MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Risico op dataverlies en wettelijke verantwoordelijkheid van systeembeheerders

IT

Risico op dataverlies en wettelijke verantwoordelijkheid van systeembeheerders

Het kan voorkomen dat bedrijven belangrijke bedrijfsinformatie die in databases wordt opgeslagen, verliezen door onvoorziene omstandigheden. Dit gebeurt soms op de werkvloer van de IT-afdeling. In dergelijke gevallen, als de bedrijfsvoering van het systeem is uitbesteed aan een externe dienstverlener, is het dan juridisch mogelijk om de verantwoordelijkheid bij de externe dienstverlener te leggen?

In dit artikel zullen we bespreken waar de juridische verantwoordelijkheid ligt in het geval van het verlies van informatie binnen een bedrijf.

Wat betekent ‘operatie’ in IT-systemen?

In IT-systemen betekent ‘operatie’ heel eenvoudig gezegd, het werk dat betrekking heeft op het ‘blijven gebruiken van het huidige systeem zoals het is’. Een systeem dat nieuw is ontwikkeld (= ontwikkeld) door IT-ingenieurs en programmeurs is niet iets dat eindigt zodra het is gemaakt. Bijvoorbeeld, als je een operatie wilt uitvoeren die niet kan worden uitgevoerd vanaf het scherm, moet je een computer aansluiten op de database en direct computertaal (zoals SQL) invoeren (bijvoorbeeld het extraheren of wijzigen van gegevens die niet kunnen worden uitgevoerd vanaf het scherm).

Dergelijk operationeel werk kan vaak gemakkelijk worden gestandaardiseerd door het opstellen van procedures, en het is vaak gemakkelijk om het uit te besteden aan externe leveranciers in vergelijking met het werk van het implementeren van nieuwe programma’s.

Maar zelfs als het werk gemakkelijk te standaardiseren is, moet je in gedachten houden dat het, omdat het werk direct de databases van het bedrijf bedient, vaak naast grote incidenten ligt. Risico’s zoals het lekken of verliezen van bedrijfsinformatie kunnen ongemerkt sterk toenemen als je gemakkelijk doorgaat met uitbesteden zonder acht te slaan op de ernst van de verantwoordelijkheid van het werk.

Het risico op gegevensverlies is verrassend dichtbij

Er zijn verschillende soorten databases die bedrijven gebruiken, maar in wezen zijn ze allemaal een soort software. De processen van het extraheren, wijzigen, toevoegen en verwijderen van gegevens die in deze databases worden beheerd, worden in principe uitgevoerd met een computertaal genaamd SQL.

Belang van juridische zaken

Er zijn verschillende soorten werkzaamheden voor technici die betrokken zijn bij IT-systemen, zoals ontwikkeling, bediening en onderhoud. Wat ze gemeen hebben, is dat ze zich voornamelijk bezighouden met abstracte zaken zoals ‘gegevens’ en ‘computertalen’. Daarom kan zelfs een kleine fout, zoals een verkeerde knop indrukken of een kleine invoerfout, een impact hebben die zich veel verder verspreidt dan men van tevoren zou kunnen voorzien. Dit basisprincipe moet worden begrepen door iedereen die met systemen werkt, of ze nu IT-experts zijn of niet. Als er een probleem ontstaat in een systeemgerelateerde baan, kan de impact zich vaak snel verspreiden, niet alleen binnen de betreffende afdeling, maar ook over de grenzen van het bedrijf heen. De reden waarom juridische zaken belangrijk zijn voor systemen kan op een uniforme manier worden uitgelegd vanuit zowel het perspectief van de opdrachtgever als de opdrachtnemer.

