Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Factsheets / Continuïteit in de cloud

‘Wat als mijn clouddienstverlener failliet gaat?’ of ‘Hoe kan ik er voor zorgen dat de dienst gecontinueerd wordt?’.

> DOWNLOAD DE FACTSHEET CONTINUÏTEIT IN DE CLOUD

Clouddiensten zijn niet meer weg te denken uit de online wereld. Organisaties maken tegenwoordig gebruik van allerlei clouddiensten, variërend van een simpele e-maildienst tot volledige boekhoudprogramma’s of zorginformatiesystemen waarin bijvoorbeeld elektronische patiëntendossiers worden opgeslagen. Dergelijke outsourcing zorgt voor een grote afhankelijkheid en dat brengt risico’s met zich mee. Wat als de leverancier van de clouddienst bijvoorbeeld failliet gaat?

De bovenstaande vraag leidt steeds vaker tot een risicoanalyse ten aanzien van de weerbaarheid van clouddiensten. Zolang de leverancier niet in (financiële) problemen verkeert, kan continuïteit deels geregeld
worden door duidelijke afspraken te maken over service levels, back-upfaciliteiten en exit-procedures. Om écht continuïteit te waarborgen is een omvangrijkere oplossing nodig die ook rekening houdt met een onverhoopt faillissement van de leverancier.

1 | CONTINUÏTEIT

Hoe essentieel de beschikbaarheid van een clouddienst is, hangt natuurlijk af van de soort clouddienst. Wanneer het bijvoorbeeld boekhoudprogramma’s of zorginformatiesystemen betreft, is het essentieel dat afnemers bij een onverhoopt faillissement van de
leverancier geen data verliezen of de toegang tot hun data verliezen. Om afnemers hierin tegemoet te komen en om te kunnen concurreren met andere leveranciers is het daarom ook voor een leverancier van belang om een goede continuïteitsregeling te hebben.

Door technische, financiële en juridische maatregelen te nemen, wordt zekerheid geboden voor alle partijen. Het doel is het bieden van een volledige oplossing die bestand is tegen bedreigingen zoals een faillissement of een overname van de leverancier. Voorheen werd de oplossing gevonden in escrowregelingen. Deze hebben als doel de broncode van geleverde software veilig te stellen voor de afnemers daarvan. De meeste escrowovereenkomsten gaan uit van een afspraak
tussen de leverancier, een onafhankelijke derde (de escrowagent) en de afnemer. Indien de leverancier onverhoopt failliet wordt verklaard, stelt de escrowagent de broncode ter beschikking aan de afnemer. Echter,
een escrowregeling is om onder meer om de volgende redenen niet toereikend:

  • Een clouddienst is meer dan alleen de broncode. De hosting, de data en aanverwante service onderscheiden een clouddienst van reguliere software en die zaken worden niet veiliggesteld door een broncode-escrow. Als een afnemer de broncode überhaupt al op een eigen server draaiende kan krijgen, dan beschikt hij nog steeds niet over alle data die was opgeslagen middels de clouddienst. Die data staat immers op de servers van de failliete leverancier of zijn hosting provider.
  • Een curator kan bij de vereffening van de failliete boedel de rechten van intellectuele eigendom (zoals het auteursrecht dat rust op de software) verkopen aan derden. Hoe de nieuwe rechthebbende omgaat met de vóór faillissement afgesloten licenties is onzeker. De nieuwe rechthebbende is in ieder geval geen partij bij de escrowovereenkomst en kan het gebruik van de  broncode door de afnemer dan ook verbieden. Door de rechten van intellectuele eigendom vooraf veilig te stellen kan deze onzekerheid worden weggenomen.

