De continuïteit van de cloud oplossing, escrow alleen is niet voldoende

Cloud computing krijgt steeds meer marktaandeel in de informatiemaatschappij. Cloud computing is een breed begrip, maar is eigenlijk een benaming voor de vele varianten van client-server technologie. Bij cloud computing kan het gaan om Software as a Service (SaaS), Desktop as a Service, Platform as a Service en de vele “XaaS”-businessmodellen die tegenwoordig gangbaar zijn en gebruik maken van de technieken achter cloud computing. Voor continuïteit is een multidisciplinaire aanpak nodig: niet alleen juridisch, maar ook niet alleen technisch.

Het uitbesteden van ICT is mogelijk, maar voor de verantwoordelijkheid geldt dat niet. De cloudafnemer is verantwoordelijk voor de continuïteit van “zijn” informatiesysteem en gegevensverwerking, niet zijn leverancier. Dat valt op te maken uit de wetgeving: zo eisen belastingwetten (fiscale bewaarplicht) en administratieplichten de beschikbaarheid van uw gegevens gedurende een jarenlange termijn. Administratie in de cloud moet ten minste 7 jaar inzichtelijk kunnen worden gemaakt. De beschikbaarheid van de cloud-oplossing en daarmee verwerkte gegevens is dus noodzakelijk voor het voldoen aan wettelijke plichten. Dit nog buiten de bedrijfskritische aard die een cloud-oplossing kan krijgen doordat de uitvoering van bedrijfsprocessen daarvan afhankelijk wordt. Met andere woorden: zonder de clouddienst kan het werk niet gedaan worden.

Het nemen van verantwoordelijkheid doen zowel cloudafnemers als hun leveranciers door het opzetten van een continuïteitsregeling. Het doel van die continuïteitsregeling is allereerst het onafgebroken gebruik veilig stellen: de calamiteit bij de cloud- of SaaS-leverancier moet zo min mogelijk gevolgen hebben voor de bedrijfsprocessen van de afnemer. Ten tweede moet de continuïteitsregeling oog hebben voor de lange termijn. Migreren naar een andere oplossing heeft niet de voorkeur, zeker als die behoefte er ook niet is en de oplossing – ondanks het wegvallen van de leverancier – tot tevredenheid is.

Voor het zekerstellen van de continuïteit van Cloud- en SaaS-diensten, is een broncode-escrowregeling niet voldoende. De broncode-escrowregeling stelt alleen het gebruik, onderhoud en doorontwikkeling van de software veilig. Voor het veiligstellen van een clouddienst, is veel meer nodig. De hardware en data staan immers niet meer op de systemen van de afnemer, maar bij zijn leverancier of een derde (hostingprovider). Voor hosted desktop omgevingen is het nodig dat licenties van softwaretoeleveranciers (bijvoorbeeld op besturingssystemen en virtualisatiesoftware) in stand blijven. Ook kan het beheer en de helpdesk essentieel zijn: arbeidskrachten van de leverancier dus.

Een continuïteitsregeling voor cloudoplossing is altijd maatwerk. Er dient allereerst door een gekwalificeerde IT-deskundige onderzocht te worden welke componenten van het informatiesysteem noodzakelijk zijn voor continuïteit. Vervolgens wordt bekeken welke technische maatregelen nodig zijn: controle en deponering van een broncode, het opstellen van een calamiteitenplan, het verzamelen van contactgegevens van essentiële personen, en periodieke hercontrole van de getroffen maatregelen.

Ook zijn juridische maatregelen essentieel: een goede contractenset is noodzaak. Zo maakt het bijvoorbeeld verschil of de leverancier eigenaar is van de hardware waarop de cloud-oplossing wordt uitgevoerd, of dat hij deze huurt. Wanneer software van toeleveranciers (bijvoorbeeld van besturingssystemen en virtualisatiesoftware) onderdeel uitmaakt van de clouddienst, moeten er onderhandelingen plaatsvinden en afspraken worden gemaakt. Hetzelfde geldt voor de inzet van essentiële arbeidskrachten. Wanneer een hostingprovider of co-locatieprovider essentiële diensten levert, moet er worden bekeken hoe deze wordt doorbetaald. Daarbij zijn diverse oplossingen mogelijk, zoals het juridisch onderbrengen van de oplossing bij een Stichting Continuïteit, het oprichten van een garantiefonds en/of opzetten van een notariële doorbetalingsregeling.

(Bron: http://www.it-jurist.nl)