Voor we ingaan op de cloud-risico’s, eerst kort de feiten over SaaS.

Wat is een SaaS-overeenkomst?

SaaS-contract nodig? Vraag nu uw offerte aan!

SaaS staat voor Software as a Service. Een klant neemt software af uit de ‘cloud’. Oftewel de software is alleen via internet (of ander netwerk) te benaderen.

Als een klant SaaS afneemt, dan sluit hij hiervoor een SaaS-overeenkomst.

SaaS vs. traditionele software

Waar traditionele software vaak in het datacenter van de klant draait, is een SaaS-applicatie geen eigendom van de klant. De klant betaalt vaak naar gebruik (subscription model) in plaats van deze eenmalig aan te schaffen.

De software wordt veelal door een hosting provider beschikbaar gesteld via internet. Beheer en onderhoud van de software zitten in de dienst inbegrepen.

‘As is’ en ‘As available’

Met de opkomst van cloud en SaaS zien we ook steeds vaker de termen ‘as is’ en ‘as available’ terug in IT-contracten. De software wordt immers geleverd zoals die is. Met alle juridische gevolgen van dien. Zowel voor providers als afnemers.

Daarom hebben we een aparte blog aan de juridische gevolgen van ‘as is’ en ‘as available’ gewijd.

SaaS zorgt voor uitdagingen!

De afhankelijkheid van de afnemer richting SaaS-provider is groot. Dit maakt zowel de afnemer als de leverancier kwetsbaar.

Voor de afnemer

U legt de beschikbaarheid, continuïteit, intellectueel eigendom en het onderhoud in handen van een derde partij. Daar wil u zekerheid over. Zeker bij bedrijfskritische applicaties. Een waterdicht contract biedt uitkomst.

Voor de SaaS-provider

Verstoringen zijn een absolute no go. Ook bij de hosting provider met wie u werkt. Uw reputatie staat op het spel. U heeft kritische data en applicaties in handen. Een juridisch goed doordachte overeenkomst is van groot belang.

beperk de cloudrisico’s

SaaS biedt schaalvoordelen, is relatief goedkoop en daardoor aantrekkelijk. Tegelijk is het vaak ook riskanter dan traditionele software.

Zowel voor afnemers als voor providers.

Hieronder schetsen we eerst de cloud-risico’s voor afnemers en daarna voor leveranciers.

Afnemer: deze 4 risico’s wilt u afdekken bij een SaaS-overeenkomst

1. Beschikbaarheid is alles

Bij een SaaS-dienst is de beschikbaarheid de achilleshiel. U kunt zich geen verstoringen veroorloven, maar tegelijk kunt u er weinig tot geen invloed op uitoefenen.

Om toch grip te krijgen, adviseren wij een op SaaS-diensten toegespitst service level agreement op te stellen. Hierin stelt u eisen op over het online zijn en blijven van de SaaS-dienst en de wijze waarop tijdig onderhoud & support plaatsvindt.

Let op!

Realiseer u ook dat een SaaS-leverancier de hosting vaak uitbesteedt aan een externe partij. Zorg dus dat u inzicht krijgt in de afspraken tussen uw SaaS-provider en de hosting partij. In het contract wilt u heldere voorwaarden over de diensten die via de hosting provider worden aangeboden.

2. Bescherming van data

Het verlies, de verminking of onbeschikbaarheid van gegevens kan catastrofale gevolgen hebben.

We hebben het nu niet over de beschikbaarheid van de SaaS-dienst, maar over alle gegevens die erin verwerkt zijn. De back-up hiervan is geen vanzelfsprekendheid.

Een groot risico dus.

Check of zowel de informatiebeveiliging als regelmatige back-ups van data goed geregeld zijn door uw SaaS-dienstverlener.

3. Houd rekening met de AVG

SaaS-contract, SaaS-overeenkomst, Verwerkersovereenkomst

U sluit een SaaS-contract, maar heeft net zo goed een verwerkersovereenkomst nodig. In vrijwel alle software worden immers persoonsgegevens verwerkt. Die verwerking besteedt u uit aan de SaaS-provider.

Dat niet alleen.

Ook kunnen er subverwerkers (zoals de hosting provider) actief zijn. Het is van groot belang dat zowel de Saas-dienstverleners als eventuele subvewerkers voldoen aan de AVG-eisen. Is de beveiliging bijvoorbeeld op orde? Vindt er geen ongeoorloofde doorgifte plaats aan niet-EU-landen?

