SaaS en continuïteit in de zorg
Het gebruik van Software-as-a-Service (SaaS)-diensten, ook wel “clouddiensten” genoemd, neemt in verschillende industrieën toe en zo ook in de zorg. Bijna twee-derde van de klanten van clouddiensten zijn alleen niet op de hoogte van de continuïteitsrisico’s die komen kijken bij het gebruik van deze software wat blijkt uit dit onderzoek. Dat is “zorgelijk” te noemen. In de zorg is er namelijk ook sprake van een toename van het gebruik van clouddiensten. Zorgaanbieders zoals ziekenhuizen en huisartsen maken steeds meer gebruik van (cloud) software zoals een elektronisch patiëntendossier (EPD) of een dienst om zorgmedewerkers met elkaar te laten communiceren in een beveiligde omgeving. Deze zorgaanbieders zijn vaak niet op de hoogte welke risico’s er verbonden zijn aan het gebruik van clouddiensten. In deze blog worden de risico’s in kaart gebracht die spelen bij het gebruik van clouddiensten op het gebied van continuïteit en op welke manier deze risico’s kunnen worden verkleind door het opzetten van een continuïteitsplan in plaats van een escrow regeling.
Voordelen van een clouddienst
Een clouddienst betekent dat de cloudleverancier de software “op afstand” over het internet aanbiedt waarbij het voor de klant niet nodig is om de software op de eigen servers te laten draaien. Daarnaast biedt de cloudleverancier ondersteuning bij het oplossen van kritieke fouten en worden er afspraken gemaakt over het onderhoud en de beschikbaarheid van de clouddienst. De klant hoeft deze diensten niet zelf te verzorgen wat resulteert in lagere kosten voor het gebruik van software. Vandaar dat het gebruik van clouddiensten zo is toegenomen in de afgelopen jaren.
Risico’s ten aanzien van continuïteit
Klanten van een clouddienst hebben vast een keer de vraag gesteld wat er zou gebeuren bij een faillissement van de cloudleverancier. Is de clouddienst dan nog wel beschikbaar en hoe zit het met de toegang tot de data? De data die wordt opgeslagen in de clouddienst is namelijk vaak in eigendom van de klant. Deze gegevens worden door de cloudleverancier vaak weer opslagen bij een hostingprovider. Het risico dat bestaat in het geval dat de cloudleverancier failliet gaat, de hostingprovider de bevoegdheid heeft om de overeenkomst met de cloudleverancier op te zeggen. De continuïteit van de data van de klant komt op deze manier in gevaar. Een ander continuïteitsrisico dat speelt, is dat de curator bij een faillissement de keuze kan maken om de auteursrechten die rusten op de broncode van de software over te dragen aan een derde partij. Deze derde partij hoeft de overeenkomst tussen de klant en de failliete cloudleverancier niet te accepteren. Hiermee komt de continuïteit van de dienstverlening van de clouddienst in gevaar voor de klant. Hierbij kan worden gedacht aan een zorgaanbieder die geen toegang meer heeft tot de patiëntgegevens in het EPD of dat zorgmedewerkers niet meer met elkaar kunnen communiceren omdat de beveiligde clouddienst uit de lucht is.
Dit wordt toch opgelost door een escrow overeenkomst?
Het continuïteitsrisico dat een (software) leverancier failliet zou kunnen gaan wordt vaak weggenomen door het opzetten van een escrow-regeling. De klassieke escrow regeling houdt in dat de leverancier de broncode van de software deponeert bij een escrow agent en dat bij een faillissement de broncode wordt vrijgegeven aan de klant zodat deze met de broncode verder kan gaan met het gebruik van de software. Dit wordt geregeld in een escrow overeenkomst. Bij clouddiensten heeft de klant niet zoveel aan de broncode aangezien de software niet draait op de eigen servers. De hosting, de data en de aanvullende diensten zoals onderhoud en support worden niet gewaarborgd door het opzetten van een escrow-regeling. Daarnaast moet bij een escrow overeenkomst elke klant apart worden aangesloten op de regeling. Dit levert het nodige papierwerk op en brengt extra kosten met zich mee. Om de continuïteit van een clouddienst te waarborgen is er iets anders nodig dan de escrow regeling. In de markt worden tegenwoordig ook zogenaamde SaaS-escrowregelingen aangeboden. Deze regelingen zorgen er weliswaar voor dat bijvoorbeeld de hosting van de clouddienst gewaarborgd is maar er is vaak niks geregeld over het oplossen van kritieke fouten met betrekking tot de clouddienst waardoor de beschikbaarheid van de clouddienst in gevaar komt en neemt niet het risico weg dat de curator de auteursrechten op de software kan overdragen aan een derde partij.
