Jurisprudentie rond ASP houdt techniek niet bij

Onbewust en ongewenst zit de klant als een spin in een web van zich kruisende netwerken, die stuk voor stuk door anderen dan hij zelf worden beheerd. Is hij nog de baas in zijn eigen netwerk? Waar liggen de grenzen tussen verantwoordelijkheid en aansprakelijkheid? Op de keper beschouwd, zo blijkt maar al te vaak, groeit het bewustzijn van deze door hem ingekochte afhankelijkheid pas tijdens het gebruik en dus nà het sluiten van het contract.
Niet dat een ASP-contract nu per definitie voor de betrokkenen kommer en kwel betekent. Wel dat veel zaken niet of nog niet goed geregeld zijn. De technologische innovatie maakt op dit moment zo’n vaart, dat het sluiten van een ASP-contract erachteraan sjokt en de hoogst noodzakelijke innovatie vraagt. Maar welke marges biedt de bestaande wetgeving voor een juridisch proces van voortdurende bijsturing in de spelregels? Voor een branchebreed basiscontract als betrouwbaar fundament in deze snel veranderende wereld van ASP-agreements, acht mr.drs. Walter van Holst, jurist bij Mitopics BV, het te vroeg.
“Voor een branchebreed basiscontract lijkt het me te vroeg; de wereld van de ASP’er is te sterk in beweging. Een ASP-contract is een contract zoals ieder ander contract volgens het Nederlandse Privaatrecht. Gezien de aard van deze virtuele diensten is het geboden dat betrokken partijen extra aandacht schenken aan beschikbaarheid, flexibiliteit, integriteit en continuïteit en last but not least het afscheid. Aansprakelijkheid, risicoverdeling en -dekking, doorlooptijd of beveiliging horen wat mij betreft, onder de kwaliteit van de dienst en dus in een SLA (Service Level Agreement). Of de SLA integraal in het ASP-contract wordt beschreven, is een redactionele keuze. Ten onrechte ziet men het ASP-contract als iets engs. Sommige dingen zijn zelfs eenvoudiger, maar het is waar, ‘de wet van behoud van ellende’ biedt nieuwe en ongekende elementen.”
Wat zijn nieuwe en ongekende elementen in zo’n ASP-contract?
“Om met het afscheid – exit in het jargon – te beginnen. Dit is een nieuw aspect, waarvan de spelregels contractueel nadrukkelijk moeten worden vastgelegd. Voor de klant is het van levensbelang om al aan het begin van het contract te weten, dat hij bij de applicatie en zijn data kan komen. Het getuigt over en weer van vertrouwen in elkaars professionaliteit om de broncodes van de applicatie te borgen bij onafhankelijke derden zoals een notaris, de stichting Software Borg of Escrow Europa. Zo heeft de klant de garantie van continuïteit in het gebruik van zijn applicatie en data. De klant kan in het ASP-contract daarnaast vastleggen, dat hij met regelmaat een back up krijgt via internet, dvd et cetera.
Bij het exit moet ook de migratie van de data met de kosten van dien geregeld worden. Dit met inbegrip van de vernietiging van de data bij de ASP’er om onaangename verrassingen als het rondzwerven of zoekraken van klantengegevens te voorkomen. Hier is privacy van anderen in het spel!”
Moet de consument zich hierover zorgen maken? Vluchtgegevens en betalingen via SWIFT vliegen al de wereld over, zo hoort hij achteraf.
“Wat betreft de privacygarantie in het toenemen van grensoverschrijdende ASP-voorzieningen bestaat er een categorisch verbod op het verzenden van persoonsgegevens naar landen buiten de Europese Unie. De EU heeft een ontheffingsregeling gemaakt voor Safe Harbour-landen als Canada en de Verenigde Staten, in het vertrouwen dat men daar een voldoende niveau van zelfregulering heeft. Bij dit punt is het overigens zeer relevant volgens welke nationaal privaatrecht het ASP-contract is beklonken.“
Hoe zit het, als de klant bij verschillende ASP’ers verschillende diensten en dus applicaties inkoopt?
“In zo’n geval verdient het de voorkeur om een hoofdaannemer aan te wijzen. Als dat niet kan, is het raadzaam om waterscheidingen aan te brengen middels een regiecontract.
Bij meerdere partijen kun je in de ASP-contracten met hen stuk voor stuk een zekere mate van flexibiliteit inbouwen. Innovatie bij de ene ASP kan gevolgen hebben voor het werken van de applicatie van de anderen. Dan komen diverse garantiebepalingen door overmacht onder druk te staan. Randvoorwaarden over en weer - zoals tijdig aankondigen van de implicatie of openheid in codes - moeten duidelijk zijn, zodat geen van de betrokkenen achteraf met buitengewone eisen kan komen, die vergaande gevolgen hebben voor de applicaties van derden.

Wat zijn de valkuilen bij het opstellen van een ASP-contract?
“Enerzijds dat er te veel en anderzijds dat er te weinig geregeld wordt. Het komt nog te vaak voor dat de verwachtingen over en weer niet overeenstemmen. Wat ga je doen als er iets gebeurt? Hoe communiceer je met elkaar, als iets niet volgens verwachting loopt? Die protocollen moeten wel passen bij de situatie!”“Mijn ervaring is dat er te gemakkelijk, soms te goeder trouw, te veel beloofd wordt. Je moet de logica van de processen daarbij goed in de gaten houden. Een hoog percentage voor beschikbaarheid klinkt aantrekkelijk, maar daar prik je snel doorheen als je ziet wat dat in werkelijkheid betekent. Gaat het om een uurtje hier en daar of om een aaneengesloten periode, die absoluut onaanvaardbaar is voor de klant. Zelfs bij het opschroeven van beschikbaarheid moet je voor ogen houden wat de kosten zijn, wanneer daarvoor buiten kantooruren gewerkt moet worden en de kosten onevenredig stijgen.”
Wie controleert wie bij al deze afspraken?
“Meetbaarheid en het uitvoeren door derden van audits in dienstverlening, kwaliteit van processen informatiebeveiliging en business continuity worden steeds vaker vastgelegd.
Wat betreft het toezicht op het hebben van waarborgen voor privacy heb je te maken met het Nederlandse College Bescherming Persoonsgegevens (CBP). Afhankelijk van de branche kan er eveneens sprake zijn van toezicht bij de continuïteit door De Nederlandse Bank als het om financiële instellingen gaat en bij ziektekostenverzekeraars ook nog eens met de Nederlandse Zorgautoriteit.”