Door karma4: Door Anoniem: Door Anoniem: Bedankt Arnoud voor je inzet voor deze rubriek. Security.nl mag blij zijn met zo'n mooi blog iedere week!
Ja, Arnoud zal ook wel blij zijn dat al die ict en security experts hier ook nog meer verstand hebben van juridische zaken dan hij en de rechter bij elkaar , en graag uitleggen hoe het echt zit.
De casus met de link is interessant. kun je er over gaan zeuren dat reacties komen die andere gezichtspunten geven.
Lijkt me dat juriisten het juist leuk vinden om er wat dieper op in te gaan.
Ik heb geen reacties gezien van mensen met juridische kennis, alleen betweterige ITers. Ik kan me voorstellen dat Arnoud weinig heil ziet om na de column ook nog in de discussie te springen om alle misverstanden nog een keer uit te leggen.
Ik vind het best leuk als leken geïnteresseerd zijn in mijn vakgebied , maar ik moet zeggen dat ik het al snel ergerlijk vindt als ze totale onzin en onkunde debiteren en ook nog overtuigd zijn dat ze daarin gelijk hebben en zinvol "bijdragen" .
Ik stel me zo voor dat dat ook zal gelden voor experts op andere gebieden .
Wat dat betreft ben ik niet jaloers op topcoaches - het hele land weet beter wat er gedaan had moeten worden.
- De gedaagde (ict mkb) vond het niet de moeite waard om iets aan te voeren of te weerleggen.
- De rechter vond het niet nodig om een ict expert te raadplegen over de situatie. Hij gaat uit van een eenvoudige thuis opzet zonder dbms systeem of anderszins meer complexe omgeving.
Waarom denk je nou dat de rechter iets moet vinden van complexe of simpele IT ?
Die hoeft zich alleen af te vragen of de ontstane schade verwijtbaar is aan de ingehuurde expert , of dat de klant ergens (ook) beter had moeten weten.
Als de klant bijvoorbeeld ook een, op dat vlak professionele partij is zal nmm de rechter minder snel de schade volledig aan een leverancier wijten .
(zie allerhande overheids-IT falen, en nogal weinig schadeclaims) . De andere vraag is of de klant misschien bewust het risico nam om een "duidelijk niet voldoende deskundige" partij toch te laten knoeien . Als de huisarts letterlijjk de buurjongen voor twee tientjes had laten prutsen zie ik een dergelijke schade ook niet zo snel zo toegewezen worden .
(echte jurist die hier nog op wil toelichten ? )
Als het IT bedrijf wil claimen dat het geheel zodanig onmogelijk en moeilijk te voorzien was dat de schade hem niet valt toe te rekenen moet het bedrijf (en z'n advocaat) dat inbrengen.
De civiele rechter werkt volgens : Da_mihi_factum,_dabo_tibi_ius . Oftewel, geef mij de feiten, dan geef ik U recht .
De rechter gaat uit van wat de partijen inbrengen . De rechter mag zeker niet zelf inbrengen dat het werk van de gedaagde eigenlijk wel erg moeilijk was .
De gedaagde had dat kunnen inbrengen, de eiseres kan bestrijden dat de gedaagde het werk toch heeft aangenomen en deskundig genoeg geacht mocht worden. De rechter kan eventueel om een expert vragen bij conflicterende stellingen tussen "wat verwacht mag worden van een professional" versus "dit was een onmogelijk te voorziene samenloop van omstandigheden - pech maar geen verwijtbare schuld" .
Dat het bedrijf en z'n advocaat dit niet inbrengen lijkt me vrij logisch - in de omstandigheden hier erg kansloos.
Het bedrijf doet het werk (ook voor eiseres) al een hele tijd en heeft ongetwijfeld offertes en contracten waarin een voorbehoud niet gemaakt wordt , en heeft op het fatale moment ook niet besloten dat het z'n kennis te boven te ging en dan maar afblijven.
- de vraagsteling komt niet verder dan dat er een backup gemaakt moet worden. Het antwoord daarop is natuurlijk ja.
Wat er aan mist is een duidelijker beschrijving van wie wat hoe wanneer met daarna de schuldvraag.
De schuldvraag gaat ook niet over wie vorig jaar de backups moest maken.
Wat de rechtbank de professional verwijt is dat die niet zelf gecontroleerd heeft of er een bruikbare backup was op het moment dat hij onomkeerbare acties ging doen .
Des te meer omdat de professional wist (blijkens offerte) dat de backups niet perfect gingen, en natuurlijk omdat de eiseres _geen_ professional is van wie solide IT beheer verwacht kan worden.
