De opkomst van cloud zet gestaag door. De voordelen van cloud voor de organisatie zijn vaak evident. Hetzelfde geldt helaas voor de relatief zwakke onderhandelpositie tegenover de grote cloud-aanbieders. Om controle te behouden moet de GC kiezen waar de focus contractueel moet liggen.
Contracteren
Een aantal van de traditioneel grootste risico’s in IT-sourcing zijn bij cloud aanzienlijk kleiner door standaardkarakter van de dienstverlening en het gedeelde gebruikte platform. Waar je je leverancier voorheen moest dwingen om jouw (en alleen jouw) probleem op te lossen, is jouw probleem bij cloud waarschijnlijk ook het probleem van alle andere klanten. Denk aan gaten in de beveiliging, trage performance en problemen met de interface. Als een cloud-aanbieder dit soort gedeelde problemen negeert is hij vrij snel een groot deel van zijn klanten kwijt. Contractuele stokken om te slaan zijn dan minder noodzakelijk. Toch blijft het voor de GC noodzakelijk om op een aantal onderwerpen door te vragen en de poot stijf te houden, om zo de controle niet te verliezen.
Compliance
De eerste categorie van deze onderwerpen is compliance met wet en regelgeving. Zo vereist de AVG inzicht in de datastromen en passende instrumenten voor de doorgifte naar derde landen, wat zeker voor gedistribueerde databases in de cloud nog best een puzzel kan zijn. Afhankelijk van de sector komen daar nog specifieke vereisten bij. Denk aan de verplichte NEN-certificering in de zorg, of aan het uitgewerkte auditrecht voor toezichthouders in de financiële sector. Hoewel ook cloud-aanbieders begrijpen dat de klant voor deze onderwerpen niet kan afwijken, is het zaak om goed door te vragen. Weet de leverancier inderdaad van de concrete vereisten (lang niet altijd)? Kan een ISO norm inderdaad gelijk worden gesteld aan de verplichte NEN-norm (meestal wel). Is het voorgestelde auditrecht inderdaad breed genoeg voor de doeleinden van DNB (meestal niet), etc.
Controle
De tweede categorie ziet op de contractuele mogelijkheden om grip te houden op de dienstverlening en de data. Er is meestal geen wet die tot het hebben van deze mogelijkheden verplicht, maar ze zijn wel cruciaal om continuïteitsproblemen te voorkomen. Een eerste voorbeeld hiervan ziet op de onderaannemers. Zeker bij SaaS-oplossingen komt dat de hosting van de applicatie en de data wordt uitbesteed aan een onderaannemer. Het is dan zaak om duidelijke afspraken te maken over welke onderaannemers gebruikt mogen worden, en onder welke voorwaarden dit gebeurt. Niet alleen vanwege de AVG (waar is mijn data?), maar ook omdat er situaties kunnen ontstaan die direct impact hebben op de opdrachtgever. Zo kan een hoster failliet gaan of een betalingsgeschil hebben met de hoofdaannemer en zijn diensten opschorten. Zonder contractuele handvatten zit de opdrachtgever dan zonder systeem en zonder data. Een ander voorbeeld betreft de retransitie. Ik zie regelmatig dat bedrijfskritische processen worden ingevuld door cloud-oplossingen. Voorbeelden hiervan zijn CRM en facturering (Salesforce), HRM-dossiers (Workday), of de hele IT-infrastructuur. Het is zeker bij dit soort oplossingen van groot belang om goed vooraf in kaart te brengen wat nodig is bij een retransitie. Cloud-aanbieders bieden in de regel aan om de eigen data te kunnen downloaden, maar dat is vaak onvoldoende voor een soepele retransitie. Het is goed mogelijk dat nadere diensten nodig zijn, of een langere afbouwperiode.
Conclusie
Dit zijn gelukkig allemaal oplosbare problemen. Als er sprake is van een gat tussen wat wordt aangeboden en wat nodig is, is de overeenkomst dé plaats om deze gaten te dichten. Ook kan het aangaan van de discussie al heel verhelderend zijn. Een klantgerichte cloud-aanbieder zal op bovenstaande punten een goed antwoord hebben en bereid zijn mee te werken. Bij de aanbieder die dit niet serieus neemt moet de GC zich afvragen of dit de juiste partner is.