Belang van een cloud-exitplan

Ondernemers gebruiken steeds vaker clouddiensten omdat dit vele aantrekkelijke functionaliteiten biedt in vergelijking met onpremise-omgevingen. De afhankelijkheid van clouddiensten voor (primaire) processen vergroot hierdoor. Om grip te houden op deze afhankelijkheid, is het van groot belang om te voorzien dat je ooit weer afscheid wilt nemen van een clouddienst. Binnen leveranciersmanagement is de exit misschien wel het meest onderbelichte onderwerp.

Een organisatie heeft altijd de vrijheid om afscheid te kunnen nemen van een dienst of leverancier. Zodra een organisatie besluit dit te doen of een leverancier een dienst niet meer kan leveren, is er sprake van een exit van een leverancier. Een exit is een nieuwe situatie met nieuwe risico’s. Het is daarom belangrijk om hier afspraken over te maken.

Er zijn verschillende typen cloudservicediensten: Infrastructuur as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS). Het verschil tussen deze diensten is de mate van beheer die een organisatie heeft ten opzichte van de cloudserviceprovider. Bij IaaS heeft een organisatie de meeste verantwoordelijkheid om de cloudomgeving te beheren. Bij PaaS krijgt de cloudserviceprovider meer verantwoordelijkheden en beheert de organisatie alleen de applicaties en data. Bij SaaS neemt de cloudserviceprovider alle verantwoordelijkheid op zich.

Wat is het exitplan?

Een exitplan beschrijft de voorbereiding op een beëindiging van het contract met de huidige leverancier en/of uitvoering van de migratiewerkzaamheden naar een nieuwe leverancier.

Het plan wordt gezamenlijk met de leverancier opgesteld. Hoewel een exit gevoelsmatig aan het einde van het proces een rol speelt, wordt een exitplan idealiter aan het begin van het contract opgesteld. In deze fase is het makkelijker om afspraken over de exit te maken. Daarna is het verstandig om het exitplan ieder jaar samen met de leverancier te actualiseren.

Wanneer heb je een exitplan?

Het is aan te raden om met alle leveranciers een exitplan af te spreken. Een exitplan verkleint het risico van het wegvallen van een leverancier. Bij een belangrijke leverancier, van bijvoorbeeld een kritieke dienst, is het logischer om maatwerkafspraken te maken dan bij een voor jouw organisatie minder belangrijke leverancier. 

Over welke onderdelen maak je afspraken?

Hieronder staan een aantal mogelijke aandachtspunten om op te nemen in het exitplan met de leverancier. Het is aan te raden om over elk van deze thema’s afspraken te maken met jouw leverancier, maar natuurlijk is het mogelijk om over meer thema’s afspraken te maken.

5 maatregelen voorafgaand aan clouddienst inkoop

Voor cybervolwassen organisaties kunnen heeft onze onze fusiepartner Nationaal Cyber Security Centrum (NCSC) een factsheet met 5 adviezen voor het veilig inkopen van clouddiensten gepubliceerd. Het NCSC adviseert om geen clouddienst in te kopen zonder vooraf vijf maatregelen te treffen: risicoanalyse, configuratie en monitoring, exitstrategie, functioneel beheer en audittoegang.

5 adviezen-factsheet

Mogelijkheden en risico's

Het gebruik van clouddiensten is de afgelopen jaren enorm toegenomen. Met deze groei is een toename in flexibiliteit, functionaliteit, maar ook complexiteit merkbaar. Bij een verhuizing naar de cloud is het belangrijk dat je op de hoogte bent van de verschillende mogelijkheden en risico's.

Mogelijkheden en risico's
Alles over de cloud

  • (Eind)verantwoordelijkheid

    In een exitplan leg je de verantwoordelijkheden vast zodat iedere partij weet wat de eigen rol is en wat verwacht kan worden van de andere partij(en). Hierin wordt afgesproken welke verantwoordelijkheden er zijn en wie wat precies doet. Ook wordt vastgelegd wie eindverantwoordelijk is. De eindverantwoordelijkheid leg je niet bij de afnemer, maar bij de leverancier. Het komt vaak voor dat een dienstverlening niet helemaal stopt, maar een leverancier de dienst overdraagt aan een andere leverancier. Je belegt de eindverantwoordelijkheid dan bij één van de twee leveranciers. Je kunt bijvoorbeeld afspreken dat de nieuwe leverancier de eindverantwoordelijkheid draagt; dat de oude leverancier de verantwoordelijkheid heeft om daarbij te helpen en dat de afnemer alleen maar de verantwoordelijkheid heeft om te ondersteunen waar nodig. Maak hierover goede afspraken.