Dus : je weet dat de data belangrijk zijn, je weet (en kunt vermoeden) dat eventueel aanwezige backups mogelijk niet betrouwbaar zijn, en je gaat toch onomkeerbare stappen zetten zonder eerst zelf een goede backup te maken . Dan is onstane schade verwijtbaar .
Zo moeilijk is het toch allemaal niet ?
Het voornaamste opvallende is hier dat de gevolgen van een beetje geknoei vrij groot waren en er een rechtszaak met vonnis gekomen is . Voor de rest is het doodgewoon MKB bedrijft huurt ander MKB bedrijf in, er wordt wat geklungeld door de leverancier en nu is er iets kapot bij de klant.
Inderdaad niets bijzonders en dan wordt het gewoon een zaak.
Wat nog mist is wie die installatie van "promedico gdv" ooit gedaan heeft de backup instructies heeft opgesteld. Het lijkt een oud product (2000) te zijn waar lang mee doorgegaan is. (zie andere casus)
Wil je nu in het algemeen filosoferen over (te)oude software, of over de schuldvraag in deze zaak ?
Voor de schuldvraag maakt het echt niet uit of de applicatie niet een doorgegroeide DOS versie met MS-access 'database' is of was.
Een schilder zegt soms ook "meneer, dat ga ik niet even overschilderen, die oude kleur zie je er doorheen en dan heb ik het gedaan. Dat moet eerst kaal" . Wanneer je als professional een klus aanneemt van een leek en de leek wil iets echt onverstandigs moet je je heel erg hard ingedekt hebben om niet aansprakelijk te zijn voor schade.
In het tussenvonnis is sprake van een offerte van het IT bedrijf, oa voor het inrichten van backups , uit 2011 .
En dan is er in de eerste helft van 2015 een klus aangenomen voor het inrichten van een server .
(het leest alsof de huisarts uit een bestaande maatschap stapte, en bij bestaande IT partij van de maatschap nu een eigen setup bestelde.
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:90 , zie 2.1 , 2.2, 2.4 )
Zijn er andere zaken in dat kader? ik vind https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBMNE:2013:7248
Is dat de zelfde ict mkb dienstverlener dan komt het alsnog terug. Is daar een andere partij in het spel, dan verder.
Andere zaak, andere tijd, andere advocaten , andere eiser , andere gedaagde .
(Hier is de software leverancier zelf (Promedico) gedaagd door een huisarts omtrent conversie van de stand-alone versie naar de ASP-versie en blijkbaar een heleboel wat misging . De overeenkomst is alleen deels (VDF vs ASP versie) het product )
Nee , als ICTer moet je dat weten - en moet je weten dat "terugzetten van een backup" een eenrichtings pad is, en dat je *heel erg nat gaat* als de backup niet volledig is.
En dat een "domme" backup van een DBMS nutteloos is.
En dat een leveranciers helpdesk die zegt "doe maar een restore" niet KAN weten of die backup wel gelukt was. Daar ben je zelf bij.
En tegen wie heeft de leverancier gezegd doe maar een restore. Is dat tegen de arts die vervolgens het promedico beheer zelf doet en enkel de ICT-mkb inhuurde voor het OS-doosjes werk. Dan heef de arts als promedico-vdg beheerder zitten blunderen. Heeft de arts het complete beheer inclusief promedico-vdg uitbesteed dan ligt bij die dienstverlener.
Maar waarom speculeer je nou in plaats van het vonnis en tussenvonnis te lezen ?
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:90
2.7
" De installatie was niet succesvol en reeds ingevoerde tarieven bleken te zijn overgeschreven. Op advies van Promedico heeft [eiseres] c.s. [gedaagde] verzocht de back-up van vóór de update terug te plaatsen. [gedaagde] heeft dat geprobeerd, maar de data op de externe schijven bleken niet leesbaar te zijn. Alle in het systeem bewaarde praktijkgegevens zijn van [eiseres] c.s. zijn verdwenen."
Kortom : IT bedrijf zat aan de knoppen om de backup terug te zetten en toen waren alle data weg omdat de backup die teruggezet werd kapot was.
Toch wel erg zuur voor de huisarts, het werkt niet, voldoende bewust geweest (al dan niet op advies van Promedico) dat een backup terugzetten iets is wat echt niet mis moet gaan want dan ben je alles kwijt.
"2.9.
[eiseres] c.s. heeft een back-up van 1 juli 2015 op haar systeem geplaatst en is begonnen om de gegevens die verloren zijn gegaan, weer te verzamelen en handmatig in te voeren.
"
Ben je lekker mee. Het ging mis in januari 2016 , dus een dik half jaar aan data kwijt.
