checklist-software-borg
03
nov
Continuïteit, Nieuws

Een checklist voor software escrow

Geplaatst op 3 november 2023

Update van 30 juni 2022

Bij software escrow wordt een contract gesloten waaronder een softwareleverancier de broncode van zijn software bij een derde in bewaring geeft. Deze escrowregelingen worden opgezet om de continuïteit van de klanten van de softwareleverancier te waarborgen. Er zijn in Nederland verschillende escrowdienstverleners. Waar moet je op letten bij het afsluiten van een escrowregeling?

Checklist voor een goede escrow-regeling

Deze checklist geeft je een aantal aandachtspunten die kunnen ondersteunen bij het uitkiezen van een goede escrow- en continuïteitsregeling. Hierbij maak je eventuele continuïteitsrisico’s inzichtelijk voor wat betreft de beschikbaarheid van je bedrijfskritische IT-systemen. Beschikbaarheid is een van de drie basisaspecten van informatiebeveiliging (BIV). De IT-branche kan zelf voor de andere twee de benodigde maatregelen treffen (integriteit – testen – en vertrouwelijkheid – hacken -), maar dat geldt niet voor de beschikbaarheid. Daarvoor heb je escrow nodig.

Checklist software escrow:

  • Wordt de situatie rond het auteursrecht op de broncode beoordeeld, alvorens de broncode wordt gedeponeerd? De deponerende partij moet rechthebbende (‘eigenaar’) zijn. De regeling mag bovendien niet worden gefrustreerd doordat bijv. een bank al pandrecht heeft.
  • Vindt er een controle van de broncode plaats alvorens deze wordt gedeponeerd? De broncode kan het beste door een IT-deskundige worden gecontroleerd op volledigheid, bruikbaarheid en overdraagbaarheid. Dit dient te gebeuren voor elk depot zodat zeker is dat de broncode of informatie waar het om gaat wordt gedeponeerd en niet de vakantiefoto’s.
  • Worden de controlewerkzaamheden van de escrow gerapporteerd? Zo kan de licentienemer dit aan zijn accountant laten te zien om te bewijzen dat de juiste maatregelen genomen zijn.
  • Wordt rekening gehouden met veranderingen in de broncode? Technische en juridische waarborgen (zoals regelmatige updates) moeten er voor zorgen dat aanspraak wordt gemaakt op een actuele broncode.
  • Is het vertrouwen in de escrow-agent gerechtvaardigd? De bewaarnemende partij (zoals de notaris) mag niet vatbaar zijn voor faillissement en zou moeten werken onder beroeps- en gedragsregels en tuchtrecht.
  • Is de regeling bestand tegen de gevolgen van wetgeving en jurisprudentie? Of specifiek: kan een curator de regeling niet terugdraaien. Dan is het immers zinloos.
  • Wordt de broncode op basis van objectieve gronden vrijgegeven? Er mag geen discussie ontstaan over de rechtmatigheid van een afgifte.
  • Hebben de licentienemers recht op nazorg en ondersteuning van de escrow agent? De licentienemers moeten aanspraak kunnen maken op ondersteuning bij het verzorgen van de continuïteit van hun kritische software indien nodig. Het gaat er immers om dat je verder kan met je bedrijfsprocessen.
  • Is personeel van de toeleverancier noodzakelijk voor de continuïteit? Essentiële mankrachten die nodig zijn voor het onderhoud van de software moet ingeschakeld kunnen worden.

Checklist Cloud escrow:

Indien je IT-systeem als SaaS wordt geleverd of via de Cloud beschikbaar is, zoals vaak het geval, gelden er aanvullende aandachtspunten voor Cloud escrow:

  • Een softwareleverancier biedt haar software vaak via een hosting of Cloud-omgeving (bijv. een Azure-, Google- of AWS-Tenant) als SaaS-oplossing aan. Het is belangrijk dat de escrow-regeling toeziet op het borgen van de technische toegang tot deze Cloud-omgeving. Het doel daarvan moet zijn dat de gebruiker in geval van een calamiteit onafhankelijk van de leverancier toegang kan behouden tot de software en de daarmee verwerkte data. Dit moet van tevoren zijn geregeld, juridisch en technisch.
  • Het is belangrijk dat de maatregelen om toegang te houden of te krijgen tot de Cloud-omgeving periodiek worden gecontroleerd, dit om onder meer te voorkomen dat vanwege een verandering in de (hosting)keten je toegangsborging is gewijzigd.
  • Dit laatste hangt ook samen met jouw digitale souvereiniteitsbeleid: mag je leverancier, zonder inspraak van jou, zomaar jouw data elders onderbrengen doordat hij ervoor kiest de software op een andere manier aan te bieden (te hosten).

Wat kan Software Borg voor je doen

Hulp nodig bij het vinden van een juiste escrow partner? Software Borg kent de risico’s van het gebruik van software en het verlies van data en heeft daar oplossingen voor. Deze oplossingen worden in overleg met de leverancier en eindgebruiker op maat geleverd. Wil je weten wat wij voor jouw organisatie kunnen betekenen op het gebied van Software escrow,  SaaS en Cloud escrow en data-back-up? Neem dan contact met ons op voor een vrijblijvend kennismakingsgesprek. Bel 050 – 53 50 143 of mail naar info@softwareborg.nl. Een berichtje achterlaten via ons contactformulier kan natuurlijk ook.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *