Cloudleveranciers moeten aan verschillende eisen en criteria van de klant voldoen om het vertrouwen van de klant te winnen en de klant binnen te kunnen halen. Dan hebben we het niet alleen over technische eisen maar ook juridische aspecten. Dezelfde klant kan later door zijn slechte beleid en business de bedrijfsvoering van de cloudleverancier verstoren en in sommige gevallen de neergang van de cloudleverancier veroorzaken.
Het is een feit dat er nagenoeg geen standaarden voor verschillende aspecten van dit verschijnsel (cloud) gedefinieerd en breed geaccepteerd zijn. Hierdoor ontstaan veel onduidelijkheden die de weg naar de cloud voor veel organisaties onbegaanbaar maken. Er zijn slimme ondernemers die hun businessmodel op deze onduidelijkheden hebben gebouwd om met hun advies de cloudliefhebbers naar hun bestemming te brengen. In deze situatie neemt iedereen de cloudleverancier onder het vergrootglas en is er weinig tot geen aandacht voor de betrouwbaarheid van de klant. Wie zegt dat de business van de klant gezond genoeg is om in deze slechte economische tijden overeind te kunnen blijven en niet failliet gaan? We hebben al de hoge cijfers gezien van het aantal faillissementen van de afgelopen maanden.
Faillissement van klant
Vanaf het moment dat de klant failliet verklaard is, staat de curator op de stoep bij de cloudleverancier. Door de wet (artikel 93a van faillissementswet) is de cloudprovider verplicht om gedurende de faillissementprocedure aan de curator toegang te geven tot de klantomgeving. Dit betekent dat de cloudleverancier de dienst of omgeving van de klant in de lucht moet houden. Als we naar de gemiddelde looptijd van een faillissementprocedure kijken, dan zien we dat dit op z'n minst één jaar tijd in beslag neemt. Dat betekent dat de cloudprovider een jaar gratis de omgeving van de klant in de lucht moet houden tot de curator zijn werk heeft gedaan.
Als in dat geval sprake is van een private cloud, PaaS (platform as a service) of IaaS (infrastructure as a service) of een andere grote investering, dan kan de leverancier de investering die hij voor de (failliete) klant heeft gedaan niet aan een andere klant besteden en terugverdienen. Met andere woorden, de cloudleverancier krijgt voor de duur van één jaar geen geld terug uit zijn investering. Dit kan een klap zijn voor de bedrijfsvoering van de cloudleverancier.
Nationale Business Garantie (NBG)
We kennen al de Nationale Hypotheek Garantie (NHG) waardoor de banken meer vertrouwen krijgen bij het verlenen van een hypotheek aan de klant. Een dergelijk concept is ook bruikbaar om cloudleveranciers te beschermen op het moment dat hun klanten failliet gaan. Uiteraard zou dit concept met name van toepassing zijn als de omvang van het contract een grote investering voor de cloudleverancier met zich meebrengt en niet beperkt is tot software of een dienst in een gedeelde omgeving.
Als uit het resultaat van een risicoanalyse blijkt dat de aanvraag van de klant een risico voor business van de leverancier vormt, dan zou de klant zicht moeten kunnen aansluiten bij een Nationale Business Garantie, de NBG! Een dergelijke oplossing geeft klanten ook de zekerheid dat hun leverancier bestendig is tegen dit soort ongevallen. Want de klant weet niks over de mate van gezonde business van de klanten die de cloudleverancier al heeft en ook de klanten die hij nog aan zijn portofolio zal toevoegen. Dit is een win-win situatie. De NBG is maar een voorstel. Er zijn genoeg slimme ondernemers die misschien met hun (nieuwe) business een oplossing hebben voor dit vraagstuk.
Maar één ding is duidelijk: voor een cloudtraject moet niet alleen de leverancier maar ook (de business van) de klant betrouwbaar zijn!
(Uitgangspunt van dit artikel is dienstverlening door een Nederlandse cloudleverancier)
Naar mijn mening beschrijf je een normaal ondernemingsrisico, waar niet alleen cloud providers mee te maken hebben.
