gepubliceerd in: Management & Informatie, 1997 nr. 6, pp. 41-50

Dit artikel mag niet worden verspreid of vermenigvuldigd zonder toestemming van de auteur. Het uitprinten van één copie voor persoonlijk gebruik is toegestaan. Citeren met bronvermelding.

Hoe voorzienbaar is 2000?

Over aansprakelijkheid bij het millenniumvraagstuk

Het jaar 2000 nadert met rasse schreden, en het 2000-probleem nadert al even snel. Naast alle feestvreugde passen ook angstgevoelens; niet dat het einde der tijden naakt, maar mogelijk wel het einde van veel computersystemen, programma's en gegevens. Op het technische vlak is men druk in de weer om de 2000-problemen tijdig te verhelpen. Waar dat niet zal lukken, hopen velen dat een juridische oplossing de pijn van falende systemen zal verzachten. De hamvraag is op welk paard je moet wedden: eerst de problemen technisch te lijf gaan, en pas na 2000 kijken of je de kosten (of de mogelijke schade) nog kunt verhalen? Of nu een advocaat in de arm nemen om van de leverancier te eisen dat het systeem 2000-resistent wordt gemaakt - of om gebruikers af te weren die een 2000-bestendigheidscertificaat eisen? Of allebei, want de kosten voor aanpassing of vervanging kunnen dermate hoog zijn dat je misschien beter gelijk een jurist kunt inhuren om de benodigde bedragen van elders binnen te slepen?

aansprakelijkheid

In elk geval is de aansprakelijkheid voor millenniumschade een belangrijk onderwerp. Op wie, tot welke hoogte en, vooral, onder welke voorwaarden de kosten voor aanpassing of de schade te verhalen zijn, dat is de vraag. Het is een mer à boire voor aansprakelijkheidsdeskundigen en IT-advocaten. Inmiddels werpen de juristen zich dan ook met enig genoegen op 2000. Zo heeft de Landsadvocaat onlangs, op verzoek van de Minister, een advies aan de Tweede Kamer gezonden. Zijn advies is helder, maar betreft alleen hoofdlijnen; de vraag naar aansprakelijkheid valt niet in zijn algemeenheid te beantwoorden.⁽¹⁾

Na een korte beschrijving van wat de overheid (niet) doet aan het 2000-vraagstuk, zal ik in dit artikel de belangrijkste factoren bespreken die een rol spelen bij het beantwoorden van de aansprakelijkheidsvraag voor 2000-kosten of -schade. De aansprakelijkheid voor 2000-defecten kan juridisch gebaseerd zijn op verscheidene gronden: de productaansprakelijkheid, wanprestatie of onrechtmatige daad. Op deze gronden zal ik nader ingaan, waarbij vele factoren aan bod komen. Voor de productaansprakelijkheid gelden vragen als: is er sprake van een product en een gebrek, wat voor soort schade is er, en op wie is de schade te verhalen? Bij wanprestatie of onrechtmatige daad spelen bijvoorbeeld het soort contract, de juridische kwalificatie daarvan en de soorten schade een belangrijke rol. Cruciaal bij dit alles is de voorzienbaarheid van 2000: kon de producent of leverancier voorzien dat het 2000-probleem zou gaan spelen? Ik zal deze factoren bespreken, om aan te geven hoe partijen rekening kunnen en moeten houden met de juridische mogelijkheden en risico's van het millenniumprobleem.

Wat doet de overheid (niet)

De overheid is vooralsnog niet van zins om regelgevend op te treden. Met het instellen van het Millenniumplatform heeft de overheid vooral gekozen voor het stimuleren van bewustwording, de belangrijkste doelstelling van het platform voor de komende tijd.⁽²⁾ De Landsadvocaat ziet ook geen mogelijkheden om noodwetgeving te lanceren, bijvoorbeeld om bepaalde groepen te verplichten tot het nemen van 2000-maatregelen, of om aansprakelijkheid te creëren voor 2000-schade. In principe geeft het Burgerlijk Wetboek de mogelijkheid om aansprakelijkheid via een Algemene Maatregel van Bestuur te limiteren, maar van die mogelijkheid is nog nooit gebruik gemaakt; bij het 2000-probleem is op dit moment in elk geval niet zeker dat bepaalde marktpartijen de aansprakelijkheidsrisico's niet zullen kunnen dragen.⁽³⁾

proefproces

Ook het starten van een proefproces om de aansprakelijkheidsvraag via jurisprudentie te beantwoorden is volgens de Landsadvocaat geen begaanbare weg. De drukke Hoge Raad zou waarschijnlijk pas na 2000 uitspraak doen, en dat is rijkelijk (te) laat. Bovendien is het vaststellen van aansprakelijkheid zeer afhankelijk van de omstandigheden van het geval, en de Hoge Raad kan zich daar juridisch-technisch alleen in marginale zin over uitlaten. Zo'n individuele uitspraak zou dan ook weinig voorspellende waarde hebben voor andere zaken, en daarmee valt ook de waarde van een proefproces weg.

