Weinig zekerheden bij SaaS

Gebruikers van gewone software zijn daartegen te beschermen door de broncode bij een trusted third partij te deponeren. Maar gebruikers van SaaS hebben een veel complexere en acutere afhankelijkheid. Om de risico’s die daaruit voortkomen af te dekken is meer nodig, en ik heb daarvoor eigenlijk bij geen van de gevestigde aanbieders van escrow een adequate oplossing gezien. Voor escrow geldt dat veel constructies eigenlijk placebo’s zijn; ze geven de klanten het gevoel dat het geregeld is, maar eigenlijk doet het weinig.”Navraag door Automatisering Gids bevestigt dit beeld. Marktleider op het gebied van escrow in Nederland is Escrow Europe in Amsterdam. Via het Britse moederbedrijf biedt Escrow Europe ‘verschillende’ oplossingen voor SaaS aan, vertelt general manager Sander Remans. De meest vergaande is het volledig schaduwdraaien van de SaaS-omgeving in real time bij een onafhankelijke hostingpartner. “Als de SaaS-leverancier het laat afweten, dan kan de belanghebbende [de afnemer van de SaaS-dienst] terugvallen op die mirror”, stelt Remans.Maar wie is opdrachtgever voor die mirror omgeving? “De belanghebbende.”En als dat duizend of meer mkb’ers en kleine zelfstandigen zijn? “Dan ligt een tweepartijenovereenkomst tussen de hostingpartner en de SaaS-dienstverlener meer voor de hand.”Was escrow niet onder meer bedoeld om in te dekken tegen de mogelijkheid dat de leverancier in betalingsmoeilijkheden raakt? “Ja, in dat geval zal je als belanghebbende dan toch zelf iets moeten zien te regelen.”De vereniging van SaaS-aanbieders in Nederland, ASP Forum, bevestigt dat SaaS-escrow een problematiek op zich vormt, waarvoor ‘de oplossing nog niet is uitgekristalliseerd’. Vice-voorzitter Roel Hilbrink: “SaaS is een zich snel ontwikkelend gebied. Oplossingen zijn vaak innovatief en daardoor ook divers en complex. Tegelijkertijd zien we het aantal aanbieders in de markt snel toenemen. Continuïteit van die initiatieven is natuurlijk een issue, zeker in deze tijd. SaaS is ondanks z’n succes niet immuun voor het algehele economisch klimaat. Het valt dan ook niet uit te sluiten dat er een keer een aanbieder omvalt. (...) Maar ik vind wel dat je de in de markt beschikbare SaaS-escrow tekort doet als je het met een placebo vergelijkt. Het geeft de gebruiker toch toegang tot de programmatuur. Je hebt daarmee in ieder geval je spulletjes in handen.” En de data dan? “Ik ken geen SaaS-oplossing die niet op een of andere manier de mogelijkheid tot het downloaden van de data biedt.” “Eindgebruikers zijn onmiddellijk en volstrekt onthand als hun SaaS-leverancier in de problemen komt. Traditionele escrow biedt een oplossing als je softwareleverancier in gebreke blijft wat betreft technisch en functioneel onderhoud. Het regelt dat een gebruikersorganisatie in zo’n geval het recht en de mogelijkheden krijgt om dat onderhoud zelf te doen of door een derde partij te laten verzorgen. Prima, maar wat doe je als winkelbedrijf als je opeens niet meer kunt inloggen op je gehoste retailsysteem? Hoe krijg je de salarissen voor de 22e de deur uit als je eHRM op de 20e stilvalt? Wat doe je als verkoper als je opeens niet meer bij je online-CRM-pakket kunt komen?”, vraagt escrowspecialist Herman Kui zich uitdagend af. Kui zou deze prangende vragen wellicht met minder bravoure opwerpen, als hij niet tevens een antwoord in petto had. Sinds een half jaar levert zijn bedrijf Escrow4all naast software-escrow ook een oplossing die tegemoet komt aan de eisen van SaaS. Dat houdt in dat Escrow4all op ‘best effort’-basis als ‘executeur’ de honneurs van de defungerende SaaS-aanbieder overneemt. Het cruciale verschil met software-escrow is daarbij, dat naast toegang tot programmatuur ook de continuïteit van de hosting (het ‘in de lucht houden’ van de systemen) en de toegang tot de (geback-upte) data per direct wordt zekergesteld. Voor de financiering van de ‘nood-hosting’ sluit Escrow4all een verzekering af. Kui wil niet zeggen bij welke verzekeraar dat gebeurt: “Het gaat om een risico waarover weinig historische gegevens bestaan. Verzekeraars zijn daar inderdaad niet erg happig op. We hebben dan ook veel moeite moeten doen om een partij over te halen. Dat dat uiteindelijk is gelukt, dat beschouw ik als een ‘strategic asset’ voor ons bedrijf.”Afgezien van het feit dat de continuïteitsconstructies voor SaaS nogal wat witte plekken en losse eindjes vertonen, blijken betrokkenen in de markt ook weinig interesse te tonen. De website van ASP Forum vermeldt 29 leden. Op