Met de komst van cloud computing verandert het hele ict-landschap. Hardware en software met eventuele licenties worden niet meer aan de eindgebruiker verkocht en kosten worden afgerekend via een dienstenmodel. Dat heeft verstrekkende gevolgen voor de servicecontracten die tussen bedrijven worden opgesteld. Onze experts van de topics Beheer, Cloud Computing en Beleid proberen vanuit hun eigen expertise te belichten hoe er met service level agreements (SLA) moet worden omgegaan bij cloud computing.
Mark Smalley, directielid, ASL BiSL Foundation
Sluit je een servicecontract voor SaaS (software as a service) af, dan doe je er goed aan om stil te staan bij de eisen ten aanzien van gegevens. Hoe zit het met het veiligstellen en terugzetten van gegevens? Hoe zijn de gegevens afgeschermd van onbevoegden? Blijven de gegevens van jou (dit is geen vanzelfsprekendheid!)? Hoe haal je je gegevens terug als je over wilt stappen op een andere leverancier? Verder zijn nog vragen of de leverancier aan jouw standaards of wetgeving voldoet, op welke wijze je invloed kunt uitoefenen op de leverancier en hoe je vooraf geïnformeerd wordt over aanpassingen in de SaaS opdat je interfaces met andere systemen tijdig kunt aanpassen.
Danny Burlage, cto, Wortell
Onlangs omschreef de hoofdjurist van Google Benelux het heel duidelijk. Tijdens een congres over ict-recht gaf hij ondermeer tegenover een journalist aan dat Google geen villa biedt die naar eigen inzicht kan worden ingericht, maar een standaardappartement in hun flatgebouw. Klanten moeten volgens hem niet zeuren. Als de voorwaarden ze niet bevalt, kunnen ze beter een andere leverancier zoeken. Hiermee gaf Google heel duidelijk aan dat in het bijzonder voor cloud computing de contracten die de basis uitmaken van de dienstverlening van cruciaal belang zijn. De moeite waard om dus goed te controleren waarmee je akkoord gaat.
Victor de Pous, bedrijfs- en industriejurist en bestuurder bij EuroCloud Nederland
Wie een dienst afneemt, neemt tevens een bepaald dienstenniveau af. Dat is in het perspectief van cloud computing niet anders. Uitermate belangrijk is wel dat deze service level begint met het vaststellen van de service zelf. Wat wordt er precies als dienst geleverd? Zonder een heldere omschrijving van de dienst, heeft een dienstenniveau en een service level agreement weinig zin. Dat vergeten contractspartijen in de praktijk nogal eens. Een gebruikersorganisatie, die voor een publieke cloud computing-dienst kiest, heeft weinig keuze ten aanzien van haar rechten. Aanbieders leveren namelijk een standaarddienst, neem bijvoorbeeld een ‘software application as a service', op basis van de eigen algemene voorwaarden. Daarover kan doorgaans niet worden onderhandeld.
In de Verenigde Staten gaan stemmen op om klanten van cloud computing een ‘bill of rights' te geven. Dat is op zich een goed idee, maar dan moeten de juridische uitgangspunten niet verzanden in te algemene bewoordingen en uiteindelijk geen dode letters zijn. Besef goed dat cloud computing een relatief nieuw leveringsmodel voor ict is. Deze dienstenmatrix is nu volop in ontwikkeling. We hebben dus te maken met een bewegend doel. Dat betekent enerzijds dat we niet te strak aan de 'klassieke' indeling software, platform en infrastructuur moeten vasthouden. We kennen immers ook al desktop, storage en informatie als dienst. Anderzijds verschillen de juridische parameters voor deze servicemodellen. Het is maar zeer de vraag of we deze diversiteit allemaal in een ‘cloudgrondwet' kunnen onderbrengen. Bovendien is het goed dat de markt eerst haar werk doet.
Marco Deckers, account manager maXways, Xtensional
Met de komst van cloud computing zijn ook de serviceovereenkomsten onderwerp van verandering. De virtualisatie die thans mogelijk wordt (denk aan IaaS- en SaaS-oplossingen) maken het noodzakelijk voor beheerleveranciers om contracten te flexibiliseren. Dit betekent een omschakeling van vaste contracten, waarin verwachte toekomstscenario's in de kostenstructuur zijn verwerkt, naar een cafetariamodel dat inspeelt op het werkelijke gebruik door de klant. Het resultaat: een serviceovereenkomst die is gebaseerd op het credo ‘pay for what you get', waarbij optimale transparantie in de kostenstructuur van beheerdienstverlening wordt bereikt.