Voorlopig heeft de overheid het ook druk genoeg met zichzelf. Volgens staatssecretaris Kohnstamm houdt de bewustwording binnen de overheid nog niet over. Tot zijn teleurstelling besteedde alleen het Ministerie van Binnenlandse Zaken dit jaar in de toelichting op de begroting aandacht aan 2000. De staatssecretaris voorspelt dat volgend jaar wel alle departementen "al gauw één of twee bladzijden per begroting" zullen besteden aan het 2000-probleem. "Als die voorspelling niet uitkomt, hebben we echt een probleem."⁽⁴⁾

Naar aanleiding van het advies van de Landsadvocaat heeft het kabinet wel besloten om de leveranciers uit te nodigen voor overleg, om mogelijk tot afspraken te komen over onder andere de aansprakelijkheid.⁽⁵⁾

Productaansprakelijkheid

De regeling van productenaansprakelijkheid is, de naam suggereert het al, toegesneden op producten. Het gaat hierbij overigens wel om consumentenrelaties, waarbij de regeling vooral is bedoeld om consumenten te beschermen. Voor zakelijke relaties, en daar zal het bij een belangrijk deel van de 2000-defecten om gaan, moet men zijn heil zoeken bij wanprestatie of onrechtmatige daad (zie onder).

Nu is hardware onmiskenbaar een product, maar hoe zit dat met software? Volgens het Burgerlijk Wetboek is een product een roerende zaak, dat wil zeggen iets fysieks, en dat kun je van software nou juist moeilijk zeggen. De rechtspraak heeft nog niet uitgemaakt of software in deze zin een product kan zijn. Nu elektriciteit volgens het Wetboek wel een product is (en toch ook weinig fysiek), zou je kunnen verwchten dat software een goede kans maakt product te zijn. Aan de andere kant heeft software andere eigenschappen dan elektriciteit (het is bijvoorbeeld niet het product van fysieke arbeid, en het is niet uniek (want kan op meerdere plaatsen tegelijk aanwezig zijn)); in het strafrecht vindt men daarom dat computergegevens (waaronder software) onder een andere kategorie dan elektriciteit vallen. In het privaatrecht is men daar nog niet uit. Omdat de beperking tot twee posities in een datumveld een instructie aan machines is, en geen informatie voor de mens, kan men goed volhouden dat, volgens het criterium van Verkade,⁽⁶⁾voor het 2000-probleem software een product is.

Op software die is ingebouwd in andere producten, embedded software, lijkt de regeling van productenaansprakelijkheid in elk geval wel toegesneden.⁽⁷⁾ De producent die een product in het verkeer brengt is aansprakelijk voor schade ontstaan door een gebrek van het product. Als daarom een product met embedded software schade oplevert, is de eindproducent aansprakelijk. Hij zal de schade moeten vergoeden, en zelf maar zien of hij de schade kan verhalen op de leverancier van de software.

gebrek

Een volgende vraag is wanneer er sprake is van een gebrek. Volgens het Burgerlijk Wetboek is een product gebrekkig als het niet de veiligheid biedt die men daarvan mag verwachten. Het gaat daarbij om normaal, redelijk te verwachten gebruik van het product (de producent is niet aansprakelijk als iemand zijn hondje droogt in de magnetron). Ook noemt het Wetboek het tijdstip waarop het product in het verkeer is gebracht als factor bij gebrekkigheid. Nu is maar de vraag of men van een product mag verwachten dat het resistent is voor 2000. Hier komt de vraag naar de voorzienbaarheid van het 2000-probleem op. (Zie onder.) In veel gevallen zal over 2000 niets geregeld zijn in een contract. Het is zeer wel denkbaar dat een product al jaren naar behoren en tevredenheid van de gebruiker functioneert. Als het pas op 1 januari 2000 daarmee ophoudt, kun je dan nog wel spreken van een gebrek? Het zal afhangen van het soort product, de verwachte gebruiksperiode, de redelijke verwachting of een dergelijk product een 2000-probleem zal hebben, en dergelijke. Daarbij moet men nog bedenken dat het "gebrek" in feite is ontstaan door zuinigheid met schijfruimte, wat in het belang van de (vroegere) gebruikers was. En als de gebruiker er, bij wijze van spreken, zelf om heeft gevraagd, kun je dan nog wel stellen dat de schade aan de producent is toe te rekenen?

soort schade

Een volgende factor is de soort schade die ontstaat. Voor de regeling van productaansprakelijkheid is dit onderscheid belangrijk. Aangezien de regeling gericht is op consumentenbescherming, wordt alleen schade vergoed aan producten voor gebruik in de privésfeer, en voor dood of letsel. Gevolgschade is slechts zeer beperkt gedekt.⁽⁸⁾ Voor schade in bedrijfsomgeving is de regeling niet van toepassing.

