image

Juridische vraag: Ben ik als ICT-dienstverlener verplicht om backups te maken voordat ik werkzaamheden uitvoer?

woensdag 12 juli 2017, 10:06 door Arnoud Engelfriet, 48 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Als ik bij een klant werkzaamheden uitvoer zoals een software-upgrade, ben ik dan verplicht om backups te maken van zijn data? Of kan ik hem laten tekenen dat hij dat risico neemt?

Antwoord: Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade is, moet nog worden bepaald. In ieder geval vallen daar de kosten onder van het inschakelen van een waarnemend huisarts.

Dit is het vervolg op de zaak waar ik in januari over blogde. In het algemeen lijkt het goed af te lopen voor deze IT-leverancier, schreef ik toen. Maar dat valt nu tegen:

De rechtbank heeft al geoordeeld dat tijdsdruk geen goede reden was om van het maken van een backup (of controle daarvan) af te zien, kort gezegd vanwege het grote belang van [eiseres] c.s. bij haar praktijkgegevens en omdat [gedaagde] haar niet vooraf had gewaarschuwd voor de risico’s (tussenvonnis onder 4.6). Wat [gedaagde] daarover bij akte heeft aangevoerd, doet niets af aan zijn verantwoordelijkheid als deskundig ICT-dienstverlener jegens [eiseres] c.s. [gedaagde] kan zich niet verschuilen achter een beweerd blind uitvoeren van 'opdrachten' van [eiseres] c.s. zonder deze te hebben gewaarschuwd voor de daaraan verbonden risico’s.

De rechtbank doet nu einduitspraak. Voorop staat dat je als "redelijk bekwaam en redelijk handelend ICT-dienstverlener" er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is. In ieder geval niet in situaties waarin het belang van die backup groot is (de administratie van een huisartsenpraktijk) en waarin de documentatie bij upgrade die je gaat uitvoeren expliciet waarschuwt "maak een backup". Dan moet je écht controleren of deze klopt.

Doe je dat niet, dan hang je:

Indien [gedaagde] niet in staat was om de bestaande back-up te controleren, zoals hij lijkt te stellen (akte onder 34 en 35), had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server) en deze moeten controleren. [gedaagde] heeft dit alles niet gedaan en dat is aan te merken als een toerekenbare tekortkoming in de nakoming van haar verplichtingen uit de overeenkomst.

En nee, algemene voorwaarden hadden hier waarschijnlijk niet bij geholpen. De rechtbank laat doorschemeren dat deze tekortkoming volgt uit het verzaken van de zorgplicht die je als dienstverlener hebt. Botweg de aansprakelijkheid voor zulk verzaken uitsluiten gaat gewoon niet, dat is niet redelijk. Je gaat gewoon betalen als je klantdata kwijtmaakt of niet zorgt voor een goede backup.

Mogelijk had een expliciete waiver hier wel geholpen. Dan zeg je als dienstverlener "u, klant, wilt iets héél onverstandigs en u tekent hierbij voor afzien van aansprakelijkheidstelling". Dat kan, maar het moet wel redelijk zijn. Dus dat in je algemene voorwaarden: vergeet het maar. Een op maat gesneden tekst ("Gezien de bloedspoed bij de klus en de schriftelijke verzekering van KPN dat u een online backup heeft, ziet u af van een backup voordat ik begin") gaat het denk ik wel redden.

Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (48)
12-07-2017, 10:49 door Anoniem
Dit gaat tot gevolg hebben dat allerlei noodbackups van klantdata rond gaan blijken te blijven slingeren bij allerlei "IT dienstverleners" en/of je wordt een standaardpapier "ff tekene" onder de neus geduwd.

Ik wil ook even aantekenen dat als de data zo vreselijk belangrijk is voor de bedrijfsvoering, waarom heeft eiseres niet zelf voor backups gezorgd? Je kan dit net zo goed uitleggen als het de dienstverlener in de schoenen schuiven van klantfalen. Als de ITer data nog had kunnen redden had'ie het wellicht inderdaad moeten doen, maar we kijken dan al tegen een diep falen van de dokter tegenover haar patienten aan. Lijkt me dat daar ook een stukje veronachtzaamde verantwoordelijkheid ligt.

Er zit ook een stukje "groter plaatje" bij, namelijk dat klant dus kennelijk het apparaat als een compleet en betrouwbaar functioneel brok techniek ziet, wat helemaal niet met de werkelijkheid strookt, ziedaar noodzaak tot backups, onderhoud, en dergelijke. Dit terzijde.

Practisch, hoe ga je dat doen? Nou, er zal geen backup software aanwezig zijn dus pak je een "blinde" imager en dan loop je tegen koude feiten aan als... de interface bottleneck. Want stel dat we het over een 1TB harde schijf heeft die 100MB/s (laptop) of een 5TB harde schijf die 175MB/s "gemiddeld"* aankan. Ja, SATA III is sneller maar de harde schijf zelf is gelimiteerd, en dan hebben we de overhead van een FS nog niet meegerekend. Dan ben je dus al gauw 2 3/4 of zelfs 8 uur verder. Puur aan een keer de hele disk lezen. En aangenomen dat dit zonder problemen kan.

Natuurlijk, je kan het slimmer aanpakken, maar dat vereist slimmere software, en ook als de schijf maar halfvol is en het extra werk van heen-en-weer zoeken op de schijf verwaarloosbaar, dan nog ben je wel even bezig. Daarbij: Heb je die optie? Als de machine gaar is, bijvoorbeeld het FS corrupt, wellicht niet. En je hebt dus zelf een klanten-NAS oid nodig, waar allerlei bulk data van klanten neergezet wordt, waar je dan ook weer op moet passen, bijvoorbeeld via encryptie. Wat weer key management met zich meebrengt want wil je alle data van alle klanten onder dezelfde sleutel wegzetten? We hebben het ook nog niet over terugzetten gehad.

Conclusie, "backups" zijn nog steeds een aandachtspunt, maar zelfs als niet, je loopt gewoon tegen bottlenecks aan.

* Even snel rondzoeken, uit puur gemak "tom's hardware h2benchw 3.16" gepakt, beste resultaat test hdd 2013, mobile 2014. Ik verwacht niet dan in vier jaar de doorvoersnelheden zijn verdubbeld, wellicht niet eens net zo veel gestegen als de opslagcapaciteit is gestegen, dus nog steeds "ballpark".
12-07-2017, 10:51 door Anoniem
Als ik bij een klant werkzaamheden uitvoer zoals een software-upgrade, ben ik dan verplicht om backups te maken van zijn data? Of kan ik hem laten tekenen dat hij dat risico neemt?

Als je een professional bent, stel je deze vraag niet en zorg je dat je zaken gewoon goed regelt. Bij mij zal de vraagsteller als IT dienstverlener niet welkom zijn.
12-07-2017, 10:58 door Anoniem
"Alleen: de tijd die je daarmee bezig bent, is waarschijnlijk vergelijkbaar met de tijd om gewoon even een backup te maken. Of ik mis iets en backups maken is anno 2017 toch nog heel tijdrovend en ingewikkeld?"

Wat je in de reacties op die blog ook al ziet: het is niet ingewikkeld om een goede verkoper te laten verkopen dat
er "veilige backups in de cloud" gemaakt kunnen worden, maar de realiteit is natuurlijk anders: als je bijvoorbeeld
dagelijks al je data gaat backuppen via je internet aansluiting, en die aansluiting is geen moderne glasvezel, dan
gaat dit lang duren, waarschijnlijk zelfs zo lang dat een nacht te kort is. Ga je alleen veranderde data backuppen dan
is dat alleen een oplossing als dit slimmer werkt dan "veranderde files in zijn geheel copieren" want daarmee zullen
bijvoorbeeld database files toch weer een probleem vormen. (grote files waarin dagelijks dingen veranderen)

Ga je naar een lokaal medium backuppen dan is dat probleem er veel minder, je zit dan wel met de mogelijkheid van
het verloren gaan van die media (diefstal, brand) maar die is er met cloud backups net zo goed. (er zijn cases bekend
van bedrijven die hun cloud backup kwijt raakten door stommiteiten van helpdesks of beheerders van die omgeving)

Waar het echter hier hoogstwaarschijnlijk op fout gegaan is, dat is dat met name Windows en dan met name wat
oudere versies grote problemen hebben met het maken van backups van bestanden die in gebruik zijn. Je zag heel
vaak in backuplogs meldingen van bestanden die maar waren overgeslagen want ze waren in gebruik, en uiteraard
zijn dat altijd de belangrijkste bestanden van allemaal!!! (anders waren ze niet in gebruik)
Dat is uiteraard onacceptabel en er zijn ook wel mechanismen bedacht in nieuwere versies om hier om heen te werken,
echter zal met name een wat minder kundige IT leverancier wellicht kiezen voor naieve oplossingen die deze nieuwe
mechanismen nog niet gebruiken (gewoon een xcopy of robocopy naar je USB schijfje en klaar ben je!)

Er is dan een vette kans dat die dagelijks gemaakte backup toevallig de database niet bevat. Want die was in gebruik.
12-07-2017, 12:01 door Anoniem
Mag ik als dienstleverancier controleren of een backup wel degelijk gelukt is door vast te stellen dat deze data bevat zonder in overtreding te zijn met de GDPR?
12-07-2017, 13:17 door [Account Verwijderd]
[Verwijderd]
12-07-2017, 13:28 door Anoniem
Mij lijkt het anders toch een relevante eis, dat een professionele gebruiker van een geautomatiseerd systeem zorg draagt voor een adequaat en goed functionerende backup. Een artsenpraktijk, die niet heeft (laten) zorgen voor een backup oplossing, die werkt en dagelijks goed functioneert, brengt zelf zijn data in gevaar. Het enige wat de IT-dienstverlener dan moet doen, is het vragen om het aanmaken van een extra backup, voor met zijn werk te beginnen.

Maar indien de leverancier van de software zelf aangeeft, dat een backup wenselijk is, kun je niet zeggen, dat is de verantwoordelijkheid van de klant. Jij kent die prerequisite, dus jij moet zorgen, dat daaraan voldaan wordt. Minstens kun je verifiëren of de laatste backup recent is (max 1 dag oud) en controleren of er foutmeldingen zijn.
12-07-2017, 13:50 door Whacko
Volgens mij ging het vonnis over het feit dat er geen handmatige backup was gedaan vooraf.
er werd namelijk een automatisch script uitgevoerd waar een fout in zat waardoor juiste backups werden overschreven. Dit script was ook van de ICT dienstverlener. Deze dienstverlener vertrouwde op dit script en controleerde niet of dit goed gegaan was. DAARDOOR wordt de dienstverlener in het ongelijk gesteld.

Natuurlijk heb je een zorgplicht, maar het is wel een nuance die je moet aanbrengen.
12-07-2017, 14:01 door Anoniem
Door Anoniem:
Als ik bij een klant werkzaamheden uitvoer zoals een software-upgrade, ben ik dan verplicht om backups te maken van zijn data? Of kan ik hem laten tekenen dat hij dat risico neemt?

Als je een professional bent, stel je deze vraag niet en zorg je dat je zaken gewoon goed regelt. Bij mij zal de vraagsteller als IT dienstverlener niet welkom zijn.

