In toenemende mate wordt door organisaties gebruik gemaakt van clouddiensten. Wat als de clouddienst niet beschikbaar is, de service provider failliet wordt verklaard of de afnemer niet over haar data kan beschikken? Continuïteit is van belang. Hieronder enkele aanbevelingen.

Clouddiensten worden in het algemeen gezien als diensten waarmee on-demand toegang kan worden verkregen tot ‘pooled computing resources’ waarvoor geen eigen hardware en systeemomgeving nodig is. Zo kunnen de infrastructuur (IaaS), software (SaaS) of het platform (PaaS) als dienst (‘as a service’) worden aangeboden. Bij clouddiensten wordt vaak gecontracteerd op basis van standaard voorwaarden van de service provider. Deze bevatten doorgaans onvoldoende waarborgen in verband met de continuïteit van de clouddienst. Hieronder volgen enkele aanbevelingen voor afnemers van clouddiensten om de risico’s met betrekking tot de continuïteit te beperken.

Service Levels

De beschikbaarheid van de clouddienst wordt doorgaans als service level of KPI geregeld in de Service Level Agreement (SLA). Van belang is dat een minimum beschikbaarheid als service level wordt opgenomen in de SLA en dat duidelijke afspraken worden gemaakt over eventuele downtime (bijvoorbeeld in verband met gepland onderhoud).

Uitsluiten of beperken opschortingsrecht

Service providers nemen in haar voorwaarden doorgaans op dat zij gerechtigd zijn de levering van de clouddienst op te schorten, als er sprake is van een schending van deze voorwaarden door de afnemer. Dat kan echter tot grote continuïteitsrisico’s leiden. Indien de financiële afdeling abusievelijk vergeet een factuur te betalen, kan de service provider de levering van de clouddienst direct stopzetten. Het verdient aanbeveling het opschortingsrecht uit te sluiten, althans te clausuleren.

Opzegtermijn en exit plan

De voorwaarden van service providers bevatten in het algemeen de mogelijkheid voor de service provider om het cloudcontract te beëindigen, met inachtneming van een relatief korte opzegtermijn (bijvoorbeeld 30 dagen). Als een service provider gebruik maakt van die opzeggingsmogelijkheid, heeft de afnemer ingeval van het voorbeeld slechts 30 dagen voor een transitie naar de dienst van een andere service provider. Ervaring in de praktijk leert dat een dergelijk periode veel te kort is waardoor continuïteitsproblemen ontstaan. Bij een exit, is het daarbij ook van belang om goede afspraken te maken met de service provider over de medewerking van de service provider bij een exit en het retourneren van de data van de afnemer.

Continuïteitsplan

Van belang is tevens om vanuit technisch perspectief te kijken naar de clouddienst. Welke beveiligingsmaatregelen zijn genomen om de data van de afnemer te beschermen (voldoet de service provider aan bepaalde standaarden zoals ISAE 3402)? Worden regelmatig back-ups gemaakt? Is er een calamiteiten- en herstelplan (is er bijvoorbeeld sprake van een ‘mirrored’ omgeving waardoor de data niet verloren gaat als een server in brand vliegt)? Dergelijke afspraken kunnen worden opgenomen in een continuïteitsregeling die onderdeel dient uit te maken van het cloudcontract.

Audit rechten

Door een audit-recht te bedingen kan periodiek worden getoetst bij de service provider of de clouddienst daadwerkelijk op een veilige wijze en conform de afspraken in het cloudcontract wordt geleverd.

Cloud-escrow

Bij klassieke licentie-overeenkomsten voor het gebruik van software wordt regelmatig een escrow-regeling overeengekomen tussen de leverancier, afnemer en escrow-agent. Een dergelijke regeling behelst kort gezegd dat de broncode van de software wordt vrijgegeven door de escrow-agent aan de afnemer als een ‘trigger event’ zich voordoet, zoals faillissement van de leverancier. Bij een cloud-oplossing volstaat een dergelijke oplossing niet. Enkel met de broncode kan de afnemer niet verder. Rekening dient te worden gehouden met de hosting provider, de data en aanverwante diensten die worden geleverd in verband met de clouddienst. Alhoewel het niet eenvoudig zal zijn om met de ‘tech-reuzen’ een cloud-escrow regeling overeen te komen, kan dit bij kleinere partijen die een clouddienst aanbieden wel degelijk een reële en waardevolle optie zijn. Er zijn overigens ook nog andere opties denkbaar, zoals de overdracht van een afgesplitst auteursrecht.

J.M. Brölmann
Van Benthem en Keulen
06-47043567
janbrolmann@vbk.nl

Jan Brölmann is avocaat (partner) binnen de praktijkgroep Information Technology en is gespecialiseerd in IT en intellectueel eigendomsrecht. Jan adviseert en procedeert regelmatig over complexe (grensoverschrijdende) technologie-contracten, cloud computing, privacy compliance, platforms, e-commerce en de toepassing van nieuwe technologieën zoals blockchain, Internet of Things en Artificial Intelligence.

Jan is lid van de Nederlandse Vereniging voor Informatietechnologie en Recht (NVvIR) en van de Vereniging Privacy Recht (VPR). Daarnaast is hij expert auteur voor de website Computable op het gebied van technologie en recht.