All posts in Kennisbank voor de Zelstandige zonder personeel(ZZP), administratie, diversen

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor grote kwetsbaarheden in Citrix, RD Gateway’s en alle moderne Windows systemen welke actief worden aangevallen. De kwetsbaarheden stellen aanvallers in staat om eigen software uit te voeren op servers waarmee zij zich toegang kunnen verschaffen tot bedrijfsnetwerken. De kwetsbaarheden hebben al geleid tot hackpogingen op Ziekenhuis Leeuwarden en Gemeente Zutphen

Door de Windows kwetsbaarheid kan een aanvaller de kwetsbaarheid misbruiken om bijvoorbeeld een geïnfecteerde executabel op een systeem naar binnen te krijgen. Na een infectie kan een aanvaller een man-in-the-middle-aanval uitvoeren en versleutelde communicatie van het systeem afluisteren. Concreet betekent dit dat een aanvaller kwaadaardige programma’s kan en mag installeren op het (bedrijfs)netwerk en zorgt ermee dat beveiligingssystemen worden ontweken.

Is mijn organisatie vatbaar voor een aanval?

De volgende omgevingen zijn geïdentificeerd als kwetsbaar voor een aanval;

Citrix versies 10.5, 11.1, 12.0, 12.1 en 13.0, kwetsbaarheid:  CVE-2019-19781
•    Citrix (Netscaler) Application Delivery Controller
•    Citrix (Netscaler) Gateway

Microsoft omgevingen voorzien van RD Gateway, kwetsbaarheden: CVE-2020-0609, CVE-2020-0610 en CVE-2020-0612.
•    Windows Server 2012, 2012 R2
•    Windows Server 2016
•    Windows Server 2019


Windows versies, kwetsbaarheid: CVE-2020-0601
•    Windows 10
•    Windows Server 2016
•    Windows Server 2019

Er zijn tools gepubliceerd waarmee lekken in Citrix omgevingen direct en op grote schaal aangevallen kunnen worden. Aanvallers zijn actief opzoek naar kwetsbare servers om deze te infecteren. Over Citrix omgevingen stelt het NCSC; ‘Mocht u op dit moment nog geen mitigerende maatregelen hebben getroffen, dan moet u er rekening mee houden dat uw systeem gecompromitteerd is.’. Op het moment van schrijven zijn deze tools nog niet bekend voor Microsoft omgevingen. 

Hoe kan ik mijn systemen en organisatie beschermen?

Er zijn vanuit Citrix voor 2 van de 7 getroffen omgevingen patches beschikbaar gesteld waarmee kwetsbaarheden worden verholpen. Citrix verwacht op 24 januari 2020 patches voor de overige omgevingen uit te brengen. Citrix adviseert via zijn website mitigerende maatregelen om mogelijk misbruik tegen te gaan en het is aanbevolen om deze direct uit te voeren. 

Microsoft heeft afgelopen dinsdag beveiligingsupdates uitgebracht welke de enige remedie is tegen de aangetroffen kwetsbaarheden. Het is ten zeerste aanbevolen om deze direct te installeren. 

Voor beide omgevingen geldt dat de noodzaak van het aanhouden van de omgevingen overwogen dient te worden. Het open houden van de diensten en het nemen van mitigerende maatregelen dient in alle gevallen gebaseerd dient te zijn op een risicoafweging van de organisatie. In het uiterste geval kan worden besloten om deze, indien mogelijk, uit te schakelen.

(Bron: BDO)

Een nieuw jaar is begonnen, wat betekent dat u een deel van uw administratie weer kunt vernietigen. Een mooi moment dus voor een administratieve schoonmaak. Maar hoe lang moet u uw administratie bewaren? Dit hangt af van een aantal zaken. Wij zetten de regels voor u uiteen.

Bewaarplicht administratie 7 jaar

Als ondernemer bent u verplicht om uw administratie minstens zeven jaar te bewaren. Dat betekent concreet dat bijvoorbeeld facturen uit 2011 en eerder de papiervernietiger in mogen. Maar let op, sommige zaken moet u langer bewaren.

Bewaarplicht administratie 10 jaar

Voor zover uw administratie betrekking heeft op onroerende goederen, bent u verplicht om deze minstens tien jaar lang te bewaren. Dit heeft onder meer te maken met de herzieningstermijn voor onroerend goed voor de btw, die tien jaar bedraagt.

Bewaarplicht geldt ook digitaal

Het maakt voor de bewaartermijn niet uit of u uw administratie digitaal bijhoudt, in een papieren variant of beide. Alles moet zeven of tien jaar worden bewaard. Daarnaast is bepaald dat één en ander binnen een redelijke termijn te controleren moet zijn. Zorg er daarom voor dat u uw digitale bestanden overzet naar actuele software.

