De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

Wettelijke en contractuele zorgplicht

Een IT-contract is in de regel een overeenkomst van opdracht: de IT-leverancier (als opdrachtnemer) verricht werkzaamheden in opdracht van een afnemer (de opdrachtgever). Voor opdrachtnemers kennen we een wettelijke zorgplicht: de opdrachtnemer zal bij de uitvoering van zijn werkzaamheden de zorg van een goed opdrachtnemer in acht moeten nemen (art. 7:401 BW).  

Om te bepalen of een opdrachtnemer deze zorgplicht geschonden heeft, geldt als maatstaf hoe een redelijk bekwaam en redelijk handelend vakgenoot in de betreffende situatie te werk zou zijn gegaan. Wat dit concreet betekent, is afhankelijk van de omstandigheden van het geval.  

In IT-contracten wordt deze wettelijke zorgplicht verder contractueel ingevuld. Daarin wordt bijvoorbeeld vastgelegd dat de IT-leverancier zijn dienstverlening op ‘zorgvuldige en professionele wijze zal uitvoeren, met de zorg die verwacht mag worden van een professionele IT-dienstverlener’. Al iets specifieker, maar de vraag blijft nog steeds wát er dan van een professionele en zorgvuldige IT-leverancier verwacht mag worden. 

In jurisprudentie (zie bijv. hof Amsterdam en hof Arnhem-Leeuwarden) wordt wel aangenomen dat de aard en omvang van de contractuele afspraken meewegen bij het bepalen hoe ver de zorgplicht strekt. Bij een afgebakende en/of incidentele opdracht voorzien van duidelijke instructies bestaat een minder hoge zorgplicht, dan bij een opdracht waarbij bijvoorbeeld de IT-leverancier een duurzame relatie met afnemer heeft, de afspraken vaag zijn of de opdracht bestaat uit een totaaloplossing.  

Wanprestatie of onrechtmatige daad? 

De zorgplicht bepaalt mede de inhoud van de overeenkomst. Een schending van de zorgplicht kan zowel een wanprestatie als een (zelfstandige) onrechtmatige daad opleveren. De vraag welke invalshoek gekozen wordt, hangt in de jurisprudentie vooral af van de inhoud van het partijdebat (P-G bij de Hoge Raad in Allsafe/Smartconnections en bevestigd in GAC/Verano) 

Bijzondere zorgplicht IT-leverancier

Naast de zorgplicht die op grond van de wet of het contract op een opdrachtnemer rust, heeft zich de afgelopen jaren in de jurisprudentie het leerstuk van de “bijzondere zorgplicht” ontwikkeld. Een bijzondere zorgplicht is een verzwaarde zorgplicht die op een partij komt te rusten die in bepaalde hoedanigheid een aanmerkelijke voorsprong in kennis, deskundigheid of expertise heeft ten opzichte van de andere partij. Het doel van deze bijzondere zorgplicht is dat het tussen partijen bestaande machtsevenwicht weer in balans komt. Zo geldt er een bijzondere zorgplicht voor financiële dienstverleners en hypotheekadviseurs: hun relatie met de consument schept naar zijn aard ongelijkheid en dat betekent dat er op hen een bijzondere zorgplicht rust die bestaat uit diverse informatie-, onderzoeks-, en waarschuwingsplichten. 

Ook in IT-geschillen speelt de deskundigheid van partijen een grote rol. Doorgaans is de leverancier meer deskundig dan de afnemer. Een afnemer schakelt meestal juist een expert in om IT-dienstverlening te verrichten nu zij daar zelf weinig kaas van heeft gegeten. Denk bijvoorbeeld aan een ziekenhuis dat een elektronisch patiëntendossier inkoopt, of een kledingwinkel die een webwinkel laat ontwikkelen. 

Vanwege juist dat verschil in deskundigheid zie je in de rechtspraak een bijzondere of verzwaarde zorgplicht voor de IT-leverancier ontstaan. Tegelijkertijd weegt ook de deskundigheid van de opdrachtgever (afnemer) mee bij de omvang van de zorgplicht (bijv. hof Amsterdam). 

