Een lezer vroeg me:
Ik ben een eenmansbedrijf dat software maakt voor kassasystemen. Ik heb een klant die vasthoudt aan een legacy systeem van mij, waar persoonsgegevens in zitten. Ik kan echt niet meer 100% instaan dat dit veilig is gezien de leeftijd van het systeem, maar deze klant wil het persé aanhouden en alle risico’s dragen. Kan ik op een of andere manier alle AVG risico’s bij de klant leggen, of kan dit niet en zit er niets anders op dan het systeem echt af te sluiten?Bij een onsite applicatie kun je alle verantwoordelijkheid verleggen, dat zou ik wel expliciet doen met een aparte verklaring.
Bij SaaS ben jij verwerker van die persoonsgegevens, en de AVG bepaalt apart dat ook jij aansprakelijk bent naar betrokkenen toe en dat jij apart beboet kan worden door de AP als het systeem niet adequaat is. Dat kun je niet verleggen met een contract.
Het beste dat je bij SaaS kunt doen is afspreken dat de klant je vrijwaart van eventuele boetes en claims. Dat betekent dan nog steeds dat jij ze moet betalen, maar je mag je dan omdraaien en ze verhalen op je klant die zo nodig dit systeem moest gebruiken. Punt is natuurlijk wel dat als de klant in de tussentijd gestopt is of failliet verklaard, er niets te halen is.
Arnoud
Oneens. Deels wegens de reden die je al geeft: risico blijft bestaan dat er van een kale kip niets valt te plukken. Het betreft een klant die geen upgrade kan of wil betalen (in euro of uren), en waar de AP ook bij hen al een boete kan hebben neergelegd tegen de tijd dat je bij ze aanklopt.
Misschien beter om een technische oplossing te kiezen. Als je geen nee wilt verkopen aan de klant, geef ze een virtuele machine image om het zelf te gaan hosten en wens ze veel succes.
Als je nog maar een gebruiker hebt zou je zelfs het eigendom op de servers plus applicatie kunnen overdragen aan de klant. Let wel op hoe je het contract formuleert, zodat het niet je normale werkzaamheden in de weg zit.
Als het SaaS is, dan kun je toch stoppen met de levering? “Wij kunnen dit product wegens nieuwe regelgeving niet meer leveren”. Oke, de AVG is niet heel nieuw maar het lijkt me dat een klant je niet kan dwingen iets te leveren dat illegaal is.
Als eenpitter is het natuurlijk niet zo makkelijk om zomaar afscheid te nemen van een klant. Waarschijnlijk vertegenwoordigt deze klant een significant deel van de omzet. Ik snap dan wel waarom je wil blijven leveren op een manier waarbij het risico bij de klant ligt.
Zoals ik het lees (het blijft gissen zonder meer info), is het een klant die iets lokaal heeft draaien, maar er is wellicht nog een support contract voor onderhoud of storingen e.d.
Stoppen kan, mogelijk zit je met een nog lopende termijn en anno 2023 tussentijds opzeggen wegens strijd met een wet uit (naar de letter) 2016 lijkt me niet redelijk. Het punt is, zoals Ed ook al zegt, dat je je klant niet tegen het hoofd wil stoten en ook geen discussie wil over wie de kosten van de migratie gaat dragen: het is toch van jouw oude platform naar jouw nieuwe platform vanwege jouw tekortkoming, dat kun jij dan toch wel gratis doen?
Bij SaaS is onderhoud toch gewoon onderdeel van de dienst? Dan verreken je de kosten daarvoor in je abonnementskosten zodat je over lange termijn alle kleine, grote en onverwachtse aanpassingen kunt uitvoeren zonder financieel in te leveren.
Dat bijvoorbeeld het besturingssysteem waarop je SaaS draait op een gegeven moment end of life zal zijn kun je zien aankomen en dus gaan plannen voor een update.
LS Dank voor de casus. Hoe groot is de kans dat deze klant wegloopt? Wanneer beginnen met de formele afspraken hierover maken?