Partnerbijdrage van

Contracteren In De Cloud: Up, Up and Away? Juridische Aandachtspunten voor Cloudsourcing en SAAS-Overeenkomsten

Door de NGB Werkgroep Digitalisering, op voorzet van mr. Rob Haen en mr. Marjon Vloedbeld

Delen:

mr. Rob Haen

Organisaties maken meer en meer, zelfs onbewust, gebruik van software die zich niet langer binnen hun eigen IT-infrastructuur bevindt. Deze software wordt door aanbieders aangeboden in de vorm van een dienst, die via het internet toegankelijk is. De aanbieder ontzorgt de afnemer, als onderdeel van die dienst, door allerlei taken en verantwoordelijkheden op het vlak van onderhoud en beschikbaarheid voor zijn rekening te nemen.

Hoewel hierdoor een wereld aan (software)mogelijkheden beschikbaar komt voor zelfs de kleinste organisaties, verandert ook de verhouding tussen aanbieder en afnemer. Dit zal zijn weerslag moeten krijgen in de onderlinge contractuele verhouding. In het artikel gaan wij, zij het op hoofdlijnen, in op een aantal specifieke aandachtspunten voor de betrokken jurist.

mr. Marjon Vloedbeld

Organisaties maken meer en meer, zelfs onbewust, gebruik van software die zich niet langer binnen hun eigen IT-infrastructuur bevindt. Deze software wordt door aanbieders aangeboden in de vorm van een dienst, die via het internet toegankelijk is. De aanbieder ontzorgt de afnemer, als onderdeel van die dienst, door allerlei taken en verantwoordelijkheden op het vlak van onderhoud en beschikbaarheid voor zijn rekening te nemen. Hoewel hierdoor een wereld aan

(software)mogelijkheden beschikbaar komt voor zelfs de kleinste organisaties, verandert ook de verhouding tussen aanbieder en afnemer. Dit zal zijn weerslag moeten krijgen in de onderlinge contractuele verhouding. In het onderstaande gaan wij, zij het op hoofdlijnen, in op een aantal specifieke aandachtspunten voor de betrokken jurist.

1. WAT ZIJN CLOUDSOURCING EN SAAS EIGENLIJK?

Cloudsourcing behelst het gebruik van software (SAAS), IT-platform (PAAS) of IT-infrastructuur
(IAAS), waarbij (een deel van) de benodigde componenten uit de keten via internet ter beschikking
wordt gesteld en wordt beheerd door een externe aanbieder. Visueel ziet de opbouw van de
verschillende modellen er als volgt uit:

Omwille van de eenvoud beperken wij ons tot SAAS (software-as-a-service), waarbij de gehele keten wordt verzorgd door de aanbieder. SAAS wordt veelal als cloud-oplossing aangeboden, waarmee wordt bedoeld dat de software via het internet aan de afnemer ter beschikking wordt gesteld, waarbij niet per se op voorhand duidelijk is op welke locatie en op welke computer/server de verwerkingen in de software precies plaatsvinden. Wordt SAAS vervolgens ook nog eens gezien als een vorm van uitbesteding (outsourcing), dan wordt de herkomst van de term cloudsourcing als samentrekking van cloud en outsourcing duidelijk. Kernelementen zijn daarbij:
(i) Door middel van internet(technologie): de toegang tot de software vindt plaats via
internet;
(ii) Diensten: de software wordt aangeboden als een dienst en niet als product. De afnemer koopt een licentie om de software te mogen gebruiken onder bepaalde voorwaarden. Dit is meestal in de vorm van een abonnementsmodel, waarbij de afnemer elke maand of jaar betaalt voor de licentie;
(iii) Gedeeld (multi-tenant): hoewel het gebruik en de opgeslagen data zullen worden afgescheiden van het gebruik door anderen, geldt dat dezelfde software en server door meerdere afnemers (tegelijkertijd) zullen worden gebruikt;
(iv) Schaalbaar en elastisch: de terbeschikkingstelling kan eenvoudig worden uitgebreid of ingeperkt, veelal met één druk op de knop; en
(v) Afrekenen per gebruik/capaciteit (pay-per-use): SAAS wordt, juist omdat het een vorm van dienstverlening betreft, aangeboden tegen een vergoeding die gebaseerd is op het aantal gebruikers, het aantal keer dat opdrachten in de software worden uitgevoerd of de hoeveelheid data die in een onderliggende database wordt verwerkt of bewaard.