Wat behoort tot uw administratie

Wat tot een administratie behoort, is niet wettelijk omschreven. Wel dat u verplicht bent alle boeken, bescheiden en andere gegevensdragers te bewaren die van belang kúnnen zijn voor uw belastingheffing. Dit is een breed begrip. Ook een agenda en contracten zijn voorbeelden die tot de administratie behoren.

Ook ten aanzien van derden

Ook alle administratie die van belang kan zijn voor de heffing van belasting van derden, moet u bewaren. Zo kan de fiscus aan de hand van uw verkoopfacturen bijvoorbeeld nagaan wat de inkoop van uw afnemers moet zijn geweest.

Sancties

De inspecteur kan eisen dat u bij een controle de gevraagde gegevens uit uw administratie overlegt. U moet ook toestaan dat hiervan kopieën gemaakt worden. Is de administratie niet in uw bezit, dan kan de inspecteur inzage eisen via een informatiebeschikking. Kunt u de gevraagde gegevens niet ophoesten? Dan kan de inspecteur een aanslag opleggen en daarbij de bewijslast omdraaien.

Heeft u naar aanleiding van dit artikel nog vragen over de bewaarplicht voor uw administratie? Neem dan gerust contact met ons op.. Wij helpen u graag verder!

h

Als u als ondernemer verhuist, kunt u onder voorwaarden de kosten ervan ten laste van de winst brengen. Soortgelijke voorwaarden gelden ook als u uw personeel een belastingvrije vergoeding wilt geven vanwege een verhuizing. Wanneer zijn de verhuiskosten zakelijk?

Zakelijkheid voorop

Uitgangspunt is dat verhuiskosten voor een ondernemer aftrekbaar zijn. U kunt verhuiskosten belastingvrij aan uw personeel vergoeden als het een zakelijke verhuizing betreft. Voor beide situaties geldt een vast bedrag van € 7.750. Dit bedrag is exclusief de kosten van het overbrengen van de inboedel, die u ook mag aftrekken.

Zakelijke verhuizing

Een verhuizing is in ieder geval zakelijk als u als ondernemer binnen twee jaar, na de start of verplaatsing van uw bedrijf, verhuist. Voor uw werknemer geldt de eis dat zij binnen twee jaar na aanvaarding van een andere baan of overplaatsing verhuizen. Bovendien moet voor zowel u als uw werknemers de afstand woning-werk vóór verhuizing minstens 25 km bedragen en moet na verhuizing die afstand met minstens 60% zijn afgenomen.

Voorbeeld: U woont in Utrecht en start een onderneming in Apeldoorn. U besluit daarom binnen twee jaar na de start te verhuizen naar Deventer.
Uitwerking: De afstand Utrecht-Apeldoorn bedraagt 67 km. De afstand Deventer-Apeldoorn bedraagt 18 km. De afstand vóór verhuizing bedroeg dus meer dan 25 km. De afstand na verhuizing is met 49 km bekort, ofwel met 73%. U voldoet dus aan beide voorwaarden en kunt een bedrag van € 7.750 plus de kosten van het overbrengen van de inboedel ten laste van de winst brengen.

Zakelijkheid aantonen

Een verhuizing is ook zakelijk als niet aan de voorwaarden voldaan wordt maar de zakelijkheid aangetoond kan worden. Een werknemer verhuist bijvoorbeeld pas na twee jaar omdat hij een andere functie krijgt en daarom voortaan bij een inbraakalarm binnen 15 minuten ter plekke moet zijn. De zakelijkheid moet u in dergelijke situaties aannemelijk kunnen maken.

Tip: Bij een niet zakelijke verhuizing kunt u belastingheffing bij uw werknemers voorkomen door de vergoeding onder te brengen in (de vrije ruimte van) de werkkostenregeling.

(Bron: SRA)

Als ondernemer bent u verplicht een administratie te voeren en zodanig in te richten dat de fiscus uw fiscale verplichtingen hieruit eenvoudig kan afleiden. Onlangs heeft de Belastingdienst meer duidelijkheid gegeven over deze bewaarplicht in relatie tot de toenemende digitalisering van het bedrijfsleven.

Update software en bestanden

De bewaarplicht vereist dat software en bestanden ook in de toekomst toegankelijk blijven. Dit betekent dat updates vereist kunnen zijn, maar ook dat nieuwe systemen en software met ‘oude’ bestanden overweg moeten kunnen.

Comprimeren van gegevens

Gegevens mogen, vanwege bijvoorbeeld de grootte, gecomprimeerd worden, op voorwaarde dat de detailgegevens – ook in het kader van de AVG – toegankelijk blijven bij een eventuele controle.

