Bent u afnemer of leverancier van een clouddienst? Dan heeft u vast nagedacht over de risico’s van het gebruik van de clouddienst. De standaard argumenten tegen het gebruik van de clouddienst gaan vaak over het (niet) beschikbaar zijn, beveiliging en privacy. Bij beschikbaarheid kan het gaan om het tijdelijk niet beschikbaar zijn, bijvoorbeeld vanwege een fout in de software of een probleem met de internetverbinding. Eerder schreef mijn collega Sten Demon over het juridische antwoord op dit risico: een duidelijke SLA.
De dienst kan echter ook permanent niet beschikbaar worden. Denk hierbij aan faillissement van de dienstverlener of feitelijke beëindiging van de clouddienst. Het voorgoed niet beschikbaar worden, kan voorkomen worden met een continuïteitsoplossing. Hoe regelt u dat en wie heeft u daarbij nodig?
Met een clouddienst doel ik op via het internet bereikbare diensten. Zowel “private” als “public”. Uiteraard kennen we nog veel meer benamingen zoals IaaS, PaaS en SaaS. Alle verschillende soorten clouddiensten hebben als gemene deler dat ze bestaan uit de volgende componenten: internet aansluiting (access en glasvezel), elektriciteit, (virtuele) hardware, datacenter, software (applicatie en operating software), data en de mensen die de verschillende componenten bouwen, beheren en onderhouden.
Als u de continuïteit wilt waarborgen van een clouddienst, dan moet u de essentiële onderdelen waarborgen. Daarnaast moet er een partij zijn die op het moment dat het misgaat, ervoor zorgt dat de dienst ook daadwerkelijk doordraait. Die partij moet daarbij kunnen beschikken over de essentiële onderdelen van de clouddienst. Rechten en plichten van de verschillende belanghebbenden moeten vastgelegd worden in overeenkomsten. De belanghebbenden zijn natuurlijk de afnemers, de clouddienstverlener en de partij die de continuïteit moet gaan leveren als het misgaat.
Omdat elke clouddienst anders is ingericht (denk hierbij aan het verdienmodel van de dienstverlener maar ook aan de verschillen in de essentiële onderdelen), is de oplossing nooit hetzelfde. Om tot de juiste oplossing te komen wordt de dienst (en onderliggende overeenkomsten) geïnventariseerd. In overleg met de clouddienstverlener wordt dan besloten hoe de oplossing vorm wordt gegeven.
De oplossing draagt tevens bij aan de bedrijfscontinuïteit van de dienstverlener. Er wordt immers gekeken naar alle onderliggende contracten welke gelden ten aanzien van de door hem geleverde diensten. Daarnaast wordt er gekeken naar zijn ondernemingsstructuur. En, ten slotte, worden de risico’s zoveel als mogelijk gescheiden van de assets die essentieel zijn voor de dienst.
Over het algemeen is naast de kennis van de jurist ook de kennis van een accountant nodig. Denk hierbij aan de WBSO en innovatiebox, deze besparingen wilt u natuurlijk kunnen behouden. Er kunnen ook waarderingsvraagstukken spelen, dan is er (soms) een register valuator nodig. Voor aanpassingen in de onderneming, heeft u vaak zelfs een notaris nodig.
Ja en nee. Ja, als u op zoek bent naar een gedeeltelijke oplossing die (naar alle waarschijnlijkheid) wel het direct offline gaan van de dienst bij het faillissement van de dienstverlener, voorkomt. Denk dan aan het doordraaien van een VPS, dit kan bewerkstelligd worden met een contract tussen uw klant en uw hosting service provider. Het antwoord is echter “nee” als u de continuïteit volledig wilt waarborgen en de discussie met de curator zoveel mogelijk wilt beperken. Bij de gedeeltelijke oplossingen zult u ook met de curator in onderhandeling moeten treden over de overige essentiële onderdelen van de clouddienst.
Juridische antwoorden op de andere risico’s van de cloud: beveiliging en privacy, komen in volgende blogs aan de orde.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.