Jos van Velzen, principal consultant, KZA
Cloud computing is nog onvolwassen en dit betekent meteen dat je ook de bijhorende servicecontracten niet als een soort panacee moet zien tegen eventuele problemen. Op dit moment gaat het in de levenscyclus van cloud computing meer om de intentie om samen aan iets te willen werken. Die contracten moet je dus niet dichtspijkeren om je tegen van alles in te dekken als het mis mocht gaan, maar juist open laten. Daarnaast moet je heel goed weten wat je in de cloud wilt gaan gebruiken. Als je dat niet helder hebt, is cloud computing geen oplossing maar alleen maar ballast waarbij jouw computing-landschap alleen maar ondoorzichtiger wordt.
Robert Grandia, advocaat ict-contracten, Van Harmelen Beijneveld Van Houten
Beschikbaarheid is het sleutelwoord bij servicecontracten voor cloud computing. Niet alleen van het systeem, maar ook van de data en de internetverbinding. Zeker bij bedrijfskritische applicaties. Wie dan 's ochtends bij het inloggen bemerkt dat het systeem onbereikbaar is, kan mettertijd de deuren van zijn bedrijf sluiten. Het servicecontract zou dit idealiter voorkomen en moet in ieder geval breekijzer blijken voor een oplossing. Contracten zijn instrumenten voor risicoverdeling: als een risico onaanvaardbaar groot is, dan zal de verantwoordelijkheid bij de andere contractspartij voelbaar moeten worden gemaakt. Bijvoorbeeld doordat deze schadeplichtig wordt, een boete verbeurt of het contract eenzijdig beëindigd ziet. Beschikbaarheid is uiteindelijk een kostenkwestie, want hoe meer zekerheid men verlangt, hoe hoger de prijs is.
Naast onderwerpen zoals informatiebeveiliging en privacybescherming zijn vooral professionele afspraken over service levels vereist. Nog te vaak blijken SLA's placebo's: bedoeld om een goed gevoel te geven (‘we hebben een SLA'), maar zonder aantoonbare werking in de praktijk. De hoogte van de service levels maar ook de wijze van meten en de gevolgen van schending verdienen nauwgezette uitwerking in de servicecontracten. Datzelfde geldt voor uitwijkscenario's bij calamiteiten. Ook de exit moet zijn gefaciliteerd: bij beëindiging of overstap naar een andere provider is een vlotte transitie nodig, dient de continuïteit te zijn geborgd en de beschikbaarheid van de data te zijn verzekerd.
Philippe Creytens, cloudspecialist, Romneya
Een SLA pleit in het voordeel van de leverancier. Ze sluit vaak onderhoud en ‘force majeure' uit. Als er al iets moet worden vergoed, gebeurt het vaak via ‘credits', zelden in keiharde euro's. De vergoedingen zijn een peulenschil in verhouding tot de echte hinder. En vaak niet realistisch, want wil je in het buitenland een gerechtelijke procedure voeren? In tijden waar social media dwingen regeringsleiders af te treden, is het controleren van hun reputatie op het web veel belangrijker. Ook hier geldt 'size matters'. Om een gekende reclameslogan te gebruiken: een miljoen klanten (of meer), dat moet je verdienen. Check dus gewoon de reputatie van de leverancier.
Sebastiaan Hooft, investeerder en non-executive director
Het is net als Albert Heijn die start met voetbalplaatjes, al kan je een belangrijke ict-trend niet vergelijken met een marketingactie. Maar de gevolgen zijn wel gelijk. Medewerkers lopen rond met stapels aan contracten. Adviseurs en leveranciers maken hen gek. Bij de supermarkt koop je als ouder een mooi boek. In alle rust plak je daar samen met de kinderen de plaatjes in. Je maakt een lijstje met welke ze missen en geeft de dubbele kaartjes weer naar school mee. De komende jaren is cloud computing de belangrijkste rage. Ga met de medewerkers in alle rust zitten, anders heb je straks broekzakken vol contracten en weet niemand meer waar de verzameling naar toe gaat.
