Software as a Service
Wat is het?
Een Software-as-a-Service overeenkomst is een overeenkomst waarbij de leverancier de gebruiker via de cloud toegang geeft tot zijn software. De gebruiker krijgt geen ‘on-premise’ software op eigen servers. Daarom is ook geen sprake van een software licentieovereenkomst. De gebruiker krijgt een abonnement waarmee hij online toegang krijgt tot de software en deze mag gebruiken.
In de SaaS overeenkomst staan de voorwaarden waaronder de gebruiker deze rechten krijgt. Onderdeel van de SaaS overeenkomt zijn vaak ook afspraken over het niveau van de dienstverlening (beveiliging, garanties over beschikbaarheid van de dienst). Deze afspraken worden vaak vastgelegd in een aparte Service Level Agreement (‘SLA’). SaaS leveranciers hebben een zorgplicht ten opzichte van hun afnemers. De software is vaak bedrijfskritisch. Dit betekent ook verplichtingen ten aanzien van beveiliging.
Soms wordt de overeenkomst gecombineerd met andere diensten zoals toegang en gebruik tot data, tools om de data te verzamelen, analyseren en rapportages van te maken (‘gemengde overeenkomst /’hybride agreement’). Of soms wordt de gebruiker het recht gegevens om derden (bijvoorbeeld klanten van de gebruiker) ook toegang tot de dienst te geven. Vaak zijn de overeenkomsten in het Engels opgesteld (’SaaS agreement’).
Waar op te letten?
- hoe is de beveiliging (‘security) geregeld (encryption, firewall, bescherming tegen virussen)
- wie heeft toegang tot de dienst? Mag de gebruiker ook derden (bijvoorbeeld klanten) toegang geven tot de dienst en onder welke voorwaarden?
- hoe is geregeld dat de leverancier privacy regels naleeft
- zijn er garanties opgenomen ten aanzien van verlies, beschadiging, beschikbaarheid van de dienst, ;
- wat is vastgelegd ten aanzien van backups (hoe vaak, op welke wijze, kosten).
- mag de gebruiker audits uitvoeren bij de leverancier op naleving van de beveiligingsafspraken en hoe verloopt die audit dan;
- leg vast wanneer sprake is van ‘overmacht’;
- leg vast wie welke rechten heeft ten aanzien van de data (‘data ownership’)
- leg vast wanneer, op welke wijze en onder welke voorwaarden de leverancier de data van de gebruiker ter beschikking moet stellen aan de gebruiker (‘return procedures’)
- Wat zijn de verplichtingen van de leverancier wanneer data beschadigd is of verloren is gegaan?
- maak een noodplan voor het geval toegang tot de software (tijdelijk) niet mogelijk is; hoe kan de business door gaan? leg daarin ook vast wat de verplichtingen van de leverancier zijn.
- Wat gebeurt er wanneer de leverancier failliet gaat, in andere handen overgaat of om een andere reden de dienst niet meer geleverd kan worden? Of de overeenkomst wordt beëindigd? Hoe krijgt de gebruiker dan toegang tot zijn data? Is de data te gebruiken met andere software?
- Wie doet wat bij een datalek (‘data breach’);
- Waarvoor is de leverancier wel en niet aansprakelijk bij een datalek;
Data as a Service
Wat is het?
Een Data-as-a-Service overeenkomst is een overeenkomst waarbij de leverancier beschikt over een verzameling data. Deze gebruiker wil toegang krijgen tot deze data om deze te kunnen gebruiken. Bijvoorbeeld wanneer een data scientist met machine learning een algoritme wil trainen. Daarvoor is veel data nodig. Met een DaaS overeenkomst kan voor trainingsdoeleinden toegang worden verleend tot een dataset. Soms kan ook eigen datasets worden toegevoegd aan de data in de database van de leverancier.
Soms worden ook andere diensten verleend, zoals toegang tot een platform waar de data verzameld, geanalyseerd en in rapportages wordt verwerkt. Vaak zijn de overeenkomsten in het Engels opgesteld (’DaaS agreement’).
Waar op te letten?
- Is voldoende gedetailleerd beschreven tot welke data de gebruiker toegang krijg en de eventuele beperkingen die daaraan gesteld worden.
- Is sprake van vertrouwelijke informatie? Zijn daar dan afspraken over vastgelegd in een geheimhoudingsclausule of in een aparte geheimhoudingsovereenkomst (‘Non disclosure agreement’). En wat valt onder de vertrouwelijkheid (informatie over of uit de database, hoe data wordt getransporteerd, hoe de data is/wordt verzameld en geanalyseerd, algoritme die worden gebruikt, hoe data met machine learning wordt getraind, etc.). Is er een boete gekoppeld aan het schenden van de vertrouwelijkheid?
- Service levels: hoe vindt het data transport plaats, hoe lang wordt de data (en analyse resultaten) online wordt bewaard, wanneer de kwaliteit van de dienstverlening tegen valt, kan deze dan verbeterd worden?
- hoe is de beveiliging (‘security) geregeld (encryption, firewall, bescherming tegen virussen)
- wie heeft toegang tot de dienst? Mag de gebruiker ook derden (bijvoorbeeld klanten) toegang geven tot de dienst en onder welke voorwaarden?
- Kunnen eigen datasets worden toegevoegd en hoe is deze afgeschermd voor derden en hoe is de beveiliging daarvan geregeld.
Wat kunnen wij doen?
Wij beoordelen en maken SaaS, DaaS overeenkomsten, SLA’s en gemengde overeenkomsten. Zowel in het Nederlands als in het Engels. Dit doen wij zowel voor leveranciers als voor afnemers.
Voor meer informatie neem je contact op met Jos van der Wijst