Het IT bedrijf was ingehuurd om backups te maken, en om de applicatie te upgraden .
En wordt ervoor verantwoordelijk gehouden om zelf backups te maken of te controleren alvorens fatale acties te gaan doen.
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:6454&pk_campaign=rss&pk_medium=rss&pk_keyword=uitspraken
zie 2.5 en 2.8 .
Tussenvonnis
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBLIM:2017:90
In het tussenvonnis zie je dat de huisarts al een jaar of vier klant is van het IT bedrijf, met een offerte waarin het maken van backups staat .
En 219 p/m betaalt .Verder is er sprake van een werknemer van het IT bedrijf.
Oftewel, een IT bedrijf met enkele werknemers en een best stevig abonnements tarief - Niks om de huisarts te verwijten dat ze met een duidelijke beunhaas/zolderkamer 'mannetje' in zee gegaan is en "voor dat geld kun je ook niks verwachten" .
Het IT bedrijf heeft in al die tijd ook niet geconstateerd of gesteld dat het product misschien te ingewikkeld voor ze was.
Wat er duidelijk mist is een dagelijkse offload (noemt de DBA een backup) van de database naar het OS met telkens aparte nieuwe namen. Mist zoiets in de instructies van de leverancier (Promedico) dan zou je nog een falende software product kunnen aanhalen. Dat een onderzoeksbedrijf naar de live dbms data op zoek gegaan is lijk een aanwijzing te zijn dat het onderzoek in opdracht van de arts gedaan is. Een veeg teken dat het besef van een dbms niet aanwezig is.
Op zoek... http://www.vitasys.nl/img/magazine/magazine2015.pdf "Het enige probleem bleek het back-up systeem, daar bleek een bug in te zitten." Ja ziet er uit als bij installatie conversie, dat is het moment dat het goed moet zijn.
Het argument dat je met een image van een dbms maken weg kan komen faalt. Je haalt aal aan dat je dan zeker moet weten dat die applicatie goed afgesloten is in een consistente toestand. Het is niet voor niets dat os beheerders en dbms beheerder aparte functies en vakgebieden zijn en wat grotere organisaties.
Ik zeg niet "image van dbms", ik zei "image van _afgesloten database_ of desnoods systeem" . Als je het echt niet weet, PC netjes uitzetten met een live cd de hele harddisk klonen.
Dit is geen big data, dit is geen database met multiple concurrent writers, dit is geen 7x24 live .
Dus gewoon - netjes afsluiten en dan een image backup . *Omdat* het een relatief klein systeem is kan dat gewoon.
De uitdaging in grote databases is dat die liefst geback-upped moeten worden terwijl ze doordraaien . Om dat te bereiken is veel meer database expertise nodig.
Bij mega grote databases wil je dan ook nog incrementals, en ook dat is hier voor een "snaphot in het geval de restore mis gaat van een kleine database" niet van belang.
In wat grotere , en eventueel zelfs wat kleinere setups kun je ook nog kiezen voor de OS [vm] of filesystem snapshot, en daarvan de backup maken.
Het cruciale is dat de database *consistent* blijft , en als de volledige toestand instantaan kunt bevriezen is dat het geval .
Overigens is zelfs een slecht afgesloten database vaak nog wel te recoveren , alleen is dan wel nog meer kennis nodig .
Uiteindelijk gebeurt dat ook wel eens dat een systeem onbedoeld hard uitgaat of uitgezet wordt.
Echt fataal zijn precies de dingen die hier gedaan zijn : een slechte/incomplete backup terugzetten .
Als jij je banden laat vervangen bij een bandencenter dan weet je dat enkel daar de aandacht voor is. Andere zaken vallen er buiten. Moet je niet gaan zeuren dat er te zien was dat een grote beurt nodig was.
Als ik ze inhuur voor de banden verwacht ik dat ze de wielmoeren weer goed aandraaid hebben als ik de auto mee krijg.
Iets duidelijker: https://blog.iusmentis.com/2017/01/25/wanneer-moet-als-it-dienstverlener-backups-maken-klant/
Hij had de opdracht upgrade promedico niet moeten aannemen. Dat was duidelijk niet zijn kennisgebied.
Het lijkt er op dat de boel al niet op orde was, eerste stap onderzoek hoe het er bij staat ...
Feitelijk is PC beheer hier niet goed genoeg gegaan, de relatie met "applicatie kennis" is echt te ver gezocht.
En, zoals boven aangegeven, kwam deze partij al jaren over de vloer voor dit systeem.
Als je je al vier jaar laat betalen voor systeem werk moet je als het mis gaat niet meer zeggen "maar dat kun je ook niet verwachten van een simpele dozenbeheerder" -