De regeling van productenaansprakelijkheid kan dus van toepassing zijn op 2000-defecten bij hardware en producten met embedded software, en waarschijnlijk ook bij software zelf. Maar deze is alleen van toepassing op consumentenrelaties, en bovendien moet aan veel voorwaarden zijn voldaan.

Wanprestatie en onrechtmatige daad

Waar de productaansprakelijkheid niet van toepassing is, komen andere gronden voor millenniumaanpsrakelijkheid in beeld, met name de regelingen van wanprestatie en onrechtmatige daad. Deze zijn van toepassing bij (al dan niet contractuele) relaties, bijvoorbeeld een aanschaf- of onderhoudsovereenkomst. Wanprestatie is het niet nakomen van een verbintenis (contract). Van een onrechtmatige daad is sprake bij een inbreuk op een (wettelijk of ongeschreven) recht - een algemeen vangnet in het privaatrecht.

Het is dan ook belangrijk om te kijken naar de relatie tussen degene die schade lijdt en degene die daar mogelijk op kan worden aangesproken. Bij een aanschafovereenkomst gaat het om een leverancier en een afnemer of gebruiker. Voor de aansprakelijkheid maakt het daarbij uit of het gaat om standaardsoftware of maatwerk; in het laatste geval zal er meer kunnen worden verwacht van de leverancier om het product 2000-bestendig te leveren of maken. Ook bij onderhoudscontracten zal 2000 een belangrijke rol spelen, evenals mogelijk bij huur- of lease-overeenkomsten.

juridische kwalificatie contract

Hierbij is de juridische kwalificatie van het contract van belang. Men onderscheidt een inspanningsverbintenis (iemand zegt toe zich zoveel mogelijk in te spannen om een resultaat te leveren) van een resultaatsverbintenis (iemand verplicht zich om een bepaald resultaat te leveren). Bij een inspanningsverbintenis zal de leverancier minder snel aansprakelijk zijn: zolang hij aannemelijk kan maken dat hij zijn best heeft gedaan om een 2000-gebrek te voorkomen of verhelpen zal hij vrijuit gaan. Bij een resultaatsverbintenis zal de leverancier meer moeten doen: hij heeft zich immers gecommitteerd om een concreet resultaat te bewerkstelligen. Of er in een contract sprake is van een resultaats- of inspanningsverbintenis, hangt af van wat er in het contract staat. In het algemeen zal bij aanschaf van standaardsoftware vaak sprake zijn van een resultaatsverbintenis; bij aanschaf van software op maat hangt dat sterk af van de formulering. Bij onderhoudscontracten kan het gaan om een inspanningsverbintenis, bijvoorbeeld als de onderhouder toezegt naar beste vermogen onderhoud te plegen, maar ook om een resultaatsverbintenis, bijvoorbeeld als er toegezegd wordt binnen bepaalde tijd na melding van een storing deze te verhelpen. Kortom, veel zal afhangen van het soort contract of de relatie die bestaat tussen schadelijder en schadeveroorzaker, en van de specifieke formulering.

'binnen bekwame tijd'

Een complicatie hierbij is nog dat bij overeenkomsten tot aanschaf het defect dat niet-nakoming van het contract veroorzaakt "binnen bekwame tijd" nadat het defect is ontdekt of redelijkerwijs had kunnen worden ontdekt, moet worden gemeld aan de leverancier. "Bekwame tijd" is daarbij een relatief begrip, dat onder andere afhangt van de aard van het aangeschafte en de juridische kennis van betrokkenen. Volgens de Landsadvocaat is denkbaar dat een termijn van een jaar zal worden gehanteerd, nu het gaat om producten die redelijk snel verouderd zijn.⁽⁹⁾ Dat zou betekenen dat vanaf het moment dat de gebruiker redelijkerwijs bekend zou moeten zijn met het 2000-probleem, hij niet te lang mag wachten met melding aan de leverancier. Wie nu nog niet in actie is gekomen, zou dus wel eens te laat kunnen zijn.

Voor onderhoudscontracten geldt een andere complicatie, namelijk dat het gebrek veroorzaakt dat niet geheel wordt voldaan aan de overeengekomen functionele specificaties van het onderhoud. In die specificaties zal meestal niet expliciet zijn meegenomen dat het systeem 2000-resistent moet zijn. Of de specificaties wel of niet 2000-bestendigheid impliceren, zal van geval tot geval moeten worden uitgemaakt.

persoonsgegevens

Buiten dit soort contractuele relaties, kan een 2000-defect ook een onrechtmatige daad opleveren door inbreuken op de verwerking van persoonsgegevens.⁽¹⁰⁾ Persoonsgegevens horen immers accuraat te zijn, en een verschil van 100 jaar is toch een behoorlijke inbreuk op de correctheid. Daardoor kunnen allerlei gevolgen optreden: de uitkering stopt, de subsidie wordt teruggevorderd, de verzekeraar verdubbelt de premie. Degene die met persoonsgegevens omgaat is volgens de huidige Wet Persoonsregistraties en de komende Wet Bescherming Persoonsgegevens gehouden om zorg te dragen voor de beveiliging en correctheid van de geregistreerde respectievelijk bewerkte persoonsgegevens. Voor inbreuken hierop en daaruit resulterende schade kan hij aansprakelijk worden gesteld. Gezien de zorgplicht van houders of verwerkers van persoonsgegevens, moeten zij nu al hun best doen om 2000-schade te voorkomen. In verband met eventuele procedures na 2000 is het voor hun van belang om vast te leggen wat zij hieraan doen en gedaan hebben. Dat geldt overigens voor alle partijen: het is raadzaam om elk onderzoek en elke activiteit ter voorkoming van 2000-schade vast te leggen als mogelijk toekomstig bewijs ter verdediging tegen een 2000-claim.

Nakoming of vergoeding

Een interessante vraag is wanneer een gebruiker van de leverancier nakoming of schadevergoeding kan vragen. Natuurlijk zal hij liever nakoming willen vorderen, om de continuïteit van het systeem en de bedrijfsvoering te garanderen. Op vertragingen door 2000-schade zit niemand te wachten. Het is echter te makkelijk om te denken dat iedereen zomaar aan een leverancier kan vragen om producten en systemen 2000-resistent te maken.

Ten eerste is het maar de vraag of de leverancier de expertise daarvoor in huis heeft. Bij IT-producten is de leverancier vaak alleen distributeur, en niet producent. Men kan dan niet zo maar verlangen dat de distributeur de benodigde expertise inhuurt. Een tweede complicatie is dat voor het aanpassen van de software de broncode nodig is, en het is maar de vraag of die beschikbaar is. Veelal houdt de producent die voor zichzelf, en zal die niet beschikbaar zijn voor derden (zoals de distributeur). Zeker bij oudere contracten hebben partijen vaak geen source code escrow-overeenkomst gesloten. Daar komt bij dat het opsporen van alle jaartalvelden een enorme klus kan zijn, die lang niet altijd zal opwegen tegen de waarde van het product of systeem. Een derde probleem, en dat is misschien de grootste complicatie, is dat de deskundigheid om het 2000-probleem op te lossen niet bijzonder wijdverbreid is. Integendeel, IT-specialisten voor deze klus zijn al vrij schaars, en het valt te verwachten dat ze, naarmate 2000 nadert, steeds schaarser - en daarmee duurder - worden. Bovendien is om- of bijscholing weinig efficiënt, omdat na 2000 nauwelijks nog vraag zal zijn naar de specifieke kennis van 2000-oplossingen.

Een en ander betekent dat het vorderen van nakoming van een overeenkomst om de software of het systeem 2000-resistent te maken lang niet altijd realistisch is. Zeker voor oudere systemen is daarom vervanging de aangewezen weg. Voor nieuwere systemen zal een afweging op zijn plaats zijn tussen vervanging, aanpassing en het risico van 2000-schade. In zijn algemeenheid zal de vraag naar schadevergoeding dus in veel gevallen aan de orde kunnen zijn.

Daarbij zal men moeten kijken op wie de schade te verhalen is. Bij de meeste contractuele relaties zal de leverancier van de software of het systeem (of het onderhoud) aansprakelijk zijn. Hij kan de schade eventueel nog proberen te verhalen op anderen, met name de leveranciers van de 2000-defecte software. Maar daarnaast zou men nog kunnen overwegen of ook anderen aansprakelijk kunnen worden gesteld. Zo zal een bedrijf dat de automatisering heeft uitbesteed kunnen overwegen om de automatiseerder aansprakelijk te stellen; deze had, met zijn expertise op het vakgebied, wellicht veel eerder moeten voorzien dat de door derden geleverde systemen in 2000 problemen zouden opleveren. Of misschien valt de accountant iets te verwijten? Deze moet immers bij zijn verslag aan de raad van commissarissen en aan het bestuur melding maken van de beveiliging en continuïteit van de geautomatiseerde gegevensverwerking. Als hij niet tijdig heeft gewaarschuwd voor het 2000-probleem, kan het bedrijf hem dan aansprakelijk te stellen? De beroepsaansprakelijkheid van de accountant kan hier een rol gaan spelen. Veel zal afhangen van de zorgvuldigheid en (technische) kennis die naar redelijkheid van automatiseerder of accountant kan worden verwacht.

Schade aan derden

Tot nu toe heb ik aandacht besteed aan de vraag wanneer een gebruiker of afnemer de producent of leverancier aansprakelijk kan stellen. Soms kan echter de gebruiker ook zelf aansprakelijk zijn voor 2000-defecten, en wel als deze schade aan derden opleveren. Hij pleegt dan een onrechtmatige daad tegenover deze derde. In bepaalde omstandigheden zal een gebruiker van een apparaat of systeem moeten voorkomen dat derden daardoor schade kunnen lijden. Denk bijvoorbeeld aan regelapparatuur in het verkeer of de luchtvaart, (intensive care-)apparatuur in ziekenhuizen, betalingssoftware van banken, of instanties die softwarepakketten voor de verwerking van persoonsgegevens gebruiken. De voorbeelden geven aan dat de schade aanzienlijk kan zijn, ook aan lijf en leden. De zorgplicht om schade te voorkomen kan dan ook hoog zijn, en dat betekent dat gebruikers van dergelijke apparatuur veel in het werk zullen moeten stellen om hun systemen 2000-bestendig te maken.

De Landsadvocaat noemt de volgende factoren die bepalen hoever deze zorgplicht strekt en of de gebruiker bij nalaten aansprakelijk is voor ontstane schade.⁽¹¹⁾

de mate waarin een derde hoeft te rekenen op het uitvallen van het apparaat: zo zal in het algemeen een verkeersdeelnemer of een patiënt kunnen rekenen op het ordelijk functioneren van meet- en regelsystemen;
de grootte van de kans op ongelukken: hierbij speelt de vraag hoe aannemelijk een 2000-defect is en de kans op ongelukken daarbij, en eventueel hoe moeilijk het is om het systeem te testen;
de grootte van de te verwachten schade;
de mogelijkheid en bezwaarlijkheid van het nemen van voorzorgsmaatregelen: het alleen attenderen van derden op een mogelijk 2000-probleem zal niet genoeg zijn, terwijl ook hoge kosten voor het 2000-bestendig maken niet zo maar betekenen dat de gebruiker de voorzorgsmaatregelen achterwege kan laten.

Een interessante vraag hierbij is nog tot welke hoogte de schadevergoeding zal strekken. De Landsadvocaat noemt daarbij twee relevante aspecten. Ten eerste hangt de hoogte af van de soort norm die wordt geschonden; zo zal letsel- of zaakschade voor hogere vergoeding in aanmerking komen dan zuivere vermogensschade. Ook hangt de hoogte af van de voorzienbaarheid van de schade: naarmate de gebruiker minder kon verwachten dat het systeem een 2000-defect zou opleveren en dat dit schade zou kunnen berokkenen, zal de schadevergoeding lager uitvallen.

Voorzienbaarheid

De voorzienbaarheid van 2000 is al een paar keer naar voren gekomen. Het Burgelijk Wetboek geeft bij de productaansprakelijkheid expliciet een uitzondering voor gevallen waarin het op grond van de stand van de wetenschappelijke en technische kennis op het tijdstip waarop het product in het verkeer werd gebracht, onmogelijk was het bestaan van het gebrek te ontdekken. Ook de zorgplicht voor het voorkomen van schade aan derden hangt nauw samen met de voorzienbaarheid van de schade.

Duidelijk is dat het jaar 2000 al lange tijd voorzienbaar is. Minder duidelijk is sinds wanneer het 2000-probleem voorzienbaar is. Inmiddels kan niemand in de ICT-wereld meer tegenwerpen dat "hij het niet geweten heeft", want de vakbladen en kranten besteden er de laatste twee jaar veel aandacht aan. Maar tot hoe lang terug gaat dit?