Conversie

Ook het omzetten van gegevens in een andere vorm, conversie, is onder voorwaarden toegestaan. Dat geldt alleen niet voor de papieren balans en resultatenrekening. Er geldt een aantal voorwaarden, waarvan de belangrijkste is dat geconverteerde gegevens binnen een redelijke termijn weer reproduceerbaar moeten zijn.

Digitale gegevensdragers

Digitale gegevensdragers zijn er in verschillende vormen, zoals online en op DVD. Sommige vormen stellen extra eisen aan de waarborging van de authenticiteit. Een factuur die bijvoorbeeld via de mail ontvangen wordt, is niet authentiek indien deze wordt geprint. Aanvullende organisatorische actie is dan vereist, zoals bijvoorbeeld een back-up van de mail.

Verstrekken van informatie

Ook bij de informatievoorziening richting fiscus komt digitalisering om de hoek kijken. De voorkeur heeft het aanleveren via de beveiligde filetransfer van de Belastingdienst.

Let op! Er zijn individuele afspraken te maken over de manier waarop bestanden kunnen worden aangeleverd, met name als de grootte van bestanden het aanleveren op gebruikelijke opslagmedia niet mogelijk maakt.

Bewaartermijn

De fiscus hanteert een standaard bewaartermijn van zeven jaar, maar in bepaalde gevallen, zoals bij onroerend goed, is een langere bewaartermijn van toepassing. Er zijn ook nu afspraken te maken over de bewaarplicht, teneinde de uitvoering ervan te vereenvoudigen.

Heeft u vragen over uw digitale bewaarplicht, neem dan contact met ons op.

(Bron: HLB)

Bij het verwerken van facturen wordt met gevoelige informatie van klanten gewerkt via een website of per e-mail. Deze gegevens worden vaak gedeeld met een partner die de factuurverwerking voor een klant voor zijn rekening neemt. Toch is de beveiliging van die gegevens niet altijd op orde, blijkt uit de resultaten van www.internet.nl.

 

Is het wel kostenefficiënt?

De factuurverwerkingspartner die elektronische verzending en ontvangst van facturen in UBL-formaat mogelijk maakt, kan diverse stappen nemen om de gegevens te beveiligen. Zo zijn er een aantal grote partijen die werken via een beveiligd kanaal en e-mail vermijden. Dat kan op zich de veiligheid verhogen, maar het kan drempels opwerpen die ten koste gaan van het gebruikersgemak. Er zijn ook mogelijkheden om e-mailverbindingen beter te beveiligen. Bovendien wordt het zeer kostbaar om simpele stromen op deze wijze te beveiligen.

 

Bij een aanbesteding maakt een overheidsorganisatie bekend dat zij een opdracht wil laten uitvoeren. De opdrachtgever vraagt bedrijven een offerte uit te brengen. Aanbestedingsprocedures vinden plaats in 3 fasen:

  • de aankondigingsfase;
  • de inschrijvingsfase;
  • de gunningsfase.

Dit stappenplan helpt u bij het doorlopen van een aanbestedingsprocedure. Als u wilt inschrijven op een aanbestede opdracht, gaat u een uitgebreid offertetraject in. U en de aanbestedende overheidsorganisatie moeten zich houden aan de aanbestedingsregels. De eGids van TenderNed biedt u een begrippenlijst.

Stappen

1. Zoek online naar (voor)aankondigingen van opdrachten

Op TenderNed.nl vindt u (voor)aankondigingen van overheidsopdrachten. TenderNed kan u attenderen op voor u relevante aanbestedingen. U moet zich registreren met eHerkenning.

2. Vraag aanbestedingsstukken op en beoordeel de criteria

In de aanbestedingsstukken geeft de overheidsorganisatie een exacte omschrijving van de aanbestede opdracht. Hierin vindt u de procedure en de selectie- en gunningscriteria.

3. Stel vragen over onduidelijkheden in aanbestedingsstukken

Als er onduidelijkheden staan in de aanbestedingsstukken, kunt u hier vragen over stellen aan de opdrachtgever. Deze beantwoordt alle vragen in een Nota van Inlichtingen.

4. Schrijf in op de opdracht of stel een offerte op

Als u in aanmerking wilt komen voor een aanbestede opdracht, moet u hierop inschrijven of een offerte opstellen. U volgt daarbij nauwkeurig de instructies uit de aanbestedingsstukken.

5. Sluit een aanbestedingscontract af met de opdrachtgever

Als de opdracht u gegund wordt, sluit u een contract af met de aanbestedende overheidsorganisatie. Dit kan ook een contractverlenging of raamovereenkomst zijn.

