Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Klant kan gevaar zijn voor cloudleverancier

 

Computable Expert

Reza Sarshar
Projectleider/ Adviseur, Kaizen Projectmanagement. Expert van Computable voor de topics Management, Infrastructuur en Digital Workplace.

Cloudleveranciers moeten aan verschillende eisen en criteria van de klant voldoen om het vertrouwen van de klant te winnen en de klant binnen te kunnen halen. Dan hebben we het niet alleen over technische eisen maar ook juridische aspecten. Dezelfde klant kan later door zijn slechte beleid en business de bedrijfsvoering van de cloudleverancier verstoren en in sommige gevallen de neergang van de cloudleverancier veroorzaken.

Het is een feit dat er nagenoeg geen standaarden voor verschillende aspecten van dit verschijnsel (cloud) gedefinieerd en breed geaccepteerd zijn. Hierdoor ontstaan veel onduidelijkheden die de weg naar de cloud voor veel organisaties onbegaanbaar maken. Er zijn slimme ondernemers die hun businessmodel op deze onduidelijkheden hebben gebouwd om met hun advies de cloudliefhebbers naar hun bestemming te brengen. In deze situatie neemt iedereen de cloudleverancier onder het vergrootglas en is er weinig tot geen aandacht voor de betrouwbaarheid van de klant. Wie zegt dat de business van de klant gezond genoeg is om in deze slechte economische tijden overeind te kunnen blijven en niet failliet gaan? We hebben al de hoge cijfers gezien van het aantal faillissementen van de afgelopen maanden.

Faillissement van klant

Vanaf het moment dat de klant failliet verklaard is, staat de curator op de stoep bij de cloudleverancier. Door de wet (artikel 93a van faillissementswet) is de cloudprovider verplicht om gedurende de faillissementprocedure aan de curator toegang te geven tot de klantomgeving. Dit betekent dat de cloudleverancier de dienst of omgeving van de klant in de lucht moet houden. Als we naar de gemiddelde looptijd van een faillissementprocedure kijken, dan zien we dat dit op z'n minst één jaar tijd in beslag neemt. Dat betekent dat de cloudprovider een jaar gratis de omgeving van de klant in de lucht moet houden tot de curator zijn werk heeft gedaan.

Als in dat geval sprake is van een private cloud, PaaS (platform as a service) of IaaS (infrastructure as a service) of een andere grote investering, dan kan de leverancier de investering die hij voor de (failliete) klant heeft gedaan niet aan een andere klant besteden en terugverdienen. Met andere woorden, de cloudleverancier krijgt voor de duur van één jaar geen geld terug uit zijn investering. Dit kan een klap zijn voor de bedrijfsvoering van de cloudleverancier.

Nationale Business Garantie (NBG)

We kennen al de Nationale Hypotheek Garantie (NHG) waardoor de banken meer vertrouwen krijgen bij het verlenen van een hypotheek aan de klant. Een dergelijk concept is ook bruikbaar om cloudleveranciers te beschermen op het moment dat hun klanten failliet gaan. Uiteraard zou dit concept met name van toepassing zijn als de omvang van het contract een grote investering voor de cloudleverancier met zich meebrengt en niet beperkt is tot software of een dienst in een gedeelde omgeving.

Als uit het resultaat van een risicoanalyse blijkt dat de aanvraag van de klant een risico voor business van de leverancier vormt, dan zou de klant zicht moeten kunnen aansluiten bij een Nationale Business Garantie, de NBG! Een dergelijke oplossing geeft klanten ook de zekerheid dat hun leverancier bestendig is tegen dit soort ongevallen. Want de klant weet niks over de mate van gezonde business van de klanten die de cloudleverancier al heeft en ook de klanten die hij nog aan zijn portofolio zal toevoegen. Dit is een win-win situatie. De NBG is maar een voorstel. Er zijn genoeg slimme ondernemers die misschien met hun (nieuwe) business een oplossing hebben voor dit vraagstuk.

Maar één ding is duidelijk: voor een cloudtraject moet niet alleen de leverancier maar ook (de business van) de klant betrouwbaar zijn!