Als je klant niet kan/wil betalen dan stuur je aanmaningen en bv een deurwaarder. In je voorwaarden heb je natuurlijk staan dat je dienstverening stopt als er niet betaald wordt.
Met een curator kunnen afspraken gemaakt worden, meestal is het dat men de dienstverlening korte tijd (bv 1 maand) voortzet zodat eventuele doorbetaling geregeld kan worden. Daarna stellen we een backup ter beschikking en is het over. Over het algemeen kost de advocaat die we inhuren om dit af te wikkelen veel meer dan de netto schade die de klant zelf heeft veroorzaakt.
Bij strafzaken zoals bij megaupload ligt dat anders, daar kan de server door justitie in beslag genomen worden als onderdeel van een criminele activiteit. Dat is vervelend, omdat je hem in het beste geval pas veel later weer terugkrijgt. De schade is in dit geval lastig te claimen. Gelukkig komt dit zeer zelden voor en kan je als cloud provider justitie ook zeer goed helpen met een exacte copie van de virtuele omgeving.
Als je bedrijf omvalt omdat 1 klant een maand of wat niet betaald dan ben je eigenlijk niet solvable genoeg om diensten aan te bieden. Daar helpt geen garantie fonds tegen. Dat komt in de praktijk natuurlijk best vaak voor (met name bij toeleveranciers die feitelijk maar 1 soort klant hebben). Maar iedere ondernemer heeft helaas te maken met niet of te laat betalende klanten, bij grote contracten loont het daarom zeer om kredietwaardigheid te controleren en andere zekerheden in te bouwen (pre-paid bv).
Cloud is echt niets anders dan het uitbesteden van een deel van je activiteiten. Veel bedrijven besteden hun loonadministratie uit, huren een externe bedrijfsarts, besteden hun wagenpark uit aan een leasemaatschappij, laten hun schoonmaak doen door een ander bedrijf en huren een heel leger aan externe werknemers via een uitzendbureau en freelancende adviseurs in voor allerlei activeiten. IT-diensten als helpdesk en programmeertaken zijn al heel lang uit te besteden aan india bv.
En nu kunnen bedrijven ook hun IT-hosting/datacenter uitbesteden aan een ander bedrijf, wat dan plotseling een prachtig etiket opgeplakt krijgt: “Cloud”. “Cloud” staat ook voor nog iets meer dan normaal uitbesteden, nml dat vrijwel alle contacten en opdrachten ook electronisch verlopen, zonder menselijke tussenkomst. Maar dat is dan ook het enige verschil en in de huidige tijden van e-mail en webwinkels is dat niet eens zo heel groot.
Juridisch moet uitbesteden goed afgedekt zijn, zeker als je dat bij een niet-europese partij onderbrengt. Wat sommige bedrijven vergeten is dat je als je met een cloud-provider in zee gaat je zelf ook nog steeds verantwoordelijk blijft voor de informatie en taken die je uitbesteed.
En het is voor zowel aanbieder als afnemer verstandig om de betrouwbaarheid van de ander te (laten) onderzoeken en de contracten te (laten) beoordelen. Een contract maak je vooral om vast te leggen wat er gebeurd als er dingen mislopen, immers als iedereen zich altijd netjes aan de afspraken houd heb je geen contracten nodig.
Reza,
http://depous.blogspot.nl/2012/04/curator-vangt-bot-bij-cloud-service.html
Zie hier een voorbeeld van wat ik al verwachtte. De cloud provider hoeft dus niet door te leveren bij failliet gaan van klant.
