De laatste jaren wordt specialistische software steeds vaker ook als een dienst aangeboden. Zo’n SaaS-oplossing lijkt een uitkomst voor de gebruikers, onder meer omdat het de problemen rondom technisch applicatiebeheer oplost. Toch schuilt er een addertje onder het SaaS gras. De daadwerkelijke hosting van de applicatie en de data wordt in veel gevallen uitbesteed aan een onderaannemer. De klant loopt het risico de controle over zijn eigen gegevens te verliezen, bijvoorbeeld in het geval dat de SaaS-leverancier zijn rekeningen niet betaalt.
Bij ieder betoog over trendy begrippen als SaaS, PaaS en de Cloud is het verstandig om even stil te staan bij de gehanteerde betekenis daarvan. In dit geval gaat het over de situatie dat een softwareproducent er toe over gaat zijn software niet meer te leveren aan zijn klanten, maar beschikbaar te maken op een server. De klant heeft de software niet meer in zijn eigen infrastructuur draaien maar krijgt toegang tot de centraal draaiende software.
De laatste jaren zie ik dat vooral leveranciers van specialistische software naast het traditionele licentie-model ook een SaaS-model aanbieden. Deze leveranciers opereren vaak op een gebied waar veel kennis nodig is van de processen en de (wettelijke)regels die daarop van toepassing zijn, bijvoorbeeld bij banken en verzekeraars, maar ook in de logistiek, de zorg en het onderwijs. Het gaat meestal om relatief kleine applicaties voor specialistische toepassingen als planning, polisadministratie, hypotheken of medicatiebewaking.
Voor de klanten lijkt de overgang naar een SaaS-model gunstig. De IT-afdeling hoeft zich niet meer te verdiepen in de technische aspecten van dit soort applicaties en de afhankelijkheid van die ene specifieke medewerker die ter plaatse onderhoud moet uitvoeren, wordt minder groot. Ook knelpunten als beveiliging en de inpasbaarheid in de architectuur van de klant, worden zo opgelost.
Toch ligt er nog een addertje op de loer. De leverancier van dit soort specifieke applicaties is van oudsher heel sterk gericht op de functionaliteit van de software. Dat betekent dat er weinig kennis op het gebied van hosting en technisch applicatiebeheer aanwezig is. Sommige leveranciers kiezen er voor deze kennis op te bouwen maar de meesten schakelen een hosting bedrijf als onderaannemer in.
En daar komt de adder tevoorschijn. Want wat gebeurt er als de softwareproducent of de hoster in de problemen komt? De toegang tot de broncode is meestal wel geregeld via een escrow. Maar hoe zit het met de data? Die staat bij de hoster en daar heeft de klant geen contractuele relatie mee. Een data-escrow biedt vaak alleen uitkomst indien de producent failliet gaat. Voor het faillissement stopt de producent met het betalen van de rekeningen van de hoster. Als die in reactie daarop zijn dienstverlening staakt, zit de klant zonder systeem en zonder data.
Ook bij SaaS dagelijkse backup
Om dat te ondervangen kan het nuttig zijn om een dagelijkse back-up te maken van het systeem en die onder te brengen in een aparte emergency back-up omgeving. Verder kan het verstandig zijn om te bedingen dat de klant het contract met de hoster mag overnemen van de producent. Dat is meestal voldoende om het addertje rustig onder het gras te laten liggen.
Patrick Wit is ICT-recht advocaat en partner bij het Amsterdamse advocatenkantoor Kennedy Van der Laan
Patrick,
Een goed verhaal en een actueel thema. Ik zou hierbij willen aanvullen dat deze dagelijkse backup ook kosten met zich meebrengt. Deze backup kosten dienen dan wel onderdeel te zijn van de businesscase. Afhankelijk van de toepassing en het gebruik, kunnen deze backupkosten een scherprechter worden in de besluitvorming.
Norman, die kosten moeten inderdaad meegenomen worden in de business case. Het hoeft overigens niet om hele hoge bedragen te gaan, afhankelijk van de inrichting. En verder heb ik niet het idee dat de keuze voor SaaS bij dit soort applicaties wordt genomen om kosten te besparen maar eerder om het risico te omzeilen dat de eigen organisatie deze specifieke software niet kan ondersteunen.
Dit is een door een aantal SAAS aanbieders onderkend probleem waarvoor er in samenwerking met de Belastingdienst en ECP een normenkader zeker-online (www.zeker-online.nl) is opgesteld. Op dit moment nog beperkt tot aanbieders van Financiële software. De verwachting is dat meer diensten zullen worden toegevoegd.