(Uitgangspunt van dit artikel is dienstverlening door een Nederlandse cloudleverancier)

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4573553). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

@ Reza,
Zoals gebruikelijk een goed verhaal!,

Een beetje cloudleverancier zal het wel kunnen hebben als er een fractie van zijn klanten failliet gaat. daarnaast overdracht van de klant data aan de curator kan ook een uitweg zijn. Maar het omgekeerde Cloud leverancier gaat "op de fles" treft vele bedrijven tegelijkertijd en heeft daardoor een veel grotere, maar dan naast financiële ook naar verwachting een maatschappelijke impact. Wellicht iets om in een vervolg op in te gaan.

@Maarten Oberman

Je slaat de spijker op zijn kop. Niet alleen bij een faillisement, ook bij een inbeslagname van een datacenter kan je de toegang tot je data verliezen. Dit is onlangs aan de orde gekomen toen de datacenters waar megaupload gehost werd in beslag werden genomen door de Amerikaanse justitie. Gebruikers die daar legale data hadden staan, konden deze niet terug krijgen. Momenteel loopt daarover een rechtzaak in Amerika. Het gaat zelfs zover, dat de FBI het standpunt inneemt dat in het geval van inbeslagname ,de legale klanten hun data voorgoed kwijt zijn.

Wanneer men besluit data te gaan opslaan in de cloud moet men dus ook een goede exit strategie implementeren, om de toegang tot deze data te waarborgen in het geval van calamiteiten, faillisementen en in beslagnames door overheden.

@Maarten,
Dank voor je reactie. Het is waar als je zegt dat een beetje leverancier het zal wel kunnen hebben, dit maakt concurrentie voor kleine Cloud-leveranciers onmogelijk. Je weet ook nooit hoe veel klanten de komende tijd failliet zullen gaan en wat de impact van deze op de business van de (klein of grote) Cloud-leverancier zal zijn. Als dit gebeurt en als de Cloud-leverancier richting faillissement gaat dan krijg ik ook als gezonde ondernemer last van de slechte onderneming van andere mensen.
Curatorkantoor is geen ICT bedrijf om data van de klant om te kunnen zetten in bruikbare informatie. De benodigde informatie zou misschien uit back-up gehaald moeten worden. Ik kan me voorstellen dat de curator op z`n kantoor geen universele back-up oplossing heeft om in dat geval de data van verschillende klanten terug te kunnen zetten, importeren en verwerken tot bruikbare informatie.

Een heel interessante benadering, welke zeker ruimte biedt voor vervolgartikelen.

Wat te denken van de content van de data die bij cloudleverancier gehost wordt bijvoorbeeld.
Stel, klant A zet er illegale dingen neer. Wat kan/mag justitie dan wel en niet eisen van de cloudprovider, en in hoeverre is de data van klant B dan nog wel veilig voor justitie?

Wat als klant A malware heeft draaien bij de leverancier, waardoor netwerkproviders bepaalde internetdomeinen af gaan blokken, met als gevolg dat klant B niet meer bij zijn spullen kan

Wat nu als de data van het failliete bedrijf niet even snel ontsloten kan worden, en men hardware in beslag moet nemen om deze te ontsluiten?
Vervelend voor de leverancier, maar misschien ook wel voor andere klanten.

Kortom, genoeg stof nog tot nadenken en hopelijk genoeg inspiratie voor Reza om nog een paar keer in de pen (of toetsenbord) te klimmen.

Reza, zeer originele insteek en zoals PaVaKe al schrijft, genoeg ruimte voor meer hierover.

Toevallig schrijft Arnoud Engelfriet vandaag ook over faillissementen.
http://blog.iusmentis.com/2012/10/19/bij-een-faillissement-heb-je-echt-pech/

Waarom haal ik zijn naam er nu bij? Omdat ik wel nieuwsgierig ben of een internet dienst wel door moet leveren bij faillissement, ik kan er namelijk geen wet bij vinden (en hij of jij misschien wel). Stel dat ik een boekhoud pakket online aanbiedt en mijn klant gaat failliet, dan denk ik dat ik ook wel weg kom met een goede datadump van zijn gegevens en deze bij de curator inlever. Daarnaast, in inactieve klant neemt niet veel resources in behalve opslag en mogelijke beschikbaarheid.

