Wat is cloud computing?
Cloud computing is het afnemen van het gebruik van software, infrastructuur en andere IT-oplossingen via een netwerk (meestal het internet) als een dienst. Daarmee is sprake van een verschuiving waarbij de afnemer niet langer zelf zorgdraagt voor bijvoorbeeld - zoals bij software - de installatie of hosting in een eigen omgeving of datacenter.
Het gebruik van infrastructuur, software en platforms wordt geboden door een (externe) dienstverlener. Vaak wordt daarmee de flexibiliteit geboden van eenvoudiger op- en afschalen. De gebruiker heeft met cloud op ieder moment en op iedere locatie toegang tot zijn of haar vertrouwde omgeving. Daarnaast is er niet langer de noodzaak om zelf te investeren in aanschaf en beheer van servers, netwerken en software. Men heeft ook geen eigendom.
Welke verschillende cloud services zijn er?
De drie cloud service modellen die worden onderscheiden zijn:
Software as a Service (SaaS)
Een SaaS-applicatie wordt via internet beschikbaar gesteld aan de gebruikers. De afnemer betaalt vaak naar gebruik (pay-per-use of ook vaak via een subscription model) in plaats van deze eenmalig aan te schaffen. Beheer en onderhoud van de software zijn in de dienst inbegrepen.
Platform as a Service (PaaS)
Bedrijven die hun eigen apps (willen) bouwen en ontwikkelen kunnen gebruikmaken van PaaS. Op dit cloud-platform kunnen softwareontwikkelaars een app ontwikkelen, testen, aanbieden en beheren. Groot voordeel hiervan is dat de vaak kostbare en snel verouderende infrastructuur en besturingssystemen niet in eigen beheer genomen hoeven te worden.
Infrastructure as a Service (IaaS)
Hierbij heeft u geen eigen datacenter meer nodig, maar wordt de IT-infrastructuur betrokken bij een cloud provider. Denk aan servers, dataopslag en netwerken. Op- en afschalen is veel eenvoudiger en je betaalt voor het daadwerkelijke gebruik.
Wat is een cloud-contract?
Cloud-contracten zijn in de basis overeenkomsten voor het afnemen van dienstverlening (“…as-a-service”). Dat heeft ook impact op de contracten. De continuïteit en beschikbaarheid van de cloud-dienstverlening dienen te allen tijde te worden geborgd. Topics die typerend zijn voor een cloud-contract zijn onder meer:
voorwaarden voor af- en bijschalen binnen de dienstverlening;
beschikbaarheid & continuïteit van de dienstverlening (denk ook aan faillissement van de dienstverlener);
beschikbaarheid van data (denk ook aan risico’s bij dataverlies);
AVG-compliance;
releasebeleid van software uit de cloud; en
einde, exit en tijdige voorbereiding exit.
SaaS, PaaS en IaaS: de 3 juridische valkuilen
SaaS, PaaS en IaaS vragen om nieuw juridisch inzicht en een ander type contracten. Ze brengen risico’s met zich mee, die bij traditionele ICT-producten en -diensten niet aan de orde zijn. Dit zijn de 3 belangrijkste valkuilen in het kort.
1. Verlies van functionaliteit
Cloud providers behouden zich het recht toe om de software of programmatuur aan te passen. Dit kan leiden tot een wijziging in de functionaliteiten van de cloud service die u afneemt. Hetgeen u vandaag afneemt, kan in de toekomst dus anders zijn en daardoor wellicht niet meer aan uw wensen en eisen voldoen.
2. Dataverlies
De gegevens die u verwerkt in een cloud platform of SaaS-applicatie worden in veel gevallen niet automatisch geback-upt. Cloud providers sluiten aansprakelijkheid voor dataverlies meestal uit. Daarom is het belangrijk dat u de back-up goed regelt.
3. Standaardcontract
Cloud services worden meestal voor een groot publiek beschikbaar gesteld. Door het standaard karakter van de diensten, is er vaak sprake van een ‘take it or leave it’ situatie. Er is weinig tot geen ruimte voor onderhandelingen over het contract. Zeker niet bij grote techbedrijven als Microsoft, Amazon of Google.
5 aandachtspunten voor u een cloud-contract tekent
Als u SaaS, PaaS of IaaS afneemt, wordt u vaak geconfronteerd met een standaardcontract waar u weinig tot geen inbreng in heeft. Dat wil echter niet zeggen dat u niets kunt doen. Hieronder 5 aandachtspunten om rekening mee te houden voor u een cloud-overeenkomst ondertekent.
