3 tips voor cloud contracten

De ontwikkelingen op het gebied van IT en cloud technologie gaan razendsnel. Algoritme-gedreven toepassingen op het gebied van Big Data (om de een of andere reden altijd met een hoofdletter geschreven), het Internet of Things (IoT) en kunstmatige intelligentie schieten als paddenstoelen uit de grond. Al die toepassingen worden allemaal beschikbaar gesteld via de ‘cloud’. Waar moet je als afnemer –en/of Cloud Service Provider (CSP)- nu op letten bij contracteren in de cloud?

 

Alles is cloud

Cloud computing staat –kortgezegd- voor on demand netwerktoegang tot een gedeelde verzameling van computermiddelen (bijvoorbeeld netwerken, software en servers) die snel geleverd en afgesloten kunnen worden met minimale interactie met de dienstverlener. Hierdoor ontstaat een soort ‘wolk van computers’ (de cloud) waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of waar die computers precies staan. De eindgebruiker hoeft op deze manier geen eigenaar (meer) te zijn van de hardware of software en is daarmee ook niet verantwoordelijk voor het onderhoud daarvan.

Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a Service (IaaS) zijn allemaal vormen van diensten binnen cloud computing. Hoewel het ‘werken in de cloud’ aanzienlijke kostenbesparingen met zich meebrengt, zijn er ook uitdagingen.

3 tips om niet te vergeten

Hieronder zetten we de drie voornaamste punten uiteen die u niet zou moeten vergeten in cloud contracten.

1. Privacy en informatiebeveiliging

Allereerst, de Algemene Verordening Gegevensbescherming (AVG). Onder de AVG is het de verantwoordelijkheid van bedrijven en organisaties om ervoor te zorgen dat persoonsgegevens van medewerkers en klanten op een veilige manier worden opgeslagen. De ‘verwerkingsverantwoordelijke’ moet adequate technische en organisatorische maatregelen treffen ter beveiliging van de persoonsgegevens tegen bijvoorbeeld verlies, diefstal of misbruik.

Wanneer een organisatie persoonsgegevens op binnen een eigen infrastructuur, op eigen servers en in een eigen datacentrum, opslaat, is dat vrij overzichtelijk. Echter, zodra men een CSP inschakelt, verliest de organisatie de controle over de locatie en wijze waarop persoonsgegevens worden opgeslagen. Die beveiliging, maar ook de toegang en eventuele doorgifte van de persoonsgegevens, moeten aldus gewaarborgd worden door de CSP. Een goede verwerkersovereenkomst is daarbij essentieel!

Privacy is in dit opzicht niet enkel een aandachtspunt voor afnemers, maar juist ook voor leveranciers.

Tip: Leveranciers zouden privacy meer moeten willen gebruiken als unique selling point om vertrouwen rondom hun diensten te generen. Immers, “trust is key”, met name in sectoren met bijzondere of gevoelige persoonsgegevens zoals de zorgsector en de financiële sector.

2. “As is, if is and where is”

Een van de meest karakteristieke elementen van een cloud contract is de vergaande beperking en soms volledige uitsluiting van aansprakelijkheid van CSP’s voor bijvoorbeeld storingen en verlies van data. De afnemer krijgt een garantie tot de deur. De leverancier stelt in dit verband veelal dat zij een ‘commodity’ dienst aanbieden en zelf ook geen (directe) controle heeft over bepaalde onderdelen van de dienstverlening, zoals de beschikbaarheid (connectiviteit), gegevensverlies als gevolg van communicatie in de cloud en/of via open lijnen en dergelijke.

De oplossing zal niet voor iedere partij tot een waterdichte overeenkomst leiden. Vaak moet worden gezocht naar een tussenweg, tegen een minder vergaande exoneratie kan bijvoorbeeld een hogere prijs of een langere contractduur staan. Andersom geldt hetzelfde. Indien de toepasselijke Service Level Agreement (SLA) enkel reactietijden bevat en geen hersteltijden, kan dat invloed hebben op de prijs.

Tip: leg de focus bij het contracteren op het duidelijk maken wat partijen nu precies gaan doen en wie welke verantwoordelijkheden heeft in plaats van op discussies over de hoogte van de aansprakelijkheid.

3. Exit en continuïteit

De meest bedrijfskritische toepassingen worden tegenwoordig gehost in de cloud. Dat is op zichzelf geen probleem, maar een organisatie moet wel over de toepassing en bedrijfsgegevens kunnen blijven beschikken mocht de relatie met de cloud-leverancier onverhoopt tot een einde komen. Het gaat onder meer om de beschikbaarheid en integriteit van de bedrijfsgegevens.

Zonder contractueel afdwingbare bepalingen hieromtrent, wordt een organisatie afhankelijk van de leverancier – de zogenaamde ‘vendor lock-in’ – en kan de leverancier allerlei (onredelijke / kostbare) eisen gaan stellen alvorens medewerking te verlenen aan de overgang naar een nieuwe leverancier of teruggave van bedrijfsgegevens.

Tip: let bij cloud contracten altijd goed op het vendor lock-in risico en zorg voor voldoende waarborgen hieromtrent.

Rollen en verantwoordelijkheden

De hiervoor beschreven risico’s zijn uiteraard groter wanneer de dienstverlening complexer is en er meerdere partijen bij betrokken zijn. Onduidelijkheid rondom de rollen en verantwoordelijkheden van de diverse deelnemers kan ertoe leiden dat iedereen naar elkaar gaat wijzen, maar niemand verantwoordelijkheid neemt en actie onderneemt. In dat geval is het advies om de rollen en verantwoordelijkheden vast te leggen in een zogenaamde RACI–matrix, in ieder geval wat betreft de onderdelen uit deze top 3.

Voor vragen rondom cloud contracten, SaaS of daarmee samenhangende contracten, neem contact op met Chantal Bakermans, via email (c.bakermans@bwkpartners.com) of telefonisch via: 020-2400710.