Het voortbestaan van een bedrijf is voor een groot deel afhankelijk van zijn ict-omgeving. Een escrow-regeling biedt een verzekering tegen de grillen van softwareleveranciers die opeens de ondersteuning staken of hun tarieven sterk verhogen. Of, erger nog, failliet gaan.
Support, documentatie, updates: het ict-platform van een bedrijf is meer dan een verzameling applicaties en data. In het laatste geval zou het volstaan een kopie van alle applicaties bij de hand te houden en geregeld een back-up te maken van alle belangrijke data.
Voldoet de softwareleverancier niet aan zijn verplichtingen, dan is het een geruststellende gedachte dat je bij je escrow-agent kunt aankloppen. Het Engelse ‘to escrow’ betekent letterlijk ‘in pand geven’. In de financiële wereld is escrow een vertrouwd begrip. Zo fungeren banken vaak als onafhankelijke derde partij ofwel ttp (trusted third party), die zekerheid biedt bij grensoverschrijdende en potentieel risicovolle financiële transacties tussen koper en verkoper. In de escrow-overeenkomst die de drie partijen afsluiten zijn onder meer afspraken vastgelegd omtrent de voorwaarden waarop de escrow-gelden door de escrow-agent worden vrijgegeven.
Leesbare broncode
Een software-escrowregeling is doorgaans complexer van aard. De belangrijkste reden voor een onderneming om de hulp van een escrow-agent in te roepen, is het waarborgen van haar bedrijfscontinuïteit. In een escrow-regeling geeft een softwareleverancier onder meer de broncode van zijn software in bewaring bij een onafhankelijke escrow-agent. Gaat die leverancier bijvoorbeeld failliet, dan kan de afnemer terugvallen op de broncode van de applicatie(s). Zo dekt hij zich in tegen een al te grote afhankelijkheid van de leverancier, en de daaraan gerelateerde risico’s.
In zijn meest uitgebreide vorm bevat een escrow-depot behalve de broncode de technische documentatie, standaardroutines, functiebibliotheken en ontwikkeltools. Voor de escrow-regeling verdient het aanbeveling het in bewaring gegeven pakket aan een zogeheten verificatie te onderwerpen, zodat de klant ervan op aankan dat de juiste broncode in leesbare vorm in het escrow-depot is vastgelegd. Daarnaast moet de verificatie soms uitwijzen of het systeemonderhoud van de gedeponeerde software door een andere partij kan worden overgenomen.
Ook de softwareleverancier heeft baat bij een escrow-regeling: zijn auteursrechtelijk beschermde software is ondergebracht bij een onafhankelijke ttp. Bovendien geeft de leverancier daarmee aan de markt het signaal dat hij een serieuze partner is.
Bewust bezig
Het opvragen van de broncode is uiteraard aan strikte voorwaarden gebonden, waarvan het faillissement van het softwarebedrijf de meest voor de hand liggende is. Of was, moeten we misschien zeggen. Want volgens commercieel manager Herman Kui van Escrow Europe begint de escrow-markt langzaamaan volwassen te worden. "Veel bedrijven willen zich niet zozeer tegen een faillissement indekken, als wel de garantie krijgen dat ze onder alle omstandigheden worden beschermd tegen uitval van de support. Zo kan een product na een fusie uit de markt worden genomen."
"Ook heeft de regulering op EU-niveau mogelijk gevolgen voor je ict-omgeving. Beursgenoteerde ondernemingen en financiële instellingen hanteren hun eigen beleid en hebben een escrow-regeling vaak al in hun inkoopvoorwaarden ingebouwd. Grotere klanten staan sowieso op een regeling. Die zijn bewuster bezig met de continuïteit van hun bedrijf, en bedenken niet pas als ze alles hebben draaien hoe ze het in de lucht kunnen houden."
Maar zijn de risico’s nu echt zo groot voor bedrijven die met internationaal erkende standaardpakketten werken? Volstaat het niet om je te richten op de broncode van minder gangbare systemen? Kui: "Kijk, het Oracle-platform zelf zal niet zo snel gevaar lopen, wel het maatwerk erom heen, zoals crm- en erp-oplossingen. En de klant wil graag de garantie dat zijn complete softwareomgeving gedekt is."
Exotische software
"Van gangbare tools hoeven we geen kopie te bewaren. Gaat het om echt exotische software, dan moet je soms je toevlucht nemen tot een workaround: bijvoorbeeld met goedkeuring van leverancier een kopie van de development kit in het escrow-depot bewaren. Maar die mag je, bij afgifte van het escrow-depot, pas gebruiken als je de licentie hebt gekocht."
Een escrow-depot aanmaken kan een tijdrovende klus zijn. Het gaat om meer dan software en data alleen, zegt Kui: "Een goed depot bevat behalve de broncode alle componenten van derden, gebruikersdocumentatie, compilatie-instructies, gebruikersinstructies en eventueel (afhankelijk van de toepassing) administrator-wachtwoorden. Soms beheren we ook de contactgegevens van de belangrijkste ontwikkelaars. Het komt erop neer dat je je complete knowhow extern beschikbaar gemaakt. Verder staat of valt een goed depot met de afspraken die je maakt. Software verandert in de loop der tijd. Contractueel is daarom vastgelegd dat wij minimaal eens per jaar een nieuwe release ontvangen. Als de gebruiker al bij versie 5.5 zit en wij krijgen 4.0 aangeleverd, dan klopt er natuurlijk iets niet."
Compileren op schone computer
En dan is er natuurlijk nog de verificatie, een van de paradepaardjes van Escrow Europe. "Waar sommige escrow-bedrijven dat onderdeel uitbesteden, verzorgen wij het complete escrow-proces", zegt Kui. Escrow Europe biedt verificaties in drie smaken. Elk escrow-depot ondergaat ten minste een basisverificatie (Level I). Bij de zwaarste variant (Level III) compileert Escrow Europe de broncode op een schone computer.
"Wij installeren zelf een besturingssysteem en gebruiken geen voorgeïnstalleerde hardware van de leverancier, want je weet niet wat daarmee precies gebeurd is. Na de compilatie wordt met hulp van de gebruikers getest of de software een exacte kopie is van de werkelijke productieomgeving. Met onze nieuwe tool Escrow Safe kunnen we de verificatie zelfs grotendeels geautomatiseerd laten verlopen."
Hoe ingewikkeld de juridische en technische implicaties ervan ook mogen zijn, een escrow-overeenkomst is uiteindelijk vooral een stok achter de deur, vat Kui samen. "Je wilt als bedrijf alle risico’s zoveel mogelijk afdekken. Hoe kleiner de leverancier, hoe groter het risico. Wij hebben letterlijk ‘eenpitters’ als softwareleverancier onder contract. Als zo’n eigenaar/ontwikkelaar morgen onder de tram loopt, heb je als afnemer een probleem wanneer je geen escrow-regeling met hem hebt getroffen."
Wat nu als je de source code hebt, ga je het dan zelf aanpassen, neem je ontwikkelaars in dienst? In mijn ogen is escrow een extreem dure manier van veiligheid en niet alle software komt er voor in aanmerking.
Als je software zo uniek is, dan zou ik eerder adviseren om andere gebruikers van de software te vinden en daarmee gebruikersgroepen vormen. Dit zie je veel in de zorg en in de overheid.
Mocht er dan een partij falliet gaan, dan sta je tenminste niet alleen.