Om écht continuïteit te kunnen bieden is er een meer complete oplossing nodig. Die oplossing heeft betrekking op alle (bedrijfs)onderdelen van de clouddienst. De  meeste clouddiensten bestaan grofweg uit volgende
essentiële bedrijfsonderdelen: (1) de rechten van intellectuele eigendom, zowel eigen software als licenties van derden; (2) hardware, zoals eigen of gehuurde (virtuele) servers; (3) personeel, voor onderhoud aan de software en een helpdesk en (4) overige overeenkomsten met toeleveranciers. Om een clouddienst weerbaar te maken tegen bedreigingen zoals een faillissement, dient er gekeken te worden naar alle voornoemde onderdelen.

2 | DE OPLOSSING

De crux van de oplossing is gelegen in het splitsen van de voornoemde essentiële bedrijfsonderdelen van de zakelijke risico’s, zoals de personeelskosten en de overeenkomsten met afnemers. Hoe dit bewerkstelligd kan worden, komt in het volgende hoofdstuk aan bod.

Wanneer de essentiële bedrijfsonderdelen zijn veiliggesteld, dient er een ‘trusted third party’ (TTP) te zijn die gebruik mag maken van de betreffende essentiële bedrijfsonderdelen om voor een beperkte periode
(bijvoorbeeld zes maanden) de clouddienst door te leveren. De TTP moet onafhankelijk zijn van de entiteit die de dienst verleent (de werkmaatschappij). Bij voorkeur is de TTP een entiteit met een ideëel doel, zoals een stichting.

De werkmaatschappij zal vervolgens een mantelovereenkomst sluiten met de TTP waarin alle afspraken over het borgen van de continuïteit worden vastgelegd. Afnemers kunnen door middel van een derdenbegunstiging partij worden bij deze overeenkomst. De afnemers krijgen daarmee een zelfstandig vorderingsrecht op de TTP. Dit houdt in dat die afnemers het recht hebben om, wanneer de continuïteit bedreigd wordt, bij de TTP aan te kloppen voor de continuïteit van de clouddienst voor een bepaalde termijn.

 

3 | HET VEILIGSTELLEN VAN BEDRIJFSONDERDELEN

Zoals aangegeven moeten de genoemde essentiële bedrijfsonderdelen van de leverancier gewaarborgd worden om de continuïteit van de clouddienst te bewerkstelligen.

1. Het is bijvoorbeeld mogelijk om de rechten van intellectuele eigendom veilig te stellen door deze over te dragen vanuit een werkmaatschappij aan een (nieuw op te richten) holding. Hierbij is het belangrijk om transparant te blijven over de overdrachten en marktconforme prijzen te hanteren. Indien gewenst, kan een register valuator ondersteuning bieden bij het vaststellen van een marktconforme prijs voor de rechten van intellectuele eigendom.

De TTP kan vervolgens een overeenkomst sluiten met de holding op basis waarvan zij toestemming krijgt om de essentiële rechten van intellectuele eigendom te gebruiken vanaf het moment dat de continuïteit van de leverancier (werkmaatschappij) bedreigd wordt.

2. Naast de rechten van intellectuele eigendom is het ook essentieel dat de servers, waarop de clouddienst draait, aan blijven staan wanneer de continuïteit van de leverancier wordt bedreigd.

Wanneer een leverancier zijn dienst host bij een hostingprovider, dan kan de continuïteit hiervan geborgd worden door middel van een overeenkomst. De TTP sluit een overeenkomst met de hostingprovider. Op basis van deze overeenkomst, zal de hostingprovider de betreffende servers voor een bepaalde periode aan laten staan in opdracht van de TTP. Een en ander onder de opschortende voorwaarde van het intreden van een bedreiging van de continuïteit.

Wanneer een leverancier zijn dienst host op zijn eigen servers, dan moeten er maatregelen worden getroffen zodat deze servers bij een onverhoopt faillissement niet in de failliete boedel vallen. Bijvoorbeeld door deze onder te brengen in een holding of bij de TTP.

3. Om de dienst goed online te kunnen houden vanaf het moment dat de continuïteit van de clouddienst wordt bedreigd, is bepaalde expertise nodig. Denk in dit kader aan een persoon die kritische fouten kan oplossen en essentiële beveiligingsupdates kan doorvoeren. Daartoe
kan de TTP een overeenkomst van opdracht sluiten met een medewerker van de leverancier. Dit uiteraard onder de opschortende voorwaarde van het intreden van een bedreiging van de continuïteit.

