Software as a Service en Application Service Providing

In dit artikel worden de belangrijkste juridische aspecten van Software as a Service en Application Service Providing besproken. Met deze termen worden twee enigszins vergelijkbare constructies van het leveren van software aangeduid.
In dit artikel wordt allereerst uiteengezet wat de kenmerken van de constructies zijn, waarbij tevens wordt ingegaan op hun onderlinge verschillen. Vervolgens aan de worden aan hand daarvan de juridische vraagstukken die hieruit (kunnen) ontstaan besproken. Ten slotte wordt ingegaan op de betekenis welke rol de IT-notaris kan hebben bij het realiseren van een juridische wenselijke situatie bij het leveren en gebruik van de software.

Kenmerken van SaaS en ASP

Application Service Providing (ASP) en Software as a Service (SaaS) liggen in elkaars verlengde. Zij zijn beiden een begrip waarmee het aanbieden van software als ware deze software een dienst wordt aangeduid. Hiervoor is nodig dat de leverancier van de software en zijn afnemer gedurende de periode waarbinnen gebruik van de software wordt gemaakt over en weer rechten en plichten (blijven) hebben. Dit wordt gerealiseerd doordat de software niet op de computer van de afnemer wordt geÔnstalleerd, maar op een server die door de softwareleverancier wordt beheerd. De afnemer verkrijgt bij ASP en SaaS na betaling van een bepaalde vergoeding via het internet toegang tot de software. Deze vergoeding wordt bepaald aan de hand van de omvang van het gebruik. Naast het leveren van het gebruik maakt ook het installeren en onderhouden van de software, het maken van back-ups van de met de software verwerkte gegevens en het verzorgen van de beveiliging deel uit van de dienstverlening die een ASP- of SaaS-leverancier aanbiedt.

Vraagstukken

Uit bovenstaande begripsomschrijving blijkt dat bij het gebruik van SaaS en ASP een aantal verantwoordelijkheden die traditioneel voor rekening kwamen voor de afnemer van de software, nu op de schouders van de softwareleverancier rusten. De oorzaak hiervan is dat de software, vanuit het gezichtspunt van de afnemer bekeken, op afstand wordt aangeboden. Dit technische gegeven roept een aantal juridische vragen op welke in het volgende beknopt worden besproken.

Op afstand verwerken van gegevens

De belangrijkste vraagstukken spelen rond het feit dat met het gebruik van SaaS en ASP op afstand gegevens worden verwerkt. Dat kunnen de gegevens zijn die een afnemer in de software heeft ingevoerd, maar ook de bestanden die met de software zelf tot stand zijn gebracht. Denk bij het eerste aan cijfers die bepaalde bedragen vertegenwoordigen en bij het tweede aan bijvoorbeeld met de software gemaakte spreadsheets waarin die cijfers opgenomen zijn.

Allereerst zal moeten worden bekeken in hoeverre wettelijke voorschriften de mogelijkheden voor het gebruik van software als dienst op afstand beperken. Stel bijvoorbeeld dat door een leverancier SaaS waarmee de boekhouding kan worden uitgevoerd, wordt aangeboden. Wanneer de software wordt gebruikt zullen er persoonsgegevens (bijvoorbeeld namen, adressen en salarissen van werknemers) worden verwerkt. In de privacyregelgeving, zoals de Wet bescherming persoonsgegevens (Wbp), wordt aan degene die voor de verwerking verantwoordelijk is een aantal voorschriften opgelegd. De afnemer van de software is in de meeste gevallen die persoon, maar ook de softwareleverancier kan (mede)verantwoordelijke zijn. Relevant zijn echter voornamelijk de voorwaarden zelf. Zo mogen de persoonsgegevens slechts worden verwerkt ten behoeve van een bepaald doel, en moeten ze afdoende beveiligd zijn. Daarnaast mogen de gegevens in beginsel niet buiten de Europese Unie worden verwerkt. Dit laatste kan gelet op het internationale karakter dat softwaregebruik tegenwoordig heeft, problematisch zijn. Dit betekent bijvoorbeeld dat het gebruik van de bekende SaaS-oplossing Google Docs wellicht niet is toegestaan omdat eventueel met die software verwerkte persoonsgegevens op Google-servers in Amerika worden opgeslagen.

Ook de wettelijke bewaarvoorschriften, zoals de fiscale bewaarplicht, zijn bij het op afstand verwerken van gegevens van belang. Een organisatie kan sancties verwachten wanneer bepaalde gegevens (zoals de salarisadministratie) niet conform de regels zijn opgeslagen, of wanneer de opgevraagde gegevens niet inzichtelijk kunnen worden gemaakt. Met het gebruik van een SaaS- of ASP-applicatie wordt de controle over de uitvoering van wettelijke plichten dus (gedeeltelijk) uit handen gegeven.

Naast de complicaties die voortvloeien uit wet- en regelgeving kunnen er ook andere juridische risico's verbonden zijn aan de beperkte controle die de afnemer heeft over de gegevens. Zo is niet hij, maar de softwareleverancier verantwoordelijk voor het back-uppen en beveiligen van de data. Daarnaast kunnen ook vragen omtrent de (intellectuele) eigendom van de gegevens ontstaan. De afnemer van de software loopt daarom bijvoorbeeld risico dat hij niet (te allen tijde) de afgifte van de gegevens kan vorderen.

