Escrow-oplossingen om continuïteitsrisico’s te beperken

Hoe helpt escrow bij het verminderen van de afhankelijkheid van toeleveranciers?

Om je continuïteitsrisico te beperken en de afhankelijkheid van je toeleveranciers te verminderen, zul je met ze hierover in gesprek moeten gaan. Misschien vinden zij het bijvoorbeeld geen probleem om de auteursrechten van de software mee te leveren. Dit moet dan wel juridisch goed vastgelegd worden. Meestal willen producenten dit echter niet, omdat zij hun geld verdienen met hun auteursrechten. Het is hun ‘goud’ en in de ontwikkeling daarvan is veel tijd en geld geïnvesteerd. In dit geval zou escrow een voor beide partijen acceptabele oplossing kunnen zijn. Je kunt dan afspraken maken over het gebruiksrecht en het intellectueel eigendomsrecht (IE) en dat vastleggen. Zo kun je beschikken over de technologie, waarbij rekening wordt gehouden met zowel de belangen van de gebruiker als die van de maker.

Wat is escrow voor software?

Bij software escrow komen een softwareleverancier of -distributeur en de gebruiker overeen dat de leverancier de broncode van een softwareapplicatie via een escrow agent deponeert voor de gebruiker. Hiermee zorg je dat de softwareproducten die zij ontwikkeld hebben of aanbieden, veiliggesteld worden door de escrow agent. Als leverancier bied je zo zekerheid aan iedereen die van jouw software gebruik maakt of IT afneemt. Als afnemer stel je je eigen processen veilig in het kader van de continuïteit van jouw bedrijf of organisatie. De IE rechten moeten worden vastgesteld en afspraken, in het geval zich een calamiteit voordoet, worden van tevoren vastgelegd.

Wat is een goede escrow agent?

Een goede escrow agent heeft verstand van zowel de juridische als technische kant van IT-zaken. Zonder verstand van beiden, worden vaak dingen over het hoofd gezien. Daardoor kan de gehele continuïteitsregeling ontkracht worden. Een goede escrow agent bemiddelt tussen twee of meerdere partijen en weet op de juiste manier alles goed vast te leggen en deponeren bij een Trusted Third Party. Software Borg werkt hiervoor samen met (IT-)notarissen. De notaris legt van tevoren in akten vast waar je recht op hebt en waar je aanspraak op kunt maken in verschillende scenario’s, waarbij de toeleverancier niet meer kan leveren. Door deze met een notariële akte vast te leggen, worden deze ook nog op hun objectiviteit getoetst en zijn ze niet aanvechtbaar. Ook controleert de notaris of de leverancier wel de eigenaar van de software is. Anders heeft vastleggen weinig zin.

Wat is belangrijk bij escrow voor smart systemen?

Wellicht heeft je toeleverancier al een escrow-regeling en kan je hierbij aansluiten? Check dan wel of deze regeling ook echt sluitend is. Er zijn veel regelingen op de markt die goedkoop zijn maar feitelijk de risico’s niet wegnemen voor de gebruiker. Wanneer er geen geschikte escrow-regeling is waar je bij kan aansluiten en je toeleverancier staat hier voor open, kan je zelf een regeling voorstellen. Hierbij zijn twee zaken van belang: je moet de rechten hebben om de technologie in bepaalde gevallen voor eigen gebruik te mogen aanpassen, en je moet technisch gezien dit kunnen. Ofwel je moet de toegang hebben tot de juiste informatie. Dit gaat vaak verder dan alleen de software.

Dit kan zijn in het voorbeeld van een schip wat ontwikkeld wordt, dat je toegang moet hebben tot de technische ontwerpen. Als halverwege de bouw iets misgaat kan jij verder. Maar dit heeft geen zin als je het recht niet hebt om deze ontwerpen te gebruiken. Een goede escrow-regeling zorgt hiervoor. Zo worden er juridische afspraken gemaakt waarin wordt afgesproken dat alleen in geval van een hapering aan de kant van de toeleverancier, de gebruiker het recht heeft op de tekeningen en/of broncode. En alleen voor eigen gebruik, exploitatie mag niet. Zo worden ook de rechten van de maker beschermt.

