Continuïteit in de cloud

Organisaties maken tegenwoordig gebruik van allerlei clouddiensten voor hun kritieke bedrijfsprocessen. Dergelijke outsourcing zorgt voor een grote afhankelijkheid en dat brengt risico’s met zich mee. Wat als de leverancier van de clouddienst bijvoorbeeld failliet gaat?

Meer informatie

Gebruik clouddiensten

De vraag wat te doen als de leverancier van de clouddienst failliet gaat, leidt steeds vaker tot een risicoanalyse ten aanzien van de weerbaarheid van clouddiensten. Zolang de leverancier niet in (financiële) problemen verkeert, kan continuïteit voor een groot deel geregeld worden door duidelijke afspraken te maken over service levels, back-upfaciliteiten en exit-procedures. Om écht continuïteit te waarborgen is een omvangrijkere oplossing nodig die ook rekening houdt met een onverhoopt faillissement van de leverancier.

ICTRECHT Illustratie handen schudden - Oker RGB

Continuïteit 

Hoe essentieel de beschikbaarheid van een clouddienst is, hangt natuurlijk af van de soort clouddienst. Wanneer het bijvoorbeeld boekhoudprogramma’s of zorginformatiesystemen betreft, is het essentieel dat afnemers bij een onverhoopt faillissement van de leverancier geen (toegang tot hun) data verliezen. Om afnemers hierin tegemoet te komen en om beter in de markt te staan is het daarom ook voor een leverancier van belang om een goede continuïteitsregeling te hebben.

Door technische, financiële en juridische maatregelen te nemen, wordt zekerheid geboden voor alle partijen. Het doel is het bieden van een volledige oplossing die bestand is tegen bedreigingen zoals een faillissement of een overname van de leverancier. Voorheen werd de oplossing gevonden in escrowregelingen. Deze hebben als doel de broncode van geleverde software veilig te stellen voor de afnemers daarvan. De meeste escrowovereenkomsten gaan uit van een afspraak tussen de leverancier, een onafhankelijke derde (de escrowagent) en de afnemer. Indien de leverancier onverhoopt failliet wordt verklaard, stelt de escrowagent de broncode ter beschikking aan de afnemer. Een escrowregeling is echter om onder meer de volgende redenen niet toereikend:

  • Een clouddienst is meer dan alleen de broncode. De hosting, de data en aanverwante service onderscheiden een clouddienst van reguliere software en die zaken worden niet veiliggesteld door een broncode-escrow. Als een afnemer de broncode überhaupt al op een eigen server draaiende kan krijgen, dan beschikt hij nog steeds niet over alle data die was opgeslagen middels de clouddienst. Die data staat immers op de servers van de failliete leverancier of zijn hosting provider.
  • Een curator kan bij de vereffening van de failliete boedel de rechten van intellectuele eigendom (zoals het auteursrecht dat rust op de software) verkopen aan derden. Hoe de nieuwe rechthebbende omgaat met de vóór faillissement afgesloten licenties is onzeker. De nieuwe rechthebbende is in ieder geval geen partij bij de escrowovereenkomst en kan het gebruik van de mbroncode door de afnemer dan ook verbieden. Door de rechten van intellectueel eigendom vooraf veilig te stellen kan deze onzekerheid worden weggenomen.

Om écht continuïteit te kunnen bieden is er een completere oplossing nodig. Die oplossing heeft betrekking op alle (bedrijfs)onderdelen van de clouddienst. De meeste clouddiensten bestaan grofweg uit de volgende essentiële bedrijfsonderdelen: (1) het intellectueel eigendom, zowel met betrekking tot eigen software als licenties van derden; (2) hardware, zoals eigen of gehuurde (virtuele) servers; (3) personeel, voor onderhoud en ondersteuning bij de software en (4) overige overeenkomsten met toeleveranciers. Om een clouddienst weerbaar te maken tegen bedreigingen zoals een faillissement, dient er gekeken te worden naar alle voornoemde onderdelen.

Lees meerLees minder

De oplossing

De crux van de oplossing is gelegen in het splitsen van de voornoemde essentiële bedrijfsonderdelen van de zakelijke risico’s, zoals de personeelskosten en de overeenkomsten met afnemers. Hoe dit bewerkstelligd kan worden, komt hieronder aan bod.

Wanneer de essentiële bedrijfsonderdelen zijn veiliggesteld, dient er een ‘trusted third party’ (TTP) te zijn die gebruik mag maken van de betreffende essentiële bedrijfsonderdelen om voor een beperkte periode (bijvoorbeeld zes maanden) de clouddienst door te leveren. De TTP moet onafhankelijk zijn van de entiteit die de dienst verleent (de werkmaatschappij). Bij voorkeur is de TTP een entiteit met een ideëel doel, zoals een stichting. De werkmaatschappij zal vervolgens een mantelovereenkomst sluiten met de TTP waarin alle afspraken over het borgen van de continuïteit worden vastgelegd. Afnemers kunnen door middel van een derdenbegunstiging partij worden bij deze overeenkomst. De afnemers krijgen daarmee een zelfstandig vorderingsrecht op de TTP. Dit houdt in dat die afnemers het recht hebben om, wanneer de continuïteit bedreigd wordt, bij de TTP aan te kloppen voor de continuïteit van de clouddienst voor een bepaalde termijn.

Het veiligstellen van bedrijfsonderdelen

Zoals aangegeven moeten de genoemde essentiële bedrijfsonderdelen van de leverancier beschermd worden om de continuïteit van de clouddienst te bewerkstelligen.