Wat te doen bij faillisement van Cloud leverancier. geschreven vanuit de juridische kant. Maakt het overzicht weer wat completer: http://www.itenrecht.nl/?//Wat+te+doen+bij+faillissement+cloudleverancier%3F////31443/
@Floris,
Dat klopt, ik beschrijf een ondernemingsrisico. Maar zo normaal is het niet! Dit betekent dat het risico dat een cloudleverancier neemt (hoge investering in een klant) mag ook als risico voor/van haar klanten gezien worden en de ellende die een klant veroorzaakt kan ook de ellende voor andere klanten worden (waar ze niet om gevraagd hebben)
Een leverancier in deze situatie kan op een aantal fronten een verlies lijden! Het gaat niet alleen om de dienstverlening aan de klant, dat kan een leverancier na (bijvoorbeeld) een maand stopzetten, maar wel eerder terugverdienen van zijn investering door de omgeving van de klant snel kunnen vrij krijgen voor een andere klanten (als ze er zijn) terwijl de curator zijn werk moet nog verrichten.
Daarnaast het is de vraag of de curator gedurende zijn werk (wat langer duurt dan 1 maand) de hoge leaseprijs van de failliete klant aan de leverancier moet betalen! Dat betwijfel ik, maar ik heb ook geen duidelijke uitspraak of richtlijnen hierover kunnen vinden, het wordt misschien een touwtrek. . Ik heb in mijn stuk aangegeven dat ik het niet over een softwarepakket uit cloud (SaaS) heb maar een prive omgeving, er is hier een verschil dat een effect heeft op de investering, procedures en de doorlooptijden.
Of mijn cloudleverancier solvabel is, kan ik niet als klant zien. Ik wil ontzorgd worden en daarom maak ik gebruik van zijn diensten. Misschien moet er ook een keurmerk gemaakt worden voor de cloudleveranciers die solvabel zijn! De voorbeelden die je benoemd hebt voor het uitbesteden van een dienst zijn correct. Ze lijken op de softwarediensten uit cloud, hierdoor beschouw ik ze anders dan mijn cloud-case in dit artikel.
Je komt in je reactie met interessante punten waar ik het helemaal met je over eens ben. Dank voor je reactie.
@Henri,
Ik denk dat ik al hierop in mijn reactie van 22-10-2012 11:36 een antwoord heb gegeven.
@Andre,
M. Korpershoek en nog twee collega`s van hem zijn mensen die op dit moment de ondernemers mooie adviezen geven voor dit vraagstuk (cloud) Ik heb al eerder stukken van hen gelezen.
Dank voor de link. Deze link beschrijft “wat te doen als..” maar ik heb het in dit artikel over een fase hiervoor: “wees gewaarschuwd”
Los van het juridische verhaal in deze link, toont deze link naar mijn mening aan dat cloud een “van af” prijs heeft. Als je de kosten die voor het managen van een risico in de “cloudketen” bij elkaar optelt dan zou je zien dat er een groot verschil is tussen de oorspronkelijke prijs en die van wat je nu berekend hebt!
@Reza,
Je artikel maakt veel los, je hebt iig een discussiepunt gevonden!
Cloud providers (IAAS, PAAS of SAAS), doen financieel niets anders dan iedere andere webwinkel. Je probeert je voorraad (schoenen of CPU-core-uren) te verkopen tegen een gunstige prijs waarmee je kosten (van je totale voorraad) gedekt zijn en je een redelijke winst maakt.
Voor cloud leveranciers is de investering op hardware gebied uitgesmeerd over de afschrijvingsperiode van minstens 36 maanden. In die periode moet een provider zorgen dat de investering daarop is terugverdiend. Als er een klant tussen zit die een maand of wat niet betaald, dan is dat ontzettend vervelend, maar het is 1/36 van het totaal… Dat valt weg in de ruis van capaciteits management omdat het zelden lukt om 100% utilisatie op de infrastructuur te halen.
Als dat verlies veroorzaakt dat de provider omvalt, dan is er veel meer mis dan alleen die ene klant.
Van al je klanten is er een percentage dat niet, te laat of op een andere manier schade veroorzaakt. Dat valt mee als je je zaken goed beschermt. Ter vergelijking, webwinkels krijgen regelmatig goederen terug, die daarna meestal onverkoopbaar zijn. Of dmv credit card fraude wordt de betaling teruggedraaid. Dat is enorm triest en vervelend, maar zou als je het goed spreid minder dan 1% van je omzet moeten betreffen. Dat gaat idd van de winst af en ten koste van de aandeelhouders.
