Escrow voor software en data van ZBO’s

26 januari 2024

In het digitale tijdperk vormen software en data de ruggengraat van talloze processen. Dit geldt voor het dagelijkse leven en het bedrijfsleven maar natuurlijk ook voor de overheid. Discontinuïteit van overheidssoftware kan grote maatschappelijke gevolgen hebben. Het beheren en minimaliseren van continuïteitsrisico’s is dus van groot belang om het continu kunnen aanbieden van essentiële dienstverlening te waarborgen. In deze blog onderstrepen we het belang van escrow voor zelfstandige bestuursorganen (ZBO’s) in Nederland en hoe escrow bijdraagt aan een robuuste en veerkrachtige operationele IT-infrastructuur. Zodat software en data altijd toegankelijk zijn en geen onnodige risico’s worden genomen met de gegevens van burgers.

Continuïteit van software en data van de overheid (ZBO’s)

Voor steeds meer sectoren staat het realiseren van softwarecontinuïteit en het waarborgen van operationele veerkracht wat IT betreft hoger op de agenda. Zo ook voor ZBO’s. Dit is natuurlijk niet zo gek omdat ZBO’s allerlei essentiële overheidstaken voor de samenleving uitvoeren en daarbij veel data (gegevens van burgers) verwerken en opslaan. Het is dan noodzaak om de continuïteit van de IT-infrastructuur goed te borgen. Geen wonder dat er daarom steeds meer wet- en regelgeving aandacht hieraan besteedt.

IT-continuïteit in wetgeving, normen en inkoopvoorwaarden

Zo staat in de Inkoopvoorwaarden GIBIT 2023 opgenomen dat vanwege “de grote afhankelijkheid” (…) en “het continuïteitsrisico bij incidenten en calamiteiten” aanvullende afspraken inzake de borging van gebruikscontinuïteit gemaakt moeten worden. In de ISO 27002:2022-norm wordt aandacht besteedt aan het beheren van informatiebeveiligingsrisico’s die gepaard gaan met het gebruik van producten en/of diensten van derden.

Verder noemt de NIS2-richtlijn specifiek dat “appropriate and proportionate technical, operational and organizational measures” genomen moeten worden in het kader van risicomanagement bij uitbesteding van ICT-diensten aan derden (ook relevant voor gemeentes en bepaalde ZBO’s). En dan heb je natuurlijk ook nog de Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT) en de Baseline Informatiebeveiliging van de Overheid (BIO).

Het belang van escrow voor ZBO’s

Escrow is een uitermate geschikt middel om aantoonbaar invulling te geven aan dergelijke wet- en regelgeving. Bij een calamiteit ben je als klant ervan verzekerd dat jouw kritieke dienstverleners hun diensten blijven leveren zodat de door jouw gebruikte software operationeel blijft en data  beschikbaar blijft. De risico’s op schade op het moment van mogelijke discontinuïteit worden zo geminimaliseerd.

Verder garandeert de actuele kopie van de software (inclusief technische documentatie) je ervan dat de software ook op de lange termijn kan worden gebruikt, onderhouden en zo nodig doorontwikkeld. In combinatie met de juridische rugdekking van de escrow-overeenkomst heb je aantoonbare organisatorische, technische en juridische maatregelen getroffen, waardoor je compliant bent met velerlei wet- en regelgeving, inkoopvoorwaarden en normen.

Wat is escrow precies?

Escrow is een overeenkomst waarin een aanbieder van software samen met de gebruiker van de software continuïteitsafspraken maakt zodat het gebruik van de software kan worden gecontinueerd als dit in het gedrang komt. Iin de klassieke vorm wordt een kopie van de broncode van de software door een onafhankelijke derde (trusted third party) bewaard, die deze kopie alleen in afgesproken gevallen mag afgeven aan de gebruiker van de software. Een escrow-regeling van vandaag de dag moet veel meer aspecten bevatten: grof gezegd een organisatorisch, een technisch én een juridisch gedeelte.

Escrow van Software Borg

Software Borg is al decennia lang een bekende escrow agent in markt. Onze jarenlange ervaring en onze door de praktijk bewezen overeenkomsten samen met ons uitgebreide netwerk van juridische en technische experts zorgen ervoor dat een escrow-regeling tot stand komt die is toegesneden op de specifieke situatie van de klant, in lijn is met relevante wet- en regelgeving en voldoet aan de hoogste kwaliteitseisen.

Dit houdt in dat wij:

  • Op organisatorisch vlak eerst de leveranciersketen in kaart brengen en vervolgens afhankelijk van de soort dienstverlening en de betrokken aanbieder passende continuïteitsafspraken maken (zoals hosting- of onderhoudspartijen). Op deze manier wordt gewaarborgd dat deze essentiële diensten aangeboden blijven worden zodat software en data beschikbaar blijven. Verder geven we adviezen om ook de ondernemingsstructuur in overeenstemming met de continuïteitsdoelen te brengen.