De vraag vanaf wanneer 2000 voorzienbaar is valt misschien niet eenduidig te beantwoorden. Of toch? Hans Franken heeft in het Rechtsgeleerd Magazijn Themis de stelling geponeerd dat het probleem voor 1990 niet voorzienbaar was. Hij laat een beetje in het midden of het probleem vanaf 1990 dan wél voorzienbaar was, maar hij wil in elk geval een ondergrens vaststellen. Zijn argumentatie is hierbij dat de afschrijvingstermijn van IT-producten in het algemeen vijf tot tien jaar is, en dat daarom voor 1990 niemand rekening hoefde te houden met het eventueel doorfunctioneren tot na 2000. Franken maakt daarbij de vergelijking met de bodemverontreinigingsarresten van de Hoge Raad uit 1992. De Hoge Raad hakte toen de knoop door tot welke datum de overheid bodemsaneringskosten moest betalen omdat de vervuilers niet voldoende konden weten dat ze met de vervuiling een onrechtmatige daad pleegden.

afschrijvingstermijn

Valt een dergelijk Salomonsoordeel ook voor het 2000-probleem te vellen? De redenering van Franken dat een algemene afschrijvingstermijn van vijf tot tien jaar leidt tot 1990 als scheidslijn vind ik iets te kort door de bocht. De afschrijvingstermijn verschilt immers nogal: sommige standaardsystemen of -programma's worden aan de lopende band vernieuwd, terwijl dure, op maat gemaakte systemen veel langer meemoeten. Een algemeen jaar aanwijzen lijkt me dan ook iets te grof. Maar de redenering van Franken is zeker valide: bij het bepalen vanaf wanneer het 2000-probleem voorzienbaar was, moet men kijken naar de verwachte levensduur van het concrete product of systeem. Daarbij kan men uitgaan van een aantal categorieën, zoals standaardsoftware, maatsoftware, massa-apparatuur en maatapparatuur. Voor standaardsoftware zou ik dan eerder denken aan bijvoorbeeld 1995 - een leverancier hoefde voor die tijd geen rekening te houden met de mogelijkheid dat iemand nog na 2000 WordPerfect 5.0 zou gebruiken. Bij maatsoftware, en zeker bij op maat gesneden hardware en systemen, lijkt me dat de scheidslijn voor 1990 zou kunnen liggen, al moet men daarbij wel nagaan in hoeverre deskundigen der techniek en wetenschap op dat moment al een 2000-probleem hadden onderkend. Het zou wat dat betreft zinvol zijn als iemand eens in kaart bracht wanneer precies de eerste artikelen over 2000 verschenen, voor wie, en in welke context. Dergelijke informatie heeft de rechter nodig om te kunnen oordelen over de voorzienbaarheid van het 2000-probleem.

Redelijk en billijk

Hoe zinvol ook, een Salomonsoordeel over een jaartal voor hetwelk niemand een 2000-probleem kan worden verweten, is niet voldoende. Ook dan blijft de vraag bestaan of iemand aansprakelijk is voor een 2000-defect na dat jaartal. De voorzienbaarheid is immers maar één van de factoren (zij het een belangrijke) voor de beantwoording van de aansprakelijkheidsvraag. En als iemand aansprakelijk wordt gehouden, wat voor schade moet dan tot welke hoogte worden vergoed?

Checklist

Dit zijn vragen die alleen van geval tot geval te beantwoorden zijn. Daarbij spelen tal van factoren die inmiddels de revue zijn gepasseerd. Ik vat ze hier samen, en ik noem nog enkele aanvullende factoren die de Landsadvocaat als medebeslissend noemt.⁽¹²⁾ De factoren moeten in samenhang met elkaar worden beschouwd.