Het continuïteitsplan
Aangezien de omschreven escrow regeling met bijbehorende escrow overeenkomst niet voldoende is om de continuïteitsrisico’s weg te nemen bij een faillissement van een clouddienst is er een ander oplossing nodig. Deze oplossing kan worden gevonden in het opzetten van een zogenaamde continuïteitsplan vanuit de cloudleverancier. Deze regeling houdt in dat de clouddienst bij een faillissement nog voor een bepaalde periode beschikbaar is om het mogelijk te maken voor de klanten hun data op te halen en/of een overstap te maken naar een andere cloudleverancier. De beschikbaarheid van de clouddienst wordt mogelijk gemaakt doordat een onafhankelijke partij zoals een stichting de dienstverlening overneemt bij een faillissement. Deze stichting wordt opgericht door de cloudleverancier en zorgt er alleen voor dat de clouddienst beschikbaar blijft voor de klanten voor bijvoorbeeld een periode van drie maanden. Om een continuïteitsregeling mogelijk te maken moet de cloudleverancier ervoor zorgen dat een aantal essentiële bedrijfsonderdelen “veilig” gesteld worden. Kort samengevat kan het veiligstellen van de essentiële bedrijfsonderdelen geschieden op de volgende wijze:
Hosting van de SaaS-dienst
De stichting sluit een overeenkomst met de hostingprovider dat op het moment dat de cloudleverancier failliet gaat de stichting de verplichtingen van de hostingovereenkomst nog voor een bepaalde periode zal nakomen. Op deze manier blijft de clouddienst beschikbaar voor de klanten.
Auteursrecht op software
Zoals eerder omschreven heeft de curator de bevoegdheid om het auteursrecht dat rust op de software te verkopen aan een derde partij. Dit kan een gevaar opleveren voor de continuïteit van de clouddienst. Daarom moet ervoor worden gezorgd dat de intellectuele eigendomsrechten met betrekking tot de software, waaronder het auteursrecht, uit de entiteit worden gehaald die het meeste risico loopt om failliet te gaan: in dit geval de werkmaatschappij. De intellectuele eigendomsrechten moeten worden overgedragen aan een andere entiteit binnen de ondernemingsstructuur. De entiteit die dan de rechthebbende is geworden van de intellectuele eigendomsrechten geeft vervolgens een licentie aan de stichting voor het gebruik van de software. Op deze manier worden de intellectuele eigendomsrechten veiliggesteld.
Expertise
Tijdens de periode dat de clouddienst beschikbaar blijft, moeten kritieke fouten worden opgelost en data moet kunnen worden opgehaald door de klanten. Daarom sluit de stichting een inhuurovereenkomst met de werknemers van de clouddienst die de expertise hebben om deze werkzaamheden te verrichten. Zij zullen gaan leveren aan de stichting op het moment dat de clouddienstverlener failliet gaat en zullen hun werkzaamheden verrichten voor de periode dat de clouddienst beschikbaar moet blijven.
Meer waarborgen dan bij een escrow regeling
Het hiervoor omschreven continuïteitsplan is niet eenvoudig om op te zetten. De cloudleverancier moet behoorlijk wat stappen zetten voordat de continuïteit van de clouddienst gewaarborgd is. Het is daarom aan te raden om te starten met een bedrijfsinventarisatie waardoor het voor de clouddienstverlener duidelijk wordt wat er allemaal moet gebeuren om een continuïteitsplan op te zetten. Het continuïteitsplan is daarnaast ook commercieel interessant aangezien de clouddienstverlener de klanten op deze manier gerust kan stellen dat de continuïteit van de clouddienst gewaarborgd is. Daarmee kan de clouddienstverlener zich onderscheiden van de concurrentie. Het continuïteitsplan zorgt er ook voor dat de continuïteit in één keer geregeld wordt en niet elke klant apart hoeft aan worden gesloten op het continuïteitsplan zoals het geval is bij een escrow regeling. Hierbij moet elke klant apart een escrow overeenkomst tekenen en dat kan de nodige hoge kosten met zich meebrengen.
Reactie plaatsen
Reacties