1. Grip op beschikbaarheid
Bij het afnemen van cloud services is beschikbaarheid een heikel punt. U kunt zich geen verstoringen veroorloven, maar tegelijk kunt u er weinig tot geen invloed op uitoefenen.
Het enige wat u kunt doen is het opstellen van een op de betreffende dienst toegespitst service level agreement. Hierin stelt u eisen op over het online zijn en blijven van de cloud service en de wijze waarop tijdig onderhoud & support plaatsvindt.
Let op!
Veel cloud providers besteden de hosting uit aan een externe partij. Het is dus niet alleen zaak afspraken te maken met uw eigen provider, maar ook om inzicht te krijgen in de afspraken met de hosting partij.
2. Recht op opschorting
Wettelijk gezien mag een cloud provider de dienstverlening opschorten als facturen onbetaald blijven. Dit is een wezenlijk risico dat u als afnemer moet incalculeren.
Is er ruimte tot onderhandeling over het contract?
Probeer dan de mogelijkheid van opschorting door de provider uit te sluiten of anders te beperken.
Lees ook onze blog ‘Opschorting bij cloud- en SaaS-contracten: deze bepalingen neemt u op in het contract’
3. Continuïteit van de dienstverlening
Stel dat uw provider failliet gaat?
Hoe zorgt u dan voor de continuïteit van de cloud-dienst die u afneemt? Vooral bij SaaS is dit een belangrijk aandachtspunt, omdat onderhoud, wijzigingen en kennis allemaal bij de provider liggen.
Om de continuïteit te waarborgen sluit u bij voorbaat een additionele SaaS escrow of continuïteitsregeling, die ervoor zorgt dat de hosting provider of Trusted Third Party (TTP) de dienstverlening (tijdelijk) continueert bij faillissement.
4. Vergeet de AVG niet
Wilt u persoonsgegevens opslaan of verwerken in uw cloud-dienst? Dan moet u rekening houden met de strenge privacyregels, zoals vastgelegd in de AVG.
Houd ook rekening met eventuele subverwerkers (zoals de hosting provider). Het is van groot belang dat zowel de cloud-dienstverlener als eventuele subverwerkers voldoen aan de AVG-eisen. Is de beveiliging bijvoorbeeld op orde? Vindt er geen ongeoorloofde doorgifte plaats aan niet-EU-landen?
Let op!
Het gebruik van Amerikaanse cloud services ligt in het kader van privacy onder vuur. Zorg dus altijd voor een grondige beoordeling van de AVG-compliance en sluit een gedegen verwerkersovereenkomst.
5. Exit op voorhand regelen
Ook bij het afnemen van cloud services is het vooraf regelen van een eventuele exit essentieel. Bij voorkeur regelt u dit contractueel. Mocht dat geen optie zijn, maak dan intern een plan waarbij u de aandachtspunten van een exit opneemt.
Punten die u (contractueel) vastlegt:
medewerking aan exit en continuïteit;
kennisoverdracht (data, documentatie, opleidingen);
kosten medewerking door leverancier aan de exit/migratie/(re)transitie;
zorgdragen voor exit-plan volgens specs & updaten; en
verplichting doorlopende dienstverlening na exit (overgangsperiode).
Cloud-contract nodig? Vraag vandaag nog uw offerte aan!
Wilt u een maatwerk cloud-contract of wilt u dat we een cloud-overeenkomst voor u beoordelen? Legalz heeft veel ervaring met het opstellen van SaaS-, PaaS-, en IaaS-contracten en de ondersteuning bij het opstellen van bijbehorende SLA’s, escrow- en continuïteitsregelingen en de contracten met hostingproviders.
Neem vandaag nog contact met ons op via 010 2290 646 of
Training Grip op cloud-contracten
Willen u en/of uw medewerkers zelf beschikken over meer kennis om een cloud-contract te beoordelen of op te stellen?
Volg dan onze eendaagse training ‘Grip op cloud-contracten’. Hierin bespreken we op praktische wijze de belangrijkste juridische topics van IaaS-, PaaS- en SaaS-contracten. Speciaal voor niet-juristen, die geregeld cloud-contracten sluiten, uitonderhandelen of beoordelen.
We bieden onze trainingen online, klassikaal en incompany aan via onze eigen opleidingstak Legalz Opleidingen.
Nieuwsgierig? Lees alles over de training Grip op cloud-contracten.