Cloudleveranciers moeten aan verschillende eisen en criteria van de klant voldoen om het vertrouwen van de klant te winnen en de klant binnen te kunnen halen. Dan hebben we het niet alleen over technische eisen maar ook juridische aspecten. Dezelfde klant kan later door zijn slechte beleid en business de bedrijfsvoering van de cloudleverancier verstoren en in sommige gevallen de neergang van de cloudleverancier veroorzaken.
Het is een feit dat er nagenoeg geen standaarden voor verschillende aspecten van dit verschijnsel (cloud) gedefinieerd en breed geaccepteerd zijn. Hierdoor ontstaan veel onduidelijkheden die de weg naar de cloud voor veel organisaties onbegaanbaar maken. Er zijn slimme ondernemers die hun businessmodel op deze onduidelijkheden hebben gebouwd om met hun advies de cloudliefhebbers naar hun bestemming te brengen. In deze situatie neemt iedereen de cloudleverancier onder het vergrootglas en is er weinig tot geen aandacht voor de betrouwbaarheid van de klant. Wie zegt dat de business van de klant gezond genoeg is om in deze slechte economische tijden overeind te kunnen blijven en niet failliet gaan? We hebben al de hoge cijfers gezien van het aantal faillissementen van de afgelopen maanden.
Faillissement van klant
Vanaf het moment dat de klant failliet verklaard is, staat de curator op de stoep bij de cloudleverancier. Door de wet (artikel 93a van faillissementswet) is de cloudprovider verplicht om gedurende de faillissementprocedure aan de curator toegang te geven tot de klantomgeving. Dit betekent dat de cloudleverancier de dienst of omgeving van de klant in de lucht moet houden. Als we naar de gemiddelde looptijd van een faillissementprocedure kijken, dan zien we dat dit op z'n minst één jaar tijd in beslag neemt. Dat betekent dat de cloudprovider een jaar gratis de omgeving van de klant in de lucht moet houden tot de curator zijn werk heeft gedaan.
Als in dat geval sprake is van een private cloud, PaaS (platform as a service) of IaaS (infrastructure as a service) of een andere grote investering, dan kan de leverancier de investering die hij voor de (failliete) klant heeft gedaan niet aan een andere klant besteden en terugverdienen. Met andere woorden, de cloudleverancier krijgt voor de duur van één jaar geen geld terug uit zijn investering. Dit kan een klap zijn voor de bedrijfsvoering van de cloudleverancier.
Nationale Business Garantie (NBG)
We kennen al de Nationale Hypotheek Garantie (NHG) waardoor de banken meer vertrouwen krijgen bij het verlenen van een hypotheek aan de klant. Een dergelijk concept is ook bruikbaar om cloudleveranciers te beschermen op het moment dat hun klanten failliet gaan. Uiteraard zou dit concept met name van toepassing zijn als de omvang van het contract een grote investering voor de cloudleverancier met zich meebrengt en niet beperkt is tot software of een dienst in een gedeelde omgeving.
Als uit het resultaat van een risicoanalyse blijkt dat de aanvraag van de klant een risico voor business van de leverancier vormt, dan zou de klant zicht moeten kunnen aansluiten bij een Nationale Business Garantie, de NBG! Een dergelijke oplossing geeft klanten ook de zekerheid dat hun leverancier bestendig is tegen dit soort ongevallen. Want de klant weet niks over de mate van gezonde business van de klanten die de cloudleverancier al heeft en ook de klanten die hij nog aan zijn portofolio zal toevoegen. Dit is een win-win situatie. De NBG is maar een voorstel. Er zijn genoeg slimme ondernemers die misschien met hun (nieuwe) business een oplossing hebben voor dit vraagstuk.
Maar één ding is duidelijk: voor een cloudtraject moet niet alleen de leverancier maar ook (de business van) de klant betrouwbaar zijn!