(Bron: Ondernemingsplein)

Min de tekstverwerker, draaien al onze software programma’s die wij gebruiken in de cloud. Ook onze data slaan wij voor een deel op in de cloud. In het bedrijfsleven maar ook in de zorg en bij de overheid zie je steeds vaker dat er gekozen wordt voor een cloud-oplossing. Deze “oplossing” kan bijvoorbeeld bestaan uit een back-up in de cloud, een e-mailservice, een applicatie waarbij de ingevoerde data wel in huis wordt opgeslagen of een systeem wat alle door een organisatie benodigde functionaliteiten bevat waarbij tevens de data buitenshuis wordt opgeslagen.

Maar wat als de cloud-dienstverlener failliet gaat, in surceance van betaling verkeert of gewoon besluit de door u afgenomen dienst te beëindigen? Dan moet u op de een of andere manier regelen dat u uw data en toegang tot de applicatie behoudt. Als uw data zo is opgeslagen dat u het kunt migreren, dan hoeft u natuurlijk niet eindeloos toegang te behouden tot de applicatie. Enkel voor de duur van de migratie.

De klassieke oplossing voor dit probleem was de escrow. Sinds het Nebula-arrest van 2006 geeft de escrow een stuk minder zekerheid. De Hoge Raad overwoog twee beginselen uit de Faillissementswet. Een faillissement doet geen afbreuk aan bestaande overeenkomsten en (daartegenover) de gelijke behandeling van de schuldeisers. Hij kwam tot het volgende oordeel: het feit dat een schuldeiser een duurovereenkomst heeft met de gefailleerde, geeft hem niet het recht de overeenkomst uit te oefenen als was er geen faillissement. Dit zou een tot ongelijke behandeling leiden van de schuldeisers ook al ging het in dit geschil alleen maar om het toestaan van het gebruik. Om deze reden mag de curator wanprestatie leveren indien dit in belang is van de boedel. In het geschil ging het om een duurovereenkomst met betrekking tot een zaak, een huis. Echter, in de literatuur wordt er vanuit gegaan dat het Nebula-arrest ook van toepassing is op licenties. Natuurlijk zou het fijn zijn als de Hoge Raad zich hier specifiek over uit liet, maar tot nog toe is dat niet gebeurd.

Een klassieke escrow was al niet erg geschikt om de continuïteit van uw cloud-oplossing te waarborgen. Deze escrow regelt immers enkel iets voor het software pakket en niet voor uw data en beide in de meeste gevallen ook niet realtime. Doch nu de curator een kruis mag zetten door uw licentie, is de waarde nog minder. Als u geen licentie heeft mag u ook geen gebruik maken van een softwarepakket. Ook niet als u zich wel toegang tot dat pakket kan verschaffen en zelfs met behulp van de broncode een ander het onderhoud laten doen.

Daar er wel een grote verschuiving plaatsvindt waarbij ondernemingen en overheidsinstanties steeds vaker niet zelf een server hebben maar kiezen voor de cloud, is het van belang om ook in tijden van onzekerheid de bedreigingen te kunnen pareren. De gevolgen kunnen vergaand zijn als bijvoorbeeld de failliet niet tijdig door een derde wordt overgenomen. Als het gaat om een application service provider kunt u de toegang tot de applicatie verliezen en belangrijker nog: uw data.

U en uw cloud-dienstverlener kunnen de bedreigingen pareren en de uitdaging aangaan met een aantal vooraf gemaakte contractuele afspraken op maat.

(Bron: Cloudrecht.nl)

Een elektronische handtekening maakt het mogelijk om vertrouwelijke documenten veilig via internet te versturen. Wat heeft u er voor nodig en hoe werkt het?

Wat is een elektronische handtekening?
Een handtekening onder een brief geeft zekerheid over de identiteit en de wilsuiting van de afzender. Ook bij digitaal verstuurde documenten kan dit gewenst zijn. De elektronische handtekening is het elektronische equivalent van een geschreven handtekening. Het is een geheel van elektronische gegevens, dat is vastgehecht aan andere elektronische gegevens en dat wordt gebruikt voor het identificeren van de ondertekenaar(s).

De elektronische handtekening regelt:

  • zekerheid over de wilsuiting (en de identiteit) van de afzender;
  • zekerheid dat het bericht niet is gewijzigd (integriteit).

Soms is een brief zo belangrijk dat de afzender er zeker van wil zijn dat de ontvanger, de medeondertekenaar, degene is die hij zegt te zijn. Uitsluitend de elektronische handtekening levert geen vertrouwelijkheid op. Een vertrouwelijke brief, die alleen door de geadresseerde mag worden gelezen, moet worden versleuteld. Dat kan met encryptie. Door het coderen (versleutelen) worden de gegevens onleesbaar gemaakt voor buitenstaanders. De geautoriseerde ontvanger kan de geëncrypteerde gegevens decoderen, waardoor de originele informatie weer verschijnt (decryptie).