Ook ken ik geen gevallen waarbij een online dienst grote schade leidt door een failliete klant anders dat die zijn rekening niet heeft betaald.

Wat ik wil zeggen is dat het mooi gevonden is maar ik twijfel aan de relevantie anders dat *ieder* bedrijf hinder heeft van klanten die failliet gaan en ik niet direct geloof dat ik extra speelt voor online diensten.

@Reza,


Als een curator geen geld meer ziet in de faillite boedel, dan zal die ook niets meer of nagenoeg niets meer doen, omdat zijn inkomen uit de restanten van de boedel moeten komen en dat kan weer niet zijn door het gijzelen vand e data van die klanten... Kortom je adresseert een meer dan interessant punt, nu nog even combineren en de recente uitspraken van het CPB...

@Reza, je laat met dit artikel zien, dat er vele kanten aan de cloud en cloud computing zitten. Zo zal er in de loop steeds meer kennis worden opgedaan vanuit de praktijk.

Reza,

Ik kan verhaal niet helemaal plaatsen omdat gesuggereerd wordt dat een curator het leveren van diensten af kan dwingen wat me in strijd lijkt met het quid pro quo beginsel. Risico zit dus grotendeels in de contracten maar ook het eigenaarschap van systemen, data en applicaties.

Wat tegenwoordig wel meer gebeurt zijn te laat betalende klanten en dat kan impact hebben op de betalingsverplichtingen die Cloud leverancier zelf weer heeft. Gaat deze hierdoor failliet dan kan een bedrijf, de afnemer van cloud diensten mogelijk niet meer bij zijn data waarvan het risico (deels) te ondervangen is met een Cloud Escrow.

Ik zeg deels omdat migratie van data en applicaties afhankelijk is van omvang en karakteristiek. Uitgaande van praktijkcijfers dat als een dienst niet binnen 72 uur operationeel is dit meestal impact heeft op het bedrijfsresultaat. Een Escrow contract alleen geeft dus geen garanties voor de continuïteit, je zult het moeten testen.

@Willem:
Mooi voorbeeld! Maar dat is toch onterecht (denk ik) dat de klant van tevoren maatregelen moet nemen voor het geval van calamiteit, faillissement (van de leverancier) en nog andere negatieve ontwikkelingen! Cloud moet me als klant toch ontzorgen en niet ellende bezorgen!

@Maarten:
Here you are :-)
De rechter heeft in het afgelopen voorjaar uitgesproken dat de cloudleverancier de omgeving van de klant voor de curator beschikbaar en in de lucht dient te houden(zonder kosten voor curator). Data dient (gratis) beschikbaar te zijn maar het verwerken van data tot bruikbare informatie dient door curator betaald te worden. Deze verwerking mag door cloudleverancier zelf of de door de curator aangewezen partij verricht worden. Degene die deze verwerking doet wordt betaald (dus dat kan ook cloudleverancier zijn)

Mooi, maar wie betaalt de kosten van in de lucht houden van de omgeving van de klant aan de leverancier? Niemand! En hoe kan de leverancier zijn investering terug verdienen als hij de omgeving niet mag vrijgeven en aan een andere klant besteden? Wie betaalt deze kosten aan de leverancier? Niemand. En wat gebeurt met business en bedrijfsvoering van de leverancier als hij in 1 jaar opeens 2-3 van dit soort faillissementen van zijn klanten krijgt? Zo gek is het niet, je moet kijken hoeveel bedrijven de afgelopen maanden failliet zijn gegaan.

@PaVake
Jouw voorstel is ook een voorbeeld van een negatieve ontwikkeling bij een klant in de Cloud. Met je voorbeeld toon je verder aan dat de business van een cloudleverancier best gevoelig kan zijn voor negatieve bedrijfsvoering van zijn klant(en).