(Uitgangspunt van dit artikel is dienstverlening door een Nederlandse cloudleverancier)
Henri,
Dank voor deze link. Ik heb in het kort en via mail contact gehad met Arnoud. Ik heb in mijn artikel iets gezegd over “een slimme ondernemer”. Ik denk dat Arnoud met zijn business de aangewezen persoon is. Hij gaf aan dat hij met zijn bedrijf (http://www.stichtingcontinuiteit.nl/) een soort NBG gelanceerd heeft. GEWELDIG!
Terug naar je reactie, met de uitspraak van de rechtbank in ’s-Hertogenbosch is duidelijk dat de omgeving van klant in de lucht dient te blijven, niet voor het gebruiken maar wel voor de curator. Het gebrek aan voorbeelden komt misschien doordat er nu niet zo veel bedrijven zijn die naar (echte) Cloud verhuisd zijn. Bovendien: ik heb in mijn artikel aangegeven dat dit voor de leverancier gevaarlijk kan zijn als de leverancier voor de betreffende klant een grote investering gaat maken zoals private Cloud, Paas of IaaS, dus Ik heb het niet over het aanbieden van een boekhoudingpakket via Cloud.
Met het voorbeeld van Willem is duidelijk dat een cloudleverancier veel last kan krijgen van “bedrijfsvoering” van zijn klant. Dat hoeft ook niet altijd faillissement van de klant zijn.
@Ewout,
De leverancier hoeft niet meer de dienst van de klant volgens zijn contract en SLA beschikbaar te stellen. Hij dient de omgeving van de failliete klant toegankelijk en beschikbaar te houden voor de curator. Dit betekent dat de gemaakte kosten en investering voor het creëren van de omgeving en het onderhoud (gedirende het proces) en misschien andere zaken niet terug betaald worden zolang de curator bezig is. Zie mijn reactie over de uitspraak van de rechter.
Cloud Escrow is een mooie oplossing maar niet betaalbaar voor elke klant. Het is ook niet terecht dat door mijn verkeerde bedrijfsvoering (en misschien nog meer andere klanten) de cloudleverancier in probleem komt waardoor jij en andere klanten last van krijgen. Het is ook niet terecht dat jij en andere klanten hiervoor extra kosten moeten maken voor de ingebouwde veiligheid zoals Cloud Escrow!
Ik probeer hierboven uit te leggen dat een verkeerde klant kan best veel ellende voor de leverancier en ook andere nette klanten veroorzaken. En verkeerde klant kan in allerlei soorten voorkomen een voorbeeld hiervan heeft Willem hierboven benoemd. Er kunnen ook andere voorbeelden zijn die de business van de cloudleverancier met hun probleem (bijvoorbeeld faillissement) om zeep kunnen helpen.
Dank voor je reactie
@Willem,
heet die exit strategie niet private cloud?
Reza,
Cloud escrow is bedoeld voor afnemers en hoe duur is afhankelijk van het risico dat je wilt afdekken. Waarschijnlijk niet veel anders dan je NBG, een arbeidsongeschiktheids-, levensverzekering of welke andere verzekeringspolis.
Verder gaf Henri ook al aan dat beschikbaar stellen van data (en applicaties) een heel rekbaar begrip is. Een dump naar goedkope USB disks zoals een setje van de Mediamarkt kan hier bijvoorbeeld al aan voldoen. Data, systemen en applicaties kunnen met virtualisatie tenslotte goedkoop beschikbaar gemaakt worden. Het wordt pas een probleem als omvang zo groot is als Megaupload;-)
Maar laten we de business case eens omdraaien en een andere wending geven. Want ook een project, waarbij zwaar geïnvesteerd moet worden in IT middelen, is een risico. Zeker als afronding hiervan niet zo succesvol is als gehoopt. Hiervan zijn volgens mij ook wat meer voorbeelden te vinden;-)
De voordelen van Cloud Computing, op basis van ‘pay-per-use’ en niet via een leaseconstructie bieden dan onmiskenbaar voordelen toch?
