Veel organisaties maken voor hun bedrijfsprocessen gebruik van een clouddienst. De afhankelijkheid van organisatie van ICT wordt almaar groter. IT-diensten worden in de rechtspraak dan ook vaak als nutsvoorzieningen beschouwd. Maar wat als de leverancier van de clouddienst failliet gaat. Heb je wel eens nagedacht over de consequenties die dat heeft voor jouw bedrijf?
In de meeste gevallen wordt er wel een SLA en/of een exit regeling afgesproken met de leverancier. Die afspraken gaan je echter niet helpen als je leverancier failliet is. Die is immers niet meer in staat om zijn afspraken na te komen. Je bent dan volledig afhankelijk van de grillen van de curator.
Ik heb je in een serie artikelen meegenomen door een aantal aspecten van een clouddienst. Zo heb ik continuïteit van ICT (1), de data (2), de software (3) en de hosting (4) aangekaart. Al deze onderwerpen zijn relevant voor het voortzetten van het gebruik van de clouddienst door jouw organisatie, als je cloudleverancier failliet gaat. Deze keer bespreek ik een manier om het waarborgen van die continuïteit goed te organiseren.
Essentiële bedrijfsonderdelen
De eerste stap bestaat uit het buiten de macht van de curator brengen van de essentiële bedrijfsonderdelen
Data: Een manier om de data van jouw organisatie veilig te stellen, is met grote regelmaat een back-up maken in een leesbaar formaat. Belangrijk is dat deze back-up buiten het bereik van de cloudleverancier wordt opgeslagen. Dat kan ‘on premise zijn’, maar ook bij een ander datacenter.
Software: Om de continuïteit van het gebruik van de software veilig te stellen, is het van belang dat de rechten op de software buiten de macht van de clouddienstverlener liggen. Als de cloudleverancier het intellectueel eigendomsrecht niet zelf in handen heeft, kan de curator er niet over beschikken.
Hosting: Met betrekking tot de hosting is de mogelijke oplossing afhankelijk van de vraag wie de eigenaar van de servers is waarop jouw cloudtoepassing draait. Zijn de servers in eigendom van je cloudleverancier, dan kunnen de servers buiten bereik van de curator worden gesteld door middel van een sale-and-lease-back constructie. Zijn de servers in eigendom van een derde partij, dan kan de oplossing liggen in een overeenkomst met die derde partij waarin voorwaarden zijn opgenomen waaronder de hosting aan jouw organisatie wordt gecontinueerd.
Trusted third party
Als alle essentiële bedrijfsonderdelen zijn gered uit de klauwen van de curator, moet er een ‘trusted third party’ worden aangewezen, die gebruik mag maken van de veiliggestelde bedrijfsonderdelen. Een stichting lijkt de meest voor de hand liggende rechtsvorm voor een dergelijke entiteit. Een stichting mag immers geen winstoogmerk hebben.
Deze trusted third party sluit vervolgens een overeenkomst met de cloudleverancier en alle andere partijen die zeggenschap hebben over de essentiële bedrijfsonderdelen. In deze overeenkomst worden alle afspraken met betrekking tot het borgen van de continuïteit opgenomen. Uitgangspunt is dat de trusted third party de dienstverlening tijdelijk overneemt. In de regel totdat de cloudleverancier een doorstart heeft gemaakt of de opdrachtgever een andere leverancier heeft gevonden en is gemigreerd.
Derdenbeding
Vast onderdeel van de overeenkomst is het derdenbeding. Een derdenbeding is een bepaling (beding) in een overeenkomst waarop een derde, die geen partij is bij de betreffende overeenkomst, een beroep kan doen en rechten aan kan ontlenen. Een derde kan bepaalde aanspraken op (één van) de contractpartijen ontlenen aan een derdenbeding. De derde moet dan de gelding van het derdenbeding aanvaarden. Dit derdenbeding zorgt ervoor dat de aangesloten klanten van de cloudleverancier bij de trusted third party kunnen aankloppen voor de continuïteit van de clouddienst voor een bepaalde termijn.
Het ligt het meest voor de hand dat de cloudleverancier zelf zorgdraagt voor de oprichting van deze trusted third party. Zijn medewerking is ten slotte onmisbaar om een goede continuïteitsvoorziening te bewerkstelligen. En op die manier kan hij het niet alleen voor jouw organisatie, maar voor al zijn klanten regelen.
Actie
Moet je als klant dan maar afwachten of je leverancier iets gaat regelen op het gebied van continuïteit? Nee, dat lijkt me niet. Het is natuurlijk aan jou als klant om op het moment dat je in gesprek gaat met een mogelijke nieuw leverancier ook te vragen naar de regeling die hij heeft getroffen voor de continuïteit van de dienstverlening aan zijn klanten. En voor zover hij daarvoor nog niets heeft geregeld, te onderzoeken hoe groot zijn bereidheid is om een goede regeling te treffen. Geen plannen voor de overstap naar een nieuwe leverancier? Dan kun je alsnog het gesprek aangaan met je huidige leverancier. Wees er op bedacht dat je deze acties niet meer kunt nemen op het moment dat er een faillissement dreigt voor je leverancier. Dan ben je echt te laat.
Maak je in jouw organisatie gebruik van cloudoplossingen? Sta dan eens stil bij de vraag wat de gevolgen zijn als jouw cloudleverancier niet meer in staat is om zijn diensten te verlenen. Betreft het een bedrijfskritische oplossing voor jouw bedrijf, dan zul je regeling om de continuïteit te waarborgen moeten instellen. Dit om te voorkomen dat ook jouw bedrijf stil komt te liggen bij een faillissement van de cloudleverancier.