Dank voor het voorgestelde huiswerk, ik ga er werk van maken ;-)

@Reza

en als de cloudcurator (van Dale 2013?) het "gebeuren" al in de lucht zou willen is het misschien de netwerkleverancier die daar geen boodschap aan heeft en dus de cloud leverancier gaat disconnecten.

Overigens als het een "degelijk" faillissement is, is er geen geld om voor de continuïteitswerkzaamheden te betalen. Wie het wel doet zal vooruit betaald willen worden.... En dat is weer lastig, waarschijnlijk staat de belastingdienst vooraan in het rijtje en dan de bank. Veel regelwerk in een situatie waar tijd direct geld is en geen haast, maar spoed vereist is.

Kortom dit gaat bijna een pleidooi worden voor de private cloud. Want ook een overgang van 72 uur naar elders zit er voor veel bedrijven niet meer in. 72 uur, drie werkdagen..... of een ruim weekend... geen productiviteit

Henri,
Dank voor deze link. Ik heb in het kort en via mail contact gehad met Arnoud. Ik heb in mijn artikel iets gezegd over “een slimme ondernemer”. Ik denk dat Arnoud met zijn business de aangewezen persoon is. Hij gaf aan dat hij met zijn bedrijf (http://www.stichtingcontinuiteit.nl/) een soort NBG gelanceerd heeft. GEWELDIG!

Terug naar je reactie, met de uitspraak van de rechtbank in ’s-Hertogenbosch is duidelijk dat de omgeving van klant in de lucht dient te blijven, niet voor het gebruiken maar wel voor de curator. Het gebrek aan voorbeelden komt misschien doordat er nu niet zo veel bedrijven zijn die naar (echte) Cloud verhuisd zijn. Bovendien: ik heb in mijn artikel aangegeven dat dit voor de leverancier gevaarlijk kan zijn als de leverancier voor de betreffende klant een grote investering gaat maken zoals private Cloud, Paas of IaaS, dus Ik heb het niet over het aanbieden van een boekhoudingpakket via Cloud.
Met het voorbeeld van Willem is duidelijk dat een cloudleverancier veel last kan krijgen van “bedrijfsvoering” van zijn klant. Dat hoeft ook niet altijd faillissement van de klant zijn.

@Ewout,
De leverancier hoeft niet meer de dienst van de klant volgens zijn contract en SLA beschikbaar te stellen. Hij dient de omgeving van de failliete klant toegankelijk en beschikbaar te houden voor de curator. Dit betekent dat de gemaakte kosten en investering voor het creëren van de omgeving en het onderhoud (gedirende het proces) en misschien andere zaken niet terug betaald worden zolang de curator bezig is. Zie mijn reactie over de uitspraak van de rechter.

Cloud Escrow is een mooie oplossing maar niet betaalbaar voor elke klant. Het is ook niet terecht dat door mijn verkeerde bedrijfsvoering (en misschien nog meer andere klanten) de cloudleverancier in probleem komt waardoor jij en andere klanten last van krijgen. Het is ook niet terecht dat jij en andere klanten hiervoor extra kosten moeten maken voor de ingebouwde veiligheid zoals Cloud Escrow!
Ik probeer hierboven uit te leggen dat een verkeerde klant kan best veel ellende voor de leverancier en ook andere nette klanten veroorzaken. En verkeerde klant kan in allerlei soorten voorkomen een voorbeeld hiervan heeft Willem hierboven benoemd. Er kunnen ook andere voorbeelden zijn die de business van de cloudleverancier met hun probleem (bijvoorbeeld faillissement) om zeep kunnen helpen.

Dank voor je reactie

@Willem,

heet die exit strategie niet private cloud?

Reza,

Cloud escrow is bedoeld voor afnemers en hoe duur is afhankelijk van het risico dat je wilt afdekken. Waarschijnlijk niet veel anders dan je NBG, een arbeidsongeschiktheids-, levensverzekering of welke andere verzekeringspolis.