@Andre,
Exact! Ik ben van mening dat verschillende aspecten van de cloud ,zoals techniek en wetgeving, nog verder moeten ontwikkeld worden. Zoals je zei, de ervaring die we in de praktijk gaan opdoen zal zeker veel bijdrage leveren aan deze ontwikkeling.
@Ewout,
– Ik weet niet of je als leverancier de totale ict omgeving van je klant die gevirtualiseerd is in een Mediamarktdoosje aan de curator mag geven en ……zoek het maar verder uit meneer curator! Je weet dat binnen een ict-architectuur veel afhankelijkheden zijn. Dit betekent dat de prive cloud van de klant die je inmiddels in dat Mediamarkdoosje gestopt hebt, kan bij het herbouwen (door onze curator) allerlei mankementen vertonen waardoor de omgeving en data compleet of deels niet bruikbaar kunnen zijn. En ik weet ook niet of de curator jou in dit geval als cloudleverncier hierop kan/mag aanspreken omdat de klantomgeving is niet bruikbaar zoals het was!
– Ook het beschikbaar krijgen van je hardware betekent niet dat jij als Cloudlevrancier gered bent! De investering en kosten die je voor die klant hebt gemaakt kun je misschien een (lange)tijd niet snel terug verdienen omdat je geen nieuwe klanten binnen krijgt die behoefte hebben aan een prive cloud, PaaS of IaaS. Het is crisis jongens, klanten blijven weg!
Als de leverancier geen winst uit zijn investering(die heel hoog kan oplopen) terugkrijgt kan zijn gezonde bedrijfsvoering (Balans=>Aciva vs Passiva) hiervan last krijgen, vooral als deze investering gebaseerd is op geleend geld! En als jij als leverancier geen gezonde business hebt dan zullen we als jouw klanten hier last van krijgen! Heb je al een stresstest(zoals banken!) afgelegd, beste levrancier?!
– Ik kan helaas niet voor mezelf duidelijk krijgen wat je met dat voorbeeld bedoelt (ict project) om vervolgens erop te reageren. Maar ik kan me voorstellen dat de omvang van de investering in en ict project zeer kleiner kan zijn dan de investering voor het creëren van een private cloud met alles erop eraan.
– Ik kom een ander keer op jouw punt omtrent de verschillende vormen van een cloudcontract (pay per use of leaseconstructie) terug. Dit is wat anders dan de kern van mn verhaal in dit artikel.
De terecht onderwerpen en vragen die lezers hierboven benoemd hebben, tonen naar mijn mening aan dat de cloud ook op juridisch gebied een lange weg te gaan heeft.
Reza, je ontspoort.
Je schrijft over een niet bestaand probleem, zonder bronvermelding en zo ver ik weet is het een niet bestaand probleem. Daarnaast schrijf je over allemaal juridische zaken zonder enige bron of artikel of jurisprudentie aan te halen.
Als een klant zijn rekening niet betaald, houdt hij zich niet aan de voorwaarden en mag dienstverlening gewoon gestopt worden. Waar je misschien op doelt is dat als je cloud provider failliet gaat dat de toeleverancier (eigenaar datacenter, stroomleverancier, et cetera) niet zomaar hun dienstverlening mogen staken als dit een groot economisch of maatschappelijk belang dient. Als de bedrijfvoering van de klanten van de cloud leverancier in gevaar kunnen komen als deze omvalt kan er in bepaalde gevallen (en volgens mij zijn ze nog met deze wet bezig) de leverancier van deze cloud provider verplichten door te gaan met de dienstverlening. Dit lijkt me een reeel probleem.
Ik ben geen jurist, maar ik heb wel eens met curatoren te maken en mijn ervaring is dat ze grootste moeite hebben om alleen al de tijdlijn van transacties te achterhalen in auditfiles die vaak ook nog eens opgebouwd zijn op een manier die niet gedocumenteerd zijn.