Overzicht van de invulling van de (bijzondere) zorgplicht van de IT-leverancier

De (bijzondere) zorgplicht van de IT-leverancier wordt (in)gekleurd door de jurisprudentie. Dat vraagt om een overzicht van die (invulling van) tot dusver. Dit overzicht is een levend document, en zal steeds worden geüpdatet zodat een actueel overzicht ontstaat.  

Algemeen criterium: redelijk handelend en bekwaam IT-leverancier

• De IT-leverancier dient bij de uitvoering van zijn dienstverlening te voldoen aan de mate van zorgvuldigheid die van een redelijk handelend en bekwaam IT-deskundige geëist mag worden. (o.a. RBC/Brinkers, CGI/Staalbankiers, en nadien veelvuldig bevestigd). 

Precontractuele zorgplicht 

• De zorgplicht geldt ook in de precontractuele fase. Doet de IT-leverancier onvoldoende onderzoek naar de bedrijfsprocessen of waarschuwt hij niet voor risico’s (bijv. als de afnemer in de voorfase onderzoek weigert), dan kan dat een schending van de zorgplicht opleveren. (GAC/Verano en bevestigd door de P-G bij de Hoge Raad in GAC/Verano) 

• Wekt de IT-leverancier in de voorfase de indruk dat standaardsoftware volstaat, dan mag de afnemer daarop vertrouwen. Blijkt later dat veel meer- of maatwerk nodig is, dan resulteert dat in een schending van de zorgplicht. Goedgekeurd meer- of maatwerk herstelt dit niet. (GAC/Verano en bevestigd door de P-G bij de Hoge Raad in GAC/Verano) 

• In de precontractuele fase gewekte verwachtingen gelden niet slechts als inspanningsverplichtingen, ook niet als de overeenkomst formeel alleen inspanningsverplichtingen bevat. (GAC/Verano en bevestigd door de P-G bij de Hoge Raad in GAC/Verano) 

IT-leverancier stelt belang van afnemer te allen tijde voorop

• De IT-leverancier heeft door zijn zorgplicht een zwaardere informatie- en waarschuwingsplicht dat met zich meebrengt dat de opdrachtnemer bij het uitvoeren van zijn opdracht het belang van zijn opdrachtgever centraal dient te stellen. (Anva/Stepco). 

• De IT-leverancier moet zijn opdrachtgever actief begeleiden bij de juiste aanlevering van gegevens en kan zich niet eenvoudig beroepen op schuldeisersverzuim. Tegelijkertijd kan een opdrachtgever niet zonder meer aannemen dat aanvullende werkzaamheden, zoals digitalisering, onder de opdracht vallen als dit niet expliciet is overeengekomen. (Rb. Zeeland-West-Brabant 3 juli 2024) 

• De IT-leverancier moet voldoen aan de overeengekomen specificaties en bereid zijn om verbeteringen door te voeren, maar de klant moet wel tijdig en concreet klagen over gebreken. Zonder duidelijke tekortkoming en aantoonbare schade is er geen grond voor ontbinding of schadevergoeding. (Hof ’s-Hertogenbosch 10 december 2024) 

IT-leverancier voldoet aan functionaliteiten en specificaties, en kostenbeheersing

• De IT-leverancier dient een systeem te leveren dat voldoet aan de verwachtingen die een gemiddelde klant heeft van een redelijk handelend IT-leverancier. Of een afnemer mag verwachten dat hij een systeem geleverd zal krijgen dat ook aan normen voldoet die niet tot de contractuele afspraken behoren (zoals bepaalde ISO-normen) moet worden beoordeeld in het licht van de gemaakte afspraken. (Smart Connections/Allsafe) 

• De IT-leverancier die weet dat bepaalde functionaliteiten voor de afnemer van belang zijn, en die ook van een dergelijk softwarepakket verlangd mogen worden, dient afnemer te waarschuwen of informeren als een dergelijke functionaliteit ontbreekt. De afnemer mag bij aanschaf van software dergelijke functionaliteiten immers verwachten. (Exact/Brandmeester’s) 