  • Koppelingen

    Zeker bij software die verweven is met allerlei andere systemen kan je te maken hebben met veel koppelingen. Deze moeten doorgaans niet alleen worden losgekoppeld, maar ook gewijzigd worden.

  • Gegevens

    Het is niet alleen 'handig' om alle gegevens te krijgen die jij als afnemer nodig hebt, het is ook een verplichting vanuit de Algemene verordening gegevensbescherming (AVG) om bepaalde gegevens terug te krijgen of te laten verwijderen. Het is essentieel om goede afspraken te maken over welke gegevens je wil terugkrijgen en welke gegevens de leverancier moet verwijderen, wanneer en hoe. Zonder dergelijke afspraken loop je het risico dat je na het contract geen controle meer hebt over wat er met de gegevens gebeurt.

  • Ondersteuning bij aflopend contract

    Het kan voorkomen dat een leverancier niet bereid is om heel veel ondersteuning te bieden op een aflopend contract. Maak daarom afspraken over welke ondersteuning moet worden geboden.

  • Boeteclausule

    Een boete kan nuttig zijn als de leverancier niet meewerkt aan een exitplan ook al heeft hij de inkoopvoorwaarden geaccepteerd. Het is beter om duidelijke afspraken te maken en om, als die afspraken niet worden nagekomen, in gesprek te gaan over de reële schade. Een boete kan namelijk een negatief effect hebben op de exit.

  • Timing

    Vaak zijn contracten niet op ieder willekeurig moment opzegbaar, maar moet er een opzegtermijn worden gehanteerd. Mogelijk kan er bijvoorbeeld alleen maar per 1 januari worden opgezegd. Afhankelijk van de startdatum van de nieuwe dienstverlening moet je afspraken maken met de huidige leverancier hoe je met de dienstverlening omgaat in de overgangsperiode naar de nieuwe leverancier. Wordt deze bijvoorbeeld alleen nog beperkt gebruikt of onverkort doorgezet.

  • Intellectueel eigendom

    Het opzeggen van een contract betekent dat je daarna geen licentie meer hebt om de software te gebruiken. Denk na over het intellectueel eigenaarschap en de licentie. Maak ook afspraken over het beschikbaar krijgen van broncode als daar een stuk maatwerk in zit, zodat de nieuwe leverancier de dienstverlening kan overnemen.

  • Voortgezet gebruik

    Voortgezet gebruik gaat over de vraag of je na het einde van de overeenkomst nog een bepaalde tijd gebruik mag maken van de software om de periode te overbruggen tussen de oude en de nieuwe leverancier.

  • Kosten

    Een exit kan voor hogere kosten zorgen. Het kan worden gezien als onderdeel van de gewone dienstverlening. Dan is het goed fatsoen dat je dat als leverancier netjes afhandelt wanneer het contract beëindigd is. Wanneer er sprake is van specifiekere software of maatwerk, waarbij de opvolgende dienstverlening niet naadloos aansluit, zullen er extra werkzaamheden moeten worden verricht. In dat geval kun je niet onder iedere omstandigheid verwachten dat de oude leverancier dat gratis, als onderdeel van de dienstverlening, aanbiedt. Daar zul je over in contact moeten treden.

    Hoe groter de afnemende dienst en daarmee het contract, hoe groter de kosten kunnen zijn. Om verrassingen te voorkomen is het belangrijk om jaarlijks het exitplan te actualiseren, zodat je weet wat de kosten zijn als je op dat moment uit elkaar zou gaan. Doe je dat niet dan kun je verrast worden door bedragen die 10 tot 15 keer hoger zijn geworden dan dat je initieel had afgesproken.

  • Escrow

    Overweeg of je escrow wil regelen en leg dat vast in het inkoopcontract. Let op: als opdrachtgever regel je zelf escrow met een escrow-leverancier. In het contract met de leverancier leg je vervolgens vast dat deze meewerkt aan de escrow-regeling.

Wat moet je doen als je een exitplan bent vergeten?

Het kan natuurlijk voorkomen dat je al een contract bent aangegaan met een leverancier en bent vergeten om afspraken te maken over een exit. Dat betekent dat een einde van het contract ook het einde van de verplichtingen betekent.

Het eigendomsrecht van de leverancier zorgt ervoor dat jij geen gebruik meer kunt maken van de geboden oplossing en dat de leverancier jou de toegang kan ontzeggen. Er is wetgeving rondom data en privacy, maar ook op deze thema’s is het van belang om afspraken met de leverancier te maken.

Geen afspraken zorgt voor onduidelijkheid tussen jouw organisatie en de leverancier. Heb je geen exitplan, ga dan in gesprek met de leverancier en ga er niet van uit dat het wel goed komt.

Kiezen van een cloudleverancier
Terug naar alle onderwerpen