Je regelt dingen professioneel als men je ook wil betalen voor de gemaakte uren voor het backuppen van de DATA.
12-07-2017, 14:59 door Anoniem
Door Anoniem: Mij lijkt het anders toch een relevante eis, dat een professionele gebruiker van een geautomatiseerd systeem zorg draagt voor een adequaat en goed functionerende backup. Een artsenpraktijk, die niet heeft (laten) zorgen voor een backup oplossing, die werkt en dagelijks goed functioneert, brengt zelf zijn data in gevaar. Het enige wat de IT-dienstverlener dan moet doen, is het vragen om het aanmaken van een extra backup, voor met zijn werk te beginnen.
De IT-dienstverlener en de partij die gezorgd had voor een goed functionerende backup zijn dezelfde.
Daar gaat het juist om. Mag de artsenpraktijk van de IT dienstverlener verwachten dat deze op zijn verzoek een
backup kan inregelen en dat daar op terug gevallen kan worden bij problemen. Ja, kennelijk.
Of dat in het geval van de vraag aan de kop van dit topic ook zo is dat is wellicht wat lastiger omdat daar niet zo
duidelijk bij staat dat de IT dienstverlener meer voor die klant doet dan alleen een speficiek stuk software upgraden.
12-07-2017, 15:31 door Anoniem
Er zijn genoeg bedrijven zonder vaste "IT-partner". Die vallen dus meestal tussen wal en schip. IT is wel een pijler van de business, maar als er investeringen nodig zijn staat deze afdeling vaak achteraan. Zorg dus voor een goede en ook betaalbare IT man.

Daarnaast is een vraag over verplichtingen helemaal geen gekke vraag. Het juist "niet" vragen van dit soort zaken is bij mij zorgelijker. Hier denkt iemand over een situatie na.
12-07-2017, 16:05 door Anoniem
Door Anoniem: Ik wil ook even aantekenen dat als de data zo vreselijk belangrijk is voor de bedrijfsvoering, waarom heeft eiseres niet zelf voor backups gezorgd? Je kan dit net zo goed uitleggen als het de dienstverlener in de schoenen schuiven van klantfalen.
Heb je gelezen wat Arnoud schreef? 'Voorop staat dat je als "redelijk bekwaam en redelijk handelend ICT-dienstverlener" er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is'. De klant is geen ICT-expert, en daar moet de ICT-expert rekening mee houden, hij wordt ingehuurd omdat hij die kennis wel heeft.

De ICT-dienstverlener is hier de ICT-expert en de klant is dat niet. Draai het eens om: de ICT-expert gaat naar de huisarts, er moet ergens een mes in gezet worden, en de huisarts desinfecteert de plek niet omdat de klant zegt dat hij het al goed heeft schoongemaakt. De volgende dag heeft de klant een heftige infectie. Die huisarts heeft dan duidelijk een stevige steek laten vallen, toch?
12-07-2017, 16:27 door Anoniem
"De rechtbank doet nu einduitspraak. Voorop staat dat je als "redelijk bekwaam en redelijk handelend ICT-dienstverlener" er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is....."

Er wordt terecht gewezen naar diegene die de ICT dienstverlening levert. Hij kan immers inschatten hoe groot het risico is enn weet welke bestanden relevant zijn om te backuppen. Echter...

Het probleem hierbij is dat het merendeel van de klanten aangeeft zelf een goede backup te hebben en niet wil wachten, c.q. betalen voor een backup. (backup kost meestal een aantal uur om te maken).

Een ander probleem is de definitie van wat een goede backup is. Is er pas een goede backup als er een kopie is gemaakt of als er 3 kopieen zijn, waarvan minimaal 2 op verschillende media en er minimaal 1 off site staat? En moet je deze allemaal gaan verifieren voordat je verder gaat? Hoe ver wil je hierin gaan?

@Arnoud heb jij hier misschien een handigere oplossing voor?

Wat betreft het inschatten van het risico. Ook bij werkzaamheden met weinig risico kan een computer data verliezen. Een hardeschijf kan het immers altijd begeven.

Oftewel moet je nu voor elke handeling de klant een waiver laten ondertekenen cq. een backup gaan maken?
12-07-2017, 17:15 door Anoniem
Als je moet controleren of een backup na terug zetten een werkende situatie oplevert heb je hier dus een interessante opzet te pakken. Dit gaat IT bedrijven namelijk geld opleveren. Een backup maken van een disk is namelijk absoluut geen garantie dat als je die terug zet je weer een werkende situatie hebt. Dat betekent dus dat het een uitzoekwerk is om te bepalen of er geen additionele afhankelijkheden zijn zoals een database die bijvoorbeeld voor het maken van de backup eerst down gebracht moet worden om te voorkomen dat indexen gecorrumpeerd raken en de software na het terug plaatsen van de backup het dus niet meer doet. Met ook de kans op dataverlies als je corrupte indexen hebt.

Het is dus wederom weer complexer en gevaarlijker dan de digibeet zich realiseert en is maar weer een bewijs dat de rechter zich beter moet informeren gezien de ongenuanceerdheid van de uitspraak die is gedaan. Een beetje IT bedrijf zal nu namelijk wel degelijk een uitsluiting van aansprakelijkheid laten tekenen door de klant en expliciet op het risico wijzen van dataverlies indien de backup procedure niet getest is voordat met een upgrade begonnen kan worden. Als de klant tenminste dat zo wil doen.

Dus gaat de eerder gemaakte opmerking over de overheid en ICT helaas weer op. De rechter (als ambtenaar) is blijkbaar wederom niet volledig geïnformeerd en dus is de uitspraak in de dagelijkse praktijk een met gaten erin. Omdat namelijk de backup op zich geen garantie is dat er geen dataverlies zal optreden. En daarbij is dan ook nog de vraag of hosting partijen nu ook niet een probleem hebben met een dergelijk stuk jurisprudentie omdat deze over het algemeen alleen het OS of de hypervisor beheren en dus applicaties en de data hierin uitsluiten in hun voorwaarden wat nu blijkbaar ook weer niet mag. Omdat het risico expliciet onder de aandacht gebracht moet worden bij de klant. Maar helaas zijn er zo ook het gebied van beveiliging nog 1000 andere issues die kunnen optreden... Dus als dit de trend wordt voorzie ik dat updates plaatsen nog wel eens een dure grap kan gaan worden op basis van deze jurisprudentie...
12-07-2017, 17:33 door Anoniem
Door Anoniem:
Door Anoniem: Ik wil ook even aantekenen dat als de data zo vreselijk belangrijk is voor de bedrijfsvoering, waarom heeft eiseres niet zelf voor backups gezorgd? Je kan dit net zo goed uitleggen als het de dienstverlener in de schoenen schuiven van klantfalen.
Heb je gelezen wat Arnoud schreef? 'Voorop staat dat je als "redelijk bekwaam en redelijk handelend ICT-dienstverlener" er niet zomaar op mag vertrouwen dat de backup die de klant zelf claimt te hebben, goed genoeg is'.
Zelfs dan blijft het punt staan, want de bedrijfsvoering is een continue iets. Waarbij een enkele gebeurtenis een incident is en dus niet teniet doet de noodzaak tot continuiteit van de bedrijfsvoering te waarborgen. Dat laatste is waar dat stukje commentaar over gaat.

Overigens lijkt eiseres de ITer (eerder?) ingehuurd te hebben voor precies dit (Whacko 13:50; ik heb het verder niet nagekeken), wat betekent dat de ITer op zijn eigen zwaard gevallen is. En dat detail maakt het ineens hele andere koek, in ieder geval voor mij en ik hoop toch zeker dat de rechter dat ook zo ziet. Als niet, dan hebben we hele rare jurisprudentie met deze zaak.
12-07-2017, 18:52 door Anoniem
J*SUS *b0rkking christ!!!!

Wat is dat toch met de 'ICT dienstverleners' van hedendaag?
Je zorgt toch altijd dat je een fallback plan hebt? Daar hoort een backup gewoon bij.

Ga je kapot schamen.
12-07-2017, 19:03 door karma4
Door Anoniem:
..
Dus gaat de eerder gemaakte opmerking over de overheid en ICT helaas weer op. De rechter (als ambtenaar) is blijkbaar wederom niet volledig geïnformeerd en dus is de uitspraak in de dagelijkse praktijk een met gaten erin. Omdat namelijk de backup op zich geen garantie is dat er geen dataverlies zal optreden. En daarbij is dan ook nog de vraag of hosting partijen nu ook niet een probleem hebben met een dergelijk stuk jurisprudentie omdat deze over het algemeen alleen het OS of de hypervisor beheren en dus applicaties en de data hierin uitsluiten in hun voorwaarden wat nu blijkbaar ook weer niet mag. .......
Lijkt me eerder uitstekende rechtspraak.
Zit je te prutsen maak je geen heldere afspraken dan ben je aansprakelijk voor de schade.
Gaat er iets onverwachts mis dan toon je dat al professional en heb je er geen last van. Een advocaat is handig in dat spel.

Je noemt kleine bedrijven waar dat mis kan gaan. Ik hen ook jurisprudentie gezien dat de grootste bedrijven mogen dokken.
12-07-2017, 19:21 door Anoniem
Bij mij zal de vraagsteller als IT dienstverlener niet welkom zijn.
lmao. waarom zou deze vraag niet gesteld mogen worden? juist heel goed dat de klant dit doet, ipv er domweg vanuit gaan dat de IT-cowboy dit "vanzelfsprekend" wel doet.
12-07-2017, 19:39 door Anoniem
Door karma4:
Door Anoniem:
..
Dus gaat de eerder gemaakte opmerking over de overheid en ICT helaas weer op. De rechter (als ambtenaar) is blijkbaar wederom niet volledig geïnformeerd en dus is de uitspraak in de dagelijkse praktijk een met gaten erin. Omdat namelijk de backup op zich geen garantie is dat er geen dataverlies zal optreden. En daarbij is dan ook nog de vraag of hosting partijen nu ook niet een probleem hebben met een dergelijk stuk jurisprudentie omdat deze over het algemeen alleen het OS of de hypervisor beheren en dus applicaties en de data hierin uitsluiten in hun voorwaarden wat nu blijkbaar ook weer niet mag. .......
Lijkt me eerder uitstekende rechtspraak.
Zit je te prutsen maak je geen heldere afspraken dan ben je aansprakelijk voor de schade.
Gaat er iets onverwachts mis dan toon je dat al professional en heb je er geen last van. Een advocaat is handig in dat spel.

Je noemt kleine bedrijven waar dat mis kan gaan. Ik hen ook jurisprudentie gezien dat de grootste bedrijven mogen dokken.

Een backup bied nooit garanties, het is hooguit een extra zekerheid, dat hangt van de werkzaamheden af. Een backup maken is voor elk zichzelf respecterende dienstverlener een simpele druk op de knop... Je kunt je klant er hooguit op wijzen dat er risico op dataverlies is (een backup terugzetten kan bijvoorbeeld betekenen dat je een dag terug moet). Dan is het alsnog aan de klant of die dat risico wil lopen. Als dienstverlener dien je natuurlijk ook een goede inschatting te maken van de risico's
12-07-2017, 22:15 door karma4
Door Anoniem:
Een backup bied nooit garanties, het is hooguit een extra zekerheid, dat hangt van de werkzaamheden af. Een backup maken is voor elk zichzelf respecterende dienstverlener een simpele druk op de knop... Je kunt je klant er hooguit op wijzen dat er risico op dataverlies is (een backup terugzetten kan bijvoorbeeld betekenen dat je een dag terug moet). Dan is het alsnog aan de klant of die dat risico wil lopen. Als dienstverlener dien je natuurlijk ook een goede inschatting te maken van de risico's
Wat zijn de kosten voor een extra harde schijf? Te verwaarlozen als het om wat serieus gaat. Dan is inschatting maken voorstel maken etc. Gaat het alsnog mis en er is dat niet als nalatigheid te zien, wat is dan het issue... niets toch.
Daar lijken we het eens over te zijn.
13-07-2017, 00:12 door Anoniem
Door Anoniem:
Bij mij zal de vraagsteller als IT dienstverlener niet welkom zijn.
lmao. waarom zou deze vraag niet gesteld mogen worden? juist heel goed dat de klant dit doet, ipv er domweg vanuit gaan dat de IT-cowboy dit "vanzelfsprekend" wel doet.