Intellectuele Eigendomsrechten
Het is bijvoorbeeld mogelijk om de rechten van intellectuele eigendom veilig te stellen door deze over te dragen vanuit een werkmaatschappij aan een (nieuw op te richten) holding. Hierbij is het belangrijk om transparant te blijven over de overdracht en marktconforme prijzen te hanteren. Indien gewenst, kan een register valuator ondersteuning bieden bij het vaststellen van een marktconforme prijs voor de rechten van intellectuele eigendom.

De TTP kan vervolgens een overeenkomst sluiten met de holding op basis waarvan zij toestemming krijgt om de essentiële rechten van intellectuele eigendom te gebruiken vanaf het moment dat de continuïteit van de leverancier (werkmaatschappij) bedreigd wordt.

Hosting
Naast de rechten van intellectuele eigendom is het ook essentieel dat de hosting van de clouddienst gewaarborgd wordt in geval van een continuïteitsdreiging. 

Wanneer een leverancier zijn dienst host bij een hostingprovider, dan kan de continuïteit hiervan geborgd worden door middel van een overeenkomst. De TTP sluit een overeenkomst met de hostingprovider. Op basis van deze overeenkomst, zal de hostingprovider de betreffende servers voor een bepaalde periode aan laten staan in opdracht van de TTP. Een en ander onder de opschortende voorwaarde van het intreden van een bedreiging van de continuïteit.

Wanneer een leverancier zijn dienst host op zijn eigen servers, dan moeten er maatregelen worden getroffen zodat deze servers bij een onverhoopt faillissement niet in de failliete boedel vallen. Bijvoorbeeld door deze onder te brengen in een holding of bij de TTP.

Kennis
Om de dienst goed online te kunnen houden vanaf het moment dat de continuïteit van de clouddienst wordt bedreigd, is bepaalde expertise nodig. Denk in dit kader aan een persoon die kritische fouten kan oplossen en essentiële beveiligingsupdates kan doorvoeren. Daartoe kan de TTP een overeenkomst van opdracht sluiten met een medewerker van de leverancier. Dit uiteraard onder de opschortende voorwaarde van het intreden van een bedreiging van de continuïteit.

Overige essentiële onderdelen
De voornoemde essentiële bedrijfsonderdelen zijn voor de meeste leveranciers relevant. Naast de deze bedrijfsonderdelen, kunnen natuurlijk vele andere bedrijfsonderdelen bestaan die ook essentieel zijn. Denk aan een domeinnaam waarmee afnemers toegang krijgen tot de clouddienst of specifieke IP-adressen. Dergelijke bedrijfsonderdelen kunnen onder meer veiliggesteld worden door de holding of de TTP houder te maken van deze bedrijfsonderdelen.

Door middel van de voornoemde maatregelen wordt de TTP in staat gesteld om de clouddienst door te leveren aan de afnemers voor een vooraf vastgestelde beperkte periode, ook wel de ‘continuïteitstermijn’ genoemd.

Lees meerLees minder

Werkwijze ICTRecht

De hiervoor beschreven oplossing kan voor allerlei soorten clouddiensten worden uitgewerkt. Of het nou gaat om IaaS, PaaS, SaaS of on-premises software: er is altijd een mogelijkheid te vinden om de continuïteit ervan te borgen ten behoeve van de afnemers.

 De juristen van ICTRecht hebben ruime ervaring met verschillende soorten bedrijfsstructuren en zijn zich tevens bewust van eventuele fiscale en financiële obstakels.

ICTRECHT iconen okergeel 2022 RGB_Vraag

Allereerst nodigen wij de leverancier of afnemer graag uit voor een vrijblijvend oriënterend intakegesprek. Tijdens dit gesprek wordt de dienst besproken en zal er verdere uitleg worden gegeven over de specifieke mogelijkheden. Na het gesprek volgt er een prijsopgave.

ICTRECHT iconen okergeel 2022 RGB_Checklist

Wanneer de prijsopgave akkoord bevonden wordt, vindt er een uitgebreide inventarisatie plaats van de voor de dienst essentiële bedrijfsonderdelen. Aan de hand daarvan worden concrete mogelijkheden om de continuïteit van de dienst te borgen besproken met de leverancier. Bij voorkeur is een accountant of fiscalist ook aanwezig bij dit gesprek.

ICTRECHT iconen okergeel 2022 RGB_Certificaat

Vervolgens zal er een schriftelijk advies opgesteld worden waarin de specifieke continuïteitsregeling wordt beschreven. Het is noodzakelijk dat het schriftelijke advies door de leverancier samen met een accountant of fiscalist goed wordt doorgenomen.

ICTRECHT iconen okergeel 2022 RGB_Document in map

Wanneer de leverancier het eens is met de continuïteitsregeling zoals beschreven in het advies, moet de regeling daadwerkelijk uitgerold worden. Dit zal met name bestaan uit het opstellen van contracten en andere juridische documentatie. Denk hierbij aan een eventuele overdracht van intellectuele eigendomsrechten of hardware en het opstellen van de mantelovereenkomst.

Maatregelen

Zoals u ziet zullen er een aantal ingrijpende maatregelen genomen moeten worden om de continuïteit van een clouddienst goed te kunnen borgen. Het is daarom van belang dat er gedurende het hele proces, onder begeleiding van een specialist, open en helder gecommuniceerd wordt met de verschillende belanghebbenden.

ICTRECHT iconen petrol 2022 RGB_Flexibel en maatwerk

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met u op.

Wanneer u een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij u op locatie.

Laat uw gegevens achter