Risico op verlies van bedrijfsgegevens

Laten we eens een eenvoudig voorbeeld nemen. De query (instructie) om alle gegevens in een tabel in SQL te verwijderen, is slechts één regel: ‘TRUNCATE’. Bij het nadenken over het risico op verlies van bedrijfsgegevens is het niet zo belangrijk om de syntaxis van SQL of de bediening van databasesoftware te kennen. Maar het is belangrijk om te beseffen dat zelfs het verwijderen van alle gegevens die een bedrijf opslaat, in termen van hoe het gedaan wordt, zo eenvoudig kan zijn. Dit besef is misschien wel het startpunt bij het nadenken over het risico op verlies van bedrijfsgegevens.

Operaties kunnen inderdaad gemakkelijk worden gestandaardiseerd en er zijn vaak geen problemen als alles volgens plan verloopt. Maar tegelijkertijd, als dingen niet volgens plan verlopen en er onregelmatigheden ontstaan, wordt het belang van juridische zaken vanzelf duidelijk.

Wie is wettelijk verantwoordelijk voor het verlies van informatie?

Wat is de wettelijke verantwoordelijkheid bij onverwacht dataverlies?

De juridische aard van het werk van operationele bedrijven

Maar wat gebeurt er als er door een onvoorziene gebeurtenis gegevens verloren gaan en er geen manier is om ze te herstellen? Wie draagt dan de juridische verantwoordelijkheid? Laten we deze incidenten analyseren vanuit een juridisch perspectief.

Het is moeilijk om de bewaarplicht op basis van een bewaargevingsovereenkomst na te streven

Een mogelijke theoretische constructie bij het aansprakelijk stellen van een ondernemer die data-operaties uitvoert, is het nastreven van de zorgplicht van goed beheer op basis van een betaalde bewaargevingsovereenkomst. Simpel gezegd, dit is vergelijkbaar met het nastreven van aansprakelijkheid voor schadevergoeding in principe, zoals wanneer een ondernemer die een betaalde kluisje of iets dergelijks heeft geaccepteerd, het item verliest. Het is een kwestie van of het mogelijk is om de verantwoordelijkheid voor het verlies van “data” na te streven. Echter, net als bij de bewaarplicht voor “goederen”, is het niet realistisch om te denken dat de “bewaarplicht voor data” vanzelfsprekend ontstaat onder de huidige wet.

Het hangt af van de specifieke contractuele voorwaarden

Uiteindelijk is het moeilijk om een uniforme oplossing te vinden voor de vraag “Wie is verantwoordelijk voor de opslag van gegevens?” op basis van de bepalingen in het Japanse Burgerlijk Wetboek. Daarom zou het juiste antwoord moeten zijn: “Het hangt af van wat er specifiek in het contract is vastgelegd”.

En de vraag “Wat was de inhoud van het contract?” wordt niet alleen bepaald door het contract zelf, maar ook door de notulen van vergaderingen. De belangrijkheid van notulen wordt in detail uitgelegd in het onderstaande artikel.

https://monolith.law/corporate/de-notulen-in-systeemontwikkeling[ja]

Het is moeilijk om aansprakelijkheid voor onrechtmatige daden na te streven van derden die geen contractpartij zijn

Het is duidelijk uit jurisprudentie dat het onmogelijk is om aansprakelijkheid voor onrechtmatige daden na te streven van derden die geen contractuele relatie hebben. In de jurisprudentie werd de mogelijkheid van een schadevergoedingsclaim op basis van onrechtmatige daden in het geval van dataverlies bij een serververhuurservice in vraag gesteld.

Een typisch voorbeeld van een onrechtmatige daad is een verkeersongeval. Bijvoorbeeld, als iemand gewond raakt door nalatigheid van de bestuurder bij een auto-ongeluk, is de bestuurder (natuurlijk strafrechtelijk, maar ook civielrechtelijk) verantwoordelijk. Hoewel er geen contract is gesloten met een vreemde om “niet iemand met een auto te raken”, kan er toch een schadevergoedingsverplichting ontstaan tussen particulieren. Op basis van dit kader van aansprakelijkheid voor onrechtmatige daden werd betwist of het mogelijk was om verantwoordelijkheid na te streven voor dataverlies, zelfs als er geen directe contractuele relatie was.

