Sluit je een servicecontract voor SaaS (Software as a Service) af, dan doe je er goed aan om stil te staan bij aspecten die bij traditionele contracten minder kritiek zijn. Vooral ten aanzien van gegevens zijn er punten die extra aandacht verdienen.
Cloud computing is het via het internet gebruik maken van infrastructuur, applicaties en gegevens van derden. De afnemer kiest ervoor om geen eigenaar meer te zijn van deze componenten en is dan ook niet verantwoordelijk voor exploitatie en onderhoud ervan. Belangrijke karakteristieken van cloud computing zijn: op aanvraag beschikbaar, toegang via een webbrouwser, gemeenschappelijk gebruik van middelen, flexibele schaalbaarheid en betalen op basis van gebruik.
Cloud computing wordt in drie categorieën verdeeld: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). Bij IaaS beschikt men over een relatief uitgeklede infrastructuur die met applicatie-specifieke infrastructuur moet worden aangevuld voordat de infrastructuur geschikt is voor ontwikkeling, beheer of gebruik van applicaties. PaaS voorziet in een completere infrastructuur en SaaS levert een applicatie waarin de afnemer zijn eigen gegevens kan opslaan, verwerken en raadplegen. In de meeste gevallen zijn de gegevens van de afnemer maar in steeds meer gevallen levert de SaaS-leverancier gegevens van zichzelf of anderen, zoals bij Google Maps.
Er is een diversiteit in soorten applicaties die op basis van SaaS worden aangeboden. Er zijn veel applicaties die in eerste instantie op de consumentenmarkt zijn gericht: email, tekstverwerking, online opslag plus de veelheid van applicaties voor smartphones. Via het proces van consumerization doen deze applicaties vervolgens hun intrede voor zakelijk gebruik. En tot slot zijn er steeds meer ‘business-applicaties’, zoals crm-systemen, die via SaaS worden aangeboden.
Een servicecontract bij consumentenapplicaties wordt meestal afgesloten door middel van een simpele klik op 'I agree', waarbij de consument de voorwaarden voor lief neemt. En bij sommige zakelijke toepassingen is dat, hoe vreemd het ook klinkt, ook het geval. Er is dus iets geks aan de hand. Waar je vroeger veel moeite nam om dikke service level agreements (sla's) en dossiers afspraken en procedures op te stellen, neem je nu genoegen met 'I agree'. Deze leveranciers vallen in de categorie van ‘anonieme artiesten’ – slimme mensen die mooie producten maken (artiesten) maar die hun individuele klanten niet kennen (anoniem). Je krijgt geen leverancier over de vloer die zijn maandelijks service level rapportage komt toelichten. Vaak worden deze toepassingen via een apps store gekocht. Je neemt hun product op basis van ‘agree and adapt’ – je neemt het product zoals het is en je past je daarop aan. Je vertrouwt erop dat de marktwerking voldoende borg is voor goede prestaties. Wil je zo’n leverancier in beweging brengen moet je de community van gebruikers mobiliseren. Een belangrijke vraag voor de afnemer is dus of hij zich gemakkelijk voelt in een één-op-veel agree & adapt relatie met de SaaS-leverancier, waarover hij als individuele klant weinig invloed heeft.
As je de applicaties vergelijkt met treinen, bussen, auto’s en scooters, met dienovereenkomstige verschillen in belang, afhankelijkheid, releasekalenders enzovoorts, dan zijn bovenstaande applicaties scooters, hooguit auto’s. Waar het om zwaardere toepassingen gaat, begin je aan andere aspecten te denken. De voornaamste onderwerpen die meer aandacht verdienen dan bij traditionele servicecontracten zijn:
• Veiligheid van gegevens, met aandacht voor twee aspecten. Welke afspraken zijn er ten aanzien van het veiligstellen en terugzetten van gegevens? Hoe zijn de gegevens afgeschermd van onbevoegden? Ter illustratie van dit laatste punt, het is denkbaar dat de regering in de Verenigde Staten bevoegd is om jouw gegevens in te zien.
• Eigendom van gegevens. De wetgeving rondom nieuwe technologieën loopt meestal achter en de vanzelfsprekendheid dat jouw gegevens van jou blijven, is er niet.
• Terughalen van gegevens. Stel dat je besluit om van de ene SaaS-leverancier over te stappen op een andere, of om het weer zelf te doen. Wat zijn dan de mogelijkheden om jouw gegevens (als die nog van jou zijn) terug te halen? Denk ook hierbij aan praktische zaken zoals in welke vorm je de gegevens krijgt (platte bestanden? databases?) en probeer een voorstelling te maken van de omvang van de gegevens en de duur van de overdracht!
• Compliance. Als je moet gebonden bent aan bepaalde standaards of wetgeving, kan de SaaS-leverancier daaraan voldoen?
• Invloed op de leverancier. Op welke wijze kun je invloed uitoefenen op de leverancier? Is er een community waarnaar geluisterd wordt? Is de leverancier gevoelig voor zaken die zijn reptutatie beïnvloeden?
• Informatie. Hoe word je vooraf geïnformeerd over aanpassingen in de SaaS opdat je interfaces met andere systemen tijdig kunt aanpassen? Hoe worden storingen gecommuniceerd?
Bij “veiligheid van gegevens” hoort volgens mij nog een gedachtestreepje
– Wat bij een calamiteit bij de SaaS leverancier, waardoor hij zijn prestatie niet meer kan leveren. Ik denk vooral aan faillisement etc., omdat je de leverancier dan niet meer kunt aanspreken. Hoe krijg je dan binnen een redelijke tijd je IT omgeving weer in de lucht (bij een andere leverancier, of bij jezelf in huis)?