"Garanties voor ondernemers bij gebruik online software via een escrow-regeling"
Ondernemers kiezen steeds vaker voor online software voor bijvoorbeeld hun HRM, CRM en financiële administratie. Het gebruik van Cloud Computing biedt vele voordelen, zoals lage opstartkosten en schaalbaarheid. Maar door het gebruik van Software as a Service (SaaS) wordt ook de beveiliging van data uitbesteed, net als de garantie dat de software beschikbaar is.
Wanneer een (proef)-abonnement wordt afgesloten bij een SaaS-aanbieder, moet de registrant altijd de algemene voorwaarden (terms of use) accepteren. Het komt nogal eens voor dat ondernemers dit vakje aanklikken zonder de veelal lange tekst door te nemen. Want: wie niet akkoord gaat met de voorwaarden, kan geen gebruik maken van de online software. Het zal dus wel goed zitten, is een veel gehoorde reactie.
Dat is niet verstandig. "Als er in de Algemene Voorwaarden van een online dienst wordt gesteld dat een bedrijf niets qua beveiliging of back-ups garandeert, dan geldt dat in principe," legt Wouter Dammers, IT-recht advocaat bij SOLV, uit. "In Nederland geldt contractvrijheid - en omdat Algemene Voorwaarden ook contracten zijn, geldt dat in principe ook daarvoor. Bedrijven kunnen onderling alles afspreken zolang het - kort gezegd - redelijk en billijk is."
Contract met aanbieder online software
Het is niet zo dat alle Algemene Voorwaarden van online software slecht uitpakken voor ondernemers. Wel is het van belang deze goed na te lezen. IT-recht advocaat Dammers: "Als bedrijf moet je de afweging maken of een standaarddienst met een standaardcontract voldoende waarborg geeft. Je kunt er op blijven staan dat waar nodig wordt afgeweken van de Algemene Voorwaarden, om jouw risico’s zoveel mogelijk te beperken. Is de service provider daartoe niet bereid, dan zou je als bedrijf eraan moeten denken om geen of slechts bepaalde persoonsgegevens over te brengen naar de publieke cloud. Of om over te stappen naar een private cloud."
Een bedrijf is zelf verantwoordelijk voor het naleven van de wetten en regels bij bijvoorbeeld het verwerken van persoonsgegevens. Maar wanneer er gebruik wordt gemaakt van online software ben je als bedrijf grotendeels afhankelijk van medewerking van de service provider. "Als bedrijf doe je er dus verstandig aan om zoveel mogelijk risico’s contractueel te ondervangen," zegt Damers. "Denk daarbij bijvoorbeeld aan het opleggen van verplichtingen aan de service provider, vrijwaringen tegen schade en kosten door het niet nakomen van verplichtingen en instructies, en de mogelijkheid om persoonsgegevens terug te krijgen bij einde van de overeenkomst."
Faillissement SaaS-aanbieder
Een veel gestelde vraag is: wat gebeurt er met mijn data als een aanbieder van online software failliet gaat? Die vraag is van groot belang, zeker als het om bedrijfkritische software gaat zoals een financieel, HRM- of CRM-pakket waarmee dagelijks intensief wordt gewerkt. Hier geldt: als er niets is afgesproken, heb je als afnemer van een online dienst juridisch gezien geen poot om op te staan.
"Voor dit soort gevallen doen ondernemers er slim aan een escrow-regeling (wiki) aan te gaan," aldus Dammers. In een escrow-regeling worden afspraken gemaakt over wat er gebeurt als een dienstverlener failliet gaat of wordt overgenomen door een ander bedrijf. "Het is bijvoorbeeld mogelijk om af te spreken dat je bij faillisement beschikking krijgt over de broncode van de software en bijbehorende documentatie. Op die manier kan je het softwarepakket toch blijven gebruiken op een eigen server." Ook is het mogelijk om garanties vast te leggen dat je de opgeslagen data ontvangt. Het liefst gebeurt dit in een standaardformaat, zodat de data eenvoudig kan worden geïmporteerd in een ander pakket.
Emiel (1984) is een freelance multimedia journalist. Hij heeft een achtergrond in de ICT en schrijft regelmatig over digitale ontwikkelingen voor websites en magazines.
Herman Kui |
Wat betreft de headline van dit artikel: daar ben ik het volledig mee eens. Echter, wanneer ik verder lees, dan ontstaan er toch verschil van inzichten welke ik graag met u, de auteur en Mr. Dammers deel.
Een 'traditionele' source code escrow bij online software is mosterd na de maaltijd. Na het optreden van een calamiteit het gebruik van de software op eigen servers voorzetten, klinkt in theorie goed maar is in de praktijk – op zijn minst – een uiterst 'uitdagende' karwei.
Online software is namelijk doorgaans technisch complex. Een beheerde en geplande migratie levert vaak al de nodige technische issues op, laat staan een volledige onverwachte door derden. Daarentegen zijn SaaS oplossingen vaak laagdrempelig geprijsd. Voor een (MKB) ondernemer is een week lang een dure specialist inhuren en eigen servers aanschaffen/regelen financieel buitenproportioneel.
De ideale escrow strategie is niet het oplossen van het probleem, maar juist het voorkomen ervan. Als de SaaS dienstverlener onverhoopt wegvalt door bijvoorbeeld een faillissement, dan zou de online software nog enige tijd onverstoord moeten blijven functioneren. En daarmee is de toegang tot de gebruikersdata direct geregeld. Bij 'commodity SaaS' (zoals CRM, HRM, boekhouding) heb je dan voldoende tijd om te migreren naar een passende alternatieve oplossing.
De meeste escrow regelingen trachten een probleem op te lossen. Dit model voldoet uitstekend bij on-premise software, maar niet bij SaaS en Cloud Computing. Google op 'SaaS escrow' en prik door de loze verkoopverhalen van escrow providers die niet minimaal tien relevante SaaS cases kunnen tonen.
Herman Kui
Wegens onderhoud zijn de reactie's tijdelijk uitgeschakeld
CloudTools is het platform voor online software en tools. Lees reviews, testen, tips en nieuws over online backup, bestanden delen, hosting en security.
Tags:
saas, in de praktijk, software as a service, beveiliging, solv, wouter dammers, it-recht, advocaat, recht, contracten, aansprakelijkheid, escrow, saas-aanbieders
