Vijf cloudzaken die belangrijker zijn dan de Patriot Act

cloud.pngWe gaan naar de cloud maar oh jee dat mag niet want de Patriot Act. Het meest gehoorde bezwaar tegen dienstverlening uitbesteden aan een cloudprovider. Met de Patriot Act in de hand kan de FBI ongegeneerd snuffelen in clouddata, ook als het gaat om Europese persoonsgegevens. En daarmee handel je in strijd met onze Wbp. Oh jee. Ja, toegegeven dat is een probleem. Maar in de praktijk heb ik dit nog nooit tot een écht conflict of overheidsoptreden zien leiden. Maar wat er wél in de praktijk misgaat, zijn deze vijf dingen.

  1. Data-export: ben je in staat je data te exporteren in een formaat waar je ook werkelijk mee kunt werken? Of zit alles ‘opgesloten’ in het formaat van de cloudleverancier en moet je met copypaste vanaf het scherm alles over zien te zetten naar je nieuwe leverancier?
  2. Continuïteit: wat ga je doen als de dienst niet meer beschikbaar is? Is er een lokale backup of een alternatief waarmee je tijdelijk door kunt? En vooral: wat ga je doen als de dienst ermee stopt, bv. vanwege faillissement of overname+stekkeruitname. Menig clouddienst(je) blijkt ineens verdwenen omdat de achterliggende startup er geen geld meer voor heeft.
  3. Beschikbaarheid: flauw maar wél belangrijk. Als een dienst er niet is terwijl je daar wel op rekent, dan gaat het mis. Heb je een Service Level Agreement afgesloten? Staan daarin de kerncijfers en prestatie-indicatoren die je echt nodig hebt? 99% uptime betekent 3,5 dag downtime per jaar. Dat klinkt misschien als te overleven, maar wat als dat elke week 2x een half uur storing midden op de dag is? En staat er echt een boete in het contract, of krijg je 1/30e van de maandelijkse vergoeding terug? En wat héb je daaraan?
  4. Datalekveiligheid: een species van beveiliging in het algemeen natuurlijk. Maar wel een belangrijke, want een datalek levert je een forse hoeveelheid slechte publiciteit op. En wanneer de Europese Privacyverordening van kracht wordt, komen er boetes op het laten lekken van persoonsgegevens. (Ook andere data wil je natuurlijk niet laten lekken, maar dan moet je de boete zelf contractueel afspreken.)
  5. Voorwaarden-billijkheid: de algemene voorwaarden van veel cloud- of SaaS-diensten zijn erg eenzijdig of bevatten opmerkelijke clausules. Zo wordt vaak tussen neus en lippen door een onbeperkt gebruiksrecht op de klantdata opgevraagd (nog net niet “Wij mogen uw foto’s op t-shirts verkopen” maar het scheelt niet veel) en

Missen jullie nog dingen? Wat zijn jullie problemen met clouddienstverleners, of juist met hun klanten?

Arnoud<br/> PS: meer weten over cloud, security & continuïteit? Kom naar onze training op 11 februari!

Mag ik een hosted dienst afsluiten bij wanbetaling?

Het lijkt vrij logisch bij een internetdienst: als de klant niet betaalt, dan sluit je de toegang tot de dienst af. Dat is immers het sterkste machtsmiddel dat je hebt. En aangenomen dat de klant die dienst belangrijk vindt (waarom betaalt hij er anders voor), zal hij dan snel alsnog over de brug komen met de achterstallige betalingen. Maar helemaal zonder risico is het niet.

De wet noemt het tijdelijk niet leveren van een dienst bij wanbetaling van de wederpartij ‘opschorten’. In principe ben je vrij in de keuze hoe je wilt opschorten, maar je moet daarbij wel altijd rekening houden met de redelijke belangen van de klant en de hoogte van de wanbetaling. De wet zegt dat “opschorting slechts toegelaten [is], voor zover de tekortkoming haar rechtvaardigt.” Het is niet aan te raden om de gehele dienstverlening naar de klant te staken als deze alleen de BTW op een factuur is vergeten te betalen. E-mail van zijn klanten laten bouncen is zelden verstandig. Uitgaande diensten (verzenden van mail bijvoorbeeld) kun je probleemloos wel gewoon blokkeren.

Ik raad altijd aan om een gefaseerd proces van opschorten te hanteren, en dat ook duidelijk in de voorwaarden op te nemen. Mijn standaardaanpak: eerst gaat de applicatie op read only, een week later worden gewone gebruikersaccounts geblokkeerd en een week daarna wordt de gehele applicatie ontoegankelijk. Door dit vooraf te melden én op een duidelijke en redelijke manier uit te werken, sta je sterk als de klant naar de rechter stapt en claimt dat je niet proportioneel hebt gehandeld.

De periode van opschorting mag je in principe laten lopen tot de klant zijn rekening heeft betaald. De klant moet echter gewoon zijn lopende verplichtingen blijven voldoen. Hij moet dus ook betalen voor de periode dat je de dienstverlening opgeschort hebt. Eventueel kun je ook af- of aansluitingskosten in rekening brengen. Maar ook hier geldt: dit moet wel redelijk zijn in de gegeven omstandigheden. Plus, het bestaan van dergelijke kosten moet in de voorwaarden zijn gemeld.

Opschorten is niet zonder risico: als achteraf blijkt dat dit niet terecht was, moet je de klant schadeloos stellen voor de periode dat de dienst niet te gebruiken was. Verwijzen naar de beperkte aansprakelijkheid uit je algemene voorwaarden gaat je niet helpen. Opschorten valt onder “opzettelijK” handelen en daarvoor mag je nooit je aansprakelijkheid uitsluiten.

Als zelfs opschorting geen zoden aan de dijk zet, zal de volgende stap opzegging van het contract zijn wegens wanprestatie. Ook dit middel moet in redelijke verhouding staan tot de wanbetaling. Maar dit middel is een stuk zwaarder, want je gaat nu onherstelbare dingen doen: het account afkoppelen, de dienst onbereikbaar maken en mogelijk zelfs data wissen.

Lastig is dat hier allemaal weinig over geregeld is in de wet. Data is niets dus als die weg is dan kun je als klant niets eisen. Dat voelt niet helemaal lekker, zeker niet als achteraf blijkt dat de reden voor afsluiting een misverstand of overmacht was. Ook hier dus: zorg voor een duidelijke procedure bij afsluiting en bewaar als het even kan de data totdat je zeker weet dat de klant weg blijft.

Arnoud