Een van de belangrijkste vraagstukken met betrekking tot een ICT-contract vind ik continuïteit. In de overeenkomst en/of de SLA worden vaak afspraken vastgelegd over back-upfaciliteiten, exit procedures of andere technische voorzieningen. Een onderwerp dat veel minder aandacht krijgt, is de continuïteit van de dienstverlening voor het geval de leverancier zijn verplichtingen niet meer kan nakomen, bijvoorbeeld in geval van een faillissement. En dan in het bijzonder voor clouddiensten. Op het moment dat je cloudleverancier failliet gaat, kan hij zelf geen invloed meer uitoefenen op de levering van zijn diensten. Dit is vanaf dat moment het exclusieve recht (en plicht) van de curator. Maar de curator handelt in het belang van de schuldeisers en dat zijn niet per se de klanten van de clouddienstverlener.

Clouddiensten

Iedere organisatie maakt tegenwoordig gebruik van clouddiensten. En daarmee bedoel ik diensten die via het internet, op welke manier dan ook, bereikbaar worden gemaakt. Dat kan gaan van een eenvoudig boekhoudprogramma, een CRM-systeem tot een volledig ERP-systeem waarin alle processen van een organisatie zijn opgenomen. In mijn vorige blog schreef ik over het continuïteitsrisico dat je organisatie loopt als je clouddienstverlener failliet gaat. Op zo’n moment wordt akelig duidelijk hoe groot de afhankelijkheid is. In deze en de volgende blog ga ik dieper in op manieren waarop je je continuïteit kunt waarborgen en welke aspecten dan relevant zijn. Of je voor alle aspecten een alternatieve regeling moet treffen, is afhankelijk van je risicoanalyse. Ofwel het antwoord op de vraag: hoe staat mijn bedrijf ervoor als ik niets geregeld heb.

Data

Een van de essentiële onderdelen van een clouddienst is je data. Je moet er niet aan denken dat je volledige (financiële) administratie onbereikbaar is, omdat de aanbieder van de SaaS-dienst failliet is gegaan. Dat is bijna een garantie om zelf ook in de financiële problemen te komen. Kies je voor een cloudoplossing, dan zul je jedus altijd de vraag moeten stellen op welke wijze je de beschikking houdt over je data, mocht je cloudleverancier onbereikbaar zijn geworden door een faillissement.

Wat is data eigenlijk, juridisch gezien? In het recht hebben we twee categorieën: een zaak of een vermogensrecht. Een zaak is een stoffelijk object. Aangezien je data niet kunt vastpakken, kun je het ook niet als ‘zaak’ benaderen. Een vermogensrecht is een recht dat er toe strekt een stoffelijk voordeel te verschaffen. Ook de term vermogensrecht is lastig toe te passen op het begrip data. Nu er geen juridisch regime van toepassing is op data, zul je zelf een goede regeling moeten treffen.

Overigens zijn er wel wetten die iets regelen voor data. Zo regelt de AVG het nodige voor persoonsgegevens. Daarnaast hebben we de databankenwet, die het recht van de verzamelaar van data in een databank beschermt. Maar dit gaat over bijzondere categorieën data, niet over de data die essentieel zijn voor jouw organisatie.

Veiligstellen data

Een van de manieren om de data van jouw organisatie veilig te stellen, is met grote regelmaat een back-up maken in een leesbaar formaat. Deze back-up moet dan buiten het bereik van de cloudleverancier worden opgeslagen. Dat kan ‘on premise zijn’, maar er is vaak niet voor niets gekozen voor een cloudoplossing. Je back-up ‘on premise’ zetten vloeit dan niet direct logisch voort uit die strategie. Een alternatief is de back-up bij een ander datacenter op te slaan. Op die manier is de back-up altijd bereikbaar als er iets met je cloudleverancier aan de hand is.

Bij voorkeur is het maken en op de juiste plek opslaan van de back-up een ingebouwde functie in de clouddienst. Je hoeft dan niet zelf een proces in te regelen om je back-up te waarborgen. Hier mag je echter niet zonder meer op vertrouwen. Daarnaast is het verstandig om met enige regelmaat te testen of de back-up volledig is en kan worden teruggezet.

Ook al ben je in je risicoanalyse tot de conclusie gekomen dat je niet veel hoeft te regelen, onder het treffen van een regeling voor het veiligstellen van je data zul je niet uitkomen.

In mijn volgende blog bespreek ik software en continuïteit.