Verder gaf Henri ook al aan dat beschikbaar stellen van data (en applicaties) een heel rekbaar begrip is. Een dump naar goedkope USB disks zoals een setje van de Mediamarkt kan hier bijvoorbeeld al aan voldoen. Data, systemen en applicaties kunnen met virtualisatie tenslotte goedkoop beschikbaar gemaakt worden. Het wordt pas een probleem als omvang zo groot is als Megaupload;-)

Maar laten we de business case eens omdraaien en een andere wending geven. Want ook een project, waarbij zwaar geïnvesteerd moet worden in IT middelen, is een risico. Zeker als afronding hiervan niet zo succesvol is als gehoopt. Hiervan zijn volgens mij ook wat meer voorbeelden te vinden;-)

De voordelen van Cloud Computing, op basis van 'pay-per-use' en niet via een leaseconstructie bieden dan onmiskenbaar voordelen toch?

@Andre,
Exact! Ik ben van mening dat verschillende aspecten van de cloud ,zoals techniek en wetgeving, nog verder moeten ontwikkeld worden. Zoals je zei, de ervaring die we in de praktijk gaan opdoen zal zeker veel bijdrage leveren aan deze ontwikkeling.

@Ewout,

- Ik weet niet of je als leverancier de totale ict omgeving van je klant die gevirtualiseerd is in een Mediamarktdoosje aan de curator mag geven en ……zoek het maar verder uit meneer curator! Je weet dat binnen een ict-architectuur veel afhankelijkheden zijn. Dit betekent dat de prive cloud van de klant die je inmiddels in dat Mediamarkdoosje gestopt hebt, kan bij het herbouwen (door onze curator) allerlei mankementen vertonen waardoor de omgeving en data compleet of deels niet bruikbaar kunnen zijn. En ik weet ook niet of de curator jou in dit geval als cloudleverncier hierop kan/mag aanspreken omdat de klantomgeving is niet bruikbaar zoals het was!

- Ook het beschikbaar krijgen van je hardware betekent niet dat jij als Cloudlevrancier gered bent! De investering en kosten die je voor die klant hebt gemaakt kun je misschien een (lange)tijd niet snel terug verdienen omdat je geen nieuwe klanten binnen krijgt die behoefte hebben aan een prive cloud, PaaS of IaaS. Het is crisis jongens, klanten blijven weg!
Als de leverancier geen winst uit zijn investering(die heel hoog kan oplopen) terugkrijgt kan zijn gezonde bedrijfsvoering (Balans=>Aciva vs Passiva) hiervan last krijgen, vooral als deze investering gebaseerd is op geleend geld! En als jij als leverancier geen gezonde business hebt dan zullen we als jouw klanten hier last van krijgen! Heb je al een stresstest(zoals banken!) afgelegd, beste levrancier?!

- Ik kan helaas niet voor mezelf duidelijk krijgen wat je met dat voorbeeld bedoelt (ict project) om vervolgens erop te reageren. Maar ik kan me voorstellen dat de omvang van de investering in en ict project zeer kleiner kan zijn dan de investering voor het creëren van een private cloud met alles erop eraan.

- Ik kom een ander keer op jouw punt omtrent de verschillende vormen van een cloudcontract (pay per use of leaseconstructie) terug. Dit is wat anders dan de kern van mn verhaal in dit artikel.

De terecht onderwerpen en vragen die lezers hierboven benoemd hebben, tonen naar mijn mening aan dat de cloud ook op juridisch gebied een lange weg te gaan heeft.

Reza, je ontspoort.

Je schrijft over een niet bestaand probleem, zonder bronvermelding en zo ver ik weet is het een niet bestaand probleem. Daarnaast schrijf je over allemaal juridische zaken zonder enige bron of artikel of jurisprudentie aan te halen.

Als een klant zijn rekening niet betaald, houdt hij zich niet aan de voorwaarden en mag dienstverlening gewoon gestopt worden. Waar je misschien op doelt is dat als je cloud provider failliet gaat dat de toeleverancier (eigenaar datacenter, stroomleverancier, et cetera) niet zomaar hun dienstverlening mogen staken als dit een groot economisch of maatschappelijk belang dient. Als de bedrijfvoering van de klanten van de cloud leverancier in gevaar kunnen komen als deze omvalt kan er in bepaalde gevallen (en volgens mij zijn ze nog met deze wet bezig) de leverancier van deze cloud provider verplichten door te gaan met de dienstverlening. Dit lijkt me een reeel probleem.