Dat lijkt een misverstandje :

Poster bedoelt duidelijk met "vraagsteller" "degene die aan ICT Recht vroeg of de klant laten tekenen voor backup kwaliteit 'm ontslaat van verantwoordelijkheid voor het zelf maken van backups'

Dat je een ingehuurde professional (ICT of wat dan ook) even duidelijk laat vertellen z'n plan van aanpak is en vraagt of er gedacht is aan x/y/z waar je bezorgd over bent lijkt me terecht . [verhuizer : je hebt toch wel genoeg bubbeltjes plastic voor m'n porceleinen servies ? ]

Ik ben het ook eens met de anoniem die geen "professional" wil hebben die een krabbel wil onder een kladje dat de klant verantwoordelijk is voor allerlei dingen die mis kunnen gaan.
13-07-2017, 09:17 door Anoniem
Door Anoniem:
Als ik bij een klant werkzaamheden uitvoer zoals een software-upgrade, ben ik dan verplicht om backups te maken van zijn data? Of kan ik hem laten tekenen dat hij dat risico neemt?

Als je een professional bent, stel je deze vraag niet en zorg je dat je zaken gewoon goed regelt. Bij mij zal de vraagsteller als IT dienstverlener niet welkom zijn.

...

Waarschijnlijk snap jij dan niet helemaal wat de consequenties zijn voor deze ingehuurde IT dienstverlener. Als professional is het juist belangrijk deze vraag te stellen (dit laat meteen zien dat je meedenkt met de organisatie als er een kans is dat data verdwijnt en/of verloren gaat). Deze ingehuurde IT dienstverlener krijgt te maken met andermans data/gegevens/en dergelijke, van de organisatie. Als dit verloren gaat (zie uitleg antwoord) krijgt hij dit voor zijn voeten. Misschien zegt de opdrachtgever inderdaad wel "ik neem dat risico". Heel onprofessioneel om te zeggen "bij mij zal de vraagsteller niet welkom zijn"...alsof jij heel je leven de perfecte keuzes in je eentje hebt gemaakt zonder iemand ooit een vraag te stellen. ;)
13-07-2017, 09:43 door Anoniem
Ik neem een 1TB USB 3.0 disk mee en dump een image erop. Doe ik de dag ervoor. Kan ik gewoon weggaan en kost ook niks extra. De disk mogen ze erna houden. Elke dag zal er een incremental backup gedraaid worden dan. Even de disk eraan en daarna in de kluis. Simpeler wordt het niet. Ik neem aan dat bijv. een huisarts met academische achtergrond dit ook wel lukt.
<einde>
13-07-2017, 10:29 door Anoniem
Je verweer is wat bleek als je het stuk nog een goed leest. Als dienstverlener ben je aansprakelijk, en dat is zo gek nog niet. Een goede voorbereiding is het halve werk en de klant zal je inzet weten te waarderen.
Ik ben dan ook wel benieuwd wat je reactie is wanneer de omgeving van de klant ne je arbeid wel in elkaar stort.
Door Anoniem: Ik neem een 1TB USB 3.0 disk mee en dump een image erop. Doe ik de dag ervoor. Kan ik gewoon weggaan en kost ook niks extra. De disk mogen ze erna houden. Elke dag zal er een incremental backup gedraaid worden dan. Even de disk eraan en daarna in de kluis. Simpeler wordt het niet. Ik neem aan dat bijv. een huisarts met academische achtergrond dit ook wel lukt.
<einde>

TOP, goede en verstandige oplossing. Zo'n disk wil de klant beslist op de factuur wel terug zien, Daar mag je terug komen.
Komt ook veel professioneler over dan met de botte bijl door de Toko rennen. (kom ik vaak tegen) 3 dingen te gelijk doen en dan 3x verkeerd. Een Professional doet alles met beleid.
13-07-2017, 11:30 door Anoniem
Door Anoniem:
Door Anoniem: Ik neem een 1TB USB 3.0 disk mee en dump een image erop. Doe ik de dag ervoor. Kan ik gewoon weggaan en kost ook niks extra. De disk mogen ze erna houden. Elke dag zal er een incremental backup gedraaid worden dan. Even de disk eraan en daarna in de kluis. Simpeler wordt het niet. Ik neem aan dat bijv. een huisarts met academische achtergrond dit ook wel lukt.
<einde>

TOP, goede en verstandige oplossing. Zo'n disk wil de klant beslist op de factuur wel terug zien, Daar mag je terug komen.
Komt ook veel professioneler over dan met de botte bijl door de Toko rennen. (kom ik vaak tegen) 3 dingen te gelijk doen en dan 3x verkeerd. Een Professional doet alles met beleid.


Ik mis bij deze oplossing wat context.
Mijn vragen gebaseerd op de oplossing zoals die beschreven is:

Misschien ook handig om te controleren dat het image succesvol gemaakt is, en ook dat het terug gezet kan worden.
Dus misschien ook nog een tweede PC/omgeving nodig om dit te testen? Of wil je dit testen door het origineel te overschrijven? (En als dat mislukt, wat dan?)
En waarom dan niet meteen een echte uitwijkomgeving als dit hele belangrijke data is?
En heeft de klant daar het geld voor over? (Kosten vs risico)
13-07-2017, 12:27 door Anoniem
Heel onprofessioneel om te zeggen "bij mij zal de vraagsteller niet welkom zijn".

Nou, huur jij dan wel lekker ICT-ers in die bovenal geinteresseerd zijn in het zichzelf vrijwaren van aansprakelijkheid, wanneer ze dataverlies veroorzaken. Dat ik niet professioneel zou zijn, omdat ik zo'n ICT-er niet zou willen inhuren, dat is jouw conclusie ;)
13-07-2017, 12:31 door Anoniem
Je regelt dingen professioneel als men je ook wil betalen voor de gemaakte uren voor het backuppen van de DATA

De vraag of jij professioneel bent is niet afhankelijk van de vraag waar iemand wel/niet voor wil betalen. Je kan opdrachten overigens ook weigeren. Niemand zegt dat je je werkzaamheden gratis moet uitvoeren.
13-07-2017, 14:05 door Anoniem
Baas: Je moet bij dr. Mortis in Sterfhuizen een PC updaten.
Techie: Oh dat is goed, ik zal hem bellen om een upgrade plan te maken met fallback.
Baas: Uhhhm, ze betalen 2 uur werk inclusief reistijd, het is toch standaard werk dat je al vaker gedaan hebt ?.
Techie: Maar dat was bij klanten waar ze dagelijks uitgebreide backups en snapshots van hun servers maken.
Baas: 2 uur, anders "waren we veel te duur" zei die witjas.
Techie: Ok, ik zal eerst wel wat files naar C:\Temp kopieren voordat ik begin.
13-07-2017, 14:27 door Anoniem
...had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server)
Deze optie is voor mij als een patient van een arts zeer onwenselijk!
Het is aannemelijk dat het privacygevoelige data betreft, en die laat je niet door de eerste de beste ICT-medewerker op zijn eigen server (als hij die al zou hebben) backuppen!
Zou men dat wel doen, en bij herhaling doen dan is de privacy van alle patienten in Nederland in het geding.
Ongelooflijk dat de rechter zoiets voorstelt. Echt ongelooflijk!
Moet een ander nu weer een rechtzaak aanspannen om dit weer ongedaan te maken ja?
Houden zichzelf lekker bezig zo die rechters en advocaten. Zou uit zijn functie moeten worden gezet die rechter.
Dit kon hij toch van te voren voorzien voordat hij deze uitspraak deed?
13-07-2017, 15:09 door Anoniem
Het is wel weer lachwekkend om te zien hoe de SOHO mentaliteit naar buiten barst op een forum als deze. Een beetje organisatie heeft namelijk applicaties op een server draaien en de backup hiervan is niet simpelweg een kwestie van de disk kopiëren. Zeker niet als het om een database server gaat met meerdere clients waarbij bovendien ook nog data via web services uitgewisseld wordt met andere partijen zoals administratiekantoor, ziekenhuizen en verzekeraars.

De simpele bewering van de rechter dat een IT specialist een WERKENDE backup moet trekken van een omgeving terwijl om dit mogelijk te maken veel meer nodig dan een simpele kopie van een of zelfs meerdere disken (RAID...) is dus onmiddellijk een veel complexere zaak. En dus ook een uitzoekwerk voor de betreffende IT specialist.

Aangezien veel MKB organisaties amper over een OTAP omgeving beschikken moet je er dus vanuit gaan dat je de omgeving echt moet doorgronden om problemen te voorkomen. Alsook dat de omgeving waarschijnlijk plat voordat je een backup kunt trekken. Daarnaast is het zo dat een volledige herstart van de omgeving ook nodig is om aan te tonen dat een herstrart überhaupt mogelijk is in de huidige staat. Omdat als het niet werkt anders ten onrechte de backup werkzaamheden of de update werkzaamheden de schuld krijgen.

Oftewel komt het erop neer dat de situatie zoals door de rechter wordt geschetst dat het een kwestie is van even een kopie trekken van een disk lang niet altijd in alle gevallen zal leiden tot een backup die foutloos weer zal werken zonder data verlies. Hierdoor kun je er vanuit gaan de betreffende huisarts bovendien niet voldeed aan de wet bescherming persoonsgegevens omdat hij / zij geen deugdelijke backup van de gegevens had ingeregeld. Iets waar de IT specialist wel vanuit had mogen gaan. Het feit dat zij dus de wet overtreed wordt mag hem dan ook niet in de schoenen worden geschoven. Hij had er uiteraard wel naar moeten vragen maar in beginsel was de huisarts WETTELIJK VERPLICHT om een deugdelijke backup te hebben!

Dus daarmee is gelijk de vraag aan de orde of het hierdoor de werkelijke schuld niet bij de huisarts ligt ipv bij de ICT dienstverlener! Deze is namelijk een opdrachtnemer in deze en de huisarts is de opdrachtgever. En daarmee als zodanig verantwoordelijk voor het voldoen aan wet en regelgeving!
13-07-2017, 15:12 door Anoniem
Door Anoniem:
...had hij een nieuwe back-up moeten (laten) maken (al dan niet op zijn eigen server)
Deze optie is voor mij als een patient van een arts zeer onwenselijk!
Het is aannemelijk dat het privacygevoelige data betreft, en die laat je niet door de eerste de beste ICT-medewerker op zijn eigen server (als hij die al zou hebben) backuppen!
Zou men dat wel doen, en bij herhaling doen dan is de privacy van alle patienten in Nederland in het geding.
Ongelooflijk dat de rechter zoiets voorstelt. Echt ongelooflijk!
Moet een ander nu weer een rechtzaak aanspannen om dit weer ongedaan te maken ja?
Houden zichzelf lekker bezig zo die rechters en advocaten. Zou uit zijn functie moeten worden gezet die rechter.
Dit kon hij toch van te voren voorzien voordat hij deze uitspraak deed?


