M. Korpershoek, 'Wat te doen bij faillissement cloudleverancier? Zonder wettelijke regels en contractuele afspraken zijn afnemers volledig afhankelijk van curator', eerder verschenen in Automatiseringsgids 06'12.
Analyse bedrijfsprocessen In dit schema is in grote lijnen uiteengezet hoe een analyse van de bedrijfsprocessen moet verlopen. Hier is geen rekening gehouden met het privacyaspect. Wanneer er sprake is van persoonsgegevens die zeer gevoelig zijn (bijvoorbeeld medische gegevens) of gegevens die bij verlies hoge aansprakelijkheden met zich meebrengen (bijvoorbeeld creditcardgegevens) dan kan de analyse anders uitvallen. De kosten zijn out-of-pocketkosten. Bij lage out-of-pocketkosten kan er uiteraard wel sprake zijn van hoge interne kosten. |
|
Een bijdrage van Marianne Korpershoek, Louwers IP|Technology Advocaten.
Wat te doen bij faillissement cloudleverancier? Zonder wettelijke regels en contractuele afspraken zijn afnemers volledig afhankelijk van curator.
Wat gebeurt er als een cloudleverancier failliet gaat? Wat zijn de risico’s voor een onderneming? Voordat een bedrijf in zee gaat met een cloudleverancier, zegt Marianne Korpershoek, is het van groot belang eerst te analyseren welke bedrijfsprocessen in aanmerking komen voor de cloud. De continuïteit moet goed geregeld zijn, zowel technisch als juridisch.
Zowel de Besturenraad, een koepel voor Christelijk onderwijs waarbij meer dan tweeduizend scholen zijn aangesloten, als vele huisartsen in Noord-Holland hadden de afgelopen tijd te maken met het faillissement van hun cloudleverancier. Afnemers zaten met de handen in het haar. Weliswaar trok de curator niet direct de stekker uit de dienst, maar zowel de Besturenraad als de huisartsen vreesden dat zij van de ene op de andere dag niet meer bij hun gegevens konden en geen gebruik meer konden maken van hun gehoste applicaties. In het geval van het faillissement van InfoTechnology, een EPD-beheerder, leidde dat zelfs tot kamervragen omdat de privacy van patiënten niet gegarandeerd kon worden.
Uit deze voorbeelden blijkt dat faillissement van de cloudleverancier vooral tot grote onzekerheid en problemen kan leiden bij afnemers. Inmiddels biedt de markt bijvoorbeeld cloud-escrows. Deze oplossingen zijn duur. Het is ook de vraag of dit soort oplossingen nodig zijn. Zijn er andere manieren om je data veilig te stellen en de continuïteit van de eigen bedrijfsprocessen te garanderen? Naar aanleiding van Kamervragen antwoordde de minister dat afnemers in hun contracten met leveranciers afspraken moeten maken over de continuïteit bij faillissementen, maar wat moet er in zo’n contract staan? En hoeveel zekerheid biedt dat?
Uit eigen ervaring als IT-advocaat weet ik dat de continuïteit bij faillissement, maar ook bij beëindiging van de overeenkomst, meestal slecht is geregeld. Het is juridisch een ingewikkelde materie die vaak niet of summier wordt geregeld in overeenkomsten. Deze overeenkomsten worden vaak geleverd door de leverancier, die weinig belang heeft bij het regelen van de problemen van zijn klant over zijn eigen graf heen. Met als gevolg dat een afnemer bij faillissement van zijn cloudleverancier met lege handen staat. Afnemers, of belangenorganisaties van afnemers, moeten daarom zorgen dat er goede contractuele afspraken worden gemaakt. Voor een leverancier kan een goede regeling voor continuïteit een factor zijn waarmee hij zich onderscheidt van zijn concurrenten.
Problemen
Wat zijn de problemen bij faillissement van de cloudleverancier? Na een faillissement benoemt de rechtbank direct een curator. Een van de belangrijkste taken van de curator is dat hij zoveel mogelijk geld moet zien te genereren uit de failliete boedel om de schuldeisers te betalen. Dat lukt natuurlijk het beste als het bedrijf ‘going concern’ verkocht kan worden. Het geheel is uiteraard veel meer waard dan de losse bezittingen van het bedrijf. Maar omdat er tegenover de schuldenberg van de failliete leverancier te weinig inkomsten en bezittingen staan om iedere crediteur te betalen, mag het onderzoek naar een doorstart niet al te lang duren. Dat betekent dat er wel enige weken respijt is, maar wanneer een doorstart binnen een redelijke termijn niet mogelijk is, wordt het failliete bedrijf uiteindelijk geliquideerd. Een bedrijf draaiende houden kost immers veel geld, dat afgaat van de einduitkering aan de crediteuren.
