Neem contact op

New Module

Add content here.

Cloud, Outsourcing

Een juridische blik op cloudsourcing

14-januari-2016

Cloud computing is bezig aan een opmars. De beloftes zijn groot, maar worden die ook waargemaakt? Cloud is vooral standaardwerk: Je moet je dus meer schikken. Bovendien werpen recente internationale ontwikkelingen een schaduw op de cloud.

Velen vinden dat cloud de grootste verandering in het huidige ICT-landschap is. Juridisch gezien is cloud computing niet veel meer dan een nieuwe vorm van uitbesteding. Net als bij traditionele uitbesteding worden IT-functies overgedragen aan een externe partij, of dat nu een dienstverlener, een hoster of een outsourcer is. Naast veel overeenkomsten met traditionele uitbesteding kent cloud echter ook een aantal verschillen die de continuïteit wel degelijk in gevaar kunnen brengen.

cloud700x300.png

Een goed voorbeeld hiervan is het gevaar van vendor lock-in dat vaak wordt genoemd in relatie tot cloud. Dat gevaar is reëel en kan zeker ernstige gevolgen hebben, bijvoorbeeld als de provider failliet gaat of simpelweg niet meer de dienst levert die je wilt hebben. In een recent onderzoek van North Bridge noemt 25,8 procent van de ondervraagden het risico van een vendor lock-in als obstakel voor de adoptie van clouddiensten. 

Een ander punt waarop cloud afwijkt van traditionele uitbesteding heeft te maken met de ‘lokaliteit van informatie’. De vraag ‘waar staan je data’ is in de cloud vaak lastiger te beantwoorden. Het gaat dan niet eens zozeer om welk land, maar vooral om wie eigenlijk de eigenaar is van het datacenter. Cloudproviders kunnen namelijk gebruikmaken van ‘onderaannemers’. Wat gebeurt er als die een probleem hebben, zoals een storing, datalekkage of een faillissement? Hoe zit het dan met melding, aansprakelijkheid en verantwoordelijkheid?

Kijk naar het geheel

Onder andere door een dreigende vendor lock-in en een grotere ‘mobiliteit’ van de data is het bij een voorgenomen ‘cloudsourcing’ van groot belang de gehele keten door te lichten die verantwoordelijk is voor de levering van de dienst. Kortom; kijk goed naar het geheel, onder andere naar:

  • de financiële gezondheid van de aanbieder. Beantwoord vragen als ‘wat is de solvabiliteit van de aanbieder?, ‘hoe zit zijn businessmodel in elkaar?’ en ‘heeft hij een eigen datacenter?’. Vragen die in de publieke sector heel gewoon zijn, maar in de private sector zelden worden gesteld. Tegen enkele risico’s – zoals systeemuitval of een tegenvallende performance – kan een afnemer van clouddiensten zich indekken door het afsluiten van aansprakelijkheidsclausules. Goed denkwerk en clausules vooraf kunnen echter veel meer nut hebben. Het is beter om afspraken te maken voor performancegaranties, inclusief bijvoorbeeld dienstengaranties van een moederbedrijf. Laatstgenoemde kan helpen als een dochteronderneming problemen heeft, zoals systeemuitval of erger.
  • de toegankelijkheid van gegevens. Hoe snel kun je in geval van problemen bij je data komen? En in wat voor vormen? Toegang tot gegevens is van belang voor de bedrijfscontinuïteit, maar minstens zo belangrijk is toegang tot bedrijfsdata in een formaat waar de organisatie mee (verder) kan werken.
  • de beschikbaar van gegevens. De toegang tot gegevens is in belangrijke mate ook afhankelijk van de internetverbinding met de cloudprovider. Om even een bewust overdreven voorbeeld te geven: een 99,99 procent SLA voor je cloud is zinloos als je een DSL-verbinding zonder SLA hebt. Die discrepantie in servicelevels kan een organisatie lelijk opbreken. Het is dus zaak om de SLA’s van de benodigde elementen op elkaar af te stemmen. Daarnaast is de oude IT-wijsheid van failover van toepassing. Neem bijvoorbeeld een tweede lijn waarlangs je bij een storing het cloudverkeer van bedrijfskritieke applicaties en bepaalde werknemers kunt laten gaan. Die back-upverbinding mag best wat langzamer zijn dan de hoofdlijn. Beter iets dan niets.

Eigen verantwoordelijkheid

Overigens bestaat er een optie die de noodzaak vermindert om zelf alles te controleren en af te stemmen: de end-to-end verantwoordelijkheid bij één partij neerleggen. Dat kan dan een aanbieder zijn die én clouddiensten én eigen datacenters én eigen verbindingen heeft, of laatstgenoemde in eigen beheer aanbiedt. Maar zo’n end-to-end partij kan ook een integrator zijn.

Maar deze vorm van ‘cloudbesteding’ ontslaat de afnemer niet van een eigen verantwoordelijkheid. Het inzichtelijk maken van de keten blijft een punt van aandacht om de continuïteit van de eigen organisatie te waarborgen.


 

Jan-Paul Agema

Geschreven door Jan-Paul Agema

Jan-Paul Agema is hoofd juridische zaken en heeft ruim 14 jaar ervaring met ICT contracten en is gespecialiseerd in complexe outsourcing contracten met daarnaast een focus op contracteren aangaande multi-tenant platformen (o.a. ASP, SaaS, PaaS, IaaS). Hij is werkzaam binnen T-Systems sinds 1999.