6
Mar
2015

Werkt een “stichting continuïteit” voor cloudoplossingen?

Steeds vaker wordt duidelijk dat aan het gebruik van cloudoplossingen continuïteitsrisico’s verbonden zijn, die voortkomen uit de afhankelijkheid van de leverancier. Als maatregel kan een zogenaamde escrow- of continuïteitsregeling worden afgesloten. Zo’n regeling kan, mits juridisch en IT-technisch goed opgezet, de gewenste continuïteit ook bieden. Wij komen in de praktijk echter constructies tegen waarin gaten te schieten zijn. Vaak zien we de zogenaamde “stichting continuïteit” of “escrow- of bewaarstichting”, die continuïteit moet leveren voor de gebruikers van de clouddienst, in geval van calamiteit bij de leverancier. De vraag is of zo’n stichting in alle gevallen doel treft.

Wat werkt niet?

Er zijn verschillende vormen van dergelijke stichtingen.

  1. Eigen stichting van de leverancier: de leverancier heeft zelf een regeling opgetuigd met een eigen stichting, die wordt bestuurd door de leverancier zelf. Eventuele deponeringen van een broncode of de controle daarvan verricht de leverancier zelf. Contracten met hostingproviders en andere essentiële ketenpartijen met betrekking tot voortzetting van hun dienstverlening worden door de leverancier afgesloten. Dit is uiteraard geen transparant model voor de gebruikers van de cloudoplossing (de slager die zijn eigen vlees keurt). Ook is het juridisch fundament onder deze constructie niet altijd even sterk.
  2. Stichting met in het bestuur de leverancier en verschillende gebruikers: ook hier geldt de vraag of er wel deugdelijke audits plaatsvinden op de software en of de stichting de gewenste juridische zekerheden kan bieden met betrekking tot het gebruik van een broncode en het voortzetten van de dienstverlening van essentiële ketenpartijen.
  3. Externe stichting van een juridische dienstverlener: een dergelijke regeling werkt alleen als er zowel juridische en technische maatregelen zijn getroffen om maximale rechtszekerheid te bieden aan zowel de softwareleverancier als de gebruikers. Juridisch moet o.a. worden getoetst of softwareleverancier wel auteursrechthebbende is en of de regeling stand houdt bij een faillissement van de softwareleverancier. Alleen het overdragen van IE-rechten naar een stichting continuïteit en het maken van afspraken is niet voldoende. Voor continuïteit zijn ook technische maatregelen nodig, zoals de beschikbaarheid van een broncode en calamiteitenplan. 

Wat werkt wel?

Een continuïteitsregeling voor cloudoplossing is altijd maatwerk. Er moet allereerst door een gekwalificeerde IT-deskundige onderzocht worden welke componenten van het informatiesysteem noodzakelijk zijn voor continuïteit. Vervolgens wordt bekeken welke technische maatregelen nodig zijn: controle en deponering van een broncode, het opstellen van een calamiteitenplan, het in kaart brengen van essentiële ketenpartijen (bijv. hostingprovider), het verzamelen van contactgegevens van essentiële personen, en periodieke hercontrole van de getroffen maatregelen.

Ook zijn juridische maatregelen essentieel: een goede contractenset is noodzaak. Zo maakt het bijvoorbeeld verschil of de leverancier eigenaar is van de hardware waarop de cloud-oplossing wordt uitgevoerd, of dat hij deze huurt. Wanneer software van toeleveranciers (bijvoorbeeld van besturingssystemen en virtualisatiesoftware) onderdeel uitmaakt van de clouddienst, moeten er onderhandelingen plaatsvinden en afspraken worden gemaakt. Hetzelfde geldt voor de inzet van essentiële arbeidskrachten. Wanneer een hostingprovider of co-locatieprovider essentiële diensten levert, moet er worden bekeken hoe deze wordt doorbetaald en moeten de afspraken in een overeenkomst worden vastgelegd.

Diverse oplossingen voor continuïteit van een clouddienst zijn dus mogelijk. De IT-jurist heeft veel ervaring met het opstellen en beoordelen van dergelijke continuïteitsregelingen, neemt u gerust eens hierover contact met ons op.