Is er sprake van een (fysiek) product in de zin van productaansprakelijkheid? Zoja, is er sprake van een gebrek in deze zin? En om wat voor soort schade gaat het?
Wat voor (contractuele) relatie is er tussen schadelijder en schadeveroorzaker? Gaat het hierbij om een resultaats- of een inspanningsverbintenis? Is hier sprake van een gebrek in de nakoming van het contract? Is er sprake van schade aan derden, en zoja, strekte de zorgplicht van de gebruiker dan tot het voorkomen van 2000-schade?
Is de leverancier bij machte om te voldoen aan een verzoek tot 2000-bestendig maken? Hierbij spelen de technische kennis die de leverancier heeft of kan inroepen, de beschikbaarheid van de broncode, en de te verwachten schaarste aan 2000-specialisten een rol.
Hoe oud is het product of systeem? Was het 2000-defect op het moment van in het verkeer brengen voorzienbaar, gegeven alle omstandigheden? Hierbij spelen zaken als de technische kennis van het moment, het te verwachten gebruik en de te verwachten duur daarvan, de redelijkheid van het vermoeden van een 2000-risico en de daaruit voortvloeiende kans op ongelukken.
De mate waarin de producent of leverancier heeft gewaarschuwd voor een 2000-probleem. Zeker de laatste jaren kan men van hen verwachten dat zij gebruikers en afnemers in elk geval wijzen op de mogelijkheid dat het product niet bedoeld is om na 2000 te functioneren, tenzij zo'n langdurig gebruik onredelijk is. Men kan bijvoorbeeld verwachten dat iemand die in 1994 een video-recorder kocht, deze nog na 2000 zal gebruiken, maar voor de "Belastingadviesschijf" uit 1998 ligt dat anders.
De mate waarin de afnemer of gebruiker zelf onderzoek heeft gedaan naar mogelijke 2000-defecten. Zeker voor schade aan derden is relevant wat de gebruiker heeft gedaan om een 2000-defect op te sporen en te voorkomen. Daarnaast is dit relevant bij massa-producten, waarbij men niet van de producent of leverancier kan verwachten dat hij alle klanten achteraf waarschuwt. De gebruiker kan dan niet achteraf klagen bij de producent als hij niet voor 2000 in elk geval moeite heeft gedaan om te checken of er een 2000-defect speelt of navraag heeft gedaan bij de leverancier.
De verhouding tussen de contractsprijs en de kosten van 2000-resistent maken. Men kan natuurlijk niet van een producent verlangen dat hij een product aanpast voor 2000 als hij daarbij meer kosten maakt dan het product zelf heeft gekost. Dit kan vooral spelen bij complexe systemen met embedded software.⁽¹³⁾
Zijn er expliciete garanties of exoneraties? Als het contract specifiek ingaat op 2000-resistentie, hetzij doordat de leverancier dit garandeert, hetzij doordat hij juist aansprakelijkheid hiervoor uitsluit, dan zal de rechter daarover makkelijk een beslissing kunnen nemen. Maar als er wordt gegarandeerd dat het systeem "naar behoren zal functioneren" gedurende een bepaalde tijd, hangt het van de omstandigheden af of daarmee ook een 2000-garantie is gegeven. Als dergelijke garanties in de algemene voorwaarden staan, zullen gebruikers met name kleine leveranciers minder snel kunnen aanspreken op het niet nakomen van de garantie.⁽¹⁴⁾ Aan de andere kant hoeft een exoneratiebeding (het uitsluiten van aansprakelijkheid) niet altijd geldig te zijn, bijvoorbeeld als de leverancier een grote mate van verwijtbaarheid treft en de schade zeer voorzienbaar was.⁽¹⁵⁾
Is de leverancier buiten Nederland gevestigd? Dan zal de vraag welk recht van toepassing is een belangrijke rol gaan spelen. Als daarover niets is afgesproken door de partijen, kan dat problemen opleveren. Maar ook als wel duidelijk is welk recht van toepassing is, blijven de partijen zitten met de vraag hoe in dat rechtssysteem de aansprakelijkheid is geregeld. Voor Nederland is, dat mag duidelijk zijn, dat geen eenvoudige vraag, en dat zal ook voor het buitenland gelden.
Is de veroorzaker bekend en te achterhalen? Bij embedded software en bij complexe systemen waarbij allerlei onderdelen door verschillende leveranciers worden geleverd, hoeft de "schuldige" niet eenduidig vast te staan. Maar ook als de eindproducent verantwoordelijk wordt gehouden, hoeft dat niet te betekenen dat de kosten of schade eenvoudig op hem te verhalen valt. Zeker in de IT-branche willen bedrijven nog wel eens failliet gaan, en wie spreek je dan aan? Ook zijn fusies en overnames aan de orde van de dag. Het achterhalen van de partij waarop de schade van het 2000-defect te verhalen valt kan daardoor een lastige klus worden. Of kan men misschien anderen aanspreken op nalatigheid, zoals de automatiseerder of accountant?

Actie

Wat moet je nu doen aan het 2000-probleem? In de eerste plaats een risico-analyse maken: welke programmatuur, apparaten en systemen hebben mogelijk een 2000-probleem, hoe groot is de kans dat daardoor schade ontstaat, wat voor schade, en hoe groot kan die schade uitvallen? Zo'n risico-analyse zal uitwijzen waar de belangrijkste knelpunten zitten. Vervolgens moeten oplossingen in kaart worden gebracht: kan het programma of systeem worden aangepast of moet het worden vervangen, en welke kosten brengt dat met zich mee? En is een noodplan nodig voor als het alsnog misgaat? Op dat moment kan ook gekeken worden naar de aansprakelijkheidsvraag: ben ik zelf aansprakelijk voor producten van anderen, of voor schade die derden kunnen lijden door mijn apparatuur of systeem? Ben ik verwerker van persoonsgegevens? Kan ik nu iemand aanspreken op aanpassing van mijn systemen, of kan ik daar later de kosten van vervanging of aanpassing of de schade op verhalen? Moet ik gebruikers of afnemers waarschuwen voor mogelijke 2000-defecten? Moet ik mijn leveranciers vragen om een 2000-bestendigheidscertificaat?