De backup zou op zijn minst op een versleutelde harddisk moeten worden gedaan! En de backup zou inderdaad NIET bij de ICT dienstverlener in de kast moeten staan maar bij de arts. Op basis van het proportionaliteit, doelbinding en rechtmatigheidsbeginsel...
13-07-2017, 17:11 door Anoniem
Door Anoniem:
De simpele bewering van de rechter dat een IT specialist een WERKENDE backup moet trekken van een omgeving terwijl om dit mogelijk te maken veel meer nodig dan een simpele kopie van een of zelfs meerdere disken (RAID...) is dus onmiddellijk een veel complexere zaak. En dus ook een uitzoekwerk voor de betreffende IT specialist.

Volgens mij praat je nu alleen maar vanuit wat vermoedens en niet vanuit kennis en ervaring.
Niemand gaat een image van een RAID systeem maken door de indivuele disken te imagen! Je doet dat op volume nivo
en vanaf dat moment is het irrelevant dat het RAID is.

RAID kan het juist simpeler maken. Als het systeem nu draait met een RAID-1 setup met 2 disken maar nog vrije
hotswap posities dan ga je de dag ervoor naar die klant, zet er een 3e disk bij en voegt die toe aan de RAID-1 set,
het systeem gaat dan automatisch de volumes mirroren naar die disk, als je op de dag zelf aankomt om je update
te doen hoef je alleen maar de gebruikers te laten uitloggen, liefst de database stoppen, en dan trek je die disk er
uit. Klaar is je image!
(je kunt dit zelfs doen door voor je begint gewoon 1 disk van de 2-disks RAID-1 set eruit te halen, en dan je update
te doen en na acceptatietest plaats je de disk gewoon weer terug. echter, je introduceert dan wel het kleine risico dat
tijdens de update de ene disk waarop je dan draait stuk gaat en dat de andere niet meer blijkt te starten na terugplaatsen.
de kans op problemen is echter aanmerkelijk minder dan als je zonder backup aan de slag gaat)
13-07-2017, 18:11 door Anoniem
Iedere dag dient er een Back-up gemaakt te worden. Verwisselen van de dagschijven dient iedere dag te gebeuren. Anders risico dat er gegevens verloren gaan over meerdere dagen. Bij [gedaagde] wordt er twee wekelijks een back-up gemaakt.’
En uit die regel van een bezoekverslag trekt de eiseres de conclusie dat het ICT-bedrijf elke 14 dagen een backup maakt,
en de rechter "gebruikt" dit vervolgens om aan te tonen dat de ICT-er het grote belang van een backup kende?
Tjonge jonge wat een draaibank.

Ik vrees dat het ICT-bedrijf destijds niet duidelijk genoeg heeft gecommuniceerd, maar de klant is normaalgesproken verantwoordelijk voor de backup. Dat is ook wat in de ICT-wereld al jaren gebruikelijk is. Anders kost het heel veel centjes voor wat eigenlijk een dom werkje is. Daarbij zal in de meeste gevallen de systeembeheerder beter weten wat er gebackupt moet worden dan een ICT-serviceman. Hier bij uitzondering dan misschien eens een keer niet. Bij medici moet je inderdaad een foolproof systeem hebben, want medici hebben bijna altijd echt de ballen verstand van ICT, en daar krijg jij als ICT-er al snel de schuld van.

Voor wat die privacy betreft: het gebruikte systeem (Promedico) is van oorsprong.....
inderdaad: amerikaans.
13-07-2017, 20:02 door karma4 - Bijgewerkt: 13-07-2017, 20:33
ligt het toch genuanceerder https://www.promedico.nl/nieuws/uitspraak-ict-dienstverlener-aansprakelijk-verloren-praktijkgegevens/ Een incomplete of corrupte backup kan ook.
Maak je een backup van de bestanden van een draaiend dbms dan kan het backup programma zeggen prima gelukt en als je de boel restored de boel onbruikbaar lijken. De oorzaak in caches die niet weggeschreven zijn en waar het OS niet standaard in lock mechanismes voorziet of dat die uitgeschakeld zijn. Hoe vaak ik die fout niet gemaakt heb zien worden en de beheerder van de backup glashard beweert dat alles perfect gedaan is.... oeff. vingers te kort.

https://www.promedico.nl/wp-content/uploads/2016/04/160331-Systeemadvies-Promedico-VDF.pdf
Bevat de systeemachtergrond. Afgeraden wordt om werkstations voor serverfunctie te gebruiken, De MS sql instructies https://docs.microsoft.com/en-us/sql/relational-databases/backup-restore/plan-and-perform-restore-sequences-full-recovery-model
Zou het gaan om promedico ASP dan draait alles in de cloud op eigen 2-paty server of AWS. Daar draait dat andere OS achter.
13-07-2017, 21:39 door Anoniem
>Maak je een backup van de bestanden van een draaiend dbms dan kan het backup programma zeggen prima gelukt en als je de boel restored de boel onbruikbaar lijken

N000bs! je hebt pas een backup als je deze ook succesvol kan restoren.
Ook dit hoort in je backup plan.

Vooral lekker blijven discussieren en vragen aan de IT law personen of je wel goed bezig bent.
13-07-2017, 23:22 door Anoniem
Bedankt Arnoud voor je inzet voor deze rubriek. Security.nl mag blij zijn met zo'n mooi blog iedere week!
14-07-2017, 07:20 door karma4 - Bijgewerkt: 14-07-2017, 22:00
Door Anoniem: >Maak je een backup van de bestanden van een draaiend dbms dan kan het backup programma zeggen prima gelukt en als je de boel restored de boel onbruikbaar lijken

N000bs! je hebt pas een backup als je deze ook succesvol kan restoren.
Ook dit hoort in je backup plan.

Vooral lekker blijven discussieren en vragen aan de IT law personen of je wel goed bezig bent.
Prima opmerking dat een backup pas goed is als de restore werkt Dat betekent dat de arts daarvoor een inra acceptatie test omgeving ook geschikt als DR beschikbaar had moeten hebben. Zoiets op meerder locaties verspreid je zou kunnen denken aan een colocatie bij een andere arts met het zelfde systeem. Dat de arts een ict noobs is, daar heb je gelijk in.

Prima opmerking over navragen bij legal. Lang gelden gedaan en die restore was niet nodig of relevant de accountant vroeg enkel of er een backup gemaakt werd.
Voor die DR is het toch goed genoeg dat je elk half jaar de boel na 3 4 pogingen wegens allerlei fouten draaiend hebt. Dat er maar 1 poging in realiteit is, wat maakt het uit.
Dat zijn de opvattingen van legal ict in grote bedrijven met duizenden mensen en miljoenen miljarden budgetten.

Er is nog wat: de arts had de keus zelf om zelf de ict taak op zich te nemen (de vdf versie) of dat als Cloud service bij de leverancier te laten (de asp versie). Het was zijn keus om met eigen machines te werken en alle ict taken zelf te doen.
Met een Cloud service heb je dat alle data bij de leverancier staat. Dat de patientendata elders staat daar moet je wel iets voor regelen.

Er is nog iets geks. Het systeem leek te draaien na het onderhoud van de ict er. Het terugzetten van de dbms backup gebeurde in opdracht van de software leverancier. Daarna was het echt mis. Maar wie heeft die backup van het dbms en alles er om heen ingeregeld? Daar zit een fout.
Dan moet je helder maken dat een disk-backup wat anders is dan een dbms - backup aan de rechter.

Toevoeging|
- mdf files https://docs.microsoft.com/en-us/sql/relational-databases/databases/attach-a-database
- https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:90
Op zoek naar de live database files en niet de backup versies?

Dus we hebben het over een klein systeem waar eenonderhuodsman niet bekend met de situatie en geen validatie mogelijkheden het verwijt krijgt over een speciaal product. Het is niet de thuis situatie waar een disk image wel voldoet. Lees je de zaak dan lijkt het er op dat de arts een betere jurist had dan de ict-er of die ict er het dacht zelf te kunnen afhandelen. Ja ict er is een noobs op legal gebied
14-07-2017, 22:20 door Anoniem
Door karma4:

[..]

Er is nog iets geks. Het systeem leek te draaien na het onderhoud van de ict er. Het terugzetten van de dbms backup gebeurde in opdracht van de software leverancier. Daarna was het echt mis. Maar wie heeft die backup van het dbms en alles er om heen ingeregeld? Daar zit een fout.
Dan moet je helder maken dat een disk-backup wat anders is dan een dbms - backup aan de rechter.

Nee , als ICTer moet je dat weten - en moet je weten dat "terugzetten van een backup" een eenrichtings pad is, en dat je *heel erg nat gaat* als de backup niet volledig is.
En dat een "domme" backup van een DBMS nutteloos is.
En dat een leveranciers helpdesk die zegt "doe maar een restore" niet KAN weten of die backup wel gelukt was. Daar ben je zelf bij.

En als je niet zeker genoeg weet of de backup die je terug gaat zetten volledig is , moet je je afvragen wat je kunt doen om 'terug bij af' te komen als die restore niet lukt .
En dan moet je niet gaan zitten ass-coveren dat het eigenlijk de schuld is van degene die eerst een goede backup had moeten hebben. Of dat het backuppen van DBMSen een klein beetje moeilijker is om goed te doen.
Hallo , daar ben je voor ingehuurd. Om dat te weten.

Degene die restore (of drop table, of format c: , of mkfs.ext4 , of dd if=/dev/zero of=/dev/) wil gaan intikken moet zich verdomd goed afvragen "wil ik dit en kan ik het herstellen als het niet lukt" .

En als je plan B niks meer is dan "de niet terzake kundige klant zegt dat er een backup is" (of "een collega heeft de setup afgetekend dat de backup zou werken") of "toen ik de boel vorig jaar inrichtte leek de backup te werken" doe je er heel goed aan om de definitieve actie maar niet te doen , en eerst te zorgen dat je een _gegarandeerd_ plan B hebt .
En vooral als je bezig bent met data waarin iemands hele hebben en houden inzitten.


Dus we hebben het over een klein systeem waar eenonderhuodsman niet bekend met de situatie en geen validatie mogelijkheden het verwijt krijgt over een speciaal product. Het is niet de thuis situatie waar een disk image wel voldoet. Lees je de zaak dan lijkt het er op dat de arts een betere jurist had dan de ict-er of die ict er het dacht zelf te kunnen afhandelen. Ja ict er is een noobs op legal gebied

Als je het vonnis leest is het een doodgewone MKB setting. Lokale server, paar USB disken eraan, onderhoudscontract, een een applicatie met een klantendatabase-je . (Ja, database-je . Huisartsen praktijk heeft misschien 15,000 records - heel duur om te verliezen en opnieuw in te tikken, maar in storage termen niks moeilijks ).
Je kunt de hele applicatie en database (en desnoods de hele server) down brengen en dan wel een image backup maken. Qua volume past dat makkelijk op een portable disk .
Als je dan ook leest de ICT medewerker blijkbaar "oeps verkeerde map" ook nog wat er dan wel aan backup was vernaggeld heeft wordt het echt wel erg verwijtbaar .

Het voornaamste opvallende is hier dat de gevolgen van een beetje geknoei vrij groot waren en er een rechtszaak met vonnis gekomen is . Voor de rest is het doodgewoon MKB bedrijft huurt ander MKB bedrijf in, er wordt wat geklungeld door de leverancier en nu is er iets kapot bij de klant.

