De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

In IT-contracten worden geregeld enkel inspanningsverbintenissen overeengekomen. Een inspanningsverbintenis houdt kort gezegd in dat de leverancier zich zal inspannen om een bepaald resultaat te bereiken, maar hij het resultaat niet garandeert. Als uiteindelijk blijkt dat de IT-leverancier het resultaat niet bereikt heeft, kan niet zonder meer gesproken worden van een tekortkoming. De afspraak was immers dat de IT-leverancier zich zal inspannen.

Maar welke inspanning mag van dan een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. Deze zorgplicht is zich de laatste jaren steeds verder aan het uitkristalliseren. In dit blog geef ik een uitgebreid overzicht van de invulling van de (bijzondere) zorgplicht van de IT-leverancier door de rechtspraak tot dusver. Dit blog is een blijvend "work in progress" dat steeds verrijkt zal worden, en is daardoor blijvend actueel.

Wettelijke en contractuele zorgplicht

Een IT-contract is in de regel een overeenkomst van opdracht: de IT-leverancier (als opdrachtnemer) verricht werkzaamheden in opdracht van een afnemer (de opdrachtgever). Voor opdrachtnemers kennen we een wettelijke zorgplicht: de opdrachtnemer zal bij de uitvoering van zijn werkzaamheden de zorg van een goed opdrachtnemer in acht moeten nemen (art. 7:401 BW). Om te bepalen of een opdrachtnemer deze zorgplicht geschonden heeft, wordt gekeken hoe een redelijk bekwaam en redelijk handelend vakgenoot in de betreffende situatie te werk zou zijn gegaan. Wat dit concreet betekent, is afhankelijk van de omstandigheden van het geval. In jurisprudentie (zie bijv. hof Amsterdam en hof Arnhem-Leeuwarden) wordt wel aangenomen dat de aard en omvang van de contractuele afspraken meewegen bij het bepalen hoe ver de zorgplicht strekt. Bij een afgebakende en/of incidentele opdracht voorzien van duidelijke instructies bestaat een minder hoge zorgplicht, dan bij een opdracht waarbij bijvoorbeeld de IT-leverancier een duurzame relatie met afnemer heeft, de afspraken vaag zijn of de opdracht bestaat uit een totaaloplossing. 

In IT-contracten wordt deze wettelijke zorgplicht geregeld verder contractueel ingevuld. Daarin wordt bijvoorbeeld vastgelegd dat de IT-leverancier zijn dienstverlening op ‘zorgvuldige en professionele wijze zal uitvoeren, met de zorg die verwacht mag worden van een professionele IT-dienstverlener’. Al iets specifieker, maar de vraag blijft nog steeds wát er dan van een professionele en zorgvuldige IT-leverancier verwacht mag worden. 

Bijzondere zorgplicht IT-leverancier

Naast de zorgplicht die op grond van de wet of het contract op een opdrachtgever rust, heeft zich de afgelopen jaren in de jurisprudentie het leerstuk van de “bijzondere zorgplicht” ontwikkeld. Een bijzondere zorgplicht is een verzwaarde zorgplicht die op een partij komt te rusten die in bepaalde hoedanigheid een aanmerkelijke voorsprong in kennis, deskundigheid of expertise heeft ten opzichte van de andere partij. Het doel van deze bijzondere zorgplicht is dat het tussen partijen bestaande machtsevenwicht weer in balans komt. Zo geldt er een bijzondere zorgplicht voor financiële dienstverleners en hypotheekadviseurs: hun relatie met de consument schept naar zijn aard ongelijkheid en dat betekent dat er op hen een bijzondere zorgplicht rust die bestaat uit diverse informatie-, onderzoeks-, en waarschuwingsplichten.

Ook in IT-geschillen speelt de deskundigheid van partijen een grote rol. Doorgaans is de leverancier meer deskundig dan de afnemer. Een afnemer schakelt meestal juist een expert in om IT-dienstverlening te verrichten nu zij daar zelf weinig kaas van heeft gegeten. Denk bijvoorbeeld aan een ziekenhuis dat een elektronisch patiëntendossier inkoopt, of een kledingwinkel die een webwinkel laat ontwikkelen.

Vanwege juist dat verschil in deskundigheid zie je in de rechtspraak een bijzondere of verzwaarde zorgplicht voor de IT-leverancier ontstaan. Tegelijkertijd weegt ook de deskundigheid van de afnemer mee bij de omvang van de zorgplicht (bijv. hof Amsterdam).

