Inloggen
Login met InkopersCafé account Account aanmaken

Premium logo's

Premium logo's

Premium partners

Sidebar premium

Sidebar premium

Gold partners

Sidebar gold

Sidebar gold

Silver partners

Sidebar silver

Sidebar silver
27
11
18
Robert Grandia
1 Star2 Stars3 Stars4 Stars5 Stars
Door Robert Grandia
Dossier: Column
Soort:

Alles in de cloud: kent u deze 3 valkuilen?

Alles in de cloud: kent u deze 3 valkuilen?

CRM-pakket, klantportal, verzuimapp of…. Alles is mogelijk in de cloud. Standaard, relatief goedkoop en dus aantrekkelijk om in te kopen. Toch is voorzichtigheid geboden. Er zijn namelijk drie valkuilen die in de praktijk vaak tot (juridische) problemen leiden als ze niet goed geregeld zijn.

Valkuil 1: externe hosting
Traditioneel draaide software in uw eigen datacenter of bij de IT-leverancier. Daar heeft de opkomst van software uit de cloud - beter bekend als Software-as-a-Service (SaaS) - verandering in gebracht.

Bij SaaS wordt de software via internet of een ander netwerk beschikbaar gesteld. De meeste SaaS-leveranciers hebben geen eigen datacenter, maar zetten hiervoor een hostingprovider in. En dat is nu precies waar de eerste valkuil ligt.

Stel dat de hosting provider wordt overvallen door een DDoS-aanval. Uw klantportal of CRM-systeem ligt plat. U belt uw SaaS-leverancier, maar die kan het niet oplossen en legt de verantwoordelijkheid bij de hosting provider.

Juist. Daar schiet u niets mee op. Essentieel is dat u bij het aangaan van het contract met uw SaaS-leverancier afspraken heeft gemaakt in een SLA over de beschikbaarheid, ook voor wat betreft de hosting. Heeft uw leverancier een goede SLA met de hosting provider afgesloten en zo ja, wat staat hierin? Bij de keuze voor SaaS is het essentieel dat de wijze van hosting, de betreffende hosting provider en de afspraken met deze partij kritisch beoordeeld worden.

Valkuil 2: discontinuïteit bij faillissement

Ook mogelijk: uw SaaS-leverancier gaat failliet. Uw software draait nog steeds bij de hosting provider. Hoe zorgt u dat zij hiermee doorgaan en vooral dat niet al uw data verloren gaat?

Uw eerste gedachte gaat naar traditionele broncode depots ofwel source code escrow regelingen. Hierbij komen leverancier, afnemer en een derde partij (de escrow agent) met elkaar overeen dat de broncodes van de software in depot worden gehouden door de escrow agent. Bij het optreden van discontinuïteit krijgt de afnemer de beschikking over de broncode.

Toch gaat deze traditionele escowregeling u niet helpen. De kern van SaaS is immers de voortdurende beschikbaarheid van de SaaS-dienstverlening. Onderhoud, wijzigingen en kennis liggen allemaal bij de SaaS-leverancier. De broncode zelf zegt dan niet zoveel. Daarom heeft u een additionele SaaS-escrow of continuïteitsregeling nodig, die ervoor zorgt dat uw hosting provider de hosting van de software tijdelijk continueert. Ook bij faillissement van de SaaS-leverancier, want dan zou u te maken krijgen met de curator en de kans lopen dat deze de overeenkomst op korte termijn beëindigt en de SaaS-dienstverlening stopzet.

SaaS-escrow of een passende continuïteitsregeling is niet standaard geregeld als u software uit de cloud inkoopt. Het geeft u en uw organisatie echter wel zekerheid als het misgaat en de tijd om een structurele oplossing te vinden. Zeker bij bedrijfskritische software onmisbaar.

Valkuil 3: uitbesteden verwerking persoonsgegevens

In vrijwel elke app of software worden persoonsgegevens verwerkt. Die verwerking besteedt u uit aan uw SaaS-leverancier. Daar komt de AVG om de hoek kijken. U heeft in ieder geval een verwerkersovereenkomst nodig. Dat luistert nauw, want bij SaaS zijn de risico’s op het gebied van privacy en security groter dan bij het gebruik van ‘standaard’ software.

Zeker omdat vele SaaS-leveranciers gebruik maken van hosting buiten Europa. De doorgifte van persoonsgegevens naar niet-EU landen is volgens de AVG verboden, tenzij die landen een ‘passend beschermingsniveau’ bieden. Kortom, de keuze voor SaaS vraagt ook om nader onderzoek op het gebied van privacy en de AVG. U wilt de Autoriteit Persoonsgegevens immers niet op de stoep hebben staan met een last onder dwangsom of boete.

Hoe zit het dan met de Microsofts van de wereld?

Het sluiten van een contract met de grote partijen als Microsoft, Google en Amazon is vaak weinig anders dan het accepteren van de contractuele voorwaarden die zij bieden. Standaard is de enige optie. Grote partijen wentelen risico’s, aansprakelijkheden en verantwoordelijkheden op u als afnemer af. U hoeft zich bij deze grote partijen echter minder zorgen te maken om faillissement en om zaken met de vele Europese bedrijven te kunnen blijven doen, hebben ze de basics rondom de AVG vaak wel geregeld.

Software uit de cloud inkopen?
Zeker geen slecht idee. Ga ervoor, maar dan wel goed doordacht en kritisch. Door te letten op bovenstaande valkuilen heeft u een aantal belangrijke risico’s in het vizier.

Robert Grandia
Door Robert Grandia
Robert Grandia is ICT-jurist met meer dan 18 jaar ervaring als advocaat, bedrijfsjurist en docent. In 2011 heeft hij advocatenbureau Legalz opgericht.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.