  • Op technisch gebied laten wij onze technische experts de te deponeren software controleren op volledigheid, overdraagbaarheid en bruikbaarheid zodat je de garantie hebt dat het de software is die je gebruikt en de kopie ook daadwerkelijk gebruikt kan worden, mocht dat nodig zijn. Tegenwoordig moeten de technische maatregelen afgestemd zijn op hoge frequentie van updates en rekening houden met de toegankelijkheid van data en de hosting-architectuur. Naast een ‘klassiek’ broncodedepot biedt Software Borg daarom online-deponeringen en het eventueel helpen inrichten van een complete mirror-omgeving aan.

  • Op juridisch terrein onderzoeken hoe de juridische structuur is ten aanzien van de software: we zoeken uit of de IE-rechtelijke situatie aansluit op de beoogde continuïteitsmaatregelen. We maken duidelijke afspraken wanneer de gedeponeerde software ter gebruik mag worden afgeven aan de klant en onder welke voorwaarden dit gebruik is toegestaan. Dit betekent dat er bepaalde gebruiksrechten moeten worden overeengekomen, die naast juridisch kloppend ook praktisch uitvoerbaar moeten zijn in het geval van een calamiteit.

Escrow, Software Borg en de (IT-)notaris

Bij een escrow-regeling van Software Borg is altijd een notaris betrokken. Dit heeft meerdere voordelen. Ten eerste is de onafhankelijkheid van de notaris wettelijk vastgelegd, waardoor de gedeponeerde software en technische documentatie bij een echte trusted third party is ondergebracht. Verder heeft een faillissement van de trusted third party geen gevolgen voor de continuïteitsregeling, omdat de zaken van een failliet notariskantoor verplicht overgenomen worden door collega-notarissen: geen enkel risico dus dat gedeponeerde software opeens onderdeel is van de failliete boedel van de trusted third party. Ook het overlijden of de schorsing van een notaris hebben geen gevolgen voor de escrow.

Ten slotte hebben de aktes van de notaris dwingende bewijskracht, waardoor de in aktes vastgelegde continuïteitsafspraken eenvoudiger te bewijzen zijn en dus ook moeilijker te ontkrachten. Door de notaris te betrekken bij escrow is ook het voortbestaan van de continuïteitsafspraken gewaarborgd.

Software Borg: de partner in escrow voor ZBO’s

De combinatie van organisatorische en juridische continuïteitsafspraken, technische continuïteitswaarborgen (software en relevante informatie) en een notarieel depot hiervan, zorgt ervoor dat de escrow van Software Borg recht doet aan de betrokken software, past bij de wensen en belangen van de betrokken partijen en in lijn is met relevante wet- en regelgeving. Neem contact met ons op voor een vrijblijvend voorstel voor een passende continuïteitsregeling!

Tags

Contact

Meer informatie of een afspraak maken? Bel 050 - 53 50 143 of laat hier een bericht achter via ons contactformulier.

Contactformulier

Meer nieuws

10 jan
DORA en software escrow
Met de komst van de Europese verordening Digital Operational Resilience Act wordt het belang van software escrow extra onderstreept. Werk jij in of lever jij aan de financiële sector en wil je voldoen aan DORA?
Meer info
02 mrt
PinkRoccade Local Government kiest voor Software Borg continuïteitsregeling
In januari organiseerde PinkRoccade een webinar voor haar klanten waarbij de experts met elkaar in gesprek gingen over het nut en de noodzaak van escrow. De volgende vragen kwamen aan bod: Hoezo is escrow nodig? Hoe werkt het?
Lees meer
03 feb
Compliance > 1.000.000.000 Google hits
Compliance is het begrip waarmee wordt aangeduid dat een persoon of organisatie werkt in overeenstemming met de geldende wet- en regelgeving, werkt proactief en voorkomt daarmee praktische en juridische risico’s.
Lees meer
16 mei
Embedded data en software in onroerende zaken
Het veiligstellen van de continuïteit van de exploitatie en het onderhoud in PPS-projecten vereist een volledige juridische analyse van de eigendoms- en beschikkingsrechten van embedded data en software.
Lees meer
12 apr
AVG Analyse en Compliance
Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Software Borg heeft samen met De IT-Jurist een aanpak ontwikkeld om systematisch informatie stromen en systemen te beoordelen op het voldoen aan deze wetgeving.
Lees meer
08 jan
Inkoop en IT: de patstelling
U heeft als inkoper de plicht om de behoeften van uw organisatie zorgvuldig in kaart te brengen om deze vervolgens zo goed mogelijk in te vullen. Dat is niet anders als het de inkoop van IT betreft. IT is echter complex en vergt aanvullend onderzoek.
Lees meer