In dit artikel worden de belangrijkste juridische aspecten van Software as a Service en Application Service Providing besproken. Met deze termen worden twee enigszins vergelijkbare constructies van het leveren van software aangeduid. In dit artikel wordt allereerst uiteengezet wat de kenmerken van de constructies zijn, waarbij tevens wordt ingegaan op hun onderlinge verschillen. Vervolgens aan de worden aan hand daarvan de juridische vraagstukken die hieruit (kunnen) ontstaan besproken. Ten slotte wordt ingegaan op de betekenis welke De IT-Jurist kan hebben bij het realiseren van een juridische wenselijke situatie bij het leveren en gebruik van de software.
Kenmerken van SaaS en ASP
Application Service Providing (ASP) en Software as a Service (SaaS) liggen in elkaars verlengde. Zij zijn beiden een begrip waarmee het aanbieden van software als ware dit een dienst wordt aangeduid. Hiervoor is nodig dat de leverancier van de software en zijn afnemer gedurende de periode waarbinnen gebruik van de software wordt gemaakt over en weer rechten en plichten (blijven) hebben. Dit wordt gerealiseerd doordat de software niet op de computer van de afnemer wordt geïnstalleerd, maar op een server die door de softwareleverancier wordt beheerd. De afnemer verkrijgt bij ASP en SaaS na betaling van een bepaalde vergoeding via het internet toegang tot de software. Deze vergoeding wordt bepaald aan de hand van de omvang van het gebruik. Naast het leveren van het gebruik maakt ook het installeren en onderhouden van de software, het maken van back-ups van de met de software verwerkte gegevens en het beveiligen ervan deel uit van de dienstverlening die een ASP- of SaaS-leverancier aanbiedt.
Het verschil tussen ASP en SaaS bestaat uit het gegeven dat ASP-software ingericht is op de behoeften van één of enkele afnemer(s). ASP-software is, met andere woorden, maatsoftware. Hierdoor moet de softwareleverancier per klant grote investeringen doen. SaaS daarentegen is geschikt voor meerdere afnemers, en daarmee aan te merken als standaardsoftware. Een ander onderscheidend kenmerk van SaaS is dat het flexibeler is dan ASP-software. Zo kan de softwareleverancier met eenvoudiger verbeteringen of nieuwe versies van de software doorvoeren. SaaS is daarnaast goed schaalbaar. De afnemer kan zijn softwaregebruik betrekkelijk ongecompliceerd aanpassen op de actuele stand van zijn bedrijfsvoering. Een derde verschil ten opzichte van ASP is dat met SaaS de software en de bijbehorende gegevens vanuit meerdere locaties op het internet worden aangeboden. Deze maatregel draagt bij aan de beschikbaarheid van de software.
Vraagstukken
Uit bovenstaande begripsomschrijving blijkt dat bij het gebruik van SaaS en ASP een aantal verantwoordelijkheden die traditioneel voor rekening kwamen voor de afnemer van de software nu op de schouders van de softwareleverancier rusten. De oorzaak hiervan is dat de software, vanuit de afnemer ervan gezien, op afstand wordt aangeboden. Dit technische gegeven roept een aantal juridische vragen op welke in het volgende beknopt worden besproken.
Op afstand verwerken van gegevens
De belangrijkste vraagstukken spelen rond het feit dat met het gebruik van SaaS en ASP op afstand gegevens worden verwerkt. Dat kunnen de gegevens zijn die een afnemer in de software heeft ingevoerd, maar ook de bestanden die met de software zelf tot stand zijn gebracht. Denk bij het eerste aan cijfers die bepaalde bedragen vertegenwoordigen en bij het tweede aan bijvoorbeeld met de software gemaakte spreadsheets waarin die cijfers opgenomen zijn.
Allereerst zal moeten worden bekeken in hoeverre wettelijke voorschriften de mogelijkheden voor het gebruik van software als dienst op afstand beperken. Stel bijvoorbeeld dat een SaaS wordt aangeboden waarmee de boekhouding kan worden uitgevoerd. Wanneer de software wordt gebruikt zullen er persoonsgegevens (bijvoorbeeld namen, adressen en salarissen van werknemers) worden verwerkt. Met de privacyregelgeving zoals de Wet bescherming persoonsgegevens (Wbp) worden aan degene die voor de verwerking verantwoordelijk is een aantal voorschriften meegegeven. De afnemer van de software is in de meeste gevallen die persoon, maar ook de softwareleverancier kan (mede)verantwoordelijke zijn. Relevant zijn echter voornamelijk de voorwaarden zelf. Zo mogen de persoonsgegevens slechts worden verwerkt ten behoeve van een bepaald doel en moeten ze afdoende beveiligd zijn. Daarnaast mogen de gegevens in beginsel niet buiten de Europese Unie worden verwerkt. Dit laatste kan gelet op het internationale karakter dat softwaregebruik tegenwoordig heeft problematisch zijn. Dit betekent bijvoorbeeld dat het gebruik van SaaS-oplossing Google Docs wellicht niet is toegestaan omdat eventueel met die software verwerkte persoonsgegevens op Google-servers in Amerika worden opgeslagen.
Ook de wettelijke bewaarvoorschriften, zoals de fiscale bewaarplicht, zijn bij het op afstand verwerken van gegevens van belang. Een organisatie kan sancties verwachten wanneer bepaalde gegevens (zoals de salarisadminstratie) niet conform de regels zijn opgeslagen of wanneer de opgevraagde gegevens niet inzichtelijk kunnen worden gemaakt. Met het gebruik van een SaaS- of ASP-applicatie wordt de controle over de uitvoering van wettelijke plichten dus (gedeeltelijk) uit handen gegeven.
