Blog
Published
Reading time
Auteur
Menig dispuut tussen een IT-leverancier en diens opdrachtgever wordt veroorzaakt door een lacune in de contractuele afspraken.
Aan het begin van de samenwerking zijn partijen gericht op het doen slagen van de samenwerking. Een beëindiging van de betreffende overeenkomst lijkt dan een ver-van-je-bed-show. De eerste daadwerkelijk eeuwigdurende IT-overeenkomst laat nog op zich wachten, zodoende is het uit hoofde van risico’s voor de bedrijfscontinuïteit raadzaam om bij aanvang van de samenwerking direct heldere exit-afspraken te maken. Vooral bij complexere IT-uitbestedingen in de financiële sector is dat cruciaal: de belangen van én de risico’s in relatie tot bedrijfscontinuïteit zijn enorm. Indien heldere exit-afspraken ontbreken en een rechter buigt zich over een geschil, dan zal een rechter de bijzondere zorgplicht van IT-leveranciers[1] als instrument inzetten om deze lacunes op te vullen. Partijen kunnen al tijdens de onderhandelingen voorsorteren op bestaande jurisprudentie.
Gezien de hoge mate van afhankelijkheid tussen de opdrachtgever en IT-leverancier in complexere IT-uitbestedingen, kan het einde van een IT-overeenkomst vrijwel nooit afgedaan worden met een simpele stekker die eruit moet worden getrokken. In toenemende mate geldt dat IT-uitbestedingen worden gereguleerd. Het financieel toezichtrecht bevat bijvoorbeeld een groeiende hoeveelheid (verplichte) waarborgen die een IT-overeenkomst dient te bevatten waar het gaat om exit-afspraken. Bijvoorbeeld de Richtsnoeren inzake Cloud Uitbestedingen van de European Insurance and Occupational Pensions Authority[2] en de European Securities and Markets Authority[3] en de Richtsnoeren betreffende uitbestedingen van de European Banking Authority.[4] Daarin is onder meer aandacht voor het opstellen en testen van exitplannen en het behouden van (toegang tot) data bij een exit.[5]
Ook de aankomende EU-wetgeving op het gebied van cybersecurity, de Digital Operational Resilience Act (DORA)[6], gaat hier een aanzienlijke bijdrage aan leveren.[7] De DORA beoogt een gemeenschappelijk niveau van digitale operationele weerbaarheid te bereiken voor de financiële sector. In de DORA is voor financiële entiteiten bijvoorbeeld de verplichting opgenomen een exitstrategie op te nemen bij het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen.[8] Van belang is uiteraard dat de uiteindelijke exit-afspraken adequaat en passend moeten zijn voor de verhouding van partijen. Dit vraagt eigenlijk altijd om maatwerkafspraken.
Maar ook voor organisaties buiten de financiële sector geldt dat de rechtspraak de verplichting om exit-assistentie te verlenen nader inkleurt. In een recent kort geding[9] werd de bijzondere zorgplicht van IT-leveranciers verder gespecificeerd. Deze uitspraak is geen uitzondering op de regel: de zorgplicht wordt regelmatig door de rechter toegepast. De rechter bepaalde in deze uitspraak dat na het einde van een IT-ontwikkelovereenkomst, de IT-leverancier verplicht was om de opdrachtgever het gebruiksrecht te geven op de ontwikkelde webshop. Dit ondanks de lacune in de afspraken over de exit én het bepaalde dat enig gebruiksrecht tevens eindigde bij het einde van de overeenkomst. De opdrachtgever kon immers zonder dat gebruiksrecht geen enkel beroep meer doen op hetgeen door de IT-leverancier was ontwikkeld. De rechter gaf daarbij aan dat het juist aan de IT-leverancier was, conform diens bijzondere zorgplicht, om de opdrachtgever te informeren over het gebrek aan exit-afspraken in de overeenkomst. Naast het verstrekken van het gebruiksrecht, was de IT-leverancier ook gehouden om mee te werken aan de migratie naar de nieuwe IT-leverancier. Ook contractuele afspraken over deze medewerking ontbraken, maar uit hoofde van de continuïteit van de bedrijfsvoering oordeelde de rechter dat de IT-leverancier diens verplichting om mee te werken aan de migratie niet mocht opschorten.