• De IT-leverancier die weet dat de afnemer bepaalde software van derden wil gaan draaien op het IT-systeem van de IT-leverancier, dient de afnemer van te voren te informeren over de mogelijkheid daartoe en over eventuele bijkomende kosten van die software, doordat deze bijvoorbeeld geüpdatet moet worden. Zeker als de afnemer daar meermaals om heeft gevraagd en nadrukkelijk heeft aangegeven niet voor onverwachte kostenposten wil komen te staan. (SET/Triple Ace) 

• De IT-leverancier dient een afnemer te waarschuwen als er een bepaald budget of bepaalde specificaties zijn afgesproken en de afnemer wijzigingen van de IT-leverancier verlangt die het afgesproken budget of de specificaties in gevaar brengen. (Arbitraal vonnis 24, SGOA) 

• De IT-leverancier dient de redelijke belangen van de opdrachtgever in het oog te houden met betrekking tot toegezegde resultaten en kostenbeheersing van de uit te voeren taken. (TeamM/STZ) 

IT-leverancier managet verwachtingen                                          

• De IT-leverancier dient een afnemer te behoeden voor te hoog gespannen verwachtingen. (Raad van Arbitrage voor Metaalnijverheid en -Handel 18 februari 1985 (Dolmans/Burroughs), niet online raadpleegbaar) 

IT-leverancier bewaakt project

• De IT-leverancier dient alles in het werk te stellen dat nodig is om een project tot een goed einde te brengen. In het kader van deze plicht kan van IT-leverancier verlangd worden dat zij vakbekwaam personeel gebruikt en dat zij, zo nodig extra personeel inzet. Slecht projectmanagement komt voor rekening en risico van de IT-leverancier. (Tweesteden Ziekenhuis/Alert) 

• De IT-leverancier die weet dat voor het slagen van een project eerst een traject noodzakelijk is om de eisen en specificaties van de afnemer vast te stellen, dient de afnemer daar vooraf op te wijzen en te waarschuwen voor de risico’s als de afnemer dat traject achterwege wil laten. (Arbitraal vonnis 22, SGOA) 

• De IT-leverancier die de projectleiding heeft dient de voortgang van het project proactief te bewaken en afnemer aan te spreken indien deze niet voortvarend genoeg meewerkt. (Kwetters/Profuse) 

• De IT-leverancier dient binnen een project tenminste de basisregels van (deugdelijk) projectmanagement in acht te nemen. (KIN/Capgemini) 

• De IT-leverancier dient de afnemer te weerhouden van een ongefaseerde ingebruikneming als hij behoort te voorzien dat dit tot problemen zal leiden. (Raad van Arbitrage voor Metaalnijverheid en -Handel 18 februari 1985 (Dolmans/Burroughs), niet online raadpleegbaar) 

• De IT-leverancier dient de voortgang te bewaken van het project dat hij uitvoert, met oog voor de belangen van de afnemer. Als de IT-leverancier merkt dat een verdere voortgang alleen maar meer geld gaat kosten, zonder dat dit een voordeel oplevert voor de afnemer, dan ligt het op de weg van de IT-leverancier de afnemer daarop te wijzen en zal de IT-leverancier moeten aansturen op opschorting of beëindiging. (CGI/Staalbankiers) 

• De IT-leverancier behoort de opdrachtgever op een begrijpelijke en overzichtelijke wijze te informeren over de voortgang van het project, en dient daarbij de redelijke belangen van de opdrachtgever in het oog te houden. (TeamM/STZ) 

• De IT-leverancier behoort de opdrachtgever voldoende helder te informeren over de informatie die hij van de opdrachtgever verlangt om zijn werkzaamheden uit te kunnen voeren. (Arbitraal vonnis 34, SGOA) 