Checklist voor een goede escrow-regeling

Deze checklist geeft je een aantal aandachtspunten die kunnen ondersteunen bij het uitkiezen van een goede escrow- en continuïteitsregeling. Hierbij maak je eventuele continuïteitsrisico’s inzichtelijk voor wat betreft de beschikbaarheid van je bedrijfskritische IT-systemen. Beschikbaarheid is een van de drie basisaspecten van informatiebeveiliging (BIV). De IT-branche kan zelf voor de andere twee de benodigde maatregelen treffen (integriteit - testen - en vertrouwelijkheid - hacken -), maar dat geldt niet voor de beschikbaarheid. Daarvoor heb je escrow nodig. Aandachtspunten bij een goede regeling zijn:

1. Wordt de situatie rond het auteursrecht op de broncode beoordeeld, alvorens de broncode wordt gedeponeerd? De deponerende partij moet rechthebbende (‘eigenaar’) zijn. De regeling mag bovendien niet worden gefrustreerd doordat bijv. een bank al pandrecht heeft.
2. Vindt er een controle van de broncode plaats alvorens deze wordt gedeponeerd? De broncode kan het beste door een IT-deskundige worden gecontroleerd op volledigheid, bruikbaarheid en overdraagbaarheid. Dit dient te gebeuren voor elk depot zodat zeker is dat de broncode of informatie waar het om gaat wordt gedeponeerd en niet de vakantiefoto’s.
3. Worden de controlewerkzaamheden van de escrow gerapporteerd? Zo kan de licentienemer dit aan zijn accountant laten te zien om te bewijzen dat de juiste maatregelen genomen zijn.
4. Wordt rekening gehouden met veranderingen in de broncode? Technische en juridische waarborgen (zoals regelmatige updates) moeten er voor zorgen dat aanspraak wordt gemaakt op een actuele broncode.
5. Is het vertrouwen in de escrow-agent gerechtvaardigd? De bewaarnemende partij (zoals de notaris) mag niet vatbaar zijn voor faillissement en zou moeten werken onder beroeps- en gedragsregels en tuchtrecht.
6. Is de regeling bestand tegen de gevolgen van wetgeving en jurisprudentie? Of specifiek: kan een curator de regeling niet terugdraaien. Dan is het immers zinloos.
7. Wordt de broncode op basis van objectieve gronden vrijgegeven? Er mag geen discussie ontstaan over de rechtmatigheid van een afgifte.
8. Hebben de licentienemers recht op nazorg en ondersteuning van de escrow agent? De licentienemers moeten aanspraak kunnen maken op ondersteuning bij het verzorgen van de continuïteit van hun kritische software indien nodig. Het gaat er immers om dat je verder kan met je bedrijfsprocessen.
9. Is personeel van de toeleverancier noodzakelijk voor de continuïteit? Essentiële mankrachten die nodig zijn voor het onderhoud van de software moet ingeschakeld kunnen worden.

Indien je IT-systeem als SaaS wordt geleverd of via de Cloud beschikbaar is, zoals vaak het geval, gelden er aanvullende aandachtspunten:

• Het softwarehouse levert de software aan jou via een online platform. De escrow-regeling moet er dus in voorzien dat, als de rekening van dit platform niet meer wordt betaald door het softwarehouse, deze dienstverlening wel doorloopt voor jou. Anders kan je niet bij je software en niet bij je data. Dit moet van te voren zijn geregeld.
• Wordt de continuïteitsregeling periodiek gecontroleerd? Je softwarehouse kan (en zal) regelmatig van online platform veranderen of er kunnen andere veranderingen in de keten van de leverantie plaatsvinden. Met regelmatige checks kan dit simpel worden gecontroleerd.

Online platform voor escrow

Iedereen moet er gerust op kunnen zijn dat belangrijke zaken goed geregeld zijn en de continuïteit van je bedrijf niet in gevaar komt door het gebruik van IT. Ook zit niemand te wachten op onnodige kosten omdat een regeling uitgebreider is dan nodig of eigenlijk niet werkt. Gelukkig biedt IT ook hier volop mogelijkheden en maakt Software Borg gebruik van een online platform voor escrow dat door notarissen is erkend en de kosten laag houdt. Zo helpt Software Borg de Smart Industry sector met de juiste escrow-oplossing zodat zorgeloos IT ingezet kan worden.

Lees ook:

• Wat is bedrijfskritische software?
• De risico's van softwaregebruik in de fabriek
• Het in eigen beheer ontwikkelen van software

Dit artikel is een bijdrage van Smart Industry Ambassadeur Software Borg. Heb je vragen op dit gebied? Neem dan vrijblijvend contact op: softwareborg.nl