4. De voornoemde essentiële bedrijfsonderdelen zijn voor de meeste leveranciers relevant. Naast de deze bedrijfsonderdelen, kunnen natuurlijk vele andere bedrijfsonderdelen bestaan die ook essentieel zijn. Denk aan een domeinnaam waarmee afnemers toegang krijgen
tot de clouddienst of specifieke IP-adressen. Dergelijke bedrijfsonderdelen kunnen onder meer veiliggesteld worden door de holding of de TTP houder te maken van deze bedrijfsonderdelen.

Door middel van de voornoemde maatregelen wordt de TTP in staat gesteld om de clouddienst door te leveren aan de afnemers voor een vooraf vastgestelde beperkte periode, ook wel de ‘continuïteitstermijn’ genoemd.

4 | WERKWIJZE ICTRECHT

De hiervoor beschreven oplossing kan voor allerlei soorten clouddiensten worden uitgewerkt. Of het nou gaat om IaaS, PaaS, SaaS of on-premises software: er is altijd een mogelijkheid te vinden om de continuïteit ervan
te borgen ten behoeve van de afnemers. De juristen van ICTRecht hebben ruime ervaring met verschillende soorten bedrijfsstructuren en zijn zich tevens bewust van eventuele fiscale en financiële obstakels. De werkwijze
van ICTRecht valt in vier fases uiteen:

1. Allereerst nodigen wij de leverancier of afnemer graag uit voor een vrijblijvend oriënterend intakegesprek. Tijdens dit gesprek wordt de dienst besproken en zal er verdere uitleg worden gegeven over de specifieke mogelijkheden. Na het gesprek volgt er een prijsopgave.

2. Wanneer de prijsopgave akkoord bevonden wordt, vindt er een uitgebreide inventarisatie plaats van de voor de dienst essentiële bedrijfsonderdelen. Aan de hand daarvan worden concrete mogelijkheden om de continuïteit van de dienst te borgen besproken met de leverancier. Bij voorkeur is een accountant of fiscalist ook aanwezig bij dit gesprek.

3. Vervolgens zal er een schriftelijk advies opgesteld worden waarin de specifieke continuïteitsregeling wordt beschreven. Het is noodzakelijk dat het schriftelijke advies door de leverancier samen met een accountant of fiscalist goed wordt doorgenomen.

4. Wanneer de leverancier het eens is met de continuïteitsregeling zoals beschreven in het advies, moet de regeling daadwerkelijk uitgerold worden. Dit zal met name bestaan uit het opstellen van contracten en andere juridische documentatie. Denk hierbij aan een eventuele
overdracht van intellectuele eigendomsrechten of hardware en het opstellen van de mantelovereenkomst.

Zoals u ziet zullen er een aantal ingrijpende maatregelen genomen moeten worden om de continuïteit van een clouddienst goed te kunnen borgen. Het is daarom van belang dat er gedurende het hele proces open en helder gecommuniceerd wordt met de verschillende belanghebbenden.

5 | VRAGEN

Mocht u naar aanleiding van het bovenstaande vragen hebben, neem dan contact met ons op via 020 66 31 941 of info@ictrecht.nl.

Andere factsheets

  • Privacy en Monitoring op de werkvloer onder de AVG

    De Article 29 Working Party (WP29) heeft een opinie opgesteld waarin de privacywet AVG wordt uitgelegd in het licht van gegevensverwerking op het werk. In deze factsheet vatten we de regels kort samen.

  • Idee beschermen

    Een goed idee kan veel geld waard zijn. Een slimme verbetering voor een product, een concept voor een spel of marketingtechniek of zelfs maar een naam voor een dienst kunnen het verschil maken tussen middenmoter en marktleider. Alleen kan iedereen met zo’n idee aan de haal. Hoe beschermt u nu uw idee tegen namaak of imitatie?