partnermenu

zoeken binnen de website

MKB-Podium

Nederland ICT en iBestuur magazine bieden kleinere leden van Nederland ICT een podium om zich te presenteren aan bestuurders en beslissers in de publieke sector: MKB-podium!
Meer informatie: info@nederlandict.nl ovv iBestuur

Continuïteit van software kan beter

door: Freek Blankena

artikelen | 9 januari 2014

Niet iedereen hoeft te weten wat een software-escrow is. Maar voor opdrachtgevers en inkopers van software kan een dergelijke garantie echter van levensbelang zijn. En zeker bij de overheid ontbreekt dat besef vaak.

MKB Podium Softcrow

MKB-podium dec. 2013: Softcrow

Een softwarepakket, gemaakt door een bedrijfje ‘van drie man en een paardenkop’ in een gedateerde ontwikkeltaal en van levensbelang voor het kunnen uitvoeren van de taken van de overheidsorganisatie die het heeft aangeschaft. Gaston Vankan, directeur van Softcrow, ziet het maar al te vaak. Wat gebeurt er als dat bedrijfje failliet gaat? De software blijft nog wel even draaien, maar wat nu als er na een paar maanden functionele aanpassingen nodig zijn, een bug gerepareerd moet worden of een beveiligingslek in de software blijkt te zitten?
Om dit soort situaties te voorkomen bestaat al vele jaren de escrow-constructie. Leverancier en afnemer spreken met elkaar af de broncode van de software bij een escrow-agent in depot te geven. Gebeurt er iets met de leverancier, dan kan de afnemer het depot laten lichten en zelf met de software aan de slag of deze door een derde laten aanpassen.

Vankan: “We hebben gesprekken gehad met onder andere de Haagse Inkoopsamenwerking. Dan blijkt al snel dat de kennis van escrow gedateerd is. Ontwikkelingen in zowel jurisprudentie als technologie maken dat de escrow van twintig jaar geleden niet meer zinvol is.” In de inkoopvoorwaarden is er wel aandacht voor. In de Arvodi (diensten) staat iets over intellectueel eigendom, in de Arbit (IT) iets over escrow, “maar ook dat ‘men’ zelf moet inschatten hoe belangrijk dat is. Alleen de feitelijke eindgebruiker/opdrachtgever kan inschatten in hoeverre de software een kritieke rol vervult, en in hoeverre die software vervangbaar is. Maar het is de inkoper of aanbestedingsadviseur die zich vaak over de contractuele bepalingen moet buigen, en dan denkt dat zo’n regeling te duur is of intellectueel eigendom overdragen en escrow door elkaar haalt.”

Nadenken over escrow moet eigenlijk al ver voordat een softwaresysteem wordt aangeschaft, stelt mededirecteur Michel Kiès. “Escrow is een verzamelbegrip. Soms krijg je alleen recht van inzage in een depot, maar dat geeft geen zekerheid. Je moet in een zo vroeg mogelijk stadium afspraken maken: wat zit erin, en wat mag je er uiteindelijk mee?” Dat vergt ook de juiste juridische benadering. Bij een verbintenisrechtelijke overeenkomst kan bij een faillissement een curator de escrowafspraken naast zich neerleggen; bij een zakenrechtelijke aanvulling op deze overeenkomst niet.

In de praktijk zal een escrow met name betrekking hebben op standaardsoftware, waarmee leveranciers een inkomstenstroom op gang houden. Kiès: “Maar de invalshoek is de vervangbaarheid van de softwareoplossing in relatie tot het belang van die software voor de continuïteit van de organisatie. Als je puur kijkt naar de vraag of het standaardsoftware is, dan is dat de verkeerde vraag.” Er komen ook vele soorten software voor een escrowregeling in aanmerking; niet alleen die voor administratie en bedrijfsvoering, maar ook ‘embedded’ software voor bijvoorbeeld de besturing van treinen of de aansturing van grondstations in een energienetwerk.

Een verschijnsel dat escrow nog een extra dimensie geeft is ‘de cloud’, een optie die voor overheden steeds dichterbij komt. “Als een gewone softwareleverancier failliet gaat, draait de geleverde software veelal gewoon door, totdat er een keer onderhoud op dat systeem nodig is”, zegt Vankan. “Dan hebben ze de broncode nodig. Maar als een cloudprovider of diens platformhoster failliet gaat, kan de curator gewoon de stekker van de servers eruit trekken. Je bent dan niet alleen de mogelijkheid tot onderhoud kwijt, maar ook de toegang tot het systeem en je data.” Softcrow heeft daarvoor de nieuwe dienst CloudSecure bedacht.
Cloudconstructies, de toenemende kans op faillissementen van softwarebedrijven en het feit dat software steeds crucialer wordt voor de continuïteit zijn allemaal redenen extra goed naar escrowconstructies te kijken, vinden Vankan en Kiès, die het ontbreken van overheden, provincies en gemeenten in hun klantenportefeuille opvallend noemen. De vraag is of dat laatste het gevolg is van een bewuste risicoafweging.

Wat Softcrow doet

Volgens het driehoekscontract dat afnemer, leverancier en Softcrow sluiten, neemt de laatste de code van een softwaresysteem in depot. Dat kan bijvoorbeeld met fysieke datadragers in verzegelde enveloppen of koffertjes in beschermde fysieke kluizen van het bedrijf, maar ook via een ‘online-depot’. Zoiets kost bij Softcrow 1100 euro per jaar. Kiès: “Het is maar een fractie van wat dergelijke systemen doorgaans kosten.”
Daarnaast kan de afnemer de code ook laten verifiëren: zit er wel in het pakket wat er in moet zitten en werkt het ook als puntje bij paaltje komt? Externe auditors kunnen dat bevestigen. Ook is het mogelijk het depot actief te laten managen. Softcrow houdt dan namens de gebruiker het depot actueel en daarmee bruikbaar.
Van de enkele duizenden depots van Softcrow is er in 2013 een twintigtal gelicht.

tags: , ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.