Je kan dit risico beperken als provider door alleen grote contracten te sluiten met partijen waar je meer van weet, bv door een credit check uit te voeren.
Als klant moet je niet met de goedkoopste beunhaas in zee willen gaan, maar gewoon een normale prijs voor een betrouwbaar product betalen bij een gerenomeerde aanbieder. Dat kan je ook als klant beter van te voren controleren. Oa kan je controleren of de aanbieder de juiste certifieringen heeft, bv ISAE3402 en ISO 27001.
Er is echt geen extra keurmerk (boven op bestaande certificeringen) of garantie fonds nodig, cloud computing is ook niet anders dan andere zakelijke diensten. Zowel klanten als aanbieders moeten hun gebruikelijke zakelijke instincten gebruiken net als bij alle andere diensten.
In de reisbranche is er wel een garantiefonds en allerlei bescherming. Dat is omdat het gemiddelde reisbureau hooguit een paar tientjes op een reis van duizenden euro’s verdiend. Als vervolgens het reisbureau of de vliegmaatschappij failliet gaat, is er te weinig geld om dat risico te dekken.
Deze situatie kan voorkomen als je je cloud infrastructuur huurt via een tussenpersoon. Maar dat schrijf je niet in je artikel, daar beschrijf je dat de provider failliet zou kunnen gaan doordat de klant niet betaald. En dat is alsof de vliegtuig maatschappij failliet gaat omdat iemand zijn ticket niet betaald, iets waarop de kans wel heel klein is.
Floris,
Ik heb genoten van je mooie analyse en reactie, dank!
Ik vind je reactie rondom de financiële aspecten(afschrijving en investering) terecht als je met een grote leverancier zaken doet.
Maar ik wil niet altijd met grote leveranciers zaken doen, want ze zijn heel stug in hun algemene voorwaarden en SAL! Als je probeert om bijvoorbeeld met Amazon of Google een SLA af te sluiten dan zou je zien dat je nagenoeg geen keuze hebt dan alleen hun regels te accepteren. Daarentegen kan ik best zaken doen met de leveranciers die wat lager zitten. Nadeel hiervan is dat ze niet sterke financiële positie kunnen hebben. Het aanbieden van een IaaS, PaaS of SaaS oplossing is meer dan alleen genoeg financiële middelen hebben om de benodigde hardware aan te schaffen.
Een credit check uitvoeren zou misschien een oplossing zijn. Dan moet ik gedurende mijn contract (36 maanden) en niet alleen in het begin en op z`n minst een keer per halfjaar een check uitvoeren. Zou de leverancier deze accepteren?
Een keurmerk voor cloudleverancier vind ik een mogelijke oplossing voor dit vraagstuk. Maar wie gaat deze afgeven? Wat zijn de regels? Hoe moeten de leveranciers beoordeeld worden? Deze en nog meer ander vragen maken het moeilijk om een “keurmerk” in het levern te roepen en breed door iedereen te laten accepteren. Dit hebben we ook te danken aan het gebrek aan standaarden binnen dit verschijnsel “Cloud”!
Een certificering en ISOxxx lijkt me ook geen oplossing. Kijk maar wat er met Diginotar gebeured is! Ze hadden alle certificeringen en ISO-keurmerken, audit en sterker nog ze gaven certificering aan bedrijven af!
Een NIET grote vliegtuigmaatschappij zou ook failliet kunnen gaan als je als klant in een keer 300 stoelen wil hebben terwijl ze maar kleine toestellen met 100 stoelen hebben. Als ze gebaseerd op je aanvraag gaan investeren in een groot toestel en jij als klant later aangeeft dat je failliet bent gegaan dus geen geld meer, dan zou dit de business van deze maatschappij op z`n kop zetten.
Communicatie via schrijven is niet altijd makkelijk, helder en efficient. Toch hoop ik dat ik mijn beeld en idee wat duidelijker heb kunnen overbrengen.