ICT is niet meer weg te denken uit onze bedrijfsvoering. Goede contractuele afspraken zijn dan ook cruciaal voor de momenten dat deze ICT niet meer goed functioneert, zeker als het om data-eigendom en verantwoordelijkheid van datamigratie gaat. Daarbij is het ontzettend belangrijk om vooraf goed na te denken over alle facetten van het systeem zelf, maar ook over bijvoorbeeld de overgang van het ene naar het andere systeem. Moeten de gegevens van het oude systeem naar het nieuwe over worden gezet, of blijft het oude systeem een raadpleegbaar archief? Wie is wanneer waarvoor verantwoordelijk? Hoe belangrijk het is dat dit niet vergeten wordt blijkt wel uit een recente uitspraak van rechtbank Noord-Holland.
Overgang naar nieuw systeem
OfficeGrip Holding heeft als nieuwe leverancier de (nieuwe) ICT-omgeving van Pit Strategie B.V. (hierna: Pit) geleverd en in beheer genomen. In de uiteindelijke door partijen ondertekende offerte van 11 juni 2019 (de overeenkomst) is de datamigratietool niet beprijst, aangezien er volgens Pit geen data gemigreerd zou hoeven te worden. Doordat Pit later besloot de nieuwe omgeving iets anders in te richten, stelt OfficeGrip een workaround voor om de data in de oude omgeving op tijd veilig te stellen: alles wordt op een back-up-site gezet. Het contract met de oude leverancier liep namelijk snel (30 juni 2019) af en de data op het oude systeem werd hierna verwijderd.
In de periode daarna ondervond Pit problemen met het inloggen in de nieuwe omgeving, waaronder ook geslaagde inlogpogingen door onbevoegde accounts of onbevoegde IP-adressen, evenals verdwenen data. Fox-IT werd ingeschakeld om onderzoek te doen naar eventuele cybercrime. Er verdwenen volgens Pit steeds meer documenten van de back-up-site, waarop herstel hiervan aan OfficeGrip werd gevraagd. OfficeGrip gaf hierop aan dat er slechts enkele testdocumenten verwijderd waren, maar kon de vermissing van de andere documenten niet achterhalen. Pit stelde OfficeGrip hierna in gebreke.
Wat is er afgesproken?
Om vast te stellen wie waarvoor verantwoordelijk was ging de rechter in op de daadwerkelijke afspraken in de overeenkomst. Tot 30 juni 2019 liep de overeenkomst met de oude ICT-leverancier nog, dus kon er geen sprake van zijn dat OfficeGrip het volledige beheer had over de oude omgeving en daarmee verantwoordelijk was voor data op de oude ICT-omgeving. Volgens de rechter was ook niet uit de tussen partijen gesloten overeenkomst, of de daarmee samenhangende verwerkersovereenkomst, af te leiden dat OfficeGrip de oude omgeving zou gaan beheren. Dat OfficeGrip toegang had tot de oude omgeving om een inventarisatie te maken deed daar niet aan af.
De meeste ‘verloren data’ stonden op de oude DTO/i-schrijf van Pit. Deze maakte volgens de rechter geen deel uit van de Microsoft-omgeving of -diensten, aangezien deze oude schijf was opgeslagen op de lokale server van de oude leverancier en dit ook een door diezelfde leverancier ontwikkelde dienst was. Dus de overname van het beheer van de bestaande Microsoft-omgeving door OfficeGrip van de oude leverancier, betekende volgens de rechter niet dat daarmee ook het beheer van de i-schrijf op de lokale server werd overgenomen. De oude leverancier had eerder ook aan Pit laten weten dat de DTO/i-schijf bij het einde van het contract zou worden verwijderd.
Ook had Pit volgens de rechter moeten begrijpen dat OfficeGrip niet de volledige ICT-omgeving van de oude leverancier zou overnemen vanwege het feit dat er een ‘back-up-site’ werd aangemaakt om gegevens uit de omgeving van de oude leverancier veilig te stellen. Door OfficeGrip was Pit zelfs meerdere malen aangespoord om de gewenste over te zetten data zelf te kopiëren naar de back-up-site. Omdat de verantwoordelijkheid voor het veilig stellen van de data op de DTO/i-schijf bij Pit lag, had OfficeGrip uit de vraag om herstel ook niet hoeven begrijpen dat er sprake was van dataverlies en was er geen actie vereist door OfficeGrip.
Al met al concludeerde de rechter dat OfficeGrip niet verwijtbaar had gehandeld, omdat nergens was overeengekomen, noch had OfficeGrip dat anderszins moeten begrijpen, dat zij verantwoordelijk was voor het beheer dan wel de migratie van de DTO/i-schrijf data van Pit.
Essentie van duidelijke afspraken
Deze uitspraak maakt pijnlijk duidelijk hoe belangrijk het is om goed na te denken over een exit en overgang naar een nieuwe leverancier of beheerder van je ICT-omgeving. Een onherstelbaar verlies van data is zeer ongewenst. Dat betekent dat er goede afspraken gemaakt moeten worden over de verantwoordelijk voor datamigratie tussen partijen. Deze verantwoordelijkheid moet op een ondubbelzinnige manier vast worden gelegd in een contract om te voorkomen dat er discussies ontstaan zoals in de zaak die voorlag bij de rechter.