In toenemende mate maken organisaties gebruik van clouddiensten – die doorgaans op standaardvoorwaarden van de serviceprovider worden gecontracteerd. Maar als de clouddienst niet beschikbaar is, de serviceprovider failliet gaat of de afnemer niet over haar data kan beschikken, kan dat ingrijpende gevolgen hebben op de bedrijfsvoering. Daarom enkele quick wins in het licht van de continuïteit.
- Uitsluiten of beperken opschortingsrecht
Serviceproviders nemen in hun voorwaarden doorgaans op dat zij gerechtigd zijn de levering van de clouddienst op te schorten, als er sprake is van een schending van deze voorwaarden door de afnemer. Ofwel, als de financiële afdeling een factuur vergeet te betalen, kan de serviceprovider de levering van de clouddienst direct stopzetten. Het verdient aanbeveling het opschortingsrecht uit te sluiten, althans verregaand te clausuleren.
- Verlengen opzegtermijn
De voorwaarden van serviceproviders bevatten in het algemeen de mogelijkheid voor de serviceprovider om het cloudcontract te beëindigen, met inachtneming van een relatief korte opzegtermijn (bijvoorbeeld een maand). Als een serviceprovider gebruikmaakt van die opzeggingsmogelijkheid, heeft de afnemer ingeval van het voorbeeld slechts een maand voor een transitie naar de dienst van een andere serviceprovider. Door een langere opzegtermijn te bedingen, zijn de risico’s te beperken.
- Continuïteitsplan
Van belang is om vanuit technisch perspectief te kijken naar de clouddienst. Welke beveiligingsmaatregelen zijn genomen om de data van de afnemer te beschermen? Voldoet de serviceprovider aan bepaalde standaarden zoals ISAE 3402? Worden regelmatig back-ups gemaakt? Is er een calamiteiten- en herstelplan? Dergelijke afspraken zijn op te nemen in een continuïteitsregeling die onderdeel dient uit te maken van het cloudcontract.
- Servicelevels
De beschikbaarheid van de clouddienst wordt doorgaans als servicelevel geregeld in de service level agreement (sla). Door een minimum beschikbaarheid op te nemen in de sla en duidelijke afspraken te maken over eventuele downtime (bijvoorbeeld in verband met gepland onderhoud), zijn de risico’s op discontinuïteit te reduceren.
- Auditrechten
Door een audit-recht te bedingen, is periodiek bij de serviceprovider te toetsen of de clouddienst daadwerkelijk op een veilige wijze en conform de afspraken in het cloudcontract wordt geleverd.
- Cloud-escrow
Een veel genoemde oplossing is een escrowregeling (waarborgt de continuïteit van de automatisering binnen bedrijven), overeengekomen tussen de leverancier, afnemer en escrow-agent. Bij de ‘tech-reuzen’ zal het lastig zijn om een cloud-escrowregeling op papier te krijgen, bij kleinere serviceproviders kan dit wel degelijk een reële en waardevolle optie zijn.