ups van de oude server had gemaakt, waardoor alle data van de nieuwe server verloren gingen. Blok stelde Hallo aansprakelijk wegens wanprestatie. Hallo erkende dat de back-ups niet goed waren gegaan, maar stelde dat zij contractueel had voldaan aan haar verplichtingen. Hallo bood een schikking van €150.000,- aan, onder verwijzing naar de aansprakelijkheidsbeperking in de overeenkomst. Volgens deze bepaling is Hallo slechts aansprakelijk tot het jaarlijkse bedrag dat Blok voor de diensten betaalt (€150.000,-). Blok weigerde de schikking en startte een kort geding.

    De voorzieningenrechter oordeelde dat Hallo wel degelijk is tekortgeschoten in haar verplichtingen door geen back-ups te maken van de nieuwe server. Ook was Hallo bekend met het feit dat het systeem van Blok dat op de server draaide essentieel was voor de bedrijfsvoering van Blok. Juist vanwege de uitgebreide rapportages en de bevestiging van de back-ups van de nieuwe server mocht Blok erop vertrouwen dat Hallo regelmatig back-ups maakte van de nieuwe server.

    Over het aansprakelijkheidsbeding zegt de rechter dat Hallo zich hier niet op kan beroepen, omdat het gaat om een geschonden kernverplichting. Daarnaast staat het bedrag van €150.000,- niet in verhouding tot de ontstane schade van Blok.

    Dat het gaat om een geschonden kernverplichting speelt een rol bij de hoogte van het schadebedrag. Hallo wordt veroordeeld tot betaling van een voorschot op de schadevergoeding van €368.861,73,- en een dagelijkse schadevergoeding van €5.308,- vanaf 25 oktober 2024 tot 19 november 2024. Een flink verschil met de aansprakelijkheidsbepaling dus!En dat alles in kort geding.

    Prejudiciële vragen aan het Hof van Justitie over collectieve actie tegen Amazon wegens schending AVG

    Stichting Data Bescherming Nederland (‘SDBN’) komt op voor de belangen van ongeveer 5 miljoen accounthouders van Amazon en is een collectieve actie tegen Amazon gestart wegens schending van Algemene verordening persoonsgegevens (‘AVG’). De vermeende overtreding bestaat volgens SDBN onder andere uit een onvoldoende adequate beveiliging van de persoonsgegevens en een privacyverklaring die in strijd is met de AVG. SDBN wil dat Amazon hiermee stopt en dat Amazon zowel de materiële als de immateriële schade van haar achterban vergoedt.

    Naast de vermeende overtreding van de AVG spelen er vragen over de bevoegdheid van de rechter en het toepasselijk recht. Ook rijst de vraag of SDBN ontvankelijk is om deze collectieve actie in te stellen op grond van de Wet afwikkeling massaschade in collectieve actie (‘WAMCA’) en artikel 80, lid 1 AVG. Omwille van de omvang van dit blog wordt alleen ingegaan op de ontvankelijkheid van SDBN.

    De ontvankelijkheidseisen onder de WAMCA en de AVG verschillen. Onder de WAMCA moet SDBN voldoende representatief zijn, terwijl artikel 80 AVG geen eisen stelt aan representativiteit. Dit roept de vraag op of de WAMCA de effectieve werking van de AVG belemmert.

    Amazon betwist de ontvankelijkheid van SDBN en voert aan dat:

    • SDBN niet representatief is;
    • SDBN geen actieve rol heeft op het gebied van gegevensbescherming;
    • De belangen van de achterban te weinig gelijksoortig zijn;
    • SDBN zich zou laten leiden door een winstoogmerk vanwege procesfinanciering;
    • SDBN zonder expliciete opdracht van haar achterban optreedt en geen schadevergoeding kan vorderen.

    Omdat hierover onduidelijkheid bestaat, stelt de rechtbank Rotterdam de volgende prejudiciële vragen aan het Hof van Justitie van de Europese Unie (‘HvJ EU’):