Overzicht van de invulling van de (bijzondere) zorgplicht van de IT-leverancier

De (bijzondere) zorgplicht van de IT-leverancier wordt (in)gekleurd door de jurisprudentie. Dat vraagt om een overzicht van die (invulling van) tot dusver. Dit overzicht is een levend document, en zal steeds worden geüpdatet zodat een actueel overzicht ontstaat. 

Algemeen criterium: redelijk handelend en bekwaam IT-leverancier

• De IT-leverancier dient bij de uitvoering van zijn dienstverlening te voldoen aan de mate van zorgvuldigheid die van een redelijk handelend en bekwaam IT-deskundige geëist mag worden. (o.a. RBC/Brinkers, CGI/Staalbankiers, en nadien veelvuldig bevestigd).

IT-leverancier stelt belang van afnemer te allen tijde voorop

• De IT-leverancier heeft door zijn zorgplicht een zwaardere informatie- en waarschuwingsplicht dat met zich meebrengt dat de opdrachtnemer bij het uitvoeren van zijn opdracht het belang van zijn opdrachtgever centraal dient te stellen. (Anva/Stepco).

IT-leverancier voldoet aan functionaliteiten en specificaties, en kostenbeheersing

• De IT-leverancier dient een systeem te leveren dat voldoet aan de verwachtingen die een gemiddelde klant daaraan mag ontlenen. Zelfs als dat niet met zoveel woorden in een overeenkomst is opgenomen, mag een afnemer van een deskundige ICT-leverancier die daarvoor marktconforme prijzen in rekening brengt, verwachten dat deze een systeem levert waarmee door de gemiddelde werknemer kan worden gewerkt. Dit betekent ook dat als een norm aan het te leveren systeem, zoals een ISO-norm, niet met zoveel woorden wordt genoemd, de professionele dienstverlener werkt met inachtneming van de normen die binnen de branche gebruikelijk zijn. (Smart Connections/Allsafe Management)
• De IT-leverancier die weet dat bepaalde functionaliteiten voor de afnemer van belang zijn, en die ook van een dergelijk softwarepakket verlangd mogen worden, dient afnemer te waarschuwen of informeren als een dergelijke functionaliteit ontbreekt. De afnemer mag bij aanschaf van software dergelijke functionaliteiten immers verwachten. (Exact/Brandmeester’s)
• De IT-leverancier die weet dat de afnemer bepaalde software van derden wil gaan draaien op het IT-systeem van de IT-leverancier, dient de afnemer van te voren te informeren over de mogelijkheid daartoe en over eventuele bijkomende kosten van die software, doordat deze bijvoorbeeld geüpdatet moet worden. Zeker als de afnemer daar meermaals om heeft gevraagd en nadrukkelijk heeft aangegeven niet voor onverwachte kostenposten wil komen te staan. (SET/Triple Ace)
• De IT-leverancier dient een afnemer te waarschuwen als er een bepaald budget of bepaalde specificaties zijn afgesproken en de afnemer wijzigingen van de IT-leverancier verlangt die het afgesproken budget of de specificaties in gevaar brengen. (Arbitraal vonnis 24, SGOA)
• De IT-leverancier moet de redelijke belangen van de opdrachtgever in het oog te houden met betrekking tot toegezegde resultaten en kostenbeheersing van de uit te voeren taken. (TeamM/STZ)

IT-leverancier managet verwachtingen                                          

• De IT-leverancier dient een afnemer te behoeden voor te hoog gespannen verwachtingen. (Raad van Arbitrage voor Metaalnijverheid en -Handel 18 februari 1985 (Dolmans/Burroughs), niet online raadpleegbaar)