• De IT-leverancier moet de afnemer (pro)actief informeren en uitleg geven over inlogmogelijkheden om de backend (van de website) te kunnen bekijken en testen. Als werknemers/hulppersonen van de leverancier niet voldoende ondersteuning kunnen bieden, is het de verantwoordelijkheid van de leverancier om deze zo spoedig mogelijk te vervangen. (Arbitraal vonnis 46, SGOA) 

IT-leverancier waarschuwt voor risico’s

• De IT-leverancier die weet dat een implementatie van een bepaald softwarepakket grote risico’s met zich meebrengt, dient de afnemer daarop te wijzen. De IT-leverancier heeft de plicht om, wanneer de afnemer een verkeerde richting zou aanhouden, hem daarvan te weerhouden door waarschuwend op te treden. (Arbitraal vonnis SGOA 12 juni 1997 (Breikant), niet online raadpleegbaar) 

• De IT-leverancier dient tijdens al de offertefase de opdrachtgever er expliciet op te wijzen dat bepaalde koppelingen met andere programmatuur niet mogelijk zijn, dan wel te wijzen op extra kosten of risico’s. (Inktvis/TNR Software) 

• De IT-leverancier dient gedurende de afnemer adequaat en inzichtelijk te informeren over de risico’s voor het welslagen van het project, bijvoorbeeld wanneer de IT-infrastructuur van afnemer van impact is op de performance van de door IT-leverancier te leveren programmatuur. (Split~Vision/Gemeente Leeuwarden) 

• De IT-leverancier die een totaaloplossing levert (i.c. aanleggen "volledige IT-infrastructuur"), dient ook adequate beveiligingsmaatregelen te treffen. Dit is niet anders indien de opdrachtgever deze maatregelen van de hand wijst; in dat geval dient de IT-leverancier indringend en herhaaldelijk te waarschuwen, alternatieven aan te dragen of de opdracht te weigeren. (O’cliance/Leverancier) Wanneer de IT-leverancier echter voldoende informatie verstrekt heeft over bepaalde risico's en de (professionele) afnemer kiest er desondanks voor om deze te aanvaarden, kan dat een geslaagd beroep op de zorgplicht van de IT-leverancier in de weg staan. (Arbitraal vonnis 33, SGOA) 

• De zorgplicht van de IT-leverancier strekt niet verder dan de expliciet overeengekomen contractuele verplichtingen. De IT-leverancier is niet verantwoordelijk voor beveiligingsincidenten als de klant zelf beheerrechten heeft en keuzes maakt over bijvoorbeeld firewallinstellingen en wachtwoordbeleid. (Gemeente Hof van Twente/Switch IT Solutions) 

• Als de samenwerking ingericht is volgens de scrum-methode, heeft de afnemer een actieve rol in het bepalen van de functionaliteiten en de voortgang. De IT-leverancier hoeft dan (in beginsel) geen bijzondere waarschuwingsplicht te vervullen die verder gaat dan de normale verplichtingen van een opdrachtnemer​. (Rb. Amsterdam 15 januari 2025) 

IT-leverancier begeleidt opdrachtnemer bij softwareontwikkeling op basis Agile 

• De IT-leverancier dient de (onervaren) opdrachtgever adequaat te begeleiden bij het testen van door IT-leverancier ontwikkelde functionaliteiten, zeker waar het project de Agile-methodiek gebruikt. Het goed uitvoeren van de testwerkzaamheden is bij Agile immers van groot belang voor de voortgang en het welslagen van het project. De opdrachtgever test de door de IT-leverancier uitgevoerde ontwikkelingen steeds per ‘sprint’, en aan de hand van die test-feedback wordt door verfijning duidelijk wat de IT-leverancier precies moet ontwikkelen. (VGB/BettyBlocks) 

IT-leverancier draagt verantwoordelijkheid voor back-up van data

• De IT-leverancier die een handeling verricht waarbij data van de afnemer verloren kan gaan, dient vooraf maatregelen (proberen te) nemen om de data veilig te stellen. (Update besturingssysteem) 

• De IT-leverancier mag er niet zonder controle op vertrouwen dat de back-up van een afnemer bruikbaar is, en dient zelf een back-up te maken en controleren of de back-up van de afnemer op bruikbaarheid te controleren. (Back-up huisartsenpraktijk) 

• De IT-leverancier die de opdracht krijgt een netwerk aan te leggen (i.c. aanleggen "volledige IT-infrastructuur") is verantwoordelijk voor het aanleggen van een firewall en het inrichten van de juiste (externe) back-up structuur. (O’cliance/Leverancier) 

IT-leverancier doet voldoende onderzoek naar afnemer

• De IT-leverancier die een afnemer adviseert, dient een deugdelijk onderzoek in te stellen naar de bedrijfsstructuur van de afnemer zodat een deugdelijk en verantwoord advies kan worden uitgebracht. (RBC/Brinkers) 

• De IT-leverancier die maatwerksoftware aan afnemer gaat leveren welke afgestemd moet worden op de bij de afnemer aanwezige hardware, dient zich voldoende op de hoogte te stellen van de eigenschappen van de hardware met het oog op de afstemming tussen hard- en software. (Rb. Zwolle 17 april 1993 (CVG/PSA), niet online raadpleegbaar) 

IT-leverancier draagt verantwoordelijkheid voor inschakelen derden

• De IT-leverancier die een opdracht van afnemer heeft aangenomen waarbij in een programma van eisen beschreven staat waaraan het te ontwikkelen systeem moet voldoen, en vervolgens voor de ontwikkeling een derde inschakelt, blijft zelf instaan voor het voldoen van het systeem aan het programma van eisen. (Rb. Arnhem 14 november 1985, (Atel/CAI Bemmel), niet online raadpleegbaar

IT-leverancier heeft bijzondere zorgplicht jegens derden

• De zorgplicht van de IT-leverancier reikt verder dan slechts een zorgvuldigheidsverplichting jegens zijn contractuele wederpartij. De IT-leverancier heeft bij het opzeggen van een overeenkomst een bijzondere zorgplicht richting derden voor wie de gevolgen van een opzegging ingrijpend zijn. (Pinkroccade/Uniface)

IT-leverancier voorkomt meerwerk

• De IT-leverancier dient onnodige maatwerkopdrachten te voorkomen of tenminste in te dammen. (Arbitraal vonnis SGOA 12 juni 1997 (Breikant), niet online raadpleegbaar)

IT-leverancier doet onderzoek bij verkoop van hardware

• De IT-leverancier die specialistische hardware verkoopt, moet vaststellen of de hardware in redelijkheid door de afnemer gebruikt kan worden. (Raad van Arbitrage voor Metaalnijverheid en -Handel 12 oktober 1979 (Magneetkaart), niet online raadpleegbaar)
• De IT-leverancier dient alvorens hij specialistische hardware verkoopt, te beoordelen of de omgeving waar de hardware geplaatst wordt voldoen althans kan voldoen aan de daarvoor vereiste eisen. (HR 11 november 1983 (Broere/Olivetti), niet online raadpleegbaar).
  
  

Tot slot

Een IT-leverancier dient minimaal te handelen volgens de inspanningen die van een redelijk bekwaam vakgenoot geëist kunnen worden. De invulling van de zorgplicht van de IT-leverancier is via de rechtspraak in ontwikkeling. Dit blog laat zien dat diverse specifieke (bijzondere) zorgplichten zijn aangenomen. Een ontwikkeling waarop zowel de IT-leverancier als de opdrachtnemer bedacht moet zijn: een schending van de zorgplicht kan grond zijn om de overeenkomst te ontbinden of op grond van wanprestatie schadevergoeding te vorderen. 

Voorkomen is nog altijd beter dan genezen. Zowel de IT-leverancier als de afnemer heeft belang bij een goed IT-contract. Over dat onderwerp houden wij een naslagwerk bij: Serie IT-contracten.  

Wilt u weten hoever uw zorgplicht als IT-leverancier reikt? Of bent u afnemer en van mening dat uw IT-leverancier zijn zorgplicht heeft geschonden? Mijn collega’s IT-recht en ik denken graag met u mee.