Encryptie regelt dus:

  • versleutelde data (vertrouwelijkheid en privacy) op internet.

Een elektronische handtekening garandeert iemands identiteit. E-mails die bijvoorbeeld een koopakte, arbeidscontract of vervoersdocument bevatten en zijn voorzien van een gekwalificeerde elektronische handtekening, hebben dezelfde rechtskracht als hun papieren evenknie.

Uitvoering
Van de elektronische handtekening bestaan drie uitvoeringen:

  • Een gewone (niet-gekwalificeerde) elektronische handtekening.
  • Een geavanceerde elektronische handtekening is persoonsgebonden. U kunt hier mee aantonen waar het document van afkomstig is, maar de bewijslast ligt bij u. In Nederland kunt u hiervoor bijvoorbeeld bij Xolphin terecht.
  • Een gekwalificeerde elektronische handtekening is persoonsgebonden en juridisch compleet waterdicht. De bewijslast ligt in dit geval niet bij u, maar bij de ander. Via de website van een zogenaamde ‘Trusted Third Party’ (TTP) of certificatiedienstverlener is er eenvoudig een aan te vragen. Een lijst met certificatiedienstverleners staat op de site van de Aurtoriteit Consument & Markt.

De prijs van een elektronische handtekening wordt mede bepaald door het aantal dat u afneemt.

Gewone (of niet-gekwalificeerde) elektronische handtekening
De niet-gekwalificeerde elektronische handtekening is eenvoudig. Een e-mailbericht waaronder u uw naam zet, valt onder deze categorie, maar ook een ingescande handtekening. Voor het dagelijks berichtenverkeer is deze vorm toereikend, zolang er geen juridische gevolgen aan zijn verbonden. Nadeel is wel dat er niet met 100% zekerheid kan worden gezegd dat de aanvrager ook daadwerkelijk degene is die wordt genoemd.

Geavanceerde elektronische handtekening
Een geavanceerde elektronische handtekening kent meer waarborgen dan een ‘gewone’ handtekening. De Wet elektronische handtekeningen stelt er de volgende eisen aan:

  • de handtekening is op een unieke manier aan de ondertekenaar verbonden;
  • de handtekening maakt het mogelijk de ondertekenaar te identificeren;
  • de manier waarop de handtekening wordt gemaakt, staat onder exclusieve controle van de ondertekenaar;
  • de handtekening is op dusdanige wijze met het bestand – waarvoor het geldt – verbonden, dat elke naderhand aangebrachte wijziging kan worden opgespoord.

De geavanceerde elektronische handtekening is al verkrijgbaar voor een paar tientjes (onbeperkt gebruik).

Gekwalificeerde elektronische handtekening
Uiteraard is de geavanceerde elektronische handtekening ook persoonsgebonden. U koopt daartoe een persoonsgebonden certificaat (meestal op smartcard, of USB-stick).

Certificatiedienstverleners worden zogenoemde Trusted Third Parties (TTP) genoemd. Zij koppelen een unieke code aan een persoon en leggen die code vast in een digitaal certificaat. Het certificaat verbindt de gegevens voor het verifiëren van een handtekening aan een bepaalde persoon en bevestigt daarmee de identiteit van de eerstgenoemde persoon.

Tip v

Als tussentijds een nieuwe computer wordt aangeschaft, moet het bestand met daarop de elektronische handtekening ook mee verhuizen naar de nieuwe computer. Vaak wordt dit vergeten en moet de ondernemer halverwege de looptijd van de handtekening weer een nieuwe aanvragen. Een kostbare aangelegenheid en een hoop werk.
Zorg er dus voor dat u altijd een kopie van de betrokken bestanden hebt (uiteraard niet op dezelfde computer) en/of een back-up.

PKI-certificering
PKI (Public Key Infrastructure) is een basis voor veilige communicatie bij communicatie met een onbekende. Dat laatste komt in het ‘internet-tijdperk’ steeds vaker voor en PKI biedt dan de zekerheid dat u inderdaad van doen heeft met de persoon die een ander beweert te zijn.

Praktisch gesproken is het een verzameling van technische en organisatorische voorzieningen, waarmee versleuteling (encryptie) wordt ondersteunt. Een centrale rol hierbij wordt vervuld door een derde partij.
Die derde parij moet namelijk de identiteit bevestigen van de eigenaar van een bepaalde sleutel. Die validatie gebeurt door er een bewijs van vertrouwen – een certificaat – aan te koppelen. Dit digitale certificaat is voor iedereen het bewijs dat een publieke sleutel bij een bepaalde persoon hoort.

De derde partij wordt natuurlijk alleen maar vertrouwd, wanneer het een wettelijk erkende instelling is die algemeen vertrouwen geniet. Afhankelijk van de aard van hun dienstverlening wordt zo’n instelling Trusted Third Party (TTP) genoemd, Certification Authority (CA) of Certification Service Provider (gecertificeerde certificatiedienstverlener).

Een gekwalificeerde elektronische handtekening voldoet aan alle wettelijke eisen, is net zo betrouwbaar als een geschreven handtekening en heeft dus dezelfde rechtsgevolgen. Kortom: u bent voor 100% zeker van juridische bewijskracht.

Een geavanceerde elektronische handtekening kan overigens ook als juridisch bewijs gelden. Dat gebeurt dan op basis van gemaakte afspraken met uw wederpartij, afhankelijk van de aard van de transactie, het doel waarvoor de gegevens zijn verzonden of andere omstandigheden.

(Bron: De Zaak bewerkt)

 

Inleiding

Het sluiten van een goed IT-contract blijkt in de praktijk een hele kunst te zijn. Vaak bieden IT-contracten onvoldoende duidelijkheid over wat er precies geleverd en gepresteerd moet worden en onder welke voorwaarden. Ook komt het geregeld voor dat het contract – of de bijbehorende algemene voorwaarden – veel te eenzijdig zijn, zodat vrijwel alle verantwoordelijkheden en risico’s bij één partij komen te liggen.

Het loont om goed naar het contract te kijken. Een evenwichtig en volledig contract vormt weliswaar geen garantie voor een geslaagd project, maar kan de kans op mislukkingen wel aanmerkelijk verkleinen. Het inzoomen op de contractuele voorwaarden heeft bovendien vaak ook een helende werking, in die zin dat potentiële onduidelijkheden of risico’s nog voor het sluiten van het contract boven komen drijven en nog geadresseerd kunnen worden.

De vraag is uiteraard wat een goed contract is. Die vraag is moeilijk eenduidig te beantwoorden en zal afhangen van concrete omstandigheden van het geval. Met de onderstaande checklist kunt u zelf toetsen of uw IT-contract de belangrijkste te regelen zaken bevat. Uiteraard is daarmee nog niet gezegd dat de zaken ook goed geregeld zijn en dat uw belangen in het contract goed gewaarborgd zijn. Het verdient aanbeveling om ook dat te (laten) toetsen.

Het contract moet in elk geval antwoord geven op de volgende vragen:

Algemeen

  1. Wat is het onderwerp van de overeenkomst? Waar gaat de overeenkomst over en wat moet er dus allemaal in worden geregeld? Staat dit in de overwegingen en de rest van het contract voldoende duidelijk omschreven?
  2. Indien er meerdere overeenkomsten zijn: is de samenhang tussen de verschillende overeenkomsten goed geregeld?
  3. Indien er een aanbestedingsprocedure is gevolgd, blijkt dit uit de overwegingen? Zijn er voorzieningen getroffen voor het geval er zich gebreken voordoen in die aanbesteding?
  4. Zijn de bijlagen van de overeenkomst compleet en in de meest recente versie bijgevoegd? Is duidelijk hoe de bijlagen zich onderling verhouden?
  5. Zijn er algemene voorwaarden van toepassing verklaard en zijn deze bijgevoegd? Zijn deze voorwaarden acceptabel?

Leveringsomvang

  1. Is duidelijk omschreven welke producten er precies worden geleverd? Welke software, hardware en eventuele overige goederen?
  2. Is duidelijk omschreven welke diensten er precies worden geleverd? Denk bijvoorbeeld aan installatie en implementatie van software, het ontwikkelen van maatwerksoftware, consultancy, onderhoud, hosting, enz.
  3. Zijn er duidelijke specificaties voor de te leveren producten? Zo ja, zijn die opgenomen in of als bijlage bij de overeenkomst gevoegd?
  4. Zijn de te verrichten diensten duidelijk omschreven in de overeenkomst of de bijlagen?

Levertijden en implementatie

  1. Is bepaald wanneer de producten en diensten moeten worden geleverd? Gaat het hier om fatale termijnen of slechts om streefdata? (NB: let op eventuele bepalingen in de algemene voorwaarden)
  2. Indien er een implementatietraject nodig is: is er een goed plan van aanpak of ander document (zoals een PID of implementatieplan) en is dit onderdeel van de overeenkomst?
  3. Zijn de wederzijdse taken en verantwoordelijkheden voldoende duidelijk uitgewerkt? (wie doet wat en wanneer?)
  4. Moet er data worden overgebracht (gemigreerd en/of geconverteerd) van het oude naar het nieuwe systeem? Wie is daarvoor verantwoordelijk en welke eisen gelden daarvoor?
  5. Is er een duidelijke acceptatieprocedure in het contract opgenomen en is duidelijk welke rechten de afnemer heeft indien de producten/diensten niet geaccepteerd worden?

Software

  1. Indien er software wordt geleverd: hoe wordt de software afgenomen en is dit duidelijk vastgelegd in de overeenkomst? Gaat de software draaien op apparatuur van de afnemer of is er sprake van Software as a Service (SaaS), waarbij de afnemer via een netwerk toegang krijgt tot de software? Gaat het om cloud computing waarbij niet duidelijk is waar de software en/of data opgeslagen zijn?
  2. Indien sprake is van SaaS en cloud computing: zijn er voorzieningen getroffen om de beschikbaarheid van dat netwerk te borgen? Wat gebeurt er bij uitval van het systeem? Kunt u bij uw data? Worden er backups gemaakt, wie is daarvoor verantwoordelijk en waar worden deze opgeslagen? Voldoet het gebruikte netwerk aan de wettelijke eisen omtrent beveiliging en privacy?
  3. Dient er nog software ontwikkeld te worden en zo ja, wanneer en hoe en door wie?
  4. Is er sprake van open source software en zo ja, is hiermee rekening gehouden in de overeenkomst?

Licenties en intellectuele eigendom

  1. Dekken de software licenties het voorgenomen gebruik?
  2. Zijn er beperkende licentievoorwaarden en zijn die acceptabel?
  3. Indien er sprake is van software van derden, worden de licenties hiervoor meegeleverd? Is duidelijk welke partij kan worden aangesproken bij eventuele problemen met die licenties?
  4. Wie heeft de intellectuele eigendomsrechten op eventueel maatwerk?

Prijzen en betalingen

  1. Is voor alle te leveren producten en diensten duidelijk wat er betaald moet worden?
  2. Zijn de betaalmomenten duidelijk bepaald? Lopen de betalingen in de pas met de (deel)leveringen?
  3. Wat is er bepaald over prijsaanpassingen, meerwerk, minderwerk en indexatie?

Onderhoud

  1. Wat houdt onderhoud precies in? Alleen bugfixing of meer? Is er een aparte SLA met concrete service levels waaraan bepaalde onderhoudsprestaties moeten voldoen? Wordt gesproken over oplostijden of alleen responstijden?
  2. Zijn er sancties opgenomen voor het niet voldoen aan de onderhoudsverplichtingen / het niet halen van de service levels?
  3. Wat valt er niet onder het onderhoud? Zijn de daarmee samenhangende risico’s voldoende gewaarborgd in uw eigen organisatie of bij derde leveranciers?

Samenhang met andere software en hardware

  1. Moet de geleverde software/hardware samenwerken met bestaande systemen? Zo ja, komt dat voldoende duidelijk naar voren in de overeenkomst?
  2. Zijn er duidelijke afspraken welke partij in de implementatiefase de koppeling van de verschillende systemen realiseert? Is de eventueel noodzakelijke medewerking van andere partijen geregeld?
  3. Is duidelijk welke partij na implementatie kan worden aangesproken op het functioneren van het gehele systeem (de som der delen)? Is één partij eindverantwoordelijk, of coördineert één partij de werkzaamheden van alle betrokken partijen?
  4. Sluiten de bestaande contracten rondom de te koppelen systemen aan op het voorliggende contract?

Looptijd en beëindiging

  1. Wat is de ingangsdatum en de looptijd van de overeenkomst(en)?
  2. Kan de overeenkomst tussentijds worden opgezegd? Is er een voldoende ruimte opzegtermijn? Zijn de eventueel nadere voorwaarden hiervoor acceptabel?
  3. Kan de overeenkomst worden ontbonden bij bijvoorbeeld faillissement of wanprestatie van de andere partij?
  4. Wat zijn de gevolgen van een eventuele beëindiging? Is het noodzakelijk om voorzieningen te treffen voor de overstap naar een ander systeem bij het einde van de overeenkomst (zoals conversie van gegevens, eventueel verlengd gebruik van de software, etc.)? Zo ja, zijn die voorzieningen op acceptabele voorwaarden getroffen?

Aansprakelijkheid

  1. Zijn er voldoende mogelijkheden om schadevergoeding te claimen in geval van tekortkomingen (bijvoorbeeld te late of ondeugdelijke levering of ernstige verstoringen in het gebruik)?
  2. Is de wederpartij voldoende solvabel om een schadevergoeding in voorkomend geval te betalen? Zijn er voorzieningen getroffen om het risico op een slechte solvabiliteit te ondervangen (verzekering, bankgarantie, etc.)

Overige bepalingen

  1. Is Nederlands recht van toepassing? Is de Nederlandse rechter bevoegd?
  2. Willen partijen de mogelijkheid hebben eventuele geschillen te beslechten via arbitrage of mediation?

(Bron: Dirkzwager)

 

Cloud computing krijgt steeds meer marktaandeel in de informatiemaatschappij. Cloud computing is een breed begrip, maar is eigenlijk een benaming voor de vele varianten van client-server technologie. Bij cloud computing kan het gaan om Software as a Service (SaaS), Desktop as a Service, Platform as a Service en de vele “XaaS”-businessmodellen die tegenwoordig gangbaar zijn en gebruik maken van de technieken achter cloud computing. Voor continuïteit is een multidisciplinaire aanpak nodig: niet alleen juridisch, maar ook niet alleen technisch.

Het uitbesteden van ICT is mogelijk, maar voor de verantwoordelijkheid geldt dat niet. De cloudafnemer is verantwoordelijk voor de continuïteit van “zijn” informatiesysteem en gegevensverwerking, niet zijn leverancier. Dat valt op te maken uit de wetgeving: zo eisen belastingwetten (fiscale bewaarplicht) en administratieplichten de beschikbaarheid van uw gegevens gedurende een jarenlange termijn. Administratie in de cloud moet ten minste 7 jaar inzichtelijk kunnen worden gemaakt. De beschikbaarheid van de cloud-oplossing en daarmee verwerkte gegevens is dus noodzakelijk voor het voldoen aan wettelijke plichten. Dit nog buiten de bedrijfskritische aard die een cloud-oplossing kan krijgen doordat de uitvoering van bedrijfsprocessen daarvan afhankelijk wordt. Met andere woorden: zonder de clouddienst kan het werk niet gedaan worden.

Het nemen van verantwoordelijkheid doen zowel cloudafnemers als hun leveranciers door het opzetten van een continuïteitsregeling. Het doel van die continuïteitsregeling is allereerst het onafgebroken gebruik veilig stellen: de calamiteit bij de cloud- of SaaS-leverancier moet zo min mogelijk gevolgen hebben voor de bedrijfsprocessen van de afnemer. Ten tweede moet de continuïteitsregeling oog hebben voor de lange termijn. Migreren naar een andere oplossing heeft niet de voorkeur, zeker als die behoefte er ook niet is en de oplossing – ondanks het wegvallen van de leverancier – tot tevredenheid is.

Voor het zekerstellen van de continuïteit van Cloud- en SaaS-diensten, is een broncode-escrowregeling niet voldoende. De broncode-escrowregeling stelt alleen het gebruik, onderhoud en doorontwikkeling van de software veilig. Voor het veiligstellen van een clouddienst, is veel meer nodig. De hardware en data staan immers niet meer op de systemen van de afnemer, maar bij zijn leverancier of een derde (hostingprovider). Voor hosted desktop omgevingen is het nodig dat licenties van softwaretoeleveranciers (bijvoorbeeld op besturingssystemen en virtualisatiesoftware) in stand blijven. Ook kan het beheer en de helpdesk essentieel zijn: arbeidskrachten van de leverancier dus.

Een continuïteitsregeling voor cloudoplossing is altijd maatwerk. Er dient allereerst door een gekwalificeerde IT-deskundige onderzocht te worden welke componenten van het informatiesysteem noodzakelijk zijn voor continuïteit. Vervolgens wordt bekeken welke technische maatregelen nodig zijn: controle en deponering van een broncode, het opstellen van een calamiteitenplan, het verzamelen van contactgegevens van essentiële personen, en periodieke hercontrole van de getroffen maatregelen.

Ook zijn juridische maatregelen essentieel: een goede contractenset is noodzaak. Zo maakt het bijvoorbeeld verschil of de leverancier eigenaar is van de hardware waarop de cloud-oplossing wordt uitgevoerd, of dat hij deze huurt. Wanneer software van toeleveranciers (bijvoorbeeld van besturingssystemen en virtualisatiesoftware) onderdeel uitmaakt van de clouddienst, moeten er onderhandelingen plaatsvinden en afspraken worden gemaakt. Hetzelfde geldt voor de inzet van essentiële arbeidskrachten. Wanneer een hostingprovider of co-locatieprovider essentiële diensten levert, moet er worden bekeken hoe deze wordt doorbetaald. Daarbij zijn diverse oplossingen mogelijk, zoals het juridisch onderbrengen van de oplossing bij een Stichting Continuïteit, het oprichten van een garantiefonds en/of opzetten van een notariële doorbetalingsregeling.

(Bron: http://www.it-jurist.nl)