De zorgplicht van de IT-leverancier: een gewaarschuwd mens telt voor twee

Met enige regelmaat zijn nieuwsberichten te vinden over gestrande IT-projecten. Software wordt vaak te laat opgeleverd, blijkt niet naar behoren te werken en/of blijkt veel meer geld te kosten dan begroot. Eerder dit jaar verscheen er een artikel van de NRC over het zoveelste mislukte IT-project van de Nederlandse overheid. Minister Schouten zette een IT-project van de Nederlandse Voedsel- en Warenautoriteit per direct stop. De redenen? De doelen van het programma zouden namelijk niet worden gehaald, het zou meer geld gaan kosten dan begroot en ook de deadline van eind 2021 zou niet worden gehaald; allemaal geen ongewone redenen voor het mislukken van dit soort projecten. Voor het project was 36 miljoen euro begroot. Op het moment van stopzetten had het project al 65 miljoen euro gekost. Een ander bekend gefaald IT-project is de digitalisering van de rechtspraak, Project KEI. Niet alleen de overheid kampt met mislukte IT-projecten, het bedrijfsleven natuurlijk ook.

Als het falen van een IT-project te wijten is aan de IT-leverancier, zou de klant kunnen aanvoeren dat de leverancier zijn zorgplicht heeft geschonden. In deze blog zal ik dan ook ingaan op deze zorgplicht, waarbij ik me voor nu zal focussen op wat de zorgplicht is en waaruit het voortvloeit.

Brinkers-maatstaf

Een IT-leverancier zal minimaal moeten handelen conform de inspanningen die van een redelijk handelend en bekwaam vakgenoot geëist kunnen worden, volgt uit RBC / Brinkers. Deze zorgplicht is een open norm, maar concreter kunnen vakbekwaamheid en een onderzoeks-, informatie- en waarschuwingsplicht een rol spelen. Bij de beoordeling of sprake is van een schending van de zorgplicht zijn de feiten en omstandigheden van het geval van belang. Wat bij de ene casus kan leiden tot een geschonden zorgplicht, hoeft bij een andere casus niet tot hetzelfde resultaat te leiden.

Grondslagen

Een IT-overeenkomst zal doorgaans te kwalificeren zijn als een overeenkomst van opdracht. In deze context vloeit de zorgplicht voort uit artikel 7:401 BW. De opdrachtnemer (de IT-leverancier) dient bij de uitvoering van de opdracht het belang van de opdrachtgever centraal te stellen en hij dient ook de opdrachtgever te waarschuwen als diens aanwijzingen niet verantwoord zijn of wanneer deze niet leiden tot het beoogde resultaat.

Een zorgplicht kan ook voortvloeien uit algemene bepalingen, zoals artikel 6:27 BW (een schuldenaar dient de zorg van een goed schuldenaar te dragen) en uit de redelijkheid en billijkheid uit artikel 6:248 lid 1 BW. Redelijkheid en billijkheid zijn natuurlijk wat vage begrippen. Om te kunnen beoordelen of iets redelijk en billijk is, zal onder meer rekening gehouden moeten worden met algemeen erkende rechtsbeginselen, persoonlijke en maatschappelijke belangen en de gewoonte.

Daarnaast kan er in de overeenkomst tussen opdrachtgever en een IT-leverancier een specifiekere zorgplicht opgenomen zijn. Om de kans op problemen met de zorgplicht te voorkomen, is het verstandig de zorgplicht in de overeenkomst al verder in te kleuren.

Tot slot kan de zorgplicht ook voortvloeien uit de onrechtmatige daad (artikel 6:162 BW). Hierbij is het bekende Kelderluik-arrest van belang. Hierin heeft de Hoge Raad vier criteria geformuleerd, die gebruikt dienen te worden bij de beoordeling of er sprake is van een onrechtmatige daad bij gevaarzetting. Er dient gelet te worden op:

1. de mate van waarschijnlijkheid waarmee de niet-inachtneming van de vereiste oplettendheid en voorzichtigheid kan worden verwacht;

2. de grootte van de kans dat hieruit ongevallen kunnen ontstaan;

3. de ernst die de gevolgen daarvan kunnen hebben; en

4. de mate van bezwaarlijkheid van te nemen veiligheidsmaatregelen.

Conclusie

Een schending van een zorgplicht kan reden zijn voor de klant om een overeenkomst te ontbinden of een schadevergoeding te eisen. Wanneer een IT-leverancier aan zijn zorgplicht voldoet, zouden de redenen voor het mislukken van IT-projecten die ik aan het begin van deze blog noemde, geen reden hoeven zijn voor het falen van dit soort projecten. Let wel: de feiten en omstandigheden per casus spelen dus ook mee bij de beoordeling of voldaan is aan de zorgplicht of niet. Maar een gewaarschuwd mens telt voor twee. Bij IT-projecten kan veel geld verloren gaan wanneer er dingen misgaan. De IT-leverancier kan beter de opdrachtgever wat meer bij de hand nemen, dan dat hij er maar vanuit gaat dat de opdrachtgever meer IT-kennis heeft dan dat hij daadwerkelijk heeft.

Ten slotte is bij de zorgplicht voor IT-leveranciers een vergelijkbare ontwikkeling als in de financiële sector (waar een ‘bijzondere zorgplicht’ voor financiële dienstverleners geldt) op te merken, maar daarover meer in een volgende blog.