Eric Biemans, enterprise architect, FiiT Architectuur
Bedrijven zijn eindverantwoordelijk voor adequate maatregelen om informatie waarvan zij eigenaar zijn te beschermen. Zodra het om wettelijk beschermde informatie gaat, dienen bedrijven zich aantoonbaar en continu te conformeren aan relevante wet- en regelgeving . Cloud computing brengt een verandering teweeg in de wijze waarop met informatie wordt omgegaan en de locatie waar informatie zich bevindt. De verantwoordelijkheden die bedrijven ten aanzien van informatie hebben, wijzigt echter niet. Beleidsmatig is het daarom zaak om de eigen verantwoordelijkheden met betrekking tot informatie zo te borgen in servicecontracten dat deze nooit in het geding is of kan komen.
Dave van Herpen, management consultant, Sogeti Nederland
Het bedrijfsmodel van cloudleveranciers is niet gericht op flexibiliteit per klant, maar juist op standaardisatie, ook van service levels. Al bij het selecteren van de juiste leverancier is een sterke inbreng vanuit beheer noodzakelijk. In dat stadium zal aan het licht moeten komen welke cloudleverancier kan voldoen aan de organisatiebehoeften. Meer dan ooit zullen vanuit ict-beheer service requirements vroegtijdig ingebracht moeten worden. Zodra de selectie afgerond is, zal er vanuit de leverende partij nog nauwelijks ruimte zijn voor concessies op support en service levels. Het succes van een cloudcontract wordt dus bepaald voordat er überhaupt een contract is.
Jack Cobben, it-pecialist, Brunel
Cloud computing is tegenwoordig niet meer weg te denken uit de media en vakbladen. Ook over de locatie waar de data van cloudaanbieders staat, doet veel stof opwaaien. Waar staan de data? Iedereen wil graag zijn data in een cloud plaatsen, maar dan toch wel met de regelgeving van het land van herkomst. Ook de beschikbaarheid van de data moet zo dicht mogelijk bij de 100 procent komen. Maar waar je bijna niemand over hoort, is het feit dat het bedrijf ook aan de data kan komen. De cloud kan wel ‘up' zijn, maar als de klant geen verbinding heeft kun je je data wel vergeten. Een SLA of contract is even belangrijk voor cloud computing dan voor de belangrijkere applicaties of data.
Paul Leenards, principal consultant, Getronics Consulting
Cloud computing biedt interne ict-organisaties een kans om kritisch te kijken naar de manier waarop ze ict-diensten aanbieden. Goede clouddiensten leveren transparante, op ‘pay-per-use' gebaseerde, ict-functionaliteit voor gebruikers. Deze verleidelijke aspecten maken dat gebruikers dus ook de keuze hebben om de interne ict-organisaties te passeren en ict-eigen oplossingen in te richten. Vooral clouddiensten die gestandaardiseerde commodity-oplossingen leveren, zullen voor de business interessant zijn. Interne ict-organisaties die deze uitdaging van cloud computing aangaan, zullen waarde moeten toevoegen door specifieke functionaliteiten bovenop de basis aan ingekochte clouddiensten te leveren.
Jorn Bijnsdorp, directeur e-vailable, e-office
Bij SaaS- en IaaS-diensten is vaak sprake van een ‘vanaf-prijs' en is het onduidelijk welke bijkomende kosten er zijn. Uit een gesprek met de leverancier moet dit snel duidelijk worden. Vraag ook hoe je de data er weer uit kunt krijgen na beëindiging van de dienst. Daarna is het van belang om op papier terug te lezen hoe je dit begrepen hebt. Maar doe dat pas als de werking van de dienst ook helemaal duidelijk is: als de leverancier dit niet kan vertellen, is er weinig reden voor vertrouwen. Cloud computing wordt tenslotte verkocht als ‘ontzorgen', maar voor de meeste klanten voelt het nog als een sprong in het diepe.
Jan Martijn Broekhof, commercieel directeur, Computication
Ik merk dat opdrachtgevers zich voornamelijk zorgen maken over de juridische kant van de overeenkomst. Vragen over waar de data staat, ‘het blijft toch wel in Nederland?' en over wat te doen als de opdrachtgever en cloudaanbieder een geschil krijgen, ‘hoe krijg ik dan mijn gegevens terug?'. Buiten standaardzaken zoals uptime-garanties worden er dus zaken opgenomen over wat te doen wanneer de overeenkomst opgezegd wordt. Er zijn overigens nog maar een handjevol cloudaanbieders die dit opnemen in hun contracten. De data in Nederland houden is standaard niet mogelijk, via een private cloud is dat op te lossen. Het is discutabel of dat een echte cloudpropositie is.
