Wat was er aan de hand?
In 2011 hebben afnemer Nagtzaam en IT leverancier Arcus een overeenkomst gesloten voor de inrichting van “betrouwbare, veilige en altijd beschikbare ICT voorzieningen". In de kern gaat het om het hosten en beschikbaar stellen van een werkomgeving vanuit een datacenter van de leverancier, alsmede het verlenen van supportdiensten.
In 2013 geeft de afnemer aan dat zij niet tevreden is over de dienstverlening en stelt zij de leverancier aansprakelijk. De leverancier reageert dat dat de problemen niet veroorzaakt worden door de door haar geleverde en beheerde infrastructuur maar vermoedelijk door de inrichting van programmatuur van derden of in de infrastructuur van de afnemer zelf.
Afnemer stelt zich in de procedure op het standpunt dat zij er gerechtvaardigd uit mocht gaan van een gegarandeerde (100%) beschikbaarheid van haar werkomgeving, dan wel dat sprake zou zijn van een nagenoeg storingsvrije beschikbaarheid daarvan. Die verplichting is geschonden door de leverancier. Verder stelt afnemer dat de leverancier haar wettelijke zorgplicht als opdrachtnemer heeft geschonden door onvoldoende te waarschuwen.
Zijn partijen een 100% beschikbaarheid overeengekomen?
Het hof is van oordeel dat dit niet het geval is. Het hof komt tot dit oordeel door de inhoud van de SLA af te pellen. Daarin staat onder meer:
- Een beschrijving van de huidige situatie inclusief risico’s en een beschrijving van de gewenste situatie. Onderdeel daarvan is een centraal door de leverancier geëxploiteerd datacenter waarmee gestandaardiseerde diensten worden aangeboden vanuit twee uitgangspunten: betaalbaarheid en betrouwbaarheid.
- Er worden verschillende uitzonderingssituaties beschreven waarin continuïteit niet geborgd kan worden zoals: grootschalige calamiteiten, gepland of ongepland onderhoud. Ook wordt aangegeven dat de dienstverlening niet ziet op netwerkverbindingen tussen de vestigingen van Nagtzaam en het datacenter.
- De afnemer heeft gekozen voor het laagste service level niveau (silver). Deze keuze houdt in dat Nagtzaam alleen tijdens kantoortijden om support kan vragen, dat die support ook ziet op storingen, dat er geen bereikbaarheidsdienst is buiten kantoortijden, dat supportcalls per maand maximaal 35 eenheden van 15 minuten mogen inhouden, dat voor het meerdere in beginsel moet worden betaald en dat een hulpvraag ook bij een hoge prioriteit (dat is “Alle medewerkers kunnen niet werken met het systeem”) naar ‘best effort’ worden behandeld, zonder dat een limiet in tijd is gegeven.
- De SLA bevat geen normen voor beschikbaarheid (percentages).
Het hof is van oordeel dat een redelijke uitleg van de inhoud van de deze passages uit de SLA met zich brengt dat de afnemer er niet vanuit mocht gaan dat zij te allen tijde toegang tot haar werkomgeving en applicaties volkomen gegarandeerd was, althans dat storingen nagenoeg niet zouden optreden. Daarbij is ook relevant dat Arcus niet verantwoordelijk is voor de hele ICT-keten.
7.10 Een redelijke uitleg van deze passages houdt in dat partijen destijds hebben beoogd de betrouwbaarheid van Nagtzaams werkomgeving ten opzichte van de toen bestaande omgeving te verbeteren en het risico op uitval te verminderen door deze werkomgeving op afstand te plaatsen op de servers van Arcus. De verdere dienstverlening op het terrein van beheer en support is vervolgens op een manier vorm gegeven dat Nagtzaam relatief beperkt was in haar hulpvraag aan Arcus, ook in geval van zich voordoende storingen en uitval die voor haar bedrijfsvoering serieuze gevolgen had. Met een en ander is gegeven dat Nagtzaam rekening moest houden met situaties van tijdelijk verminderde of niet beschikbaarheid van haar werkomgeving, door onderhoud of storingen (incidenten daaronder begrepen). Bedoelde passages geven daarmee een onvoldoende aanknopingspunt voor de stelling van Nagtzaam dat zij met de SLA er vanuit mocht gaan dat te allen tijde toegang tot haar werkomgeving en applicaties was gegarandeerd dan wel dat sprake zou zijn van nagenoeg storingsvrije beschikbaarheid. Voormelde uitleg is ook redelijk omdat Arcus niet verantwoordelijk was voor alle onderdelen van de ICT-keten tussen de vestigingen en haar datacentrum, zodat ook de beschikbaarheid van Nagtzaams werkomgeving en de door haar daarin gebruikte applicaties afhankelijk was (van de prestaties) van derden. Daarbij komt dat het uitgangpunt van de dienstverlening is uitval tot minimum te beperken en dat die dienstverlening is gebaseerd op betrouwbaarheid én betaalbaarheid.