Echter, de rechtbank wees op de kenmerken van digitale informatie en gaf aan dat het moeilijk is om het bestaan van dergelijke verplichtingen vanzelfsprekend af te leiden.

Een server is niet perfect en kan storingen ondervinden waardoor opgeslagen programma’s en dergelijke kunnen verdwijnen, maar programma’s en dergelijke zijn digitale informatie die gemakkelijk kan worden gekopieerd, en als gebruikers deze informatie hebben opgenomen en opgeslagen, kunnen ze het programma en dergelijke opnieuw activeren, zelfs als het verloren is gegaan. Dit is algemeen bekend (volgens de volledige strekking van het argument), dus de eisers hadden gemakkelijk maatregelen kunnen nemen om het verlies van het programma en de gegevens te voorkomen. Gezien de belangen van zowel de eisers als de gedaagde, is er geen reden of noodzaak om de gedaagde, die de server heeft geïnstalleerd en beheert, de verplichting op te leggen om de opnames van de eisers te beschermen door het verlies ervan te voorkomen. (Omissie) De eisers beweren dat de gedaagde, als verhuurder van de server, een zorgplicht heeft jegens iedereen die opnames op de server bewaart, en in het bijzonder de verplichting heeft om te voorkomen dat de opnames op de server verloren gaan, en dat het verlies van de opnames van de eisers die op de server zijn opgeslagen, in strijd is met deze verplichting om verlies te voorkomen.


Echter, de gedaagde heeft alleen een contract voor het gebruik van een gedeelde server hosting service met gebruiker A, en er is geen contractuele relatie met de eisers, en het kan niet worden gezegd dat er een contractuele aard is met betrekking tot de opslag van het programma en de gegevens op de server, dus het is moeilijk om een basis te vinden voor de bewering dat de gedaagde een zorgplicht heeft onder de wet op onrechtmatige daden met betrekking tot de opnames opgeslagen op de server jegens de eisers, die geen contractuele relatie hebben. Daarom kan niet worden gezegd dat de gedaagde, alleen omdat hij een serververhuurder is, vanzelfsprekend een zorgplicht heeft of een verplichting om verlies te voorkomen met betrekking tot de opnames opgeslagen op de server in relaties met derden die geen contractuele relatie hebben.

Tokyo District Court, 20 mei 2009 (Heisei 21)

Deze uitspraak wijst erop dat het niet redelijk is om te veronderstellen dat er een “verplichting om geen gegevens te wissen” bestaat ten aanzien van derden (eisers) die geen directe contractuele relatie hebben. Deze uitspraak heeft aanzienlijke aandacht getrokken als een mogelijke leidende zaak voor soortgelijke gevallen in de toekomst.

Als conclusie, het nastreven van verantwoordelijkheid wordt vaak ‘moeilijk’

In de praktijk, als we het hebben over veelgebruikte contracten, zijn er niet zo veel gevallen waarin contracten worden gebruikt die de verantwoordelijkheid voor de opslag en back-up van gegevens bij de operationele dienstverlener leggen. Integendeel, er zijn overweldigend veel gevallen waarin is bepaald dat dit de verantwoordelijkheid is van de gebruiker (dat wil zeggen, het bedrijf aan de klantzijde).

Daarom, tenzij er een speciale overeenkomst is gesloten, zou het juridisch gezien zeer moeilijk zijn om te stellen dat de systeembeheerder de verplichting heeft om maatregelen te nemen om het verlies van gegevens te voorkomen.

Wat te doen ter voorbereiding op het risico van informatieverlies

Zorg altijd voor een back-up om dataverlies te voorkomen.

Uiteindelijk gaat het bij het risico van informatieverlies dat een bedrijf loopt, om de informatie die het bedrijf zelf opslaat. Daarom is het waarschijnlijk dat de manier waarop dit verliesrisico wordt ingeschat en welk opslagsysteem wordt opgezet, zaken zijn die het bedrijf zelf moet beslissen.