De aangewezen weg zal van geval tot geval verschillen. Men zal de genoemde factoren moeten wegen om de beste koers te kunnen uitzetten. Dat daarbij vooralsnog weinig duidelijkheid is over hoe je alle factoren concreet moet wegen is een probleem, maar ook een gegeven. Iedereen zal het probleem moeten aanpakken. Wie niet zelf een oplossing zoekt, zal het probleem vanzelf tegenkomen - en dan kan actie te laat zijn.

Eén algemeen advies kan hier wel worden gegeven. Leg alle ondernomen stappen vast, en bewaar alle relevante stukken. Bij mogelijke toekomstige aansprakelijkheidsprocedures zal het bewijs van inspanning om 2000-defecten op te sporen en te voorkomen van cruciaal belang zijn.

Bij dit alles blijft natuurlijk staan dat voorkomen beter is dan genezen, en daarop zal men zijn acties voorlopig ook moeten concentreren. De technische benadering staat voorop, de juridische procedures komen later. Toch moet men zeker ook nu al de juridische kant meewegen, al is het alleen maar om alle ondernomen stappen vast te leggen als latere bewijsstukken.

over de auteur

Drs. Bert-Jaap Koops is onderzoeker bij het Centrum voor Recht, Bestuur en Informatisering van de Katholieke Universiteit Brabant en bij de sectie Recht & Techniek van de Technische Universiteit Eindhoven.

E-mail: E.J.Koops@kub.nl

WWW: http://cwis.kub.nl/~frw/people/koops/bertjaap.htm

Noten

1. Mr. J.L. de Wijkerslooth, Mr. M.W. Scheltema, "Het millenniumvraagstuk. Een eerste inventarisatie van juridische problemen", 26 september 1997, bijlage bij Kamerstuk TK 25 674. Ik baseer mij in dit artikel grotendeels op dit advies. Daarnaast heb ik voor dit artikel gebruik gemaakt van H. Franken, "Het millenniumprobleem", RM Themis, 1997 nr. 8, pp. 311-312 en van de 2000-special van IT & Recht, 1997 nr. 6. Met veel dank aan professor Corien Prins voor haar commentaar op een eerdere versie.

2. Zie het interview met staatssecretaris Kohnstamm: T.M.A. Bemelmans en S. ten Boom, 'Ga er nou eens van uit dat het ergste waar is', in: Management & Informatie 1997 nr. 5, en de Brief van de staatssecretaris van Binnenlandse Zaken en de Minister van Economische Zaken aan de Tweede Kamer, "Millenniumvraagstuk", Kamerstuk TK 25 674, nr. 1, 6 oktober 1997.

3. De Wijkerslooth, a.w., p. 8.

4. Bemelmans, a.w. Dit is overigens in tegenspraak met de bewering in de brief van de staatssecretaris ("Millenniumvraagstuk", zie noot 2) dat alle departementen in de verschillende Memories van Toelichting bij de Rijksbegroting wel aandacht hebben besteed aan het onderwerp (p. 1) en "de departementen in hoog tempo het probleem aanpakken" (p. 3).

5. TK 25 674, nr. 1, p. 6.

6. D.W.F. Verkade stelt in Produkt in gebreke (Alphen aan den Rijn, 1990) voor als criterium voor het product-zijn te kijken waarop de informatie is gericht. "Is dat op automatische machinale produktverwerking of -besturing, dan is er sprake van een produkt, in tegenstelling tot informatie gericht op instructie van de menselijke geest." Aldus F.A.M. van de Klaauw-Koops, 'Automatisering en aansprakelijkheid', in Recht en Computer, derde druk (Deventer: Kluwer, 1997), pp. 113-4.

7. Zie Tom de Wit, 'Embedded software, 2000 en productenaansprakelijkheid', in IT & Recht, 1997 nr. 6.

8. Tom de Wit, a.w.

9. De Wijkerslooth, a.w., p. 16.

10. Zie Chris Pounder, Freddy Kosten, Year 2000: A date with destiny? JILT 1997 (3), http://elj.warwick.ac.uk/jilt/dp/97_3pound/.

11. De Wijkerslooth, a.w., pp. 18-22.

12. De Wijkerslooth, a.w., pp. 11-16.

13. De Wijkerslooth, a.w., p. 12.

14. De Wijkerslooth, a.w., p. 13-4.

15. De Wijkerslooth, a.w., p. 14.

Andere online publicaties van Bert-Jaap Koops.