Contracteren in de Cloud; waar moet je als SaaS afnemer op letten? Drie juridische tips!
Cloud computing, ooit een noviteit, is inmiddels dagelijkse praktijk. Cloud computing is het on-demand leveren (of ontvangen) van IT-diensten via internet, zoals servers, netwerken, datacenters en software. Voor organisaties die IT diensten nodig hebben zijn fysieke datacenters en on-premise licenties die worden beheerd op de eigen server verleden tijd. De meest bekend vorm van cloud computing is Software as a Service, oftewel SaaS. Bij een SaaS dienst krijgt de gebruiker software -in abonnementsvorm- aangeboden via het internet. De gebruiker is geen eigenaar van de software. Om de SaaS dienst te kunnen afnemen sluiten de IT leverancier en de gebruiker veelal een SaaS-overeenkomst.
Op het gebruik van SaaS-oplossingen is nog geen specifieke dwingendrechtelijke regelgeving van toepassing. De geldende wettelijke kaders van het verbintenissenrecht spelen bij de totstandkoming van de SaaS-overeenkomst daarom een grote rol. Dit biedt voor ruimte creativiteit, maar oplettendheid is geboden. Lees hier drie juridische tips voor SaaS afnemers van ICT-advocaat Erwin Mazaira.
Ben jij een (potentiële) afnemer van een SaaS-dienst? Let dan op de volgende drie risico’s binnen de SaaS-overeenkomst:
Tip 1: Let op termen zoals ‘As available’
SaaS-aanbieders gebruiken in hun contracten graag de term ‘As Available’. Hiermee proberen de dienstverleners hun verantwoordelijkheden -als het gaat om de beschikbaarheid van de software- zo veel als mogelijk weg te schrijven. Met een ‘As Available’ bepaling wordt bedoeld dat er geen zekerheid is dat de software beschikbaar is op het moment dat de afnemer de software wil gebruiken. De gevolgen van down time door updates, onderhoud en storingen komen volledig voor risico van de afnemer, terwijl voor de afnemer beschikbaarheid juist van essentieel belang is.
Tip 2: Let op hoge kosten bij exit en dataportabiliteit
Een afnemer is al snel afhankelijk van zijn SaaS-dienstverlener. De data van het bedrijf wordt buiten de eigen omgeving gehost en er is geen volledige controle meer over die gegevens. Ook kan de interoperabiliteit (samenwerking tussen het bestaande systeem van de klant en dat van de leverancier) of dataportabiliteit (het overbrengen van gegevens) problematisch zijn. Bijvoorbeeld omdat de leverancier geen mogelijkheden voor integratie met andere systemen aanbiedt. Het wordt voor de afnemer dan steeds moeilijker om over te stappen naar een andere dienstverlener. Er zijn ook financiële overstapbelemmeringen. Zo rekenen aanbieders veelal hoge kosten voor het verplaatsen van data naar een andere aanbieder. Hierdoor komen gebruikers vast te zitten aan aanbieders. Dit fenomeen staat bekend als vendor lock-in en kan de flexibiliteit en keuzevrijheid van de afnemer behoorlijk beperken.
Tip 3: Wat te doen bij faillissement van de SaaS-leverancier?
Een faillissement van de SaaS leverancier leidt ertoe dat de SaaS dienst niet meer beschikbaar is. Immers, de onderneming van de leverancier valt stil door het faillissement. Een SaaS afnemer heeft dan een groot continuïteitsprobleem en mogelijk geen toegang meer tot haarbedrijfsgegevens. Bij contractonderhandelingen wordt hier niet altijd de volle tijd en aandacht aan besteed. Het is immers een scenario waar een leverancier liever niet aan denkt. Om niet volledig afhankelijk te worden van een curator, die mogelijk geen kennis heeft van ICT, of een curator die besluit de intellectuele eigendomsrechten rechten op de software aan een andere partij te verkopen, of simpelweg de dienstverlening te beëdigingen, zijn er op voorhand voorzieningen te treffen die de schade kunnen beperken als de leverancier niet meer kan leveren.
Escrow sourcecode voldoet niet bij faillissement
In de “traditionele” IT contracten werden de gevolgen van een faillissement veelal ondervangen met een sourcecode escrow. Bij een SaaS-oplossing werkt dat niet feilloos. Immers, de broncode lost het probleem van discontinuïteit niet op. De SaaS-oplossing bestaat uit een volledig ingericht systeem en data en alleen maar een broncode gaat die oplossing niet bewerkstelligen. Dit probleem kan worden opgelost door de omgeving waarin de software draait (en data worden opgeslagen) te kopiëren (spiegelen) of daartoe een directe toegang te regelen. Dit wordt ook wel de mirror-omgeving genoemd. De afnemer kan in geval van een faillissement van de leverancier, dan overschakelen naar de mirror-omgeving. Hier spelen juridische vragen zoals welke juridische entiteit de mirror-omgeving gaat draaien, hoe komen de intellectuele eigendomsrechten (broncode) daarin terecht en -uiteraard- dient het een en ander contractueel afgedicht te worden.
Nieuwe maatregelen (Data Act) die ervoor zorgen dat klanten soepel kunnen overstappen tussen diverse SaaS-aanbieders
Het goede nieuws is dat er wetgeving op komst is die hier verandering in moet gaan brengen. De Europese Commissie heeft een voorstel gedaan voor de Data Act. Het voorstel bevat onder meer maatregelen die ervoor moeten zorgen dat klanten soepel kunnen overstappen tussen verschillende aanbieders.
We moeten het nu nog doen zonder de Data Act. Neem als afnemer daarom duidelijke bepalingen op in de SaaS-overeenkomst die de mogelijkheid bieden om over te stappen naar een andere provider zonder excessieve kosten of het verlies van gegevens. Het is ook verstandig om bepalingen op te nemen die voorkomen dat de leverancier allerlei onredelijke eisen gaat stellen alvorens medewerking te verlenen aan de overgang naar een nieuwe leverancier of teruggave van bedrijfsgegevens.
Advies nodig bij het beoordelen of opstellen van een SaaS-contract?
Kortom, blijf dus scherp wanneer je een SaaS-contract aangaat met een SaaS-leverancier. Kennis van juristen die zich thuis voelen op het snijvlak van technologie en recht zijn dan geen overbodige luxe. Heb jij vragen over de keuze van jouw SaaS-contract? Neem dan gerust contact met ons op. Onze ICT- en IE-advocaten helpen jou graag.