Skip to main content

SaaS: wat is het en wat zijn de valkuilen?

Wat is SaaS?

SaaS staat voor Software-as-a-Service, waarbij de software niet als fysiek product wordt aangeboden maar als online clouddienst. Als gebruiker van SaaS zal u dus geen eigenaar worden van een software, maar krijgt u toegang tot de cloudservice. Zo worden bijvoorbeeld ERP- en CRM-systemen alsook financiële pakketten vandaag veelal als SaaS aangeboden.

De software blijft in het bezit en beheer van de leverancier die onder andere zorgt voor het oplossen van bugs en het doorvoeren van updates. Naast het voordeel van ontzorging zijn er, gezien de grote afhankelijkheid van de leverancier, ook juridische valkuilen verbonden aan SaaS. Zeker voor bedrijfskritische applicaties moeten waterdichte contractuele afspraken soelaas bieden.

Service Levels

Om de continuïteit van de clouddiensten te waarborgen is het belangrijk om voldoende contractuele waarborgen in te bouwen. De service level agreement (SLA) is in dit kader een cruciaal instrument om de kwaliteit van de dienstverlening op objectieve wijze op te volgen. Dit kan door middel van ‘service levels’ die o.a. het niveau van beschikbaarheid (uptime) definiëren en meetbaar maken. Naast het bepalen van de uptime-garantie zijn ook de manier waarop deze moet worden gemeten en de geldende uitsluitingen (zoals gepland onderhoud) van essentieel belang om discussies te vermijden. Ook afspraken rond preventieve maatregelen (zoals controles en het maken van back-ups) en herstellende maatregelen worden best contractueel vastgelegd inclusief de hieraan verbonden herstel- en/of responstermijnen afhankelijk van de ernst van het defect. Partijen kunnen aan de niet-naleving van deze service levels het toekennen van service credits koppelen, dewelke bijvoorbeeld de vorm kunnen aannemen van een korting op de maandelijkse fee.

Persoonsgegevens

Wat mag de SaaS-provider doen met de data ‘in de cloud’? Wat bij een datalek? Ook GDPR is een veelbesproken bezorgdheid bij SaaS-contracten. Bij SaaS moet in elk geval rekening gehouden worden met beveiliging van persoonsgegevens, de plaats van verwerking en het risico van datalekken. Ook moet tussen partijen idealiter een verwerkersovereenkomst afgesloten worden, gezien de verwerking van persoonsgegevens wordt uitbesteed aan de SaaS-provider. Hierbij is van belang of de gegevens op servers bij derden zijn opgeslagen en waar deze hosting provider zich bevindt. Indien de gegevens buiten de Europese Economische Ruimte worden gebracht, zijn op basis van de GDPR namelijk bijkomende maatregelen nodig. Zo wordt momenteel het gebruik van services als Mailchimp en Google Analytics tegen het licht gehouden in Europa, vermits het gebruik van dergelijke Amerikaanse cloud-providers mogelijk een onrechtmatige doorgifte van gegevens naar de US met zich meebrengt (sinds de Schrems-II zaak).

Aard van de verbintenis

Het is tevens van belang om extra aandacht te besteden aan de omschrijving van de diensten: worden de verbintenissen van de leverancier als een resultaats- of inspanningsverbintenis gekwalificeerd? Vaak worden in het contract dubbelzinnige termen opgenomen en zelden zal u een uitdrukkelijke verwijzing naar een resultaatsverbintenis terugvinden. In Angelsaksisch geïnspireerde overeenkomsten zullen de relevante begrippen zoals ‘best efforts’ en ‘(commercially) reasonable efforts’ veelal niet gedefinieerd zijn, waardoor de exacte kwalificatie van de verbintenis moeilijk te achterhalen is. Gezien het gebruik van ‘reasonable’ vaak ruimte laat voor interpretatie is het aangeraden om te verwijzen naar de standaarden in de industrie als benchmark.

Vaak wordt door de leverancier bepaald dat de dienst ‘as is’ wordt geleverd; m.a.w. in de staat waarin deze zich bevindt. Zulk beding mag de overeenkomst uiteraard niet uithollen, wat het geval zou zijn indien het een exoneratie van de essentiële verbintenis betreft.

Conclusie

Het is essentieel om evenwichtige contractuele afspraken te maken tussen partijen om te kunnen genieten van de vele voordelen van SaaS. Om de contractuele gevolgen in te schatten, is het van belang om de technische en praktische implicaties voor ogen te houden en hier de nodige juridische garanties tegenover te stellen.

Aanbevolen voor jou