Door: REEF geeft raad / 17 oktober 2012

Steeds meer organisaties maken gebruik van een cloud. Cloud computing is het via internet op aanvraag beschikbaar stellen van hardware, software en gegevens. Dit zorgt ervoor dat er geen fysieke hard- en software meer bij een organisatie aanwezig is en heeft als voordeel dat een organisatie geen eigenaar meer hoeft te zijn van vaak dure hard- en software. Dit maakt een organisatie dus ook niet meer verantwoordelijk voor het onderhoud.

Het komt weleens voor dat de cloud leverancier tussentijds failliet gaat. Wat heeft dit tot gevolg voor de organisatie, oftewel de gebruiker van de cloud? Deze kan geconfronteerd worden met de situatie dat er van de ene op de andere dag geen toegang meer is tot gegevens en de door de gebruiker afgenomen applicaties. Een faillissement leidt tot grote onzekerheid bij gebruikers. Om deze onzekerheid weg te nemen zijn er dure oplossingen geïntroduceerd zoals een ‘cloud escrow’, wat in feite betekent dat de cloud altijd via een andere leverancier toegankelijk is indien de oorspronkelijke leverancier niet meer kan leveren wegens een faillissement. Dat deze problematiek speelt blijkt wel uit de politieke verontwaardiging bij de gevolgen van het recente faillissement van InfoTechnology. Het antwoord van de minister lag voor de hand: maak goede afspraken met je leverancier in geval er sprake is van een faillissement.

Hoe maak je goede afspraken? Dit doe je door eerst een inventarisatie te maken van de mate waarin de organisatie afhankelijk is van de cloud en de schadelijke gevolgen die ontstaan als de organisatie geen toegang heeft tot de cloud. Hoe meer afhankelijkheid er bestaat, des te meer is het belangrijk dat er met de leverancier een goede juridische overeenkomst wordt opgesteld om problemen bij het niet leveren te voorkomen. De type afhankelijkheden kunnen worden ingedeeld in 5 categorieën.

De 1e categorie heeft betrekking op organisaties waarbij de toegang tot de cloud dermate belangrijk is, dat uitval van de systemen direct tot zeer grote schade zal leiden. De oplossing die dan voor de hand ligt is dat de gebruiker van de leverancier eist dat zij een volledig redundant systeem bij een andere leverancier opzetten die gegarandeerd door de leverancier wordt betaald en onderhouden. Dit kan contractueel middels bankgaranties, depots of het overeenkomen van een zeer ruime vooruitbetalingsregeling. Juridisch kleed je dat in door overeen te komen dat regelmatig het systeem wordt getest door een externe deskundige in combinatie met een Service Level Agreement (SLA) met duidelijke afbakening van de verantwoordelijkheden, boeteclausules en bankgaranties. Vanzelfsprekend zijn de kosten hiervoor zeer hoog.

De 2de categorie heeft betrekking op organisaties die pas na enkele dagen zonder toegang tot de cloud schade gaan lijden. Voor deze organisaties is van belang dat de cloud volledig geimaged is met volledige documentatie en dat er regelmatig sprake is van escrow van deze documentatie, image en applicaties. Juridisch regel je dat door waarborgen voor de escrow op te nemen (bijv. wanneer mag de gebruiker de escrow inroepen?) gekoppeld aan een door de leverancier te garanderen tijd waarbinnen het systeem weer operationeel is op straffe van boetes opgenomen in de SLA. De kosten zijn hoog.

Bij de 3de categorie hebt je het over organisaties die pas na een week of meer schade zullen lijden als het systeem er uit ligt. Om te voorkomen dat dit te lang duurt kan de cloud leverancier verzocht worden om de hosting, licenties en onderhoud voor een langere tijd vooruit te betalen. Komt de leverancier in faillissement dan heeft de curator geen reden om de stekker eruit te trekken. Juridisch kun je dit borgen door bankgaranties in te roepen bij niet tijdige betaling en ervoor zorgen dat de leverancier langdurige contracten heeft lopen met datacenters en leveranciers van applicaties. Vervolgens maak je duidelijke afspraken over het terug leveren van data of eis je dat er een back-up buiten de deur bij een derde-leverancier wordt ondergebracht. De kosten hiervan zijn redelijk hoog.

De 4de categorie betreft bedrijven die qua bedrijfsproces niet snel schade lijden als de cloud eruit ligt. Zij hebben hun ICT behoefte bij verschillende leveranciers ingekocht zodat bij problemen niet direct de hele organisatie schade lijdt. Hier is wel belangrijk dat er in de contracten met leveranciers duidelijke afspraken worden gemaakt over de terug levering van data of een regelmatige back-up bij een derde. De kosten zijn vanzelfsprekend redelijk laag.

De laatste categorie, nummer 5, betreft bedrijven die qua bedrijfsproces niet afhankelijk zijn van de cloud. Een afnemer heeft zelf een plan als de cloud leverancier failliet gaat en wenst dat de cloud leverancier zelf een back-up aan de gebruiker verstrekt. Juridisch maakt dat de afnemer zelf verantwoordelijk. Deze zal zelf de back-up moeten testen. De kosten zijn laag.

REEF geeft raad kan uw organisatie bijstaan bij de inkoop van uw ICT oplossing in relatie tot uw afhankelijkheid van de ICT programmatuur en de wijze waarop uw organisatie met de ICT leverancier een overeenkomst sluit. Daarnaast heeft REEF geeft raad betrouwbare partners die uw organisatie van advies kunnen voorzien bij de aankoop van een ICT oplossing.