Beschikbaarheid dienstverlening

Omdat de SaaS- en ASP-software op afstand wordt uitgevoerd is het niet mogelijk om de continue beschikbaarheid ervan te garanderen. Dit betekent dat de softwareleverancier slechts bereid zal zijn tot het zich verplichten tot het leveren van een bepaalde inspanning. Voor de afnemer van de software is het echter, zeker wanneer deze software bedrijfskritisch is, wenselijk om een stok achter de deur te hebben. Dit kan worden gerealiseerd door afspraken over het serviceniveau van de dienstverlening onderdeel uit te laten maken van de overeenkomst.
Deze afspraken tezamen worden vaak aangeduid met de term Service Level Agreement (SLA). Zij zien bijvoorbeeld op het (minimum)niveau van de daadwerkelijke beschikbaarheid van de software, de respons- en verwerkingsnelheid ervan en de periode waarbinnen fouten in de software moeten worden opgelost. Daarnaast kan ook worden geŽist dat de softwareleverancier proactief informatie verstrekt en een goede helpdesk inricht.

Algemene voorwaarden en aansprakelijkheid

Bij het sluiten van IT-contracten worden vaak algemene leveringsvoorwaarden op de overeenkomst van toepassing verklaard. Dit is met name het geval bij de levering van standaardsoftware, zoals bij SaaS het geval is. De leveringsvoorwaarden pakken (logischerwijs) vaak voor een contractspartij voordelig uit. Relevant hierbij is met name dat softwareleveranciers hun aansprakelijkheden voor schade zoveel mogelijk beperken.
Bij SaaS zal het daarbij concreet gaan om schade als gevolg van beperkte beschikbaarheid van de software en om de schade die het gevolg is van het verlies van gegevens. Wanneer de software en de gegevens bedrijfskritisch zijn, kan die schade echter aanzienlijk zijn. Daarom is juist zekerheid omtrent de zorgvuldigheid van de dienstverlening gewenst. Beperkte aansprakelijkheden stimuleren deze zekerheid niet.

BeŽindiging dienstverlening

Het uitgangspunt van een SaaS- of ASP-overeenkomst is een duurzame contractsrelatie. Deze kan echter om uiteenlopende redenen beŽindigd worden. De oorzaak hiervan kan enerzijds bij de afnemer liggen, zoals bijvoorbeeld het geval is wanneer hij de software niet meer wil gebruiken. Daarbij zal hij graag afgifte, en wellicht conversie zien van de gegevens die door hem met de software zijn verwerkt. Zoals gezegd vormt de controle die softwareleverancier over de gegevens heeft hiervoor een risico. Dit is voornamelijk het geval wanneer de gegevens essentieel zijn voor de bedrijfsvoering of het voldoen aan wettelijke plichten. Het opstellen van een goede regeling hieromtrent (welke vaak met de term exit-strategie wordt aangeduid) is daarom essentieel. Zo kan bijvoorbeeld worden afgesproken dat een onafhankelijke derde partij periodiek een recente kopie van de gegevensbestanden in bewaring neemt. Wanneer de beŽindiging van de contractsrelatie (of een andere bepaalde gebeurtenis) plaatsvindt, draagt deze derde de gegevens over aan de afnemer van de software.

De oorzaak van de beŽindiging van de contractsrelatie kan echter tevens liggen bij de softwareleverancier. Een dergelijke situatie ontstaat bijvoorbeeld op het moment dat de softwareleverancier in staat van faillissement wordt gesteld. In dit soort gevallen is er bij de afnemer de behoefte aan een regeling waarmee in de continuering van het gebruik van de SaaS- of ASP-oplossing wordt voorzien. Het opstellen van een dergelijke regeling is vaak maatwerk.

Rol IT-notaris

De functie van de notaris is om vanuit een onafhankelijke positie rechtszekerheid te bieden aan partijen. Wanneer men dit in ogenschouw neemt, moet geconcludeerd worden dat de rol die de IT-notaris speelt bij het creŽren van een juridisch evenwichtige situatie bij SaaS- en ASP-dienstverlening groot kan zijn. Zo kan hij adviseren over de voor het gebruik van de software relevante regelgeving. Daarnaast kan hij helpen bij het opzetten van een juridisch aanvaardbare situatie ten aanzien van de continuÔteit van het gebruik van de software en van de controle over de gegevens. De IT-notaris werkt hiertoe samen met onafhankelijke en vakbekwame informatici, en met andere specialistische dienstverleners.
 
 
Er is uiterste zorg besteed aan het zo actueel, correct en compleet mogelijk maken en houden van de inhoud van dit artikel. Het is echter mogelijk dat de inhoud van de documenten verouderd, incompleet en/of incorrect is door wijzigingen in wet- en regelgeving, ontwikkelingen in hard- en software en/of voortschrijdend inzicht. Aan de inhoud van dit document kunnen dan ook geen rechten worden ontleend. De auteurs kunnen niet aansprakelijk worden gehouden voor de gevolgen van het gebruik, op welke wijze dan ook, van de in dit artikel aangeboden informatie.