Zouden dakdekkers ook vinden dat een rechter gewoon moet begrijpen dat heet bitumen en dakisolatie nou eenmaal heel makkelijk kan branden , en dat de klant maar had moeten zorgen voor sprinklers ?
14-07-2017, 22:23 door Anoniem
Door Anoniem: Bedankt Arnoud voor je inzet voor deze rubriek. Security.nl mag blij zijn met zo'n mooi blog iedere week!

Ja, Arnoud zal ook wel blij zijn dat al die ict en security experts hier ook nog meer verstand hebben van juridische zaken dan hij en de rechter bij elkaar , en graag uitleggen hoe het echt zit.
15-07-2017, 08:37 door karma4 - Bijgewerkt: 15-07-2017, 09:18
Door Anoniem:
Door Anoniem: Bedankt Arnoud voor je inzet voor deze rubriek. Security.nl mag blij zijn met zo'n mooi blog iedere week!

Ja, Arnoud zal ook wel blij zijn dat al die ict en security experts hier ook nog meer verstand hebben van juridische zaken dan hij en de rechter bij elkaar , en graag uitleggen hoe het echt zit.

De casus met de link is interessant. kun je er over gaan zeuren dat reacties komen die andere gezichtspunten geven.
Lijkt me dat juriisten het juist leuk vinden om er wat dieper op in te gaan.
- De gedaagde (ict mkb) vond het niet de moeite waard om iets aan te voeren of te weerleggen.
- De rechter vond het niet nodig om een ict expert te raadplegen over de situatie. Hij gaat uit van een eenvoudige thuis opzet zonder dbms systeem of anderszins meer complexe omgeving.
- de vraagsteling komt niet verder dan dat er een backup gemaakt moet worden. Het antwoord daarop is natuurlijk ja.
Wat er aan mist is een duidelijker beschrijving van wie wat hoe wanneer met daarna de schuldvraag.

Het voornaamste opvallende is hier dat de gevolgen van een beetje geknoei vrij groot waren en er een rechtszaak met vonnis gekomen is . Voor de rest is het doodgewoon MKB bedrijft huurt ander MKB bedrijf in, er wordt wat geklungeld door de leverancier en nu is er iets kapot bij de klant.
Inderdaad niets bijzonders en dan wordt het gewoon een zaak.

Wat nog mist is wie die installatie van "promedico gdv" ooit gedaan heeft de backup instructies heeft opgesteld. Het lijkt een oud product (2000) te zijn waar lang mee doorgegaan is. (zie andere casus)
Zijn er andere zaken in dat kader? ik vind https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBMNE:2013:7248
Is dat de zelfde ict mkb dienstverlener dan komt het alsnog terug. Is daar een andere partij in het spel, dan verder.

Nee , als ICTer moet je dat weten - en moet je weten dat "terugzetten van een backup" een eenrichtings pad is, en dat je *heel erg nat gaat* als de backup niet volledig is.
En dat een "domme" backup van een DBMS nutteloos is.
En dat een leveranciers helpdesk die zegt "doe maar een restore" niet KAN weten of die backup wel gelukt was. Daar ben je zelf bij.
En tegen wie heeft de leverancier gezegd doe maar een restore. Is dat tegen de arts die vervolgens het promedico beheer zelf doet en enkel de ICT-mkb inhuurde voor het OS-doosjes werk. Dan heef de arts als promedico-vdg beheerder zitten blunderen. Heeft de arts het complete beheer inclusief promedico-vdg uitbesteed dan ligt bij die dienstverlener.

Wat er duidelijk mist is een dagelijkse offload (noemt de DBA een backup) van de database naar het OS met telkens aparte nieuwe namen. Mist zoiets in de instructies van de leverancier (Promedico) dan zou je nog een falende software product kunnen aanhalen. Dat een onderzoeksbedrijf naar de live dbms data op zoek gegaan is lijk een aanwijzing te zijn dat het onderzoek in opdracht van de arts gedaan is. Een veeg teken dat het besef van een dbms niet aanwezig is.
Op zoek... http://www.vitasys.nl/img/magazine/magazine2015.pdf "Het enige probleem bleek het back-up systeem, daar bleek een bug in te zitten." Ja ziet er uit als bij installatie conversie, dat is het moment dat het goed moet zijn.

Het argument dat je met een image van een dbms maken weg kan komen faalt. Je haalt aal aan dat je dan zeker moet weten dat die applicatie goed afgesloten is in een consistente toestand. Het is niet voor niets dat os beheerders en dbms beheerder aparte functies en vakgebieden zijn en wat grotere organisaties.

Als jij je banden laat vervangen bij een bandencenter dan weet je dat enkel daar de aandacht voor is. Andere zaken vallen er buiten. Moet je niet gaan zeuren dat er te zien was dat een grote beurt nodig was.

Iets duidelijker: https://blog.iusmentis.com/2017/01/25/wanneer-moet-als-it-dienstverlener-backups-maken-klant/
Hij had de opdracht upgrade promedico niet moeten aannemen. Dat was duidelijk niet zijn kennisgebied.
Het lijkt er op dat de boel al niet op orde was, eerste stap onderzoek hoe het er bij staat ...
15-07-2017, 16:13 door Anoniem
Door karma4:
Door Anoniem:
Door Anoniem: Bedankt Arnoud voor je inzet voor deze rubriek. Security.nl mag blij zijn met zo'n mooi blog iedere week!

Ja, Arnoud zal ook wel blij zijn dat al die ict en security experts hier ook nog meer verstand hebben van juridische zaken dan hij en de rechter bij elkaar , en graag uitleggen hoe het echt zit.

De casus met de link is interessant. kun je er over gaan zeuren dat reacties komen die andere gezichtspunten geven.
Lijkt me dat juriisten het juist leuk vinden om er wat dieper op in te gaan.

Ik heb geen reacties gezien van mensen met juridische kennis, alleen betweterige ITers. Ik kan me voorstellen dat Arnoud weinig heil ziet om na de column ook nog in de discussie te springen om alle misverstanden nog een keer uit te leggen.

Ik vind het best leuk als leken geïnteresseerd zijn in mijn vakgebied , maar ik moet zeggen dat ik het al snel ergerlijk vindt als ze totale onzin en onkunde debiteren en ook nog overtuigd zijn dat ze daarin gelijk hebben en zinvol "bijdragen" .
Ik stel me zo voor dat dat ook zal gelden voor experts op andere gebieden .

Wat dat betreft ben ik niet jaloers op topcoaches - het hele land weet beter wat er gedaan had moeten worden.


- De gedaagde (ict mkb) vond het niet de moeite waard om iets aan te voeren of te weerleggen.
- De rechter vond het niet nodig om een ict expert te raadplegen over de situatie. Hij gaat uit van een eenvoudige thuis opzet zonder dbms systeem of anderszins meer complexe omgeving.

Waarom denk je nou dat de rechter iets moet vinden van complexe of simpele IT ?

Die hoeft zich alleen af te vragen of de ontstane schade verwijtbaar is aan de ingehuurde expert , of dat de klant ergens (ook) beter had moeten weten.
Als de klant bijvoorbeeld ook een, op dat vlak professionele partij is zal nmm de rechter minder snel de schade volledig aan een leverancier wijten .
(zie allerhande overheids-IT falen, en nogal weinig schadeclaims) . De andere vraag is of de klant misschien bewust het risico nam om een "duidelijk niet voldoende deskundige" partij toch te laten knoeien . Als de huisarts letterlijjk de buurjongen voor twee tientjes had laten prutsen zie ik een dergelijke schade ook niet zo snel zo toegewezen worden .
(echte jurist die hier nog op wil toelichten ? )

Als het IT bedrijf wil claimen dat het geheel zodanig onmogelijk en moeilijk te voorzien was dat de schade hem niet valt toe te rekenen moet het bedrijf (en z'n advocaat) dat inbrengen.

De civiele rechter werkt volgens : Da_mihi_factum,_dabo_tibi_ius . Oftewel, geef mij de feiten, dan geef ik U recht .
De rechter gaat uit van wat de partijen inbrengen . De rechter mag zeker niet zelf inbrengen dat het werk van de gedaagde eigenlijk wel erg moeilijk was .
De gedaagde had dat kunnen inbrengen, de eiseres kan bestrijden dat de gedaagde het werk toch heeft aangenomen en deskundig genoeg geacht mocht worden. De rechter kan eventueel om een expert vragen bij conflicterende stellingen tussen "wat verwacht mag worden van een professional" versus "dit was een onmogelijk te voorziene samenloop van omstandigheden - pech maar geen verwijtbare schuld" .

Dat het bedrijf en z'n advocaat dit niet inbrengen lijkt me vrij logisch - in de omstandigheden hier erg kansloos.
Het bedrijf doet het werk (ook voor eiseres) al een hele tijd en heeft ongetwijfeld offertes en contracten waarin een voorbehoud niet gemaakt wordt , en heeft op het fatale moment ook niet besloten dat het z'n kennis te boven te ging en dan maar afblijven.


- de vraagsteling komt niet verder dan dat er een backup gemaakt moet worden. Het antwoord daarop is natuurlijk ja.
Wat er aan mist is een duidelijker beschrijving van wie wat hoe wanneer met daarna de schuldvraag.

De schuldvraag gaat ook niet over wie vorig jaar de backups moest maken.

Wat de rechtbank de professional verwijt is dat die niet zelf gecontroleerd heeft of er een bruikbare backup was op het moment dat hij onomkeerbare acties ging doen .
Des te meer omdat de professional wist (blijkens offerte) dat de backups niet perfect gingen, en natuurlijk omdat de eiseres _geen_ professional is van wie solide IT beheer verwacht kan worden.

Dus : je weet dat de data belangrijk zijn, je weet (en kunt vermoeden) dat eventueel aanwezige backups mogelijk niet betrouwbaar zijn, en je gaat toch onomkeerbare stappen zetten zonder eerst zelf een goede backup te maken . Dan is onstane schade verwijtbaar .
Zo moeilijk is het toch allemaal niet ?


Het voornaamste opvallende is hier dat de gevolgen van een beetje geknoei vrij groot waren en er een rechtszaak met vonnis gekomen is . Voor de rest is het doodgewoon MKB bedrijft huurt ander MKB bedrijf in, er wordt wat geklungeld door de leverancier en nu is er iets kapot bij de klant.
Inderdaad niets bijzonders en dan wordt het gewoon een zaak.

Wat nog mist is wie die installatie van "promedico gdv" ooit gedaan heeft de backup instructies heeft opgesteld. Het lijkt een oud product (2000) te zijn waar lang mee doorgegaan is. (zie andere casus)

Wil je nu in het algemeen filosoferen over (te)oude software, of over de schuldvraag in deze zaak ?
Voor de schuldvraag maakt het echt niet uit of de applicatie niet een doorgegroeide DOS versie met MS-access 'database' is of was.

Een schilder zegt soms ook "meneer, dat ga ik niet even overschilderen, die oude kleur zie je er doorheen en dan heb ik het gedaan. Dat moet eerst kaal" . Wanneer je als professional een klus aanneemt van een leek en de leek wil iets echt onverstandigs moet je je heel erg hard ingedekt hebben om niet aansprakelijk te zijn voor schade.

In het tussenvonnis is sprake van een offerte van het IT bedrijf, oa voor het inrichten van backups , uit 2011 .
En dan is er in de eerste helft van 2015 een klus aangenomen voor het inrichten van een server .