2. WAT MAAKT SAAS ANDERS DAN EEN KLASSIEKE SOFTWARELICENTIE?\

Van origine wordt software ter beschikking gesteld door middel van een gebruikslicentie aan de hand waarvan de licentienemer de software in de eigen IT-omgeving (‘on premise’) kan installeren en gebruiken. De afnemer kan daarbij de software (laten) configureren om aan zijn specifieke bedrijfsbehoeften te voldoen. Bovendien worden de software en de data van de afnemer opgeslagen in de eigen IT-omgeving van de afnemer. Aangenomen dat de licentienemer zich aan de (toegestane) beperkingen van de licentie houdt en afgezien van softwareonderhoud en -ontwikkeling, is de licentienemer in belangrijke mate onafhankelijk van de aanbieder/ licentiegever.

In het geval van SAAS is dat anders. Naast het feit dat SAAS-oplossingen vaak maar in beperkte mate aanpasbaar zijn, worden in een SAAS-omgeving de software en ook de data van de afnemer opgeslagen (‘gehost’) door de aanbieder. Hierdoor ontstaat een voortdurende relatie tussen aanbieder en afnemer. Voor alle gebruik van de software is de afnemer afhankelijk van de aanbieder, waaronder het beschikbaar zijn van de software, het verhelpen van incidenten en het beveiligen en het bewaren en ontsluiten van de in de software bewaarde data van de afnemer.

3. WETTELIJKE EN REGELGEVENDE KADERS

Op het gebruik van SAAS-oplossingen en cloudsourcing is geen specifieke dwingendrechtelijke regelgeving van toepassing. Dat maakt contracteren, binnen de geldende kaders van het civiele recht, tot een vrij speelveld voor betrokken partijen. Dit biedt ruimte voor maatwerk en creativiteit, maar dat betekent ook dat oplettendheid is geboden.

Toezichthouders op de financiële sector hebben eerder, zij het pas relatief recent, naast de mogelijkheden en de relevantie ook de risico’s van cloudsourcing voor onder toezicht staande instellingen (zoals banken, beleggingsondernemingen, verzekeraars en pensioenfondsen) onderkend. In dit kader hebben zij op verschillende momenten en in verschillende publicaties1 richtsnoeren vastgesteld die door lokale toezichthouders en onder toezicht staande instellingen moeten worden toegepast als zij een deel van hun werkzaamheden door middel van cloudsourcing door een ander laten uitvoeren. Hiermee geven toezichthouders onder meer een verdere invulling wat zij van deze instellingen verwachten op het vlak van interne governance, beheerste en integere bedrijfsvoering en overige toepasselijke financieelrechtelijke verplichtingen. Deze richtsnoeren bieden echter ook buiten de financiële sector nuttige inzichten en houvast bij de keuze voor en contractering van cloudsourcingoplossingen.

Hoewel een deel van de richtsnoeren inhoudelijk aandoet als voor de hand liggend, kunnen deze publicaties gebruikt worden als checklist indien er wordt gecontracteerd met een SAAS-aanbieder. In de keuze om een aantal aandachtspunten voor cloudsourcing en SAAS-overeenkomsten hieronder nader toe te lichten hebben wij ons door deze richtsnoeren laten inspireren.

4. SPECIFIEKE AANDACHTSPUNTEN VOOR CLOUDSOURCING EN SAAS-OVEREENKOMSTEN

Standaardproduct vs maatwerk: Maatwerk zal bij SAAS-oplossingen per definitie niet of beperkt mogelijk zijn, aangezien het bedrijfsmodel van de aanbieder hier niet op gericht zal zijn.
De aanbieder zal immers vooral competitief kunnen aanbieden als hij dezelfde dienst met zo min mogelijk aanpassingen kan verlenen aan een zo groot mogelijke groep afnemers. Voor
specifieke oplossingen en configuraties zal de afnemer in de regel een meerprijs moeten betalen.