Waar kan ik vinden dat een cloud provider door moet leveren als diens klant failliet is gegaan? Kom met die onderbouwing en dan praten we verder, maar tot die tijd is dit gewoon onzin of wijkt het niet af van wat bedrijven normaliter ook voor schade ondervinden door klanten die failliet gaan.
Je onderbouwt je artikelen en mening altijd erg goed, dat mis ik deze keer.
Wel een hele straffe redenering van Reza.
Tekst artikel 93a
‘De curator heeft toegang tot elke plaats, voorzover dat redelijkerwijs voor de vervulling van zijn taak nodig is. De rechter-commissaris is bevoegd tot het geven van een machtiging als bedoeld in artikel 2 van de Algemene wet op het binnentreden.’
Om hier een dienstverleningsverplichting uit te distilleren is knap. Het gaat hier om privaatrecht, niet om strafrecht zoals de FBI-case.
Het lijken mij spijkers op laag water tenzij iemand een arrest kan aandragen.
Reza,
In eerste reactie refereerde ik al aan het quid pro qou beginsel – het voor wat hoort wat principe dat als uitgangspunt gebruikt wordt voor verbintenissen en waarbj het niet nakomen van betalingen een legale reden voor het (eenzijdig) verbreken van een verbintenis is. In die reactie noemde ik ook Escrow regelingen die er in allerlei vormen zijn, bijvoorbeeld als een geblokkeerde rekening beheerd door een derde partij. Over wie dit ‘garantiefonds’ volstort kun je nog discussiëren maar laat het alsjeblieft niet de belastingbetaler zijn.
Aangezien het insolventieproces niet mijn ‘cup of tea’ is ontken ik niet dat er veel juridische haken en ogen zitten aan Cloud Computing, zeker als er allerlei back-to-back contracten zijn zoals Henri in zijn voorbeeld beschrijft. In dat kader onderschrijf ik wel je opmerking over duidelijke wetgeving, juist omdat Cloud Computing vaak een grensoverschrijdend karakter heeft en gebruik maakt van een publiek netwerk waar verantwoordelijkheden en verplichtingen niet altijd duidelijk zijn. Weten met wie je zaken doet en onder welke voorwaarden kan in dat geval al veel onzekerheden of in ieder geval verrassingen achteraf wegnemen.
Risicomijdend gedrag heeft echter wel vaak een negatieve impact op innovatie, zoals je ook ziet bij de acceptatie van Cloud Computing en vandaar ook mijn voorgestelde wending in tweede reactie. Dit omdat ik de indruk krijg dat we proberen de ‘kool en de geit’ te sparen door wel lagere IT kosten te willen maar aanpassingen in applicatielandschap vaak uit den boze zijn. In dat geval kom je inderdaad al gauw in een ‘Private Cloud’ oplossing waarbij ontbreken van de al aangehaalde exit strategie vaak ontbreekt en een bedrijf de gehele IT als vorm van ‘ontzorgen’ uitbesteed.
Terugkomend op mijn eerste reactie en alinea – voor wat hoort wat – is dit iets wat je steeds vaker ziet en waarbij je niet aan symptoombestrijding moet doen met garantiestellingen in bijvoorbeeld een NBG maar ‘NEE’ moet kunnen zeggen. Reden hiervoor is dat het afdekken van risico bij derden zorgt voor een vergrote kans op een ‘moral hazzard’ omdat verliezen dan misschien te makkelijk afgewenteld kunnen worden. Want van Cloud Computing een boekhoudkundige truc maken is uiteindelijk alleen maar uitstel van executie.
Henri,
Ik moest lachen toen ik de opening van je reactie las! Dat deed me denken aan wat Diederik Samsom tegen Rutte zei: nu doet u het weer!
Een korte reactie op je reactie is moeilijk, maar ik doe mijn best.