(het leest alsof de huisarts uit een bestaande maatschap stapte, en bij bestaande IT partij van de maatschap nu een eigen setup bestelde.
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:90 , zie 2.1 , 2.2, 2.4 )



Zijn er andere zaken in dat kader? ik vind https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBMNE:2013:7248
Is dat de zelfde ict mkb dienstverlener dan komt het alsnog terug. Is daar een andere partij in het spel, dan verder.

Andere zaak, andere tijd, andere advocaten , andere eiser , andere gedaagde .
(Hier is de software leverancier zelf (Promedico) gedaagd door een huisarts omtrent conversie van de stand-alone versie naar de ASP-versie en blijkbaar een heleboel wat misging . De overeenkomst is alleen deels (VDF vs ASP versie) het product )


Nee , als ICTer moet je dat weten - en moet je weten dat "terugzetten van een backup" een eenrichtings pad is, en dat je *heel erg nat gaat* als de backup niet volledig is.
En dat een "domme" backup van een DBMS nutteloos is.
En dat een leveranciers helpdesk die zegt "doe maar een restore" niet KAN weten of die backup wel gelukt was. Daar ben je zelf bij.
En tegen wie heeft de leverancier gezegd doe maar een restore. Is dat tegen de arts die vervolgens het promedico beheer zelf doet en enkel de ICT-mkb inhuurde voor het OS-doosjes werk. Dan heef de arts als promedico-vdg beheerder zitten blunderen. Heeft de arts het complete beheer inclusief promedico-vdg uitbesteed dan ligt bij die dienstverlener.

Maar waarom speculeer je nou in plaats van het vonnis en tussenvonnis te lezen ?

https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:90
2.7
" De installatie was niet succesvol en reeds ingevoerde tarieven bleken te zijn overgeschreven. Op advies van Promedico heeft [eiseres] c.s. [gedaagde] verzocht de back-up van vóór de update terug te plaatsen. [gedaagde] heeft dat geprobeerd, maar de data op de externe schijven bleken niet leesbaar te zijn. Alle in het systeem bewaarde praktijkgegevens zijn van [eiseres] c.s. zijn verdwenen."

Kortom : IT bedrijf zat aan de knoppen om de backup terug te zetten en toen waren alle data weg omdat de backup die teruggezet werd kapot was.

Toch wel erg zuur voor de huisarts, het werkt niet, voldoende bewust geweest (al dan niet op advies van Promedico) dat een backup terugzetten iets is wat echt niet mis moet gaan want dan ben je alles kwijt.

"2.9.

[eiseres] c.s. heeft een back-up van 1 juli 2015 op haar systeem geplaatst en is begonnen om de gegevens die verloren zijn gegaan, weer te verzamelen en handmatig in te voeren.
"

Ben je lekker mee. Het ging mis in januari 2016 , dus een dik half jaar aan data kwijt.


Het IT bedrijf was ingehuurd om backups te maken, en om de applicatie te upgraden .
En wordt ervoor verantwoordelijk gehouden om zelf backups te maken of te controleren alvorens fatale acties te gaan doen.

https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:6454&pk_campaign=rss&pk_medium=rss&pk_keyword=uitspraken

zie 2.5 en 2.8 .

Tussenvonnis
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:90

In het tussenvonnis zie je dat de huisarts al een jaar of vier klant is van het IT bedrijf, met een offerte waarin het maken van backups staat .
En 219 p/m betaalt .Verder is er sprake van een werknemer van het IT bedrijf.

Oftewel, een IT bedrijf met enkele werknemers en een best stevig abonnements tarief - Niks om de huisarts te verwijten dat ze met een duidelijke beunhaas/zolderkamer 'mannetje' in zee gegaan is en "voor dat geld kun je ook niks verwachten" .
Het IT bedrijf heeft in al die tijd ook niet geconstateerd of gesteld dat het product misschien te ingewikkeld voor ze was.


Wat er duidelijk mist is een dagelijkse offload (noemt de DBA een backup) van de database naar het OS met telkens aparte nieuwe namen. Mist zoiets in de instructies van de leverancier (Promedico) dan zou je nog een falende software product kunnen aanhalen. Dat een onderzoeksbedrijf naar de live dbms data op zoek gegaan is lijk een aanwijzing te zijn dat het onderzoek in opdracht van de arts gedaan is. Een veeg teken dat het besef van een dbms niet aanwezig is.

Op zoek... http://www.vitasys.nl/img/magazine/magazine2015.pdf "Het enige probleem bleek het back-up systeem, daar bleek een bug in te zitten." Ja ziet er uit als bij installatie conversie, dat is het moment dat het goed moet zijn.

Het argument dat je met een image van een dbms maken weg kan komen faalt. Je haalt aal aan dat je dan zeker moet weten dat die applicatie goed afgesloten is in een consistente toestand. Het is niet voor niets dat os beheerders en dbms beheerder aparte functies en vakgebieden zijn en wat grotere organisaties.

Ik zeg niet "image van dbms", ik zei "image van _afgesloten database_ of desnoods systeem" . Als je het echt niet weet, PC netjes uitzetten met een live cd de hele harddisk klonen.
Dit is geen big data, dit is geen database met multiple concurrent writers, dit is geen 7x24 live .

Dus gewoon - netjes afsluiten en dan een image backup . *Omdat* het een relatief klein systeem is kan dat gewoon.
De uitdaging in grote databases is dat die liefst geback-upped moeten worden terwijl ze doordraaien . Om dat te bereiken is veel meer database expertise nodig.
Bij mega grote databases wil je dan ook nog incrementals, en ook dat is hier voor een "snaphot in het geval de restore mis gaat van een kleine database" niet van belang.

In wat grotere , en eventueel zelfs wat kleinere setups kun je ook nog kiezen voor de OS [vm] of filesystem snapshot, en daarvan de backup maken.
Het cruciale is dat de database *consistent* blijft , en als de volledige toestand instantaan kunt bevriezen is dat het geval .

Overigens is zelfs een slecht afgesloten database vaak nog wel te recoveren , alleen is dan wel nog meer kennis nodig .
Uiteindelijk gebeurt dat ook wel eens dat een systeem onbedoeld hard uitgaat of uitgezet wordt.

Echt fataal zijn precies de dingen die hier gedaan zijn : een slechte/incomplete backup terugzetten .


Als jij je banden laat vervangen bij een bandencenter dan weet je dat enkel daar de aandacht voor is. Andere zaken vallen er buiten. Moet je niet gaan zeuren dat er te zien was dat een grote beurt nodig was.

Als ik ze inhuur voor de banden verwacht ik dat ze de wielmoeren weer goed aandraaid hebben als ik de auto mee krijg.


Iets duidelijker: https://blog.iusmentis.com/2017/01/25/wanneer-moet-als-it-dienstverlener-backups-maken-klant/
Hij had de opdracht upgrade promedico niet moeten aannemen. Dat was duidelijk niet zijn kennisgebied.
Het lijkt er op dat de boel al niet op orde was, eerste stap onderzoek hoe het er bij staat ...

Feitelijk is PC beheer hier niet goed genoeg gegaan, de relatie met "applicatie kennis" is echt te ver gezocht.

En, zoals boven aangegeven, kwam deze partij al jaren over de vloer voor dit systeem.
Als je je al vier jaar laat betalen voor systeem werk moet je als het mis gaat niet meer zeggen "maar dat kun je ook niet verwachten van een simpele dozenbeheerder" -
15-07-2017, 19:23 door karma4 - Bijgewerkt: 15-07-2017, 19:27
Door Anoniem:
Waarom denk je nou dat de rechter iets moet vinden van complexe of simpele IT ?
Die hoeft zich alleen af te vragen of de ontstane schade verwijtbaar is aan de ingehuurde expert , of dat de klant ergens (ook) beter had moeten weten.
...
De civiele rechter werkt volgens : Da_mihi_factum,_dabo_tibi_ius . Oftewel, geef mij de feiten, dan geef ik U recht .
De rechter gaat uit van wat de partijen inbrengen .
Ik heb eerder al aangegeven met het lezen van het tussenvonnis dat de verdediging in de zaak kennelijk afwezig was.
Dat is niet handig dan mis je de feiten van die kant, wordt de argumentatie er eenzijdig.
De rechter heeft zelf besloten niet nader op ICT zaken in te gaan. Begrijpelijk als er geen verdediging is maar of je dan een correct verhaal krijgt is wat anders.


De schuldvraag gaat ook niet over wie vorig jaar de backups moest maken.
....
Wat de rechtbank de professional verwijt is dat die niet zelf gecontroleerd heeft of er een bruikbare backup was op het moment dat hij onomkeerbare acties ging doen .
Des te meer omdat de professional wist (blijkens offerte) dat de backups niet perfect gingen, en natuurlijk omdat de eiseres _geen_ professional is van wie solide IT beheer verwacht kan worden.
....
Zo moeilijk is het toch allemaal niet ?
Als het zo makkelijk was, dan was het niet fout gegaan toch.

Als je het tussenvonnis verder goed gelezen had zie je staan dat de arts promedico heeft ingeschakeld. Dat buiten die dienstverlener om. De instructies van promedico heeft opgevolgd door met een restore te beginnen. Als die actie van dat de DBMS restore de schoning doet (dikke kans) dan is dat het op dat moment om zeep ging. De rechter vind dat in zijn vonnis niet relevant. Mijn vraag is: is dat een juiste insteek.
Pas toen de boel na de actie door promedica compleet vast zat is men naar een backup gaan vragen. (lees het verhaal)

Die backup en restore scripts komen als het goed is van promedico. Dat daar wat van begin af aan fout gezeten heeft is vrijwel zeker. Dat pro-medico een brief aan de arts met handleiding voor een upgrade gestuurd heeft geeft de verwachting aan dat het iets eenvoudigs zou zijn. Let wel er is een grote afhankelijkheid van de software leverancier. Als uitvoerder afnemer klant heb je daar weinig zeggenschap over.


Wil je nu in het algemeen filosoferen over (te)oude software, of over de schuldvraag in deze zaak ? Voor de schuldvraag maakt het echt niet uit of de applicatie niet een doorgegroeide DOS versie met MS-access 'database' is of was.
Nee het is de vraag of de aangeleverde instructies voor de upgrade en upgrade procedure zelf voldoende duidelijk aangeleverd zijn en geen fouten bevatten of misleidende zaken geven waardoor een upgrade niet triviaal is.

Die andere links geven signalen af dat daaraan getwijfeld mag worden. Je kunt de huidige system requirements vinden, Zekere niet iets om op één enkele machine te gaan draaien. Dat uitstappen uit de maatschap heeft ergens een dwang op dit gebeuren gelegd. Die andere zaak geeft een betere beschrijving van de techniek en dat er nog veel aan moet gebeuren.
Let op in sysreqs staat dat de klant zelf een van de vele SQL server versies kan kiezen (gratis / betaald) en zelf hardware keuzes moet maken (budget/performance). En waarom zou je die gegevens niet mogen aandragen?


In het tussenvonnis is sprake van een offerte van het IT bedrijf, oa voor het inrichten van backups , uit 2011 .
En dan is er in de eerste helft van 2015 een klus aangenomen voor het inrichten van een server .
https://www.clbgroup.be/ict-hosting/nieuwsbrief/2017/ict-dienstverlener-is-aansprakelijk-voor-verloren-gaan-van-gegevens-na-update/ Voor wat is het inrichten van backups in de offerte gedaan? Ik lees een ms-office benadering niet het promedico gedoe ofwel in de verhalen die je vind springt dat heen en weer. USB-schijfjes aanpak lijkt ook op bestanden / office.