Naast de complicaties die voortvloeien uit wet- en regelgeving kunnen er ook andere juridische risico’s verbonden zijn aan de beperkte controle die de afnemer heeft over de gegevens. Zo is niet hij, maar de softwareleverancier verantwoordelijk voor het back-uppen en beveiligen van de data. Daarnaast kunnen ook vragen omtrent de (intellectuele) eigendom van de gegevens ontstaan. De afnemer van de software loopt daarom bijvoorbeeld risico dat hij niet (te allen tijde) de afgifte van de gegevens kan vorderen.
Beschikbaarheid dienstverlening
Omdat de software op afstand wordt uitgevoerd is het niet mogelijk om de beschikbaarheid ervan te garanderen. Dit betekent dat de softwareleverancier slechts bereid zal zijn tot het zich verplichten tot het leveren van een bepaalde inspanning. Voor de afnemer van de software is het echter, zeker wanneer deze software bedrijfskritisch is, wenselijk om een stok achter de deur te hebben. Dit kan worden gerealiseerd door afspraken over het serviceniveau van de dienstverlening onder deel uit te laten maken van de overeenkomst. Deze afspraken tezamen worden vaak aangeduid met de term Service Level Agreement (SLA). Zij zien bijvoorbeeld op het (minimum)niveau van de daadwerkelijke beschikbaarheid van de software, de respons- en verwerkingsnelheid ervan en de periode waarbinnen fouten in de software moeten worden opgelost. Daarnaast kan ook worden geëist dat de softwareleverancier proactief informatie verstrekt en een goede helpdesk inricht.
Algemene voorwaarden en aansprakelijkheid
Bij het sluiten van IT-contracten worden vaak algemene leveringsvoorwaarden op de overeenkomst van toepassing verklaard. Dit is met name het geval bij de levering van standaardsoftware, zoals bij SaaS het geval is. De leveringsvoorwaarden pakken (logischerwijs) vaak voor een contractspartij voordelig uit. Relevant hierbij is met name dat softwareleveranciers hun aansprakelijkheden voor schade zoveel mogelijk beperken. Bij SaaS zal het daarbij concreet gaan om schade als gevolg van beperkte beschikbaarheid van de software en verlies van de gegevens. Wanneer de software en de gegevens bedrijfskritisch zijn kan die schade echter aanzienlijk zijn, en is daarom juist zekerheid omtrent de zorgvuldigheid van de dienstverlening gewenst. Beperkte aansprakelijkheid stimuleert deze niet.
Beëindiging dienstverlening
Het uitgangspunt van een SaaS- of ASP-overeenkomst is een duurzame contractsrelatie. Deze kan echter om uiteenlopende redenen beëindigd worden. De oorzaak hiervan kan enerzijds bij de afnemer liggen, zoals bijvoorbeeld het geval is wanneer hij de software niet meer wil gebruiken. Daarbij zal hij graag afgifte en wellicht conversie zien van de gegevens die door hem met de software zijn verwerkt. Zoals gezegd vormt de controle die softwareleverancier over de gegevens heeft hiervoor een risico, zeker wanneer de gegevens essentieel zijn voor de bedrijfsvoering of het voldoen aan wettelijke plichten. Het opstellen van een goede regeling hieromtrent (welke vaak met de term exit-strategie wordt aangeduid) is daarom essentieel. Zo kan bijvoorbeeld worden afgesproken dat een onafhankelijke derde partij periodiek een recente kopie van de gegevensbestanden in bewaring neemt. Wanneer de beëindiging van de contractsrelatie (of een andere bepaalde gebeurtenis) heeft draagt deze derde de gegevens over aan de afnemer van de software.
De oorzaak van de beëindiging van de contractsrelatie kan echter tevens liggen bij de softwareleverancier, terwijl de afnemer het gebruik van de software juist wil continueren. Een dergelijke situatie ontstaat bijvoorbeeld op het moment dat de softwareleverancier in staat van faillissement wordt gesteld. In dergelijke gevallen is er bij de afnemer de behoefte aan een regeling waarmee in de continuering van het gebruik wordt voorzien. Hiervoor is het nodig dat een daartoe bevoegd verklaarde derde de verplichtingen van de softwareleverancier op zich neemt. De afnemer zelf beschikt namelijk vaak niet over de hiervoor benodigde technische kennis en faciliteiten. Naast het vaststellen van een dergelijke SaaS-escrow regeling zullen partijen ook voor situaties als het faillissement van de softwareleverancier afspraken moeten maken over de afgifte van gegevens.
De IT-Jurist
De IT-Jurist kan ondersteunen bieden aan partijen bij het realiseren van rechtszekerheid bij SaaS en ASP-dienstverlening. Zo kan hij adviseren over de bij het gebruik van de software relevante regelgeving. Daarnaast kan hij helpen bij het opzetten van een juridisch aanvaardbare situatie ten aanzien van de continuïteit van de dienstverlening en de controle over de gegevens. Concreet betekent bijvoorbeeld dat hij de inbewaarneming regelt, de controle en, wanneer zich een bepaalde gebeurtenis voordoet, de afgifte van de gegevensbestanden verzorgt. Het is echter van belang dat De IT-Jurist tevens de hiervoor benodigde technische kennis in huis heeft. De combinatie van juridische en technisch expertise is aanwezig bij De IT-Jurist.