Zelfs als een overeenkomst wordt beëindigd conform de overeengekomen opzegtermijn, kan het zo zijn dat de daadwerkelijke omstandigheden vragen om een langere exit. Zo’n langere exit-periode kan benodigd zijn om de continuïteit aan de afnemende kant te waarborgen. In 2019 oordeelde de rechter[10] dat een IT-leverancier na het, conform de contractuele bepalingen, beëindigen van een overeenkomst, op grond van diens zorgplicht niet zomaar de dienstverlening kan beëindigen en/of daarbij geen medewerking verleent aan de migratie naar de nieuwe IT-leverancier. De IT-leverancier was contractueel gehouden om ‘alle nodige medewerking te verlenen aan de migratie’, waarbij de exit-werkzaamheden dus langer door dienden te lopen dan de opzegtermijn, welke één maand was. Gelet het wezenlijke belang van de opdrachtgever, van diens klanten, het feit dat het managed en cloud diensten betrof, dat gevoelige klantgegevens betrokken waren, en daarmee de kans op en mogelijke omvang van schade, had de IT-leverancier een bijzondere zorgplicht om de dienstverlening langer voort te zetten en mee te werken aan de exit. Deze werkzaamheden hoeven ook niet ‘gratis’ te worden verleend: de rechter bevestigde dat het voortzetten van de dienstverlening tegen de geldende tarieven redelijk was.
In een ander kort geding[11] werd ook de zorgplicht van de IT-leverancier ten aanzien van de klanten van de wederpartij benadrukt: in deze uitspraak ging het om het leveren van licenties aan 100 Nederlandse gemeenten. Partijen waren het, onder andere, nog niet eens geworden over een exitregeling. De kortgedingrechter oordeelde dat de gevolgen van het opzeggen van de overeenkomst door de IT-leverancier van een dermate ingrijpende aard zijn, terwijl de gemeenten een groot maatschappelijk belang hebben om hun wettelijke taken op de juiste wijze uit te kunnen blijven voeren.
Afnemers van IT-diensten binnen de financiële gereguleerde sector worden enerzijds geholpen door de toenemende (verplichte) waarborgen over exit-afspraken in diens overeenkomsten. Anderzijds wordt de bijzondere zorgplicht van IT-leveranciers door de rechter steeds nader gespecificeerd waar het gaat om een ordelijke exit en de medewerking van IT-leveranciers daarin. Uiteraard is de gang naar de rechter voor beide partijen een last resort, maar de uitleg van de rechters van de zorgplicht is er zeker een om in acht te houden op het moment dat partijen de overeenkomst uitonderhandelen. Zodoende is het uiteindelijk van cruciaal belang om tijdige én adequate exit-afspraken te maken die passen bij de dienstverlening en omstandigheden van partijen. Daarbij is het ook raadzaam nauwkeurig te kijken naar passende opzegtermijnen, gelet op de dienstverlening en de tijd die partijen nodig hebben om bijvoorbeeld een migratie te realiseren. Op die manier wordt de kans op disputen bij een naderende exit verkleind en kunnen partijen zich richten op waar het echt om gaat: de bedrijfscontinuïteit van de opdrachtgever.
[1] Uit hoofde van artikel 7:400 Burgerlijk Wetboek e.v.
[2] EIOPA Guidelines EIOPA-BoS-20-002, online verkrijgbaar via: https://www.eiopa.europa.eu/document-library/guidelines/guidelines-outsourcing-cloud-service-providers_en
[3] ESMA Guidelines ESMA50-157-2403, online verkrijgbaar via: https://www.esma.europa.eu/press-news/esma-news/esma-publishes-cloud-outsourcing-guidelines
[4] EBA Guidelines EBA/GL/2019/02, online verkrijgbaar via https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-outsourcing-arrangements
[5] Bijvoorbeeld nr. 15 van de EIOPA Guidelines en nr. 5 van de ESMA Guidelines.
[6] Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (PbEU 2022, L 333/1).
[7] Bijvoorbeeld artikelen 28(8) en 30(2) DORA.
[8] Artikel 28(8) DORA.
[9] Rechtbank Oost-Brabant, 16 september 2022, ECLI:NL:RBOBR:2022:3965.
[10] Rechtbank Utrecht 23 mei 2019, IEF 18521, IT 2798.
[11] Rechtbank Amsterdam, 18 augustus 2020, ECLI:NL:RBAMS:2020:4059.