Verder is het zo dat er vaak in contracten wordt opgenomen dat de ene contractpartij de overeenkomst kan ontbinden wanneer de andere partij failliet gaat. Leveranciers van de failliete cloudleverancier zijn hierdoor niet meer verplicht om te leveren en zullen dat alleen doen wanneer zij boter bij de vis krijgen. Ook dat dwingt een curator tot snel handelen.
Kortom, wanneer een cloudleverancier failliet gaat, zullen zijn afnemers in grote onzekerheid zitten wat er met hun systemen zal gebeuren. Ze zijn daarbij volledig afhankelijk van de curator. Die zal gedurende het onderzoek naar de doorstart de kip met de gouden eieren – de inkomsten uit de cloudabonnementen – niet slachten. Aan de andere kant zal hij in de hectische eerste periode ook niet willen meewerken aan bijvoorbeeld het veiligstellen van de data. Want hij zal op de eerste plaats niet mee willen werken aan het weglopen van klanten om de kansen op doorstart niet te verkleinen. Verder wil hij zijn schaarse personeel inzetten om het bedrijf draaiende te houden en niet ook nog eens met het veiligstellen en correct verzenden van data naar weglopende klanten. In het beste geval zal een klant fors moeten betalen om zijn data terug te krijgen. Daarbij komt dat onder het huidige recht vaak niet duidelijk is, wie de eigenaar is en welke juridische middelen je hebt om je data terug te krijgen, los van de mogelijke privacyrechtelijke voetangels en klemmen.
Oplossingen
Wat zijn de technische en juridische oplossingen? Bij volledig redundante systemen die constant synchroniseren kan een afnemer bij faillissement van zijn leverancier geruisloos overgaan naar een nieuwe leverancier. Op voorwaarde dat er ook goede contracten zijn die deze overgang mogelijk maken. Deze volledig redundante systemen zijn duur en het is de vraag of het altijd nodig is. Daarom is het van belang om voordat men in de cloud gaat, eerst te analyseren welke bedrijfsprocessen worden onder gebracht in de cloud. Het is uiteraard goed mogelijk dat de continuïteit van verschillende bedrijfsprocessen op verschillende manieren geborgd wordt.
Bedrijven, zoals ziekenhuizen, banken, verzekeringsmaatschappijen en andere, die ieder moment realtime gebruik moeten maken van gegevens zonder dat ze terug kunnen vallen op eigen systemen, doen er verstandig aan te kiezen voor een volledig redundant systeem met goede contracten die de continuïteit waarborgen. Voor systemen die minder kritisch zijn, omdat gegevens niet dagelijks nodig zijn en het verwerken van gegevens een aantal dagen kan wachten, kan er gekozen worden voor minder dure oplossingen. Bijvoorbeeld door een leverancier te kiezen die zijn hosting en onderhoudskosten minimaal een half jaar vooruit betaalt. Dit dient uiteraard wel gegarandeerd te worden in de overeenkomst. Verder moet het contract ook controlemogelijkheden bieden voor het checken van dergelijke afspraken. Als goedkoopste oplossing geldt dat de afnemer regelmatig een backup krijgt van zijn eigen data met een instructie voor het inlezen daarvan in andere applicaties dan wel systemen.
Continuïteit
Kortom, voordat een bedrijf zijn bedrijfsprocessen in de cloud plaatst is het van belang dat men zich afvraagt wat er gebeurt wanneer de leverancier failliet gaat. Bij bedrijfskritische processen is het van belang dat de continuïteit goed geregeld wordt, zowel technisch als juridisch. Cloudprocessen zijn steeds belangrijker voor het totale maatschappelijke systeem, net zoals energieleverantie en het betalingsverkeer dat door banken geregeld wordt. Alleen, in tegenstelling tot banken, ontbreken toezichthouders en zijn er geen wettelijke waarborgen wanneer de cloudleverancier failliet gaat. In het Annual Progress Report 2011 heeft eurocommissaris Kroes aangekondigd dat ze in 2012 komt met een strategie om cloudcomputing te stimuleren. Hopelijk worden daarin ook maatregelen opgenomen om continuïteit bij de afnemer te garanderen. Zolang er geen wettelijke regels zijn en wanneer er geen goede contractuele afspraken zijn gemaakt, is een afnemer volledig afhankelijk van de curator. Dit aspect van cloudcomputing is nog zeer onvolwassen, wat betekent dat een afnemer zeer kritisch zal moeten zijn op dit aspect van de service en zich goed moet laten adviseren op juridische vlak. Leveranciers kunnen zich met een goede continuïteitsregeling onderscheiden van de concurrentie.