negentien van de daarbij behorende websites komt de term ‘escrow’ bij een Google site search niet naarboven. En Escrow-Europe heeft in Nederland nog geen enkele klant kunnen winnen voor z’n schaduw-SaaS-dienst. Remans: “Ik denk dat de bewustwording in de Nederlandse markt wat anders verloopt”.Kui met Escrow4all lijkt bij de SaaS-aanbieders de juiste toon te hebben gevonden. Sinds de introductie van zijn SaaS-escrowoplossing, in april, heeft het bedrijf inmiddels regelingen kunnen treffen met zo’n stuk of tien SaaS-aanbieders. Die zijn bij elkaar goed voor zo’n zes- a zevenhonderd gebruikerorganisaties. Voor Escrow4all een prachtig resultaat, maar voor de sector een griezelig minieme fractie van de markt.In enkele gevallen – merendeels gemeenten die een verSaaSte GBA-oplossing gebruiken – waren het de SaaS-gebruikers die de regeling via Escrow4all initieerden. Maar in de meeste gevallen zijn het de SaaS-aanbieders die ‘leading’ zijn. Kui: “Een escrowregeling kost geld. Het rekensommetje krijg je makkelijker rond als je het aan meerdere klanten kunt doorbelasten. Een keer opzetten betekent technisch voor iedereen geregeld. Vergelijk het met hosting. Daar komt nog bij dat het continuïteitsvraagstuk de grootste ‘show stopper’ is voor gebruikers met SaaS-vrees. Een SaaS-aanbieder moet naast het eigen product vaak ook nog het fenomeen SaaS verkopen.”Escrow4all laat zich dus aansturen door de partij die ze wordt geacht te controleren. Ontstaat er dan niet een belangenspagaat? “Daar ligt geen probleem. We rapporteren immers rechtstreeks aan hun klanten. Vergelijk het met een accountant die een jaarverslag goedkeurt, die wordt ook door het bedrijf betaald, maar dat doet als regel niets af aan de objectiviteit van het oordeel. Ons doel is immers de discontinuïteitsrisico’s te elimineren. Dat is iets anders dan providers aan het kruis nagelen. Initieel helpen we de SaaS-aanbieder en z’n hostingpartner om te voldoen aan de eisen die SaaS-escrow stelt. Daarna is het een kwestie van onderhoud en ‘brandoefeningen’. Daarnaast zijn er controles op de naleving van procedures en op de documentatie.”Wat behelst zo’n oefening?“Een simulatie van een noodsituatie. De inhoud van een verificatie hangt van de situatie, wensen en eisen af. Bij een online-werkplekoplossing zou het bijvoorbeeld in kunnen houden dat de volledige operatie tijdelijk wordt overgeheveld naar de uitwijkpartij. Dat is minder ingrijpend dan wellicht lijkt. In feite draait deze partij, in verband met de databack-up, al doorlopend schaduw. Overnemen is dus niet meer dan een kwestie van opschalen naar productie. We doen dat elk half jaar.‘SaaS is kwestie van vertrouwen’De online boekhoudomgeving Twinfield, waarop zo’n 60.000 administraties worden bijgehouden, wekt op zijn website de indruk dat de continuïteit middels een klassieke software Escrow afdoende is geregeld: “(..) Dit houdt in dat de broncode en documentatie zijn gedeponeerd bij een onafhankelijke notaris. Het aantal organisaties dat momenteel gebruik maakt van Twinfield en hun omvang garanderen dat continuïteit gewaarborgd is. Mocht een situatie zich voordoen waarin Twinfield niet langer in staat is de diensten te verzorgen, dan komen broncode en documentatie in handen van de aangesloten klantorganisaties.”Herman Kui van Escow4all merkt kritisch op: “Ja, wat moet een mkb-bedrijf met twee of drie administratieve medewerkers nou met een USB-stick met Java-code? Eigen IT-kennis hebben ze niet in huis, dus ze moeten met die code aankloppen bij een dienstverlener. Die rekent per uur wat ze bij Twinfield nog niet per kwartaal betalen en ze zijn hoe dan ook zo een week verder voor het weer werkt. En hoe zit het met de databestanden? Daarover wordt helemaal niet gerept.”Maar Twinfield-directeur Bert van der Zwan vindt SaaS-escrow overbodig: “Bij het gebruik van diensten via het web dient een klant zich terdege te realiseren dat hij slechts in zee gaat met leveranciers die zijn vertrouwen verdienen (...). In de SaaS-industrie zijn er tot op heden nog maar zeer beperkt standaarden bepaald of certificeringsprogramma’s opgesteld. In dit kader is Twinfield een drijvende factor om dit mede gestalte te geven en bezit Twinfield waar deze standaarden of certificaten al bestaan, alle certificeringen. Dit voert van de normale controle en goedkeuring van de jaarrekenig naar een zeer frequente EDP-audit van onze processen in het datacenter en de noodzakelijke back-upprocedures tot aan een escrowregeling voor klanten die daar behoefte aan hebben.”