Cloud-diensten aanbieden met een gedegen overeenkomst
Het is verleidelijk om als cloud provider te kiezen voor een enkel, standaard cloud-contract, zoals u dat vaak op internet tegenkomt.
In veel gevallen is dat niet verstandig, omdat u er niet alle risico’s mee afdekt.
Wat als:
uw hosting provider wordt getroffen door een DDoS-aanval?
een afnemer het risico op uw faillissement wil beperken?
er persoonsgegevens worden verwerkt in de cloud-dienst?
Deze en andere topics horen thuis in een uitgekiende cloud-overeenkomst. Hieronder vindt u de 10 meest essentiële topics voor een goed cloud-contract:
Looptijd en beëindiging
Prijzen en wijziging
Wijziging cloud-contract
Wijziging van de cloud-dienst en functionaliteit
Voorwaarden van derden
Operationele fase en bijkomende diensten
Service Level Agreement
Continuïteit
Opschorting
Cloud & Privacy
Voor we dieper op deze topics ingaan, bespreken we eerst het wettelijke kader voor PaaS-, SaaS- en IaaS-overeenkomsten.
Cloud-overeenkomst volgens de wet
Onder cloud computing verstaan we de terbeschikkingstelling van ICT-middelen als dienstverlening aan een afnemer door een cloud provider.
De overeenkomst kan in het algemeen worden gekwalificeerd als een overeenkomst van opdracht, waarop de wettelijke regeling van artikel 7:400 BW van toepassing is. Deze brengt een aantal verplichtingen met zich mee, zoals de informatie- en zorgplicht.
Is er dan geen sprake van een huurovereenkomst?
In de rechtsliteratuur wordt dit weleens betoogd, maar het is een stuk minder gebruikelijk. Grootste bezwaar is dat de wettelijke regeling voor de huurovereenkomst weinig te bieden heeft, omdat deze een zeer generieke regeling kent die weinig passend is voor contracten op het gebied van cloud computing
Ook de wettelijke regeling rondom de overeenkomst van opdracht is heel algemeen en niet gericht op ICT-dienstverlening of commodity dienstverlening als cloud computing. Daarom is het in alle gevallen wenselijk om een uitgebreid cloud-contract op te stellen.
De belangrijkste topics voor een helder cloud-contract
De wet biedt dus slechts een smalle wettelijke basis voor cloud-dienstverlening. Dit maakt het essentieel dat in het contract tussen afnemer en cloud provider een veelheid van onderwerpen door middel van contractsbepalingen wordt geregeld. De 10 belangrijkste onderwerpen bespreken we hieronder.
Topic 1. Looptijd en beëindiging
Contracten voor dienstverlening dienen een looptijd te hebben en een regeling voor beëindiging. Daarnaast kan worden gedacht aan automatische verlenging.
Bij cloud computing wordt dikwijls gekozen voor een model waarbij korte opzegtermijnen gelden en waarbij de afnemer onderdelen van de dienstverlening (gebruik van functionaliteit/aantallen gebruikers) zelf kan opschalen of afschalen binnen bepaalde bandbreedtes.
Topic 2. Prijzen en wijziging
Het contract dient uiteraard een systeem te kennen voor prijzen. Bij PaaS, SaaS en IaaS wordt doorgaans gekozen voor een subscription model op basis van ‘pay per use’. Dat kan bepaald worden door factoren zoals gebruiksvolume (transacties) en/of aantal gebruikers.
Daarnaast is bijzondere aandacht vereist voor prijswijzigingen. Zeker bij contracten die doorlopen moet een prijswijziging op enig moment mogelijk zijn. Te denken valt aan een regeling inzake (jaarlijkse) indexering van prijzen en tarieven conform een CBS-index of een regeling die meer in het algemeen het recht geeft tot eenzijdige prijsaanpassing door de cloud provider.
Topic 3. Wijziging cloud-contract
Bij contracten met een langere looptijd die (automatisch) verlengen, is de vraag of het contract en de voorwaarden wel voldoende toegespitst blijven op de dienstverlening. Bij dergelijke contracten is het voor de cloud provider wijs om een eenzijdig wijzigingsbeding op te nemen.