Bij SaaS komt (gevoelige) data in de cloud. Dat vergt een grondige beoordeling van de AVG-compliance en het sluiten van verwerkersovereenkomsten.

4. Faillissement van de SaaS-provider

U wilt zekerheid. Wat als de SaaS-provider failliet gaat? Dan is er uiteraard de software escrow regeling.

Of toch niet?

Aan traditionele broncode depots ofwel software escrow regelingen heeft u weinig. Onderhoud, wijzigingen en kennis liggen allemaal bij de SaaS- en hosting provider. De broncode zelf zegt dan niet zoveel.

Daarom is er een additionele SaaS escrow of continuïteitsregeling, die ervoor zorgt dat de hosting provider de app (tijdelijk) continueert bij faillissement.

Deze regeling is zeker niet standaard. Het vormt een aanvulling op het SaaS-contract. En geeft een gevoel van zekerheid.

Onmisbaar bij bedrijfskritische applicaties.

Saas-provider: deze 3 risico’s wilt u afdekken bij een SaaS-overeenkomst

1. Beschikbaarheid is alles

Ook voor leveranciers geldt: beschikbaar is alles. Uw reputatie staat immers op het spel.

Als SaaS-provider bent u eindverantwoordelijk. Ook voor eventuele gebreken in de dienstverlening door de hosting provider die u heeft ingeschakeld.

Een goede afstemming van de contractsvoorwaarden die u biedt met de hosting provider is essentieel. Denk daarbij ook aan een Service Level Agreement tussen u en uw hosting provider.

2. Onvoldoende contractuele afspraken

SaaS-diensten brengen veel meer verantwoordelijkheden mee voor leveranciers dan traditionele software. Dat levert risico’s voor u op, die u goed wilt afdekken in uw contracten.

Uw contracten behandelen dan ook een breed scala aan onderwerpen. Denk aan:

software functionaliteit;
AVG-compliance;
beveiliging;
beschikbaarheid;
garanties en aansprakelijkheid.

Uw huidige SaaS-contract checken? Gebruik dan onze handige checklist SaaS-contracten beoordelen.

3. Toepassingen van grote partijen als Microsoft en Google

Gebruikt u in uw SaaS-software toepassingen van grote, Amerikaanse partijen als Microsoft en Google? Dan moet u er rekening mee houden dat zij al hun risico’s, aansprakelijkheden en verantwoordelijkheden standaard op u afwentelen.

Zorg dat u deze risico’s in het SaaS-contract voldoende afdekt, zodat u hier niet aansprakelijk voor kunt worden gehouden.

Conclusie?

Met een enkele standaard SaaS-overeenkomst bent u er nog lang niet. Dek risico’s rondom onder meer continuïteit, beschikbaarheid en AVG-compliance goed af.

Door middel van een SLA, SaaS-contract, verwerkersovereenkomst en/of SaaS escrow regeling.

Hulp nodig?

Wilt u een maatwerk SaaS-contract of wilt u dat we een SaaS-overeenkomst voor u beoordelen? Legalz heeft veel ervaring met het opstellen van SaaS-contracten en de ondersteuning bij het opstellen van bijbehorende SLA’s, SaaS escrow en continuïteitsregelingen en de contracten met hostingproviders.

Neem vandaag nog contact met ons op via 010 2290 646 of:

Vraag nu uw offerte aan en ontvang deze binnen 1 werkdag!

Checklist SaaS- en softwarecontracten beoordelen

Heeft u een SaaS-overeenkomst opgesteld? Check de inhoud dan nu met deze handige checklist!

Met specifieke onderwerpen voor SaaS- en softwarecontracten, zoals acceptatietest, releasebeleid, ontwikkelmethodes, licentiemodel en escrow regeling.

Gelijk aan de slag?

Download nu de checklist SaaS- en softwarecontracten beoordelen

Volg de training Grip op cloud-contracten

Wilt u meer weten over het opstellen en beoordelen van SaaS-contracten? Speciaal voor niet-juristen bieden wij een eendaagse training aan, zodat u meer kunt halen uit uw contracten. U leert de aandachtspunten en valkuilen herkennen en wordt een betere gesprekspartner voor klanten en juristen.

We bieden onze trainingen online, klassikaal en incompany aan via onze eigen opleidingstak Legalz Opleidingen.

Nieuwsgierig? Lees alles over de training Grip op cloud-contracten.