1 European Banking Authority (EBA), Richtsnoeren inzake uitbesteding,
https://www.eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_NL.pdf;
European Securities and Markets Authority (ESMA), Richtsnoeren inzake uitbesteding aan aanbieders van clouddiensten,
https://www.esma.europa.eu/system/files_force/library/esma_cloud_guidelines_nl.pdf?download=1;
European Insurance and Occupational Pensions Authority (EIOPA), Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten,
https://www.eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/guidelines_on_outsourcing_to_cloud_service_providers_cor_nl.pdf


Kwaliteit van de dienstverlening waarborgen: Omdat bij SAAS de software wordt gehost door de aanbieder zonder dat de afnemer daarover controle heeft, is het voor de afnemer van
belang om passende servicelevels met de aanbieder overeen te komen (de zogenaamde ‘Service Level Agreement’ of ‘SLA’). Met die afspraken zal moeten worden bereikt dat voldoende zicht
en vat gehouden wordt op de kwaliteit van de dienstverlening. Deze afspraken dienen helder, scherp, objectief en controleerbaar te zijn en aan het niet halen van een bepaald kwaliteitsniveau
dienen duidelijke consequenties te worden verbonden (vaak is dat in de vorm van een korting op de licentieprijs). Het is gebruikelijk om in de SAAS-overeenkomst een minimaal
beschikbaarheidspercentage voor de software op te nemen. Vaak ligt dit tussen 99,5% tot 99,99% per maand. Dat betekent dat de software per maand respectievelijk slechts ruim 3,5 uur
tot iets meer dan 4 minuten niet beschikbaar mag zijn. Daarnaast bevat de SLA meestal specifieke verplichtingen voor de aanbieder om binnen een bepaalde tijd op meldingen van
incidenten te reageren en/of deze binnen een bepaalde tijd te corrigeren.

Verwerking van persoonsgegevens: Indien er gebruik gemaakt wordt van een SAAS-oplossing, dan is er vrijwel zeker tevens sprake van verwerking van persoonsgegevens door de
aanbieder. Hetzij doordat voor de toegangsverschaffing tot de SAAS-oplossing gegevens van medewerkers moeten worden verstrekt of doordat de SAAS-oplossing direct of indirect wordt
gebruikt om persoonsgegevens van klanten, medewerkers of prospects te verwerken. De relatieve vluchtigheid en ontastbaarheid van het internet en de strikte verplichtingen onder de
AVG, maken dat er heldere afspraken moeten worden gemaakt over hoe, waarvoor en waar persoonsgegevens worden verwerkt. Dat geldt te meer indien een aanbieder, zoals veelal het
geval is, zelf ook gebruik maakt van eigen subproviders, die ook nog eens buiten de Europese Economische Ruimte kunnen zijn gevestigd. Is er sprake van een verhouding tussen
verwerkingsverantwoordelijke en verwerker, dan zal een verwerkersovereenkomst onderdeel moeten zijn van de SAAS-overeenkomst.

Beveiliging van (en grip houden op eigen) data: De essentie van SAAS is dat de data van de afnemer vanuit de eigen IT-omgeving wordt overgebracht naar en verwerkt en opgeslagen
wordt in de IT-infrastructuur van de aanbieder. Zeker als het gaat om vertrouwelijke bedrijfsinformatie of persoonsgegevens, is het cruciaal dat deze data niet binnen het bereik van
onbevoegden kan komen. Het is daarom van belang om zorgvuldig een aanbieder te selecteren, die een strikt en hoog niveau van gegevensbeveiliging kan garanderen. Afspraken hierover
worden vanzelfsprekend in de overeenkomst vastgelegd. Het is in SAAS-overeenkomsten niet ongebruikelijk om een audit-bepaling op te nemen die de afnemer in staat stelt om de
capaciteiten van de aanbieder en de naleving van zijn verplichtingen met betrekking tot gegevensbeveiliging, via een fysiek bezoek (al dan niet door een onafhankelijke derde) te
controleren. Soms is het passend om een aanbieder om bepaalde beveiligingscertificaten te vragen (zoals een passende ISO-certificering). Daarnaast kan bijvoorbeeld overeengekomen
worden dat de aanbieder de data van de afnemer alleen op een bepaalde locatie mag opslaan (bijvoorbeeld alleen op servers binnen de Europese Economische Ruimte). Ook geldt, dat als de
afnemer zijn data enkel in de SAAS-oplossing opgeslagen houdt, het van belang is dat hij nadenkt over back-up afspraken, zoals (i) hoe vaak back-ups worden gemaakt, van welke data,
voor hoe lang en waar deze worden bewaard, (ii) hoe integriteit van de back-ups wordt geborgd, en (iii) wat de kosten zijn voor het terugzetten van een back-up. Let op, in de meeste gevallen
sluiten aanbieders aansprakelijkheid voor dataverlies contractueel uit. Ten slotte is van belang om na te denken welke waarborgen dienen te worden vastgelegd zodat de afnemer toegang blijft
behouden tot zijn data (bijvoorbeeld in geval van netwerkstoringen, ransomware-aanvallen of een faillissement van de aanbieder).

