IT-vragenrubriek

Wat moet ik contractueel vastleggen als ik een clouddienst of Software as a Service (SaaS) ga gebruiken?

ICT-vraag van de maand januari

Wat moet ik contractueel vastleggen als ik gebruik ga maken van een clouddienst of Software as a Service (SaaS)?

Contractuele aandachtspunten

Cloud en SaaS zijn termen die voor diverse ICT-diensten wordt gebruikt en die lang niet altijd de werkelijke dienst volledig omschrijven. Ook in juridisch opzicht zijn deze termen alleen goed te gebruiken als je duidelijk omschrijft wat er met de Cloud of SaaS wordt bedoeld. Cloud- en SaaS-contracten zijn vaak complexe en veelomvattende contracten.

Wanda Koning
Wanda Koning
Jan Pieter Schuitema, De IT-Jurist
Jan Pieter Schuitema

Bij de beoordeling van een dergelijk contract zijn de volgende punten onder meer van belang:

1. Het onderwerp van de overeenkomst

Allereerst is het belangrijk te bepalen om wat voor contract het gaat en wat de kernverplichtingen van partijen zijn. Gaat het om een contract voor een Cloudomgeving, SaaS, PaaS of IaaS en wat wordt hier precies onder verstaan? Oftewel, wat wordt er aan dienstverlening geleverd? Welke onderdelen verzorgt de dienstverlener, wat een derde partij en welke moet jij zelf nog regelen? En zorgt de dienstverlener ook voor de implementatie en/of het onderhoud? En wordt de – veelal maatwerksoftware – doorontwikkeld door de dienstverlener?  

2. Toegang en beschikbaarheid

Het is verder van belang dat duidelijke afspraken worden gemaakt over de toegang en de beschikbaarheid van de Cloud- of SaaS-dienst. Er moeten maatregelen worden getroffen om de continuïteit te waarborgen. Afspraken over beschikbaarheid worden vaak vastgelegd in een Service Level Agreement (SLA). In de SLA maak je duidelijke en meetbare afspraken en kom je een disaster recovery procedure overeen. Denk hierbij aan afspraken over back-ups (hoe vaak) en minimum beschikbaarheid.

3. Eigendom van de data

‘’Eigendom van de data‘’ is iets wat je in veel Cloud- en SaaS-contracten terug ziet komen. Uiteraard is het belangrijk om te regelen wat de dienstverlener wel en niet mag doen met de door jou ingevoerde data. Digitale data wordt echter (nog niet) gezien als een juridische ‘zaak’ en zodoende kan iemand hier dus geen eigenaar van zijn. Wél kun je verantwoordelijke of rechthebbende zijn voor bepaalde data. Je dient dus overeen te komen met de dienstverlener wat zij wel en niet met de data mogen doen. Denk daarbij ook aan teruggave van data bij einde van het contract.

Let op: een curator is aan deze afspraken niet gebonden. Zie hiervoor ook punt 6.

4. Privacy / security

Een Cloud- of SaaS-dienstverlener kan (doorgaans) worden gezien als verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG). Je dient hiervoor een verwerkersovereenkomst met de dienstverlener te sluiten. Denk daarbij ook aan de technische en organisatorische maatregelen (security) die de verwerker in dat kader dient te treffen.

5. Opschorting

In veel Cloud- en SaaS-contracten komen we een opschortingsbeding tegen. Bijvoorbeeld de mogelijkheid tot opschorting van de diensten als de gebruiker van de Cloud- of SaaS-diensten niet (op tijd) betaald heeft. Opschorting is echter niet altijd mogelijk en dit wordt ook niet altijd door de rechter gehonoreerd. Ook als klant zit je niet te wachten op opschorting van je (bedrijfskritische) Cloud- of SaaS-diensten. Een mogelijkheid voor de dienstverlener om in zo’n geval de gebruiker toch tot betaling te bewegen is het terugschroeven van de Service Levels.

6. Faillissement

Bij faillissement van de Cloud- of SaaS-dienstverlener ben je als gebruiker aangewezen op de curator. Zoals bij punt 3 al kort genoemd is de curator niet gehouden aan de afspraken die jij met de dienstverlener hebt gemaakt over bijvoorbeeld teruggave van de digitale data. Naast teruggave van de data is ook continuïteit van je (bedrijfskritische) applicaties van belang. Om zeker te zijn van continuïteit van de Cloud- of SaaS-dienst en daarmee ook je data kan een continuïteitsregeling worden overeengekomen met de dienstverlener.

7. Exit-plan

Het is, om onder andere een vendor lock-in te voorkomen, van belang om vooraf een exit-scenario overeen te komen. In een exit-plan spreek je met de dienstverlener af dat zij de verplichting hebben om mee te werken aan de overdracht van de dienstverlening naar een opvolgende dienstverlener. Ook afspraken als het format waarin de data wordt overgedragen, de termijn en de kosten die aan deze medewerking en overdracht verbonden zijn, dienen te worden overeengekomen.

Bovenstaande lijst van aandachtspunten is niet uitputtend. Mocht je overwegen om over te gaan naar de Cloud of SaaS, van Cloud- of SaaS-dienstverlener te switchen, wil je een kritische blik op (onderdelen) van de huidige overeenkomsten of meer informatie over escrow dan kun je uiteraard contact met De IT-Jurist opnemen.

 

Jan Pieter Schuitema en Wanda Koning, De IT-Jurist B.V.

Heeft u naar aanleiding van dit antwoord vragen? Stel dan uw vraag aan de specialisten via https://www.bedrijvenjournaal.nl/ict-vragen/ 

Lees meer over:

,

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Delen

Facebook
WhatsApp
Twitter
LinkedIn
Email een vriend
Delen

Masterclasses Nederland

Inschrijven Nieuwsbrief

Onze Suggesties

Meest Gelezen

Nieuws

Advies

Media & Literatuur

Onze Nieuwsbrief

Populair in Partners

Schrijf je in op onze nieuwsbrief

* indicates required
Regio
Bij het verzenden van dit formulier ga je akkoord met onze algemene voorwaarden
HARISON.png
Group-16.png
Group-29.png
Group-15.png
Group-11.png

who we are

  • About
  • Blog
  • Shop
  • Contact us

yang

  • Quality techiques
  • Handmade
  • Minimal design
  • Our brands

Products

  • Furnitures
  • Artifacts
  • Clocks
  • Sofas & others

Orders

  • Policy and returns
  • Terms & conditions
Twitter Facebook-f Instagram Rss
2020 © Bedrijven Journaal