Wat houdt dat in?
Met een eenzijdig wijzigingsbeding heeft u op voorhand het recht om eenzijdig de voorwaarden van de overeenkomst te wijzigen. Dit beding wordt vaak ingezet door ICT-dienstverleners om de algemene voorwaarden te vervangen door een nieuwe versie daarvan.
Het voordeel is dat u daarmee niet ‘het contract openbreekt’ en afnemers de mogelijkheid biedt om te vertrekken, maar met een aankondigingstermijn de nieuwe algemene voorwaarden toepasselijk laat worden zonder verdere gevolgen. Daarmee kan bijvoorbeeld bereikt worden dat wijzigingen met een bepaalde ingangsdatum gaan gelden.
Topic 4. Wijziging van de cloud-dienst en functionaliteit
Contracten voor cloud-dienstverlening kennen in de regel een bepaling van de strekking dat de cloud provider gerechtigd is om eenzijdig de dienst en functionaliteit te wijzigen.
SaaS, Paas en IaaS worden doorgaans als standaard (generieke) dienst aangeboden aan afnemers. Dan wilt u als provider wel de vrijheid hebben om de inhoud van de dienst te wijzigen, bijvoorbeeld door bepaalde functionaliteit te veranderen of te verwijderen.
Topic 5. Voorwaarden van derden
De diensten die u als cloud provider aan de afnemer biedt, kunnen mede bestaan uit onderdelen of diensten van derden. Denk aan een onderliggend platform of de hosting bij een provider (Microsoft Azure/ AWS of een andere partij).
Daarmee bent u als provider afhankelijk van de prestaties van de derde partij, aangaande zijn dienstverlening aan uw afnemer. Het contract met de afnemer zal dan ook zodanig dienen te zijn dat u niet de dupe wordt van fouten van een derde partij.
Dit kunt u voorkomen door in het contract met de afnemer de risico’s omtrent derde partijen door te zetten naar de afnemer. Dit doet u bijvoorbeeld door de voorwaarden van de derde toepasselijk te verklaren in het contract met de afnemer en/of door tekortkomingen van de derde voor risico te brengen van de afnemer.
Topic 6. Operationele fase en bijkomende diensten
Doorgaans kennen contracten voor cloud computing een operationele (gebruiks)fase waarin het gebruik van bijvoorbeeld software wordt geboden vanaf Go Live. Vaak wordt dit ook voorafgegaan door een fase gericht op de ‘setup’, zoals implementatie of configuratie.
Van groot belang is om vast te stellen welke werkzaamheden u zal verrichten en welke verantwoordelijkheden bij de afnemer berusten. Een dergelijke fase dient dan ook een contractuele regeling te kennen en het brengt de vraag met zich mee welke vergoedingen hiervoor gelden.
Topic 7. Service Level Agreement
De dienstverlening en de kwaliteit daarvan is een aandachtspunt bij contracten voor cloud computing. Vaak vindt nadere uitwerking daarvan plaats in een Service Level Agreement. Aandachtspunt daarbinnen is de beschikbaarheid van de dienstverlening.
Topic 8. Continuïteit
Bij cloud-dienstverlening ontstaat een grote afhankelijkheid van de provider. Een dergelijke afhankelijkheid brengt ook de noodzaak in beeld om continuïteit te borgen. Bij afnemers bestaat regelmatig de vrees dat een faillissement van de cloud provider leidt tot het wegvallen van de dienstverlening.
De praktijk laat een breed beeld zien van maatregelen die erop gericht zijn om de afnemer te behoeden voor een dergelijk risico. Denk bijvoorbeeld aan een SaaS escrow regeling. Voorheen werd door softwareaanbieders zekerheid geboden door middel van een broncodedepot (source code escrow). Dergelijke regelingen bieden de afnemer de mogelijkheid om bij discontinuïteit via een escrow agent de beschikking te krijgen over broncodes van de software. Het nut van dergelijke software escrow regelingen is echter beperkt bij SaaS-dienstverlening.