Zelfs als de verantwoordelijkheid van de ondernemer wordt erkend, kan het zijn dat de schadevergoeding niet volledig wordt toegekend vanwege een compensatie voor nalatigheid. Er zijn gevallen in eerdere rechtszaken waarin de verweerder, die de gegevens van de eiser op de server had opgeslagen, de gegevens had vernietigd, en het feit dat de eiser geen back-up had gemaakt werd beschouwd als “nalatigheid”, waardoor compensatie voor nalatigheid werd toegekend.

De eiser had gemakkelijk maatregelen zoals een back-up kunnen nemen voor de inhoud van het betreffende bestand, en had daarmee de schade kunnen voorkomen of de schade tot een zeer klein bedrag kunnen beperken, maar op het moment van het betreffende vernietigingsincident, wordt erkend dat de eiser geen gegevensinhoud van het betreffende bestand had achtergelaten.

In dit geval, bij het bepalen van het bedrag van de schadevergoeding dat de verweerder moet dragen, zou het passend zijn om deze factor in overweging te nemen en de bepaling van compensatie voor nalatigheid toe te passen, in overeenstemming met het principe van billijkheid in het schadevergoedingsrecht.

De eiser betoogt echter dat het onmogelijk was voor de eiser om te voorzien dat het betreffende bestand door de verweerder, een provider, van de server zou worden verwijderd, dat het niet kan worden gezegd dat de eiser had moeten voorzien dat dit zou gebeuren, dat het niet mogelijk is om de verplichting om een back-up te maken te erkennen als een wettelijke verplichting, en dat het niet nalaten om dit te doen kan worden beschouwd als nalatigheid in de juridische zin, en dat de toepassing van compensatie voor nalatigheid moet worden ontkend.

Echter, bij de toepassing van compensatie voor nalatigheid, is het voldoende om te erkennen dat de eiser de mogelijkheid had om te voorzien dat het betreffende bestand zou worden vernietigd, en het is niet nodig om te voorzien dat het betreffende bestand zou worden vernietigd als gevolg van de schending van de zorgplicht door de verweerder.

In dit geval, (weggelaten), is het duidelijk dat de eiser zich bewust was van het risico van inbraak door hackers, enz. op de homepage, en de eiser erkent dat er een risico is van wijziging en vernietiging van informatie in internetcommunicatie, en dat dit risico voorzienbaar was, dus het wordt geoordeeld dat de eiser het risico had voorzien dat het betreffende bestand zou worden vernietigd door oorzaken die inherent zijn aan internetcommunicatie, en de mogelijkheid om te voorzien dat het betreffende bestand zou worden vernietigd is voldoende bevestigd, en er is geen belemmering voor de bevestiging van de toepassing van compensatie voor nalatigheid.

Tokyo District Court, September 28, 2001 (Heisei 13)

In dit geval werd de schadevergoeding gehalveerd omdat “het mogelijk was om het risico van het verdwijnen van bestanden door inbraak van hackers of andere redenen te voorzien, en daarom is er een toepassing van compensatie voor nalatigheid”.

Samenvatting

Het is niet alleen beperkt tot het risico van dataverlies, maar vaak wanneer het systeemwerk wordt uitbesteed, zijn gebruikers geneigd zich alleen zorgen te maken over de bedieningsgevoel van het scherm, en de governance van de organisatie strekt zich vaak niet uit tot de databasegebieden die op de achtergrond worden opgeslagen.

Echter, eerdere rechtszaken suggereren dat we niet mogen denken dat deze zaken ‘iemand anders probleem’ zijn. Met andere woorden, we moeten ons ervan bewust zijn dat het nemen van maatregelen zoals het maken van back-ups, rekening houdend met het risico van informatieverlies, uiteindelijk een probleem is aan de kant van de gebruiker (binnen het bedrijf).

Eerdere rechtszaken suggereren dat het niet voorbereid zijn op dergelijke risico’s kan leiden tot onherstelbare situaties, en we zouden dit moeten opvatten als een waarschuwing voor de noodzaak van preventie, nietwaar?

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Terug naar boven