Levert de klassieke escrow-regeling nog wel de zekerheid die je wilt? Zorgt escrow bij clouddiensten voor continuïteit van de dienstverlening? Grote kans dat er aanvullende maatregelen nodig zijn. De escrow-regeling is over komen waaien uit het Angelsaksische recht en wordt ook in Nederland al jaren gebruikt. Het doel is vaak om de klant de zekerheid te geven dat de klant ook na een eventueel faillissement van de leverancier over de software kan beschikken. Dit doel wordt voor clouddiensten niet bereikt door alleen maar een escrow-regeling. Hieronder wordt uitgelegd waarom en wordt een praktische checklist gegeven, waarmee u uw huidige escrow-overeenkomsten kan controleren op actualiteit en juistheid.
Update artikel: 6 mei 2019 door André Kamps.
Bij klassieke escrow geeft de leverancier van software de broncode in bewaring bij een escrow-agent of een bewaarnemer. Deze partij bewaart een kopie van de broncode in een kluis tot het moment dat de leverancier niet meer in staat is de software te onderhouden, bijvoorbeeld in geval van een faillissement. Middels een escrow-overeenkomst verkrijgt de klant op dat moment de kopie van de broncode inclusief een gebruiksrecht van de leverancier (licentie).
De klant krijgt de kopie van de broncode en het is dan aan hem om ervoor te zorgen dat hij de technische middelen heeft om dit te gebruiken. Bij klassieke software levert dit voor een klant de mogelijkheid om de software te onderhouden. De beschikbaarheid van klassieke software komt niet direct in gevaar aangezien het ‘on premise’ op de systemen van de klant draait. Voor deze situaties kan de klassieke escrow-regeling, mits juridisch verantwoord ingericht, een (gedeelte van de) oplossing zijn. Bij clouddiensten ligt dat anders.
De meeste bedrijven maken gebruik van een clouddienst, zodat ze de technische kennis en faciliteiten niet in huis hoeven te halen. Het zal daarom doorgaans nogal een belasting zijn voor klanten van clouddiensten, wanneer zij de software (broncode) opeens zelf moeten virtualiseren en onderhouden.
Een clouddienst bestaat uit meer dan alleen broncode. Wanneer software als een dienst wordt aangeboden, draait de software niet op de systemen van de klant zelf. De software draait op de servers van de leverancier of bij een externe hostingpartij. Wanneer de hosting uitvalt, is de toegang tot de software verbroken. Wanneer je als klant van een clouddienst de broncode tot je beschikking hebt, zal er een hostingomgeving moeten worden ingericht om een overeenkomstig gebruik te bereiken. Als dit al mogelijk zou zijn voor een gebruiker van de SaaS-dienst, kost het tijd voordat het systeem weer operationeel is.
Belangrijker: klassieke escrow houdt geen rekening met data. Logisch, want in de klassieke situatie draait de software bij de klant, dus die heeft de data al. Maar bij een clouddienst staat de data bij de leverancier. Het terugkrijgen van de data na een faillissement van de leverancier is niet gewaarborgd met enkel het verkrijgen van de broncode. Dit probleem kan opgelost worden met een aparte data-escrow, maar alleen als de data in een uitleesbaar formaat in bewaring wordt gegeven en regelmatig geüpdatet wordt. Tevens is het mogelijk om een doorbetalingsregeling te treffen met de hostingprovider. Indien de servers van de aanbieder van de clouddienst echter zijn eigendom zijn, is de kans aanwezig dat deze in de failliete boedel terechtkomen, hetgeen dus problemen kan opleveren voor de continuïteit.
Wil je de continuïteit van een clouddienst goed regelen, dan zal er eerst moeten worden geïnventariseerd welke oplossing het best past op uw situatie. Bent u klant of leverancier van een clouddienst en wilt u meer weten over dit onderwerp en onze oplossingen, lees meer over escrow of continuïteit. Of neem contact op met onze escrow- en continuïteitsspecialisten.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.