Hovrättsdom – miljonskadestånd för förlust av data

 In Nyheter

Genom ett krypteringsvirus förlorade ett företag information som inte kunde återskapas då lagringsenheten saknade backup. Hovrätten för Västra Sverige har nu fastställt att den IT-konsult som bistod företaget vid inköp och installation av IT-systemet handlade oaktsamt genom att underlåta att väcka frågan om en backupfunktion samt att konsulten ska betala skadestånd för förlust av data.

Ett företag utan egen IT-kompetens anlitade under flera års tid ett IT-konsultbolag för att införskaffa produkter och tjänster samt tillhörande support. I mars 2014 föreslog konsultbolaget att företaget skulle skaffa en ny datalagringsenhet att integreras i företagets befintliga IT-miljö. Konsultbolaget erhöll även ett supportuppdrag för den nya lagringsenheten. I maj 2015 drabbades företaget av ett krypteringsvirus. Viruset förstörde information som var nedsparad i lagringsenheten. Informationen gick inte att återskapa eftersom det saknades en backupfunktion. Vid tiden för virusangreppet fanns även ett driftavtal mellan parterna, vilket föreskrev en ansvarsbegränsning till konsultbolagets förmån såvida denne inte agerat grovt vårdslöst.

Företaget väckte talan mot konsultbolaget och yrkade ersättning för den skada som orsakats genom att information gått förlorad. Konsultbolaget bestred ersättningsansvar och gjorde dessutom gällande att ansvarsbegränsningen var tillämplig eftersom handlandet inte varit grovt oaktsamt.

Enligt tingsrättens bedömning ansågs konsultbolaget, enligt driftavtalet, haft ansvar för att datalagringsenheten omfattades av backup. Det påpekades också att säkerställande av information genom backup är en central del i ett företags it-hantering och en rutin som följer av svensk standard. Konsultbolaget hade därför, enligt tingsrätten, agerat grovt vårdslöst genom att företagets IT-miljö inte hade säkrats upp med en backupfunktion. Ansvarsbegränsningen i driftavtalet var således inte tillämplig och konsultbolaget förpliktades att utge skadestånd med 3,5 miljoner kronor.

Hovrätten för Västra Sverige fastställer tingsrättens domslut i fråga om skadeståndet. I hovrättens domskäl framhålls dock att konsultbolaget redan genom underlåtenheten att installera en backupfunktion för den nya lagringsenheten samt genom att inte ta upp backupfrågan med företaget vare sig före eller efter aktuell installation, agerat i strid med sitt konsultansvar och därmed handlat oaktsamt. Oaktsamheten förelåg, enligt hovrätten, redan vid installationen av lagringsenheten och det saknar därför betydelse huruvida oaktsamheten kunde bedömas som grov i driftavtalets mening. Att information gick förlorad efter virusangreppet var en adekvat följd av konsultbolagets oaktsamhet eftersom frånvaron av en backupfunktion omöjliggjorde ett återställande av informationen.

(Hovrätten för Västra Sverige dom den 8 maj 2019, mål nr T 1657-18)