Ik heb een tijd geleden een besloten bijeenkomst bijgewoond over Cloud en wetgeving. De kern van dit artikel zag ik als een discussiepunt in dat gesprek.
Ik heb in dit artikel de zaak belicht vanuit de optiek van de leverancier die te maken heeft met een failliete klant. Heb ik een bewijs of bronmelding? Nee! Dat komt doordat er in Nederland nog geen/weinig ondernemer zijn die van een IaaS of PaaS gebruik maken en ook failliet zijn gegaan. Er zijn ondernemers die zeggen dat ze compleet in de Cloud zitten. Deze zijn meestal de oude Outsourcing contracten die nu als Cloud verkocht worden. De regels in die contracten zijn niet zoals wat bij Cloudcontract hoort te zijn. Schrijf ik over een niet bestaand probleem? Misschien, maar een verzekeraar maakt een product voor een probleem/ongeval dat nog niet bestaat of gebeurd is! Je hoeft niet altijd opzoek te gaan naar een hard bewijs om iets te accepteren. Na je risicoanalyse kun je ook sommige dingen zonder bewijs accepteren. Bovendien er zijn veel zaken rondom Cloud die nog op papier staan en niet in de praktijk. Daar kan je ook geen bewijs voor krijgen.
We zien steeds meer bedrijven die van een online dienst (noem dat maar een softwarepakket in Cloud) gebruik maken. Deze dienst is in een shared omgeving aan diverse klanten aangeboden. Gaat er iets mis met de klant waardoor hij de kosten niet kan betalen, geen probleem meneer curator hier heb je een dump van dat ene pakket en succes ermee (zoals Ewout zei) Dan heb je misschien een touwtrek met de curator over de bruikbaarheid van informatie en nog wat andere zaken, maar jullie komen hier uit. In dat geval heeft de leverancier geen last van de hoge investering want het was een shared-dienst. Let wel op, de leverancier hoeft de dienst niet meer aan de “klant” te leveren maar wel verantwoordelijk is voor het beschikbaar stellen van data en transacties die de curator nodig heeft (in een IaaS of PaaS kan dit anders worden)
De situatie hierboven wordt wat anders als de leverancier geïnvesteerd heeft in een prive datacenter of PaaS of een IaaS voor de klant(scope van dit artikel). Het kan zijn dat de curator meer informatie nodig heeft dan een dump uit je administratiesoftware (bijvoorbeeld als een fraude de basis lijkt te worden van het faillissement) Ook de technische verwevenheden en de indeling van de architectuur in vooral PaaS en IaaS maakt het niet makkelijk om (zoals alleen een dump van de database van je software) alles op een Mediamarktdoosje te zetten en aan de curator te geven. Kun jij deze omgeving in een doos zetten en werkend aan de curator geven? Knap! Dan ben je de eerste die een IaaS of PaaS Out Of The Box levert!
De vraag is hoe los je technisch en juridisch gezien dit probleem op? En ook wie betaalt wat en tot hoeverre?
Toen begon een discussie in de zaal die lang doorging en naar mijn mening zonder duidelijke uitkomst beëindigd.
Een cloudleverancier dient ervoor te zorgen dat het probleem van ene klant(financieel of verkeerde business) niet de ellende mag worden voor andere klanten, ongeveer zoals de situatie nu in Europa!
Communicatie zonder misverstanden via een blog over dit onderwerp is niet makkelijk. Vooral tussen ons omdat wij verschillende kijk op Cloud hebben 🙂
Reza,
Goed topic. Dat is ook te herleiden aan het aantal reacties wat je gekregen hebt.
Ik zal even niet inhoudelijk op de reacties in gaan, maar ik denk dat het geen overbodige luxe is voor de redactie om hier eens dieper op in te gaan.
Wat zijn de juridische consenquenties? Wat zijn de mazen in de wet? En heeft iemand hier al ervaring mee? Misschien een mooie stelling voor de Computable Expert Panneldiscussie op de Storage Expo.