Ik ben geen jurist, maar ik heb wel eens met curatoren te maken en mijn ervaring is dat ze grootste moeite hebben om alleen al de tijdlijn van transacties te achterhalen in auditfiles die vaak ook nog eens opgebouwd zijn op een manier die niet gedocumenteerd zijn.

Waar kan ik vinden dat een cloud provider door moet leveren als diens klant failliet is gegaan? Kom met die onderbouwing en dan praten we verder, maar tot die tijd is dit gewoon onzin of wijkt het niet af van wat bedrijven normaliter ook voor schade ondervinden door klanten die failliet gaan.

Je onderbouwt je artikelen en mening altijd erg goed, dat mis ik deze keer.

Wel een hele straffe redenering van Reza.
Tekst artikel 93a
'De curator heeft toegang tot elke plaats, voorzover dat redelijkerwijs voor de vervulling van zijn taak nodig is. De rechter-commissaris is bevoegd tot het geven van een machtiging als bedoeld in artikel 2 van de Algemene wet op het binnentreden.'
Om hier een dienstverleningsverplichting uit te distilleren is knap. Het gaat hier om privaatrecht, niet om strafrecht zoals de FBI-case.
Het lijken mij spijkers op laag water tenzij iemand een arrest kan aandragen.

Reza,

In eerste reactie refereerde ik al aan het quid pro qou beginsel - het voor wat hoort wat principe dat als uitgangspunt gebruikt wordt voor verbintenissen en waarbj het niet nakomen van betalingen een legale reden voor het (eenzijdig) verbreken van een verbintenis is. In die reactie noemde ik ook Escrow regelingen die er in allerlei vormen zijn, bijvoorbeeld als een geblokkeerde rekening beheerd door een derde partij. Over wie dit 'garantiefonds' volstort kun je nog discussiëren maar laat het alsjeblieft niet de belastingbetaler zijn.

Aangezien het insolventieproces niet mijn 'cup of tea' is ontken ik niet dat er veel juridische haken en ogen zitten aan Cloud Computing, zeker als er allerlei back-to-back contracten zijn zoals Henri in zijn voorbeeld beschrijft. In dat kader onderschrijf ik wel je opmerking over duidelijke wetgeving, juist omdat Cloud Computing vaak een grensoverschrijdend karakter heeft en gebruik maakt van een publiek netwerk waar verantwoordelijkheden en verplichtingen niet altijd duidelijk zijn. Weten met wie je zaken doet en onder welke voorwaarden kan in dat geval al veel onzekerheden of in ieder geval verrassingen achteraf wegnemen.

Risicomijdend gedrag heeft echter wel vaak een negatieve impact op innovatie, zoals je ook ziet bij de acceptatie van Cloud Computing en vandaar ook mijn voorgestelde wending in tweede reactie. Dit omdat ik de indruk krijg dat we proberen de 'kool en de geit' te sparen door wel lagere IT kosten te willen maar aanpassingen in applicatielandschap vaak uit den boze zijn. In dat geval kom je inderdaad al gauw in een 'Private Cloud' oplossing waarbij ontbreken van de al aangehaalde exit strategie vaak ontbreekt en een bedrijf de gehele IT als vorm van 'ontzorgen' uitbesteed.

Terugkomend op mijn eerste reactie en alinea - voor wat hoort wat - is dit iets wat je steeds vaker ziet en waarbij je niet aan symptoombestrijding moet doen met garantiestellingen in bijvoorbeeld een NBG maar 'NEE' moet kunnen zeggen. Reden hiervoor is dat het afdekken van risico bij derden zorgt voor een vergrote kans op een 'moral hazzard' omdat verliezen dan misschien te makkelijk afgewenteld kunnen worden. Want van Cloud Computing een boekhoudkundige truc maken is uiteindelijk alleen maar uitstel van executie.

Henri,
Ik moest lachen toen ik de opening van je reactie las! Dat deed me denken aan wat Diederik Samsom tegen Rutte zei: nu doet u het weer!
Een korte reactie op je reactie is moeilijk, maar ik doe mijn best.