... En dat een "domme" backup van een DBMS nutteloos is. En dat een leveranciers helpdesk die zegt "doe maar een restore" niet KAN weten of die backup wel gelukt was. Daar ben je zelf bij.
De arts toch in dit geval. Ik lees niet dat de ict-mkb er daar betrokken bij was


Maar waarom speculeer je nou in plaats van het vonnis en tussenvonnis te lezen ?
Ik lees de boel en ben op zoek naar de onvolkomenheden gegaan. Geloof je dat elke uitspraak perfect is?


Als ik ze inhuur voor de banden verwacht ik dat ze de wielmoeren weer goed aandraaid hebben als ik de auto mee krijg.
Als het prima werkend afgeleverd is ga jij de schade van lek rijden en vandalisme ook op dat bandenbedrijf verhalen.


Feitelijk is PC beheer hier niet goed genoeg gegaan, de relatie met "applicatie kennis" is echt te ver gezocht.
In deze zaak zitten er meerdere partijen behoorlijk technisch en vermoedelijk ook juridisch knoeien.
Laat het nu net om de applicatie promedico draaien. De relatie met de kennis daarover lijkt me niet vergezocht.
15-07-2017, 19:34 door karma4
Als de klant bijvoorbeeld ook een, op dat vlak professionele partij is zal nmm de rechter minder snel de schade volledig aan een leverancier wijten . (zie allerhande overheids-IT falen, en nogal weinig schadeclaims) .
Als je een beetje weet wat daar speelt is da niet verrassend. Er zijn nogal vaak innig klant/leverancier relaties denk eens aan uwv/ibm en neem eens aan dat het een standaard cultuur is bedrijfsleven en overheid. Claims verstoren dat, beter is het interne eigen personeel de schuld te geven. Gewoon naar de leverancier luisteren ook al zit die er volledig naast en gaat het mis. Iets van die cultuur zie ik in deze zaak terug.
15-07-2017, 22:58 door Anoniem
Door karma4:
Als de klant bijvoorbeeld ook een, op dat vlak professionele partij is zal nmm de rechter minder snel de schade volledig aan een leverancier wijten . (zie allerhande overheids-IT falen, en nogal weinig schadeclaims) .
Als je een beetje weet wat daar speelt is da niet verrassend. Er zijn nogal vaak innig klant/leverancier relaties denk eens aan uwv/ibm en neem eens aan dat het een standaard cultuur is bedrijfsleven en overheid. Claims verstoren dat, beter is het interne eigen personeel de schuld te geven. Gewoon naar de leverancier luisteren ook al zit die er volledig naast en gaat het mis. Iets van die cultuur zie ik in deze zaak terug.

Ah, de grote complot theorie van het groepje T-shirts met baard in de hoek die alles doorzien maar waar nooit iemand naar luistert.

Claims waarbij de klant zelf (ook) een belangrijk aandeel gehad heeft in beslissing en aansturing , en de klant gezien kan worden als een professionele partij zijn gewoon heel moeilijk toegewezen te krijgen.
De klant die met z'n "aansturing" en "regie-organisatie" in het hele traject meebeslist en tussentijds telkens akkoord gaat verliest daarmee veel mogelijkheden om de schuld bij falen bij een leverancier neer te kunnen leggen. Inderdaad , _omdat_ er ook eigen personeel aan het stuur zat en niet genoeg ingegrepen heeft.
Dat heeft nog niks te maken met leveranciersrelaties warm willen houden, maar alles met het inschatten (mede door de juridische afdeling) van de kans op een succesvolle claim.

"Regie voeren", "partnership", en zelf ook een professional zijn zoals overheids IT organisatie, dan mag je ook meedelen in de schade als de keuzes verkeerd uitpakken.

De zorgplicht van bedrijf jegens consument, of bedrijf richting bedrijf op ander terrein ligt veel zwaarder dan tussen gelijkwaardige partijen .
16-07-2017, 00:59 door Anoniem
Door karma4:
Door Anoniem:
Waarom denk je nou dat de rechter iets moet vinden van complexe of simpele IT ?
Die hoeft zich alleen af te vragen of de ontstane schade verwijtbaar is aan de ingehuurde expert , of dat de klant ergens (ook) beter had moeten weten.
...
De civiele rechter werkt volgens : Da_mihi_factum,_dabo_tibi_ius . Oftewel, geef mij de feiten, dan geef ik U recht .
De rechter gaat uit van wat de partijen inbrengen .
Ik heb eerder al aangegeven met het lezen van het tussenvonnis dat de verdediging in de zaak kennelijk afwezig was.
Dat is niet handig dan mis je de feiten van die kant, wordt de argumentatie er eenzijdig.
De rechter heeft zelf besloten niet nader op ICT zaken in te gaan. Begrijpelijk als er geen verdediging is maar of je dan een correct verhaal krijgt is wat anders.

Waar heb je dat dan aangegeven ? Je hebt alleen gedacht dat de huisarts een betere advocaat had.

De gedaagde werd vertegenwoordigd door een advocaat (verplicht in een zaak van deze omvang), en in het tussenvonnis en eindvonnis wordt verwezen naar verweren en beweringen die door de gedaagde ingebracht zijn.

Bepaald geen afwezige verdediging.



De schuldvraag gaat ook niet over wie vorig jaar de backups moest maken.
....
Wat de rechtbank de professional verwijt is dat die niet zelf gecontroleerd heeft of er een bruikbare backup was op het moment dat hij onomkeerbare acties ging doen .
Des te meer omdat de professional wist (blijkens offerte) dat de backups niet perfect gingen, en natuurlijk omdat de eiseres _geen_ professional is van wie solide IT beheer verwacht kan worden.
....
Zo moeilijk is het toch allemaal niet ?
Als het zo makkelijk was, dan was het niet fout gegaan toch.

Soms doen mensen die beter hadden moeten en kunnen weten dingen fout, en dan worden ze aansprakelijk voor onstane schade.

De dingen waar je hier over hoort zijn de dingen die fout gegaan zijn en waarover ook nog een proces gevoerd is.

De simpele dingen die goed gaan hoor je niks over, de simpele dingen die fout gedaan worden maar waarbij met geluk de schade beperkt is hoor je ook niks van, en de schades waarover niet geprocedeerd wordt hoor je hooguit in het borreltafel circuit.

Overigs sloeg mijn 'zo moeilijk is het niet' op het interpreteren van het vonnis . "potje breek, potje betaal" .

Het ICT werk was overigens _ook_ niet zo moeilijk of zo onverwacht voor een IT professional.


Als je het tussenvonnis verder goed gelezen had zie je staan dat de arts promedico heeft ingeschakeld. Dat buiten die dienstverlener om. De instructies van promedico heeft opgevolgd door met een restore te beginnen. Als die actie van dat de DBMS restore de schoning doet (dikke kans) dan is dat het op dat moment om zeep ging. De rechter vind dat in zijn vonnis niet relevant. Mijn vraag is: is dat een juiste insteek.
Pas toen de boel na de actie door promedica compleet vast zat is men naar een backup gaan vragen. (lees het verhaal)

Je moet beter lezen.

Tussenvonnis 2.7
27 januari - ICT bedrijf wordt gevraagd om de upgrade uit te voeren.

ICT bedrijf maakt geen (extra) backup, controleert de backups niet. (eindvonnis 2.8)

upgrade blijkt niet volledig gelukt . (tussenvonnis 2.7)
huisarts + promedico support probeert upgrade nogmaals uit te voeren.
wederom niet volledig gelukt , en ingevoerde tarieven overschreven.
Volgens huisarts is alle data nog aanwezig.

Gedaagd bedrijf heeft dit bestreden , maar zo te zien zonder aannemelijk bewijs. [blijkbaar geen mail van de huisarts met "help alle data is weg kom de backup terug zetten] (tussenvonnis 4.8)

Promedico adviseert backup terug te zetten.
Gedaagd bedrijf wordt gevraagd dit te doen (tussenvonnis 2.7)

en gedaagd bedrijf doet het wederom zonder tevoren een (extra) backup te maken of de backup te controleren. (mijn conclusie, uit het ontbreken van verweer door gedaagde dat er zorgvuldig gehandeld was door een backup te maken of te controleren alvorens de restore te doen )

Het was niet de huisarts of promedico die de restore deed , en nergens blijkt dat de boel 'compleet vast zat' - alleen dat de upgrade niet correct of volledig gewerkt had)

Data is nu definitief weg .

https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:6454
In eindvonnis 2.8 en 2.9 zegt de rechtbank dat het bedrijf voor het begon aan de upgrade de backup had moeten maken/controleren en daardoor aansprakelijk is voor het dataverlies toen de restore met corrupte data gedaan werd.

De rechtbank geeft verder geen oordeel over het moment waarop de data vernietigd werd, maar bij de restore lijkt mij het meest aannemelijk.
Als de data al eerder weg was zou daar typisch wel bewijs van zijn in de vorm van mail met 'help de data is weg kom met spoed een restore doen' .

Hoe dan ook legt de rechtbank het belangrijkste verwijt op het niet maken/controleren van een backup voordat het bedrijf aan de upgrade begon, en dat het alleen daarom al aansprakelijk is.

Ik denk dat het bedrijf zelfs twee backup/snapshot momenten gemist had : voordat het begon aan de upgrade, en voordat het de restore deed.
Zelfs al denk je dat het systeem al 'gaar' is (helemaal leeg geloof ik niet , in z'n geval heb je echt wel bewijs, en hang je ook aan de telefoon met de software leverancier) moet je je toch afvragen : weet ik wel zeker dat die backup goed is.


Die backup en restore scripts komen als het goed is van promedico. Dat daar wat van begin af aan fout gezeten heeft is vrijwel zeker. Dat pro-medico een brief aan de arts met handleiding voor een upgrade gestuurd heeft geeft de verwachting aan dat het iets eenvoudigs zou zijn. Let wel er is een grote afhankelijkheid van de software leverancier. Als uitvoerder afnemer klant heb je daar weinig zeggenschap over.

Dat is niet eens zo zeker dat het alleen aan de scripten lag - zie tussenvonnis 4.8 , over een per ongeluk weggegooide map door mederwerker ICT bedrijf.
Dat feit lijkt schriftelijk erkend te zijn en wordt niet bestreden.

Het verwijt is niet dat de upgrade niet lukte, of dat het backup model in z'n algemeenheid niet goed genoeg was, maar dat het niet meer mogelijk was om terug te komen tot de situatie voor men begon met de upgrade .

De juridische vraag zou misschien wat lastiger geweest zijn als de PC 'zomaar' kapot gegaan was, en op dat moment bleek dat de backup inrichting vaak of altijd gefaald had .
Het feit dat het bedrijf hier direct gevraagd was een actie te doen met enig risico (upgrade) en zelfs dan geen extra controle of voorzorgen neemt maakt de schuldvraag vrij makkelijk



Wil je nu in het algemeen filosoferen over (te)oude software, of over de schuldvraag in deze zaak ? Voor de schuldvraag maakt het echt niet uit of de applicatie niet een doorgegroeide DOS versie met MS-access 'database' is of was.
Nee het is de vraag of de aangeleverde instructies voor de upgrade en upgrade procedure zelf voldoende duidelijk aangeleverd zijn en geen fouten bevatten of misleidende zaken geven waardoor een upgrade niet triviaal is.