    1. Verzetten de eisen die artikel 80 lid 1 AVG stelt aan belangenorganisaties zich ertegen dat lidstaten in hun nationale regelgeving aanvullende ontvankelijkheidseisen stellen aan belangenorganisaties die namens betrokkenen vorderingen instellen op grond van de AVG?
    2. Zijn de ontvankelijkheidseisen in de WAMCA geoorloofd in het licht van artikel 80, lid 1 AVG als belangenorganisaties een collectieve schadevergoedingsactie willen instellen tegen een verwerkingsverantwoordelijke of verwerker wegens schendingen van de AVG?
    3. Staat het opdrachtbegrip in artikel 80, lid 1 AVG en/of het bepaalde in artikel 80, lid 2 AVG in de weg aan een nationale regeling op grond waarvan een belangenorganisatie, die voldoet aan de eisen van artikel 80 lid 1 AVG, een collectieve schadevergoedingsvordering kan instellen ten behoeve van betrokkenen tegen een verwerkingsverantwoordelijke of verwerker vanwege schendingen van de AVG, terwijl die belangenorganisatie op dat moment (nog) geen expliciete opdracht heeft van betrokkenen?
    4. In hoeverre is het relevant dat die nationale regelgeving betrokkenen de mogelijkheid biedt om op twee momenten schriftelijk te kunnen kiezen om geen gebruik te maken van het optreden door de belangenorganisatie, namelijk binnen de termijn na aanwijzing van de belangenorganisatie door de rechtbank en binnen de termijn na het sluiten van een vaststellingsovereenkomst tussen partijen?

    De beslissing van het HvJ EU in deze zaak zal een belangrijke rol spelen bij toekomstige collectieve rechtszaken op basis van de AVG in Nederland. Het zal duidelijk worden hoe ver de WAMCA reikt en welke mogelijkheden belangenorganisaties hebben om namens getroffen partijen op te treden in kwesties rondom privacy.

    Schriftelijkheidsvereiste bij commerciële contracten

    In deze uitspraak staat het schriftelijkheidsvereiste bij commerciële contracten centraal. Op 22 augustus 2016 sloten Xlab en Contourdetwern een overeenkomst voor de levering van een softwareapplicatie. De overeenkomst liep tot 30 juni 2021 en zou automatisch met 5 jaar verlengd worden, tenzij deze minstens drie maanden van tevoren schriftelijk werd opgezegd. In medio 2020 gaf Contourdetwern aan op zoek te gaan naar een nieuwe softwareapplicatie. Vervolgens werd in oktober 2020 de overeenkomst voor zes maanden verlengd (van 1 juli 2021 tot en met 31 december 2021) om Contourdetwern tijd te geven een alternatief te vinden. Op 8 juni 2021 stuurde Contourdetwern een e-mail aan Xlab waarin werd aangegeven te willen overleggen over de overgang naar een nieuwe applicatie. Op 4 november 2021 bevestigde Contourdetwern per e-mail dat de overeenkomst per 1 januari 2022 zou eindigen. Dit was eerder al telefonisch aangekondigd en besproken in een Teams-overleg. Xlab stelt echter dat de verlengingsovereenkomst zonder geldige opzegging is doorgezet voor de standaard verlengingsperiode van vijf jaar. Xlab beroept zich op het schriftelijkheidsvereiste in de hoofdovereenkomst en vordert nakoming van de betalingsverplichting voor de verlengde periode.

    Het hof volgt de beslissing in eerste aanleg en stelt vast dat de overeenkomst moest worden opgezegd en niet van rechtswege eindigde. De verlengingsovereenkomst kon rechtsgeldig worden opgezegd als dit schriftelijk vóór 1 oktober 2021 gebeurde, wat Contourdetwern per e-mail heeft bevestigd. Het schriftelijkheidsvereiste had als doel om onduidelijkheid te voorkomen over de opzegging en de einddatum. De verlengingsovereenkomst was specifiek bedoeld als tijdelijke verlenging om Contourdetwern extra tijd te geven voor de keuze van een nieuwe applicatie. Het hof stelt vast dat Contourdetwern duidelijk heeft gemaakt dat zij over wilde stappen op een andere softwareoplossing en dat Xlab hiervan op de hoogte was. Bovendien heeft Xlab meegewerkt aan de conversie naar de nieuwe applicatie, wat bevestigt dat zij bekend was met de beëindiging. Indien Xlab twijfelde over de opzegging, had het haar verantwoordelijkheid geweest om hier opheldering over te vragen bij Contourdetwern. Omdat Xlab dit niet heeft gedaan, komt eventuele onduidelijkheid voor haar rekening. De e-mail van 8 juni 2021 kwalificeert dan ook als schriftelijke opzegging van de verlengingsovereenkomst. Het beroep van Xlab op het schriftelijkheidsvereiste voor opzegging is naar maatstaven van redelijkheid en billijkheid onaanvaardbaar.

    Heb je vragen over één van de onderwerpen in dit blog? Neem gerust contact met ons op.

    Neem contact op
    Terug naar overzicht

    Marina Grgić

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram