Risico’s SaaS onderbelicht

19 juni 2009

Het gebruik van SaaS (Software as a Service) neemt toe. De reden om voor zo’n oplossing te kiezen wordt vaak door kosten en gemak gedreven. SaaS is zeer schaalbaar: zo is het aantal licenties voor gebruikers vaak eenvoudig te wijzigen. SaaS implementeren is meestal minder complex en arbeidsintensief dan een traditionele implementatie. Verder heeft de gebruiker niet de operationele verantwoordelijkheid voor beheer en onderhoud. Dat is met name een voordeel voor de kleinere bedrijven die geen grote IT-afdeling hebben. Een SaaS-oplossing kan met name in die gevallen aantrekkelijk zijn.

Een typische situatie waar SaaS een uitstekende keus lijkt, is bijvoorbeeld het gebruik van de toepassing van Google Docs: een gratis en eenvoudig te downloaden set van applicaties. Het laat gebruikers tekstdocumenten, reken­sheets en presentaties maken en editen, én gebruikers kunnen online met elkaar samenwerken aan dezelfde documenten.

Er zijn ook keerzijden aan SaaS. Naast een ‘vendor lock-in’ ontstaat er ook vaak een ‘solution lock-in’, wat ‘business agility’ in de weg staat. Voordat men tot de aanschaf van SaaS overgaat, zal men ook goed naar de contractvorm en voorwaarden moeten kijken. Er zijn situaties waar SaaS een uitstekende keus is, er zijn echter veel situaties waar deze dienst tot – onnodige – risico’s en beperkingen leidt. Deze worden hieronder toegelicht.

In de kern is SaaS het verlenen van toegang tot en gebruik van een systeem als een dienst: technisch is het immers een operatingplatform met een applicatie die op een andere locatie dan die van de klant beschikbaar is voor gebruik door hem. Dat het gaat om een systeem en niet alleen de applicatiesoftware, zoals ‘Software as a Service’ doet vermoeden, is belangrijk om te weten: een SaaS-overeenkomst kan niet beperkt zijn tot software alleen.

In het systeem waarmee de leverancier SaaS levert, worden data van de klant opgeslagen. Zoals gezegd: op een locatie die niet van de klant is en die de klant vaak ook niet kent. En daar zit het eerste grote risico: veiligheid en privacy. Het is voor de eindgebruiker vaak niet duidelijk hoe zijn data beveiligd zijn. Wanneer het om persoons- of kritische bedrijfsgegevens gaat, kan de onwetende eindgebruiker risico’s lopen, zowel in feitelijke als juridische zin.

Het juridische risico kan overigens al bestaan zonder dat gegevens ‘op straat komen te liggen’. Een voorbeeld daarvan is schending van de Wet bescherming persoonsgegevens (WBP). Wij menen dat deze wet voor ieder SaaS-concept relevant is, omdat het altijd in meer of mindere mate de verwerking van persoonsgegevens met zich meebrengt. De WBP bevat verplichtingen voor de verantwoordelijke, in de zin van de WBP.

Dat is degene die het doel en de middelen van de verwerking van de persoonsgegevens bepaalt. Partijen doen er verstandig aan om in een SaaS-overeenkomst niet in het midden te laten wie dat is. Indien de afnemer van de SaaS-dienst als de verantwoordelijke kan worden aangemerkt, dient hij aan de verplichtingen uit de WBP te voldoen en dient de overeenkomst te voorzien in nakoming van deze verplichtingen.

Op de afnemer die verantwoordelijk is, rust bijvoorbeeld de verplichting een bewerkersovereenkomst te sluiten. Hij is verplicht zorg te dragen voor een passend beschermingsniveau van deze gegevens: hij is aldus verantwoordelijk voor de technische beveiliging van het systeem waarmee Saas geleverd wordt. Ook moet hij weten waar de gegevens verwerkt en opgeslagen worden: indien dit buiten de EU blijkt te zijn in een land zonder een ‘passend beschermingsniveau’, dan mogen de gegevens – als hoofdregel – alleen daar verwerkt worden na verkrijging van een exportvergunning.

Kortom, het is zaak dat de SaaS-overeenkomst voorziet in al deze uit de WBP voortvloeiende aspecten. Het is daarbij ook uit juridisch oogpunt aan te raden kritisch te kijken naar de veiligheidsaspecten van SaaS-oplossingen als het gaat om bijvoorbeeld klant-relatiesystemen, in- en verkoopprocessen en eHRM-oplossingen. Een test is raadzaam, maar bijvoorbeeld alleen ‘hack testen’ is op zichzelf niet toereikend om het security- en privacyrisico weg te nemen.
SaaS versterkt ook in algemene zin het belang van testen en controleren. Is ‘business agility’ een van de nieuwe sleutelwoorden in het bedrijf? En moet IT daarin ondersteunen? Dit stelt eisen aan de technische kwaliteit van het product achter de service.

De opdrachtgever doet er goed aan de technische kwaliteit van het SaaS-product achter de dienst te controleren. Dit om zeker te weten of het product goed beheerd en gewijzigd kan worden. Stel dat de gebruiker met de aangekochte oplossing een marketingactie wil uitvoeren. Hoe snel is deze actie uit te voeren? Kunnen de marketeers snel reageren op de wereld om hen heen? Of duurt het maanden voordat de bedachte actie is uit te voeren omdat het softwareproduct technisch niet goed is en alle concurrenten de SaaS-gebruiker te snel af zijn geweest terwijl deze zat te wachten op zijn serviceorganisatie?

Minder typisch, maar nog steeds veel voorkomend, is de situatie dat de SaaS-leverancier een stuk maatwerk bouwt ten behoeve van de primaire bedrijfsprocessen van een klant op een generiek framework. Het totaal wordt als een SaaS-oplossing verkocht. Het standaardframework is vaak niet te wijzigen, en het risico bestaat dat het maatwerk van een dusdanig lage kwaliteit is dat wijzigen kostbaarder wordt dan herbouw.

Mogelijk erger nog dan een ’vendor lock-in’ is een ’solution lock-in’: SaaS blijkt wel schaalbaar maar niet veranderbaar te zijn. Overstappen naar een andere leverancier met een ander product is op zijn minst zeer kostbaar en tijdrovend. Om deze risico’s inzichtelijk en hanteerbaar te maken, is het zinvol ook de service achter de SaaS-oplossing te testen. Hoe snel kan bijvoorbeeld een change verwerkt worden?

Er zijn echter ineens veel meer verschillende smaken, testen en controles noodzakelijk dan bij een traditionelere systeemimplementatie. Veel gebruikers die een dergelijke SaaS-oplossing inkopen, zijn echter nog erg gericht op het functioneel testen van het systeem. Daarnaast is echter ook het testen van de service van wezenlijk belang.

Het is goed erbij stil te staan dat een SaaS-overeenkomst maar in beperkte mate iets kan doen aan vendor en solution lock-in: een (voortijdig) einde van de overeenkomst is vaak de enige uitweg, als de overeenkomst er al in voorziet. Selectie bij de poort, aangevuld met testen voordat de overeenkomst gesloten wordt, is daarom sterk aan te raden.

Een ander punt van aandacht is de kwaliteit van het contract. Een kwalitatief slecht contract vormt een risico op zichzelf. SaaS is een marketingnaam voor een dienst. Wat de dienst omvat hangt af van wat partijen daarover afspreken. De kurk waarop een SaaS-overeenkomst drijft, is een beschrijving van de dienst, aangevuld met kwalitatieve en kwantitatieve kenmerken: de SLA. De praktijk leert echter dat SLA’s bij ‘de koop’ ofwel helemaal niet aanwezig zijn of onvoldoende tot niet zijn gekwantificeerd.

Onduidelijke afspraken doen de kans op geschillen toenemen. Belandt een geschil hierdoor bij de rechter, dan zal de rechter de overeenkomst moeten uitleggen. Volgens vaste rechtspraak geschiedt de uitleg – kort gezegd – op basis van wat partijen redelijkerwijs van elkaar mochten verwachten. De redelijke verwachtingen van leverancier en afnemer behoeven uiteraard niet samen te vallen. Het is daarom in het belang van beide partijen dat zowel de dienstomschrijving als de SLA er niet alleen zijn, maar ook helder en meetbaar zijn. De leverancier die ‘geen SLA’ afgeeft, creëert een veel ongrijpbaarder risico, te weten de gerechtvaardigde verwachting van zijn klant, die afdwingbaar kan zijn.

Behalve over privacy en beveiliging van data, zal de overeenkomst meer afspraken over data dienen te bevatten. Afhankelijk van de soort data en de bedrijfsprocessen kunnen die zwaarder of lichter worden aangezet. Te denken valt hierbij aan rechten voor de afnemer om het systeem waarmee SaaS geleverd wordt te auditen. Looptijd en beëindigingsmogelijkheden verdienen aandacht: een afnemer van SaaS zal bij een overeenkomst met een langere looptijd stil moeten staan bij de vendor lock-in die daardoor ontstaat.

Indien SaaS voorziet in een kritisch bedrijfsproces, kan dat niet door beëindiging van de ene op de andere dag stilvallen. De overgang naar een andere leverancier of naar de eigen organisatie zal ordentelijk moeten verlopen. De overeenkomst zal hierin moeten voorzien.

Een goede bron van inspiratie voor al deze zaken kunnen best practices uit outsourcingsovereenkomsten zijn. SaaS als sourcingsoplossing voor bedrijfsprocessen is immers niets anders dan een van de vele gedaanten die outsourcing kan aannemen. De oplossingen uit de outsourcingspraktijk voor geschetste risico’s kunnen bij SaaS goed van pas komen: de risico’s zijn volgens ons niet wezenlijk anders, de oplossingen derhalve ook niet.

De conclusie is dat SaaS een goede uitkomst kan zijn in gevallen dat er voor een weinig kritisch proces met weinig kritische data een oplossing gezocht wordt. Zodra er echter voor een bedrijfskritisch proces met daarin bijvoorbeeld klantdata, gekeken wordt naar een SaaS-oplossing, zal er ook aandacht moeten zijn voor een aantal specifieke risico’s. Deze risico’s dienen gemanaged te worden. Om dit effectief te kunnen doen, dient de daartoe noodzakelijke basis voor contractsluiting te zijn gelegd.

Marischa van Zantvoort (m.vanzantvoort@sig.nl) is als sales executive werkzaam bij de Software Improvement Group. Robert Boekhorst is advocaat bij Baker & McKenzie.


Voordelen van SaaS:

▪ schaalbaar;
▪ implementatie minder complex en arbeidsintensief dan traditionele systeemimplementatie;
▪ goedkoop;
▪ geen operationele verantwoordelijkheid voor beheer en onderhoud.

Risico’s van SaaS:

▪ veiligheid en privacy;
▪ veranderbaarheid product: risico op ‘solution lock-in’;
▪ hoeveelheid en kwaliteit maatwerk;
▪ inhoud contract en SLA’s.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!