IT-leverancier bewaakt project

• De IT-leverancier dient alles in het werk te stellen dat nodig is om een project tot een goed einde te brengen. In het kader van deze plicht kan van IT-leverancier verlangd worden dat zij vakbekwaam personeel gebruikt en dat zij, zo nodig extra personeel inzet. Slecht projectmanagement komt voor rekening en risico van de IT-leverancier. (Tweesteden Ziekenhuis/Alert)
• De IT-leverancier die weet dat voor het slagen van een project eerst een traject noodzakelijk is om de eisen en specificaties van de afnemer vast te stellen, dient de afnemer daar vooraf op te wijzen en te waarschuwen voor de risico’s als de afnemer dat traject achterwege wil laten. (Arbitraal vonnis 22, SGOA)
• De IT-leverancier die de projectleiding heeft dient de voortgang van het project proactief te bewaken en afnemer aan te spreken indien deze niet voortvarend genoeg meewerkt. (Kwetters/Profuse)
• De IT-leverancier dient binnen een project tenminste de basisregels van (deugdelijk) projectmanagement in acht te nemen. (KIN/Capgemini)
• De IT-leverancier dient de afnemer te weerhouden van een ongefaseerde ingebruikneming als hij behoort te voorzien dat dit tot problemen zal leiden. (Raad van Arbitrage voor Metaalnijverheid en -Handel 18 februari 1985 (Dolmans/Burroughs), niet online raadpleegbaar)
• De IT-leverancier dient de voortgang te bewaken van het project dat hij uitvoert, met oog voor de belangen van de afnemer. Als de IT-leverancier merkt dat een verdere voortgang alleen maar meer geld gaat kosten, zonder dat dit een voordeel oplevert voor de afnemer, dan ligt het op de weg van de IT-leverancier de afnemer daarop te wijzen en zal de IT-leverancier moeten aansturen op opschorting of beëindiging. (CGI/Staalbankiers)
• De IT-leverancier behoort de opdrachtgever op een begrijpelijke en overzichtelijke wijze te informeren over de voortgang van het project, en dient daarbij de redelijke belangen van de opdrachtgever in het oog te houden. (TeamM/STZ)
• De IT-leverancier behoort de opdrachtgever voldoende helder te informeren over de informatie die hij van de opdrachtgever verlangt om zijn werkzaamheden uit te kunnen voeren. (Arbitraal vonnis 34, SGOA)

IT-leverancier waarschuwt voor risico’s

• De IT-leverancier die weet dat een implementatie van een bepaald softwarepakket grote risico’s met zich meebrengt, dient de afnemer daarop te wijzen. De IT-leverancier heeft de plicht om, wanneer de afnemer een verkeerde richting zou aanhouden, hem daarvan te weerhouden door waarschuwend op te treden. (Arbitraal vonnis SGOA 12 juni 1997 (Breikant), niet online raadpleegbaar)
• De IT-leverancier dient tijdens al de offertefase de opdrachtgever er expliciet op te wijzen dat bepaalde koppelingen met andere programmatuur niet mogelijk zijn, dan wel te wijzen op extra kosten of risico’s. (Inktvis/TNR Software)
• De IT-leverancier dient gedurende de afnemer adequaat en inzichtelijk te informeren over de risico’s voor het welslagen van het project, bijvoorbeeld wanneer de IT-infrastructuur van afnemer van impact is op de performance van de door IT-leverancier te leveren programmatuur. (Split~Vision/Gemeente Leeuwarden)
• De IT-leverancier die een totaaloplossing levert (i.c. aanleggen "volledige IT-infrastructuur"), dient ook adequate beveiligingsmaatregelen te treffen. Dit is niet anders indien de opdrachtgever deze maatregelen van de hand wijst; in dat geval dient de IT-leverancier indringend en herhaaldelijk te waarschuwen, alternatieven aan te dragen of de opdracht te weigeren. (O’cliance/Leverancier)
• Echter, indien de IT-leverancier voldoende informatie verstrekt heeft over bepaalde risico's en de (professionele) afnemer kiest er desondanks voor om deze te aanvaarden, kan dat een geslaagd beroep op de zorgplicht van de IT-leverancier in de weg staan. (Arbitraal vonnis 33, SGOA)

IT-leverancier begeleidt opdrachtnemer bij softwareontwikkeling op basis Agile

• De IT-leverancier dient de (onervaren) opdrachtgever adequaat te begeleiden bij het testen van door IT-leverancier ontwikkelde functionaliteiten, zeker waar het project de Agile-methodiek gebruikt. Het goed uitvoeren van de testwerkzaamheden is bij Agile immers van groot belang voor de voortgang en het welslagen van het project. De opdrachtgever test de door de IT-leverancier uitgevoerde ontwikkelingen steeds per ‘sprint’, en aan de hand van die test-feedback wordt door verfijning duidelijk wat de IT-leverancier precies moet ontwikkelen. (VGB/BettyBlocks)

