2 juli 2009
Software as a Service (SaaS) is geen hype meer, maar de risico’s zijn veel groter dan gedacht. De reden om voor SaaS te kiezen wordt door kosten en gemak gedreven. SaaS is immers schaalbaar: het aantal gebruikerslicenties is eenvoudig te wijzigen. SaaS implementeren is veelal veel minder complex dan een traditionele implementatie. En wat ook telt: de gebruiker heeft niet de verantwoordelijkheid voor beheer en onderhoud. Dat is een groot voordeel voor de bedrijven die geen grote IT-afdeling (willen) hebben. Er zijn echter ook keerzijden aan SaaS. Zo is er naast een ‘vendor lock-in’ ook nog een ‘solution lock-in’, wat de flexibiliteit aanzienlijk verminderd. SaaS is het verlenen van toegang tot en gebruik van een systeem als een dienst: het is een platform met een applicatie die op een andere locatie dan die van de klant beschikbaar is. Een SaaS-overeenkomst kan niet beperkt zijn tot software alleen. In het systeem worden gegevens van de klant opgeslagen. En daar zit het eerste grote risico: veiligheid en privacy. Het is voor de eindgebruiker veelal niet duidelijk hoe de gegevens beveiligd zijn. Bij persoons- of kritische bedrijfsgegevens kan de eindgebruiker risico’s lopen, zowel in feitelijke als juridische zin. Het juridische risico kan al bestaan zonder dat gegevens ‘op straat komen te liggen’; schending van de Wet bescherming persoonsgegevens (WBP) bijvoorbeeld. Indien de afnemer van de SaaS-dienst als de verantwoordelijke kan worden aangemerkt, dient hij aan de verplichtingen uit de WBP te voldoen en dient de overeenkomst te voorzien in nakoming van deze verplichtingen.
Hij is dus verantwoordelijk voor de technische beveiliging van het systeem waarmee SaaS geleverd wordt. Ook moet bekend zijn waar de gegevens verwerkt en opgeslagen worden: indien dit namelijk buiten de EU is in een land zonder een ‘passend beschermingsniveau’, dan mogen de gegevens alleen verwerkt worden na verkrijging van een exportvergunning. SaaS versterkt het belang van testen en controleren. Het is verstandig de technische kwaliteit van het SaaS-product te controleren. Dit om zeker te weten of het product goed beheerd en gewijzigd kan worden. Erger dan een ’vendor lock-in’ is een ’solution lock-in’: SaaS blijkt wel schaalbaar maar niet veranderbaar. Overstappen naar een andere leverancier met een ander product is zeer kostbaar en tijdrovend, indien het al mogelijk is. Om deze risico’s hanteerbaar te maken, is het verstandig de service achter SaaS te testen. Een SaaS-overeenkomst kan maar in beperkte mate iets doen aan vendor en solution lock-in: een (voortijdig) einde van de overeenkomst is vaak de enige uitweg, als de overeenkomst er al in voorziet. Onduidelijke afspraken doen de kans op geschillen toenemen. Afspraken kunnen o.a. rechten behelzen voor de afnemer om het systeem waarmee SaaS geleverd wordt te auditen. Looptijd en beëindigingsmogelijkheden verdienen aandacht: een afnemer van SaaS zal bij een overeenkomst met een langere looptijd stil moeten staan bij de vendor lock-in die daardoor ontstaat. Indien SaaS voorziet in een kritisch bedrijfsproces, kan dat niet door beëindiging van de ene op de andere dag stilvallen. De overgang naar een andere leverancier of naar de eigen organisatie zal goed moeten verlopen en de overeenkomst zal hierin moeten voorzien. De conclusie is dat SaaS een goede uitkomst kan zijn in gevallen dat er voor een weinig kritisch proces met weinig kritische data een oplossing gezocht wordt. Zodra er echter voor een bedrijfskritisch proces met daarin bijvoorbeeld klantdata, gekeken wordt naar een SaaS-oplossing, zal er ook aandacht moeten zijn voor een aantal specifieke risico’s. Deze risico’s dienen gemanaged te worden.