Aansprakelijkheid: Het maken van heldere afspraken over schade en aansprakelijkheid is voor ons juristen vanzelfsprekend. De vraag is echter hoeveel zekerheid dergelijke afspraken in de
praktijk bieden. De gevolgen van een schadeveroorzakende gebeurtenis aan de zijde van een aanbieder zullen veelal niet beperkt zijn tot een enkele afnemer, maar deze zullen zich veelal
uitstrekken tot de gehele groep afnemers. Die groep kan vervolgens ook in numerieke zin omvangrijk zijn. Een aanbieder kan op voorhand financieel voldoende solide ingeschat worden
of zich afdoende hebben verzekerd, maar het is maar de vraag of diezelfde aanbieder nog steeds voldoende verhaal biedt indien de gehele groep afnemers tegelijkertijd een vordering tot
schadevergoeding bij hem neerlegt. In dat kader lijkt het raadzamer om een keuze voor een bepaalde aanbieder niet per se te laten leiden door ruimhartige afspraken over aansprakelijkheid
en schadevergoeding, maar meer door de recente (eigen) commerciële ervaringen met de kwaliteit van de dienstverlening (en daarmee het voorkomen van mogelijke schade(claims)).

Exit en beëindiging: Een weloverwogen keuze om gebruik te (gaan) maken van een SAAS-oplossing zou op voorhand ook gepaard moeten gaan met een voorafgaande beoordeling van de
voorwaarden waaronder en wijze waarop afscheid genomen kan worden van de SAAS-dienstverlening, zowel in het geval dat dat afscheid gepland is (opzegging) als dat het einde onvoorzien is (faillissement van aanbieder). Dit geldt te meer als de afgenomen dienstverlening bedrijfskritisch van aard is. Het loont in dat geval om vooraf de mogelijkheden voor een ordentelijke en spoedige overdracht van de dienstverlening met de aanbieder te bespreken en afspraken daarover vast te leggen. Onderdeel van daarvan is de wijze waarop die dienstverlening tot het moment van feitelijke overdracht wordt voortgezet en het bestandsformaat waarin de data van de afnemer weer ter beschikking wordt gesteld.

5. TER AFRONDING

Cloudsourcing kan organisaties vele voordelen bieden. SAAS-oplossingen zijn snel te implementeren, schaalbaar, overal toegankelijk, en vaak kostenbesparend. Tegenover al die voordelen hebben wij in dit artikel ook een aantal aandachtspunten gearticuleerd die van belang zijn bij het contracteren met aanbieders van deze oplossingen. SAAS heeft immers eens aantal eigenschappen die in de onderliggende overeenkomst zullen moeten worden geadresseerd. Concluderend kan worden gesteld dat over SAAS-overeenkomsten, net als over traditionele softwarelicentieovereenkomsten, kan en moet worden onderhandeld, met de bedrijfsbehoeften van de afnemer in gedachten. Hoewel aanbieders veelal eenzijdig geformuleerde standaard voorwaarden lijken te hanteren, is het toch raadzaam om de discussie daarover aan te gaan. In tegenstelling tot traditionele (on premise) softwarelicenties zal de afnemer zich bij SAAS-overeenkomsten minder moeten richten op configuratie, implementatie en acceptatie-testen, en meer op gegevensbeveiliging, continuïteit en SLA’s over o.a. beschikbaarheid en het verhelpen van incidenten in het SAAS-model.

Dit is het vierde artikel namens de NGB Werkgroep Digitalisering. Eerder verschenen artikelen over het gebruik van elektronische handtekeningen, risicobeperking bij contracteren met startups en het gebruik van open source software.

Delen:

NGB

Het NGB is dé beroepsvereniging voor bedrijfsjuristen. Door opleidingen en bijeenkomsten stelt het NGB jou als bedrijfsjurist in staat je professionele kennis en kunde…

Meer berichten van partner

Scroll naar boven