Daarom is er nu de SaaS escrow regeling. Daarbij wordt middels een derde gefaciliteerd dat de SaaS-dienstverlening ook bij faillissement van de provider wordt voortgezet.
Topic 9. Opschorting
Raakt een van de contractspartijen (de afnemer of provider) in verzuim? Dan kent de wet een regeling die het mogelijk maakt om over te gaan tot opschorting van verplichtingen.
Bij cloud computing is het echter de vraag of de wettelijke regeling gevolgd moet worden of dat het beter is een contractuele regeling hiervoor in de plaats te hebben. Vooral de afnemer kan immers een (sterke) afhankelijkheid hebben van de ongestoorde voortzetting van de dienstverlening, indien deze van cruciaal belang is voor de bedrijfsvoering. Dat verhoudt zich moeizaam met de mogelijkheid die de cloud provider heeft om tot opschorting (lees: de dienstverlening tijdelijk stopzetten) over te gaan.
Daarom kan het voor de provider en de afnemer wijselijk zijn om een regeling op te nemen die expliciet maakt wanneer en onder welke omstandigheden de cloud provider gebruik kan maken van zijn recht om de dienstverlening op te schorten als de afnemer in verzuim raakt. Dat laatste zal vooral het geval zijn bij het uitblijven van betalingen van verschuldigde facturen.
Voor bepaalde afnemers kan opschorting ook een onderwerp zijn van bijzondere aandacht als zij bijvoorbeeld vallen onder financiële toezichtwetgeving. Denk aan banken, verzekeraars en beleggingsinstellingen.
Top 10. Cloud & privacy
Bij cloud computing zal de dienstverlening – bijna in de regel – ook de verwerking van persoonsgegevens omvatten. Daarmee komt de toepasselijkheid van de Algemene Verordening Gegevensbescherming (AVG/GDPR) in beeld. De AVG brengt een scala aan verplichtingen met zich mee voor de afnemer en de cloud provider.
Als de relatie tussen afnemer en cloud provider moet worden gekwalificeerd als een verwerking van persoonsgegevens door een verwerker, dan rust op de partijen een verplichting tot het sluiten van een verwerkersovereenkomst (artikel 28 lid 3 AVG). In de verwerkersovereenkomst werkt u de wijze uit waarop verwerking van de persoonsgegevens plaatsvindt en op welke wijze de beveiliging wordt gewaarborgd.
Tevens valt te denken aan onderwerpen zoals aansprakelijkheid en vrijwaring bij onrechtmatige verwerking van persoonsgegevens, doorgifte naar niet-EER-landen (indien verwerking plaatsvindt door een partij die valt buiten de landen waar de AVG geldt) en auditrechten van de afnemer.
De cloud provider zal zich echter bewust moeten zijn van de (vele) andere verplichtingen die de AVG oplevert. Denk daarbij bijvoorbeeld aan de verplichting tot het aanhouden van een verwerkingsregister.
Cloud-contract nodig? Vraag vandaag nog uw offerte aan!
Wilt u een maatwerk cloud-contract of wilt u dat we een cloud-overeenkomst voor u beoordelen? Legalz heeft veel ervaring met het opstellen van SaaS-, PaaS, en IaaS-contracten en de ondersteuning bij het opstellen van bijbehorende SLA’s, escrow- en continuïteitsregelingen en de contracten met hostingproviders.
Neem vandaag nog contact met ons op via 010 2290 646 of
Training Grip op cloud-contracten
Willen u en/of uw medewerkers zelf beschikken over meer kennis om een cloud-contract te beoordelen of op te stellen?
Volg dan onze eendaagse training ‘Grip op cloud-contracten’. Hierin bespreken we op praktische wijze de belangrijkste juridische topics van IaaS-, PaaS- en SaaS-contracten. Speciaal voor niet-juristen, die geregeld cloud-contracten sluiten, uitonderhandelen of beoordelen.
We bieden onze trainingen online, klassikaal en incompany aan via onze eigen opleidingstak Legalz Opleidingen.
Nieuwsgierig? Lees alles over de training Grip op cloud-contracten.