Die andere links geven signalen af dat daaraan getwijfeld mag worden. Je kunt de huidige system requirements vinden, Zekere niet iets om op één enkele machine te gaan draaien. Dat uitstappen uit de maatschap heeft ergens een dwang op dit gebeuren gelegd. Die andere zaak geeft een betere beschrijving van de techniek en dat er nog veel aan moet gebeuren.
Let op in sysreqs staat dat de klant zelf een van de vele SQL server versies kan kiezen (gratis / betaald) en zelf hardware keuzes moet maken (budget/performance). En waarom zou je die gegevens niet mogen aandragen?

Je hebt weer half gelezen, he ?
Waar haal je nu weer dwang van uitstappen uit de maatschap vandaan ?

2011 - ICT bedrijf offreert support voor maatschap met daarin huisarts.
1e helft 2015 - huisarts stapt in andere maatschap, koopt van hetzelfde ICT bedrijf server, disken en support
27 januari 2016 - ICT bedrijf begint aan upgrade en uiteindelijk dataverlies .

Het ICT bedrijf was dus ruim bekend met 'de huisartsenpraktijk' en deze huisarts, en had diens nieuwe maatschap al een ruim halfjaar als klant .
Het is erg aannemelijk dat de software van vorige en huidige maatschap dezelfde geweest zal zijn, en de klant was zeker bekend.

De enige tijdsdruk waar aan gerefereerd wordt is tijdens upgrade, dat de klant gevraagd zou hebben of dat niet in kantoortijd kon in plaats van 's avonds. (tussenvonnis 4.6, eindvonnis 2.6) .

De verwijtbaarheid gaat puur over het niet maken van backups voordat je aan de upgrade begint.
Of de installatie misschien uit meer of zwaardere servers had moeten bestaan doet er wat dat betreft niet toe.
Het bedrijf had moeten zorgen dat de boel herstelbaar naar voor de upgrade - zo goed of slecht als het was.

Bovendien, het ICT bedrijf _had de hardware en support geleverd_ - tussenvonnis 2.4 . Een half jaar geleden.
Dan ben je wel dubbel kansloos als je de ongeschiktheid van de setup wilt opvoeren als reden voor niet-aansprakelijkheid .
ICT bedrijf is hier geen webshop 'klik zelf maar bij elkaar' maar heeft expliciet geleverd voor een heel erg bekend doel , met een maandelijks onderhoudscontract.
Als je meent dat de setup ongeschikt is voor het doel was daar het moment om te adviseren (of je stevig in te dekken )



In het tussenvonnis is sprake van een offerte van het IT bedrijf, oa voor het inrichten van backups , uit 2011 .
En dan is er in de eerste helft van 2015 een klus aangenomen voor het inrichten van een server .
https://www.clbgroup.be/ict-hosting/nieuwsbrief/2017/ict-dienstverlener-is-aansprakelijk-voor-verloren-gaan-van-gegevens-na-update/ Voor wat is het inrichten van backups in de offerte gedaan? Ik lees een ms-office benadering niet het promedico gedoe ofwel in de verhalen die je vind springt dat heen en weer. USB-schijfjes aanpak lijkt ook op bestanden / office.


... En dat een "domme" backup van een DBMS nutteloos is. En dat een leveranciers helpdesk die zegt "doe maar een restore" niet KAN weten of die backup wel gelukt was. Daar ben je zelf bij.
De arts toch in dit geval. Ik lees niet dat de ict-mkb er daar betrokken bij was

Het valt duidelijk te lezen dat het het ICT bedrijf is dat gevraagd werd de restore te doen.
Dat was de laatste kans voor het bedrijf om zich af te vragen "is deze backup goed" .



Maar waarom speculeer je nou in plaats van het vonnis en tussenvonnis te lezen ?
Ik lees de boel en ben op zoek naar de onvolkomenheden gegaan. Geloof je dat elke uitspraak perfect is?

Je leest half, en de voornaamste onvolkomenheden zitten daarin.

Het gaat er niet om of iedere uitspraak perfect is, wat ik je daar verweet is dat je speculeert over simpele feiten die in het vonnis staan en ook niet bestreden worden door de partijen .

Daaruit blijkt dat je het vonnis half of niet gelezen hebt .



Als ik ze inhuur voor de banden verwacht ik dat ze de wielmoeren weer goed aandraaid hebben als ik de auto mee krijg.
Als het prima werkend afgeleverd is ga jij de schade van lek rijden en vandalisme ook op dat bandenbedrijf verhalen.

Slaat als een tang op een varken.
In deze analogie : als de wielbouten goed waren toen ik aankwam, en kapotgedraaid als ik de auto meekrijg , is het bandenbedrijf aansprakelijk .

Het is niet _mijn_ verantwoordelijkheid om ze het juiste moment te vertellen waarmee ze moeren moeten aandraaien - zij zijn de expert en ik ben de leek .



Feitelijk is PC beheer hier niet goed genoeg gegaan, de relatie met "applicatie kennis" is echt te ver gezocht.
In deze zaak zitten er meerdere partijen behoorlijk technisch en vermoedelijk ook juridisch knoeien.
Laat het nu net om de applicatie promedico draaien. De relatie met de kennis daarover lijkt me niet vergezocht.

Denk je echt dat de _twee_ advocaten van het gedaagde bedrijf, en het bedrijf zelf iets juridisch bruikbaars hebben laten liggen waarmee gedaagde niet of minder aansprakelijk zou zijn , en wat jij misschien wel gezien hebt ?
(gedaagde word in het eindvonnis vertegenwoordigd door een andere advocaat dan in het tussenvonnis)

Het draait dus NIET om de applicatie, maar om het niet maken of controleren van backups voordat je begint aan een upgrade - (of een restore ).

Om het falen van de backup aan de leverancier te wijten moet je het wel geprobeerd hebben, en de leverancier aangesproken op het niet werken.
Om te stellen dat een backup te moeilijk is om goed te doen wegens 'database', moet je het leveren en inrichten ervan niet eerst als service aangeboden hebben en voor die service hebben lopen cashen.
16-07-2017, 08:30 door karma4 - Bijgewerkt: 16-07-2017, 14:17
Door Anoniem: ....
"Regie voeren", "partnership", en zelf ook een professional zijn zoals overheids IT organisatie, dan mag je ook meedelen in de schade als de keuzes verkeerd uitpakken.

De zorgplicht van bedrijf jegens consument, of bedrijf richting bedrijf op ander terrein ligt veel zwaarder dan tussen gelijkwaardige partijen .
Twee aannames die niet kloppen.
- Een overheids IT organisatie die in staat zou zijn regie te voeren. Neem de publieke markt er maar bij. De commerciële ICT partijen hebben het als kerntaak de anderen als ondersteunend iets (kostenpost). Daarmee is het regiepotentieel weg. De overheid is daar achter en heeft een BIT ingevoerd waarover je met de invulling kan twijfelen. (zie voorbeeld UWV)
- claims en regie voeren met constant er bij zijn. Volg het verhaal BRP, Speer mag ook, Fyra een ander prachtig voorbeeld. Het ego van het prachtige project niet open staan voor de slechte signalen is een terugkerend iets.

Je hoeft niet aan complotten te denken, humor helpt: http://gossekorte.blogspot.nl/2011/09/hoe-wordt-ik-een-rat-samenvatting-joep.html . Juridische zaken is daar gewoon een onderdeel van, echt niet onafhankelijk.

IN dit geval van deze zaak heeft de arts willen en wetens allerlei acties afgestemd en handelingen zelf gedaan. Met het zoeken naar de life dbms files en niet beseffen dat daar een verschil is dbms backup is hij zelf een hoofdveroorzaker van het verloren gaan van data.


Om het falen van de backup aan de leverancier te wijten moet je het wel geprobeerd hebben, en de leverancier aangesproken op het niet werken.
Om te stellen dat een backup te moeilijk is om goed te doen wegens 'database', moet je het leveren en inrichten ervan niet eerst als service aangeboden hebben en voor die service hebben lopen cashen.
Die vind ik echt prachtig maar buiten elke werkelijkheid.

Mijn persoonlijke ervaringen met externe leveranciers zijn op dat vlak echt niet positief. Onderbouwd uitgezocht bewijs geleverd vervolgens krijg je als antwoord dat he niet kan omdat het niet in hun database van known issues staat. Andere gevallen dat ze een dump van alle data inclusief terug herleidbare wachtwoorden en privacy gevoelige gegevens moeten hebben omdat ze het anders niet kunnen naspelen. De aangeleverde test met hetzelfde gedrag negerend. Dat betreft dan de toppers van de commerciële grote jongens. Die willen liever kriteikloze volgelingen dus krijg je de klachten over je heen van je eigen management.

De genoemde prijs van een paar honderd euro in de maand van jij veel. Ik heb er geen mening over omdat er geen onderbouwing is wat de werkzaameheden zijn. Dan wordt het speculatieve meningsuiting.
Een uurtarief van ICT-er zit al gauw in de honderd euro als er een organisatie achter staat. De leverancier komt zo maar met een rekening van boven de 1000 per dag om wat aan verplichte afstemming te doen.

Als er afgesproken is wekelijks een backup te komen maken op locatie, voorrijkosten tijd etc en dan de schijf op een externe locatie uitwisellen, eventueel vervangen. Dan kan ik me er best wat bij voorstellen.

-----
Wonderlijk genoeg zijn we nu wel bij een DBMS backup uitgekomen en de noodzaak die op orde te hebben. Dat de procedures van promedica moeten komen goed bescheven moeten zijn. (bak dif bestanden met sqlserver) zodat je een dagelijkse wekelijkse backup met externe archivering inricht wordt genegeerd. Is promedica nu professionele software of is het voor de hobbyist thuis. Als we zeggen dat het professioneel is wat is dan de support en kwaliteit van de systeemdocumentatie of ontbreekt die gewoon.

Denk je echt dat de _twee_ advocaten van het gedaagde bedrijf, en het bedrijf zelf iets juridisch bruikbaars hebben laten liggen waarmee gedaagde niet of minder aansprakelijk zou zijn , en wat jij misschien wel gezien hebt ?
(gedaagde word in het eindvonnis vertegenwoordigd door een andere advocaat dan in het tussenvonnis)
Het zijn geen ict-ers maar juristen. Een eenvoudig antwoord daarop is ja. Zou niet voor het eerste en laatst zijn.
17-07-2017, 14:36 door Anoniem
Door Anoniem:
Als ik bij een klant werkzaamheden uitvoer zoals een software-upgrade, ben ik dan verplicht om backups te maken van zijn data? Of kan ik hem laten tekenen dat hij dat risico neemt?

Als je een professional bent, stel je deze vraag niet en zorg je dat je zaken gewoon goed regelt. Bij mij zal de vraagsteller als IT dienstverlener niet welkom zijn.

Net wat het eerste bij mij opkwam!
17-07-2017, 19:24 door Anoniem
Als alles gestopt is, duurt een backup en restore slechts enkele seconden. Voorwaarde is storage op een nas die snapshots kan maken. Wie dat soort storage niet heeft in een bedrijf, is niet meer dan een amateur en zal de hele rit moeten betalen van de backup en controle ervan. Dan is zo'n nas ineens heel betaalbaar.
18-07-2017, 10:46 door Anoniem
M.i. is dit geen houdbare uitspraak/situatie. Je kan leuk proberen die verantwoordelijkheid bij de IT'er te leggen, maar de reden dat er voor zo'n handeling niet gebackupt wordt zijn altijd drogredenen als:
- "downtime onacceptabel"
- klant wil niet opdraaien voor de kosten van het uitvoeren/controleren van de backup, zeker indien dat opnieuw gepaard kan gaan met downtime
-IT'er wil zijn klant tóch graag behouden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.