Brian Garvey, country manager, Rackspace Benelux
Bij het verlenen en afnemen van clouddiensten is een serviceovereenkomst van groot belang. Vooral als gaat om bedrijfskritische processen waarbij de afhankelijkheid van de cloudleverancier groot is, zoals bij e-commerce of SaaS-bedrijven. Een servicecontract zorgt voor afstemming van verantwoordelijkheden tussen klant en leverancier. Is de leverancier van de clouddienst verantwoordelijk voor de hardware, verbinding en de applicaties of blijven sommige zaken in beheer van het bedrijf zelf? Welke financiële vergoeding geldt als de services of prestaties niet voldoen aan de gestelde norm? Dat soort zaken moeten helder worden beschreven.
Dennis Kuipers, executive consultant, AnylinQ
Het maken van een servicecontract kan een zeer zinnige exercitie zijn om elkaars verwachtingen zo dicht mogelijk te naderen. Contracten zijn echter relevant wanneer je er samen niet uitkomt. De basis zijn de indicatoren waar de prestatie van de leverancier aan wordt gemeten en de meetbare feiten die de klant afneemt. Houd het simpel. Specifiek voor cloud computing: leg vast op welke wijze en met welke kosten je uit elkaar kunt en hoe je kunt overstappen naar een andere partij (vendor lock-in). Hoe eenvoudiger dit kan, hoe meer de leverancier overtuigd is van zijn vermogen van jou een tevreden klant te maken. Hiermee kan vertrouwen weer de basis zijn.
Michaël van Leeuwen, juridisch adviseur, ICTRecht
Beschikbaarheid is bij software altijd een cruciaal element geweest, ook als die lokaal geïnstalleerd is. Door cloud computing wordt de invloed van externen, zoals SaaS-leveranciers en hosters, vergroot. Belangrijk is dus om harde afspraken te maken in een service level agreement over uptime en de termijnen waarbinnen problemen opgelost moeten worden. En wat gebeurt er als de SaaS-leverancier failliet gaat? De provider zal waarschijnlijk de stekker eruit trekken, zodat de diensten niet langer beschikbaar zijn. Escrow biedt dan niet altijd een oplossing: het voortzetten van bijvoorbeeld een online boekhoudpakket op basis van de gedeponeerde broncode zal niet eenvoudig zijn en het kan aardig wat tijd kosten voordat de dienst weer online is.
Het kan een oplossing zijn om vooraf afspraken tussen afnemer, leverancier én hoster te maken. Bijvoorbeeld over een termijn na het faillissement van de leverancier waarin de hoster de dienst toch in de lucht houdt als de afnemer de hostingpremie betaalt. Handig is het dan ook als de curator niet alle servers al in beslag heeft genomen. Iets waar een stichting continuïteit voor zou kunnen zorgen. Overigens ook interessant is een vonnis uit 2009, waarin de SaaS-dienstverlener haar in surseance verkerende klant Oilily afsloot wegens een betalingsachterstand. De rechter oordeelde dat de systemen gedurende een beperkte tijd beschikbaar moesten blijven zodat Oilily zich beter kon voorbereiden op de beëindiging van het contract met de dienstverlener.
Experts gezocht
Computable heeft op al zijn 26 topics een expertpanel. Wij zoeken echter altijd meer experts, op al onze topics, maar voor de komende tijd zoeken wij specifiek naar experts voor de topics Maatschappij, Business Intelligence, Security, Netwerken en Outsourcing.
Ben jij expert op een van deze vakgebieden of een ander Computable-topic en wil je als vraagbaak van de redactie dienen, stuur dan een e-mail met je gegevens (naam, functie, bedrijf, werkzaamheden) naar experts@computable.nl.
Interessante discussie!.
Cloud is gebaseerd op bestaande technologie, dus geen technisch revolutionaire vondst, dus meer een hype.
Er zijn mi twee belangrijke business management vragen in de besluitvorming j/n bij Cloud, met name bij grensoverschrijdende diensten: is de lagere kost een continuity-, security- & legalrisico waard. Ten tweede de vraag; ‘eenmaal over naar cloud, is er dan nog een zekere en veilige weg terug?’.
Het opstellen van de serviceovereenkomst dient dit dus te borgen. Waarbij opgemerkt dat veel van de bestaande Saas/Cloud-contracten dat niet (in voldoende mate) doen.
Klopt Joost.
Wikileaks heeft dat aan den lijve ondervonden, dus is cloudcomputing niet rijp voor zakelijk gebruik.