IT-leverancier draagt verantwoordelijkheid voor back-up van data

• De IT-leverancier die een handeling verricht waarbij data van de afnemer verloren kan gaan, dient vooraf maatregelen (proberen te) nemen om de data veilig te stellen. (Update besturingssysteem)
• De IT-leverancier mag er niet zonder controle op vertrouwen dat de back-up van een afnemer bruikbaar is, en dient zelf een back-up te maken en controleren of de back-up van de afnemer op bruikbaarheid te controleren. (Back-up huisartsenpraktijk)
• De IT-leverancier die de opdracht krijgt een netwerk aan te leggen (i.c. aanleggen "volledige IT-infrastructuur") is verantwoordelijk voor het aanleggen van een firewall en het inrichten van de juiste (externe) back-up structuur. (O’cliance/Leverancier)

IT-leverancier doet voldoende onderzoek naar afnemer

• De IT-leverancier die een afnemer adviseert, dient een deugdelijk onderzoek in te stellen naar de bedrijfsstructuur van de afnemer zodat een deugdelijk en verantwoord advies kan worden uitgebracht. (RBC/Brinkers)
• De IT-leverancier die maatwerksoftware aan afnemer gaat leveren welke afgestemd moet worden op de bij de afnemer aanwezige hardware, dient zich voldoende op de hoogte te stellen van de eigenschappen van de hardware met het oog op de afstemming tussen hard- en software. (Rb. Zwolle 17 april 1993 (CVG/PSA­), niet online raadpleegbaar)

IT-leverancier draagt verantwoordelijkheid voor inschakelen derden

• De IT-leverancier die bij een opdracht van de afnemer heeft aangenomen waarbij in een programma van eisen beschreven staat waaraan het te ontwikkelen systeem moet voldoen, en vervolgens voor de ontwikkeling een derde inschakelt, blijft zelf instaan voor het voldoen van het systeem aan het programma van eisen. (Rb. Arnhem 14 november 1985, (Atel/CAI Bemmel), niet online raadpleegbaar

IT-leverancier heeft bijzondere zorgplicht jegens derden

• De zorgplicht van de IT-leverancier reikt verder dan slechts een zorgvuldigheidsverplichting jegens zijn contractuele wederpartij. De IT-leverancier heeft bij het opzeggen van een overeenkomst een bijzondere zorgplicht richting derden voor wie de gevolgen van een opzegging ingrijpend zijn. (Pinkroccade/Uniface)

IT-leverancier voorkomt meerwerk

• De IT-leverancier dient onnodige maatwerkopdrachten te voorkomen of tenminste in te dammen. (Arbitraal vonnis SGOA 12 juni 1997 (Breikant), niet online raadpleegbaar)

IT-leverancier doet onderzoek bij verkoop van hardware

• De IT-leverancier die specialistische hardware verkoopt, moet vaststellen of de hardware in redelijkheid door de afnemer gebruikt kan worden. (Raad van Arbitrage voor Metaalnijverheid en -Handel 12 oktober 1979 (Magneetkaart), niet online raadpleegbaar)
• De IT-leverancier dient alvorens hij specialistische hardware verkoopt, te beoordelen of de omgeving waar de hardware geplaatst wordt voldoen althans kan voldoen aan de daarvoor vereiste eisen. (HR 11 november 1983 (Broere/Olivetti), niet online raadpleegbaar)

Tot slot

Een IT-leverancier dient minimaal te handelen volgens de inspanningen die van een redelijk bekwaam vakgenoot geëist kunnen worden. De invulling van de zorgplicht van de IT-leverancier is via de rechtspraak in ontwikkeling. Dit blog laat zien dat diverse specifieke (bijzondere) zorgplichten zijn aangenomen. Een ontwikkeling waarop zowel de IT-leverancier als de opdrachtnemer bedacht moet zijn: een schending van de zorgplicht kan grond zijn om de overeenkomst te ontbinden of op grond van wanprestatie schadevergoeding te vorderen.

Voorkomen is nog altijd beter dan genezen. Zowel de IT-leverancier als de afnemer heeft belang bij een goed IT-contract. Over dat onderwerp houden wij een naslagwerk bij: Serie IT-contracten. 

Wilt u weten hoever uw zorgplicht als IT-leverancier reikt? Of bent u afnemer en van mening dat uw IT-leverancier zijn zorgplicht heeft geschonden? Mijn collega’s IT-recht en ik denken graag met u mee.

Sven Wakker, advocaat IT-recht