Ook geen sprake van een schending van de zorgplicht
Er is ook geen sprake van een schending van een zorgplicht door de leverancier. Althans dit is onvoldoende onderbouwd. Maar het hof wijst (ten overvloede) nog wel op de inhoud van de SLA en de daarin afhankelijkheden en uitzonderingen.
Bij zo’n beschreven dienstverlening en tegenover een professionele wederpartij als Nagtzaam, behoefde Arcus dan ook niet uit zichzelf nog eens te waarschuwen dat die dienstverlening niet zou inhouden een gegarandeerde dan wel een nagenoeg storingsvrije toegang tot haar werkomgeving. Anderzijds mocht Nagtzaam er in deze omstandigheden niet zonder meer van uitgaan dat Arcus zo’n waarschuwing zou doen. De gestelde schending van de zorgplicht kan hier dan ook niet op worden gebaseerd. Dat de afgesproken dienstverlening zodanig was dat Arcus redelijkerwijs had moeten twijfelen of dit wel zou beantwoorden aan wat Nagtzaam stelt te hebben mogen verwachten, en meer onderzoek had moeten doen, acht het hof, gezien het voorgaande, eveneens onvoldoende onderbouwd.
Welke lessen zijn hier uit te trekken?
Wat deze zaak duidelijk maakt is dat de SLA in feite een beschrijving bevat van de wijze waarop een leverancier invulling geeft aan de inspanningsverplichting om een zo hoog mogelijke beschikbaarheid te realiseren. Harde garanties zijn misschien wel wenselijk maar niet realistisch gelet op de vele afhankelijkheden waar beide partijen mee te maken hebben.
Kun je dan nooit een leverancier aanspreken op het niet nakomen van zijn verplichtingen uit een SLA? Zeker wel.
Een jurist zal zeggen (ik ook) dat je altijd meetbare en concrete afspraken moet maken. In veel SLA’s worden hele concrete afspraken gemaakt over beschikbaarheidspercentages en reactietijden, maar dat is niet wat ik bedoel. Het geeft geen zin om 100% beschikbaarheid te vragen omdat dit vrijwel nooit waar te maken is. Daarvoor bestaan simpelweg teveel afhankelijkheden. Wat je wel kan doen is inzoomen op risico’s rondom continuïteit en daar mitigerende afspraken over maken die goed te monitoren zijn.
Voorkom dat je een bureaucratische organisatie optuigt waar het controleren of voldaan is aan de beschreven normen de norm wordt. Een dergelijke “tick the box” mentaliteit werkt niet. Er zullen altijd situaties zijn die niet beschreven zijn. Het gegeven dat die situaties niet beschreven zijn, moet niet het einde van de rit zijn. Het is verstandig voor die situaties ook wat vagere afspraken te maken. Bijvoorbeeld dat de werking van het systeem geschikt moet zijn voor normaal gebruik door de gebruiker. Zie ook mijn eerdere blog met 4 tips voor betere SLA’s: https://www.dirkzwager.nl/kennis/artikelen/service-level-agreement-sla-4-tips-voor-betere-sla-s/
Voor die gevallen waar je niet kunt terugvallen op een concrete of minder concrete afspraak, wordt vaak de zorgplicht van de leverancier van stal gehaald. In dit concrete geval zonder succes omdat je dan goed moet kunnen onderbouwen dat een andere leverancier het anders zou hebben gedaan. Dat is hier (kennelijk) niet gebeurd, althans niet overtuigend genoeg. Voor die gevallen zou je kunnen denken aan een second opinion bij een nader leverancier om te kijken of de dienstverlening van de zittende leverancier ondermaats is, of dat het ligt aan bepaalde afhankelijkheden. Je kunt ook een onafhankelijke deskundige inschakelen.
Ernst-Jan van de Pas