Ik heb een tijd geleden een besloten bijeenkomst bijgewoond over Cloud en wetgeving. De kern van dit artikel zag ik als een discussiepunt in dat gesprek.
Ik heb in dit artikel de zaak belicht vanuit de optiek van de leverancier die te maken heeft met een failliete klant. Heb ik een bewijs of bronmelding? Nee! Dat komt doordat er in Nederland nog geen/weinig ondernemer zijn die van een IaaS of PaaS gebruik maken en ook failliet zijn gegaan. Er zijn ondernemers die zeggen dat ze compleet in de Cloud zitten. Deze zijn meestal de oude Outsourcing contracten die nu als Cloud verkocht worden. De regels in die contracten zijn niet zoals wat bij Cloudcontract hoort te zijn. Schrijf ik over een niet bestaand probleem? Misschien, maar een verzekeraar maakt een product voor een probleem/ongeval dat nog niet bestaat of gebeurd is! Je hoeft niet altijd opzoek te gaan naar een hard bewijs om iets te accepteren. Na je risicoanalyse kun je ook sommige dingen zonder bewijs accepteren. Bovendien er zijn veel zaken rondom Cloud die nog op papier staan en niet in de praktijk. Daar kan je ook geen bewijs voor krijgen.

We zien steeds meer bedrijven die van een online dienst (noem dat maar een softwarepakket in Cloud) gebruik maken. Deze dienst is in een shared omgeving aan diverse klanten aangeboden. Gaat er iets mis met de klant waardoor hij de kosten niet kan betalen, geen probleem meneer curator hier heb je een dump van dat ene pakket en succes ermee (zoals Ewout zei) Dan heb je misschien een touwtrek met de curator over de bruikbaarheid van informatie en nog wat andere zaken, maar jullie komen hier uit. In dat geval heeft de leverancier geen last van de hoge investering want het was een shared-dienst. Let wel op, de leverancier hoeft de dienst niet meer aan de “klant” te leveren maar wel verantwoordelijk is voor het beschikbaar stellen van data en transacties die de curator nodig heeft (in een IaaS of PaaS kan dit anders worden)
De situatie hierboven wordt wat anders als de leverancier geïnvesteerd heeft in een prive datacenter of PaaS of een IaaS voor de klant(scope van dit artikel). Het kan zijn dat de curator meer informatie nodig heeft dan een dump uit je administratiesoftware (bijvoorbeeld als een fraude de basis lijkt te worden van het faillissement) Ook de technische verwevenheden en de indeling van de architectuur in vooral PaaS en IaaS maakt het niet makkelijk om (zoals alleen een dump van de database van je software) alles op een Mediamarktdoosje te zetten en aan de curator te geven. Kun jij deze omgeving in een doos zetten en werkend aan de curator geven? Knap! Dan ben je de eerste die een IaaS of PaaS Out Of The Box levert!
De vraag is hoe los je technisch en juridisch gezien dit probleem op? En ook wie betaalt wat en tot hoeverre?
Toen begon een discussie in de zaal die lang doorging en naar mijn mening zonder duidelijke uitkomst beëindigd.

Een cloudleverancier dient ervoor te zorgen dat het probleem van ene klant(financieel of verkeerde business) niet de ellende mag worden voor andere klanten, ongeveer zoals de situatie nu in Europa!

Communicatie zonder misverstanden via een blog over dit onderwerp is niet makkelijk. Vooral tussen ons omdat wij verschillende kijk op Cloud hebben :-)

Reza,

Goed topic. Dat is ook te herleiden aan het aantal reacties wat je gekregen hebt.

Ik zal even niet inhoudelijk op de reacties in gaan, maar ik denk dat het geen overbodige luxe is voor de redactie om hier eens dieper op in te gaan.

Wat zijn de juridische consenquenties? Wat zijn de mazen in de wet? En heeft iemand hier al ervaring mee? Misschien een mooie stelling voor de Computable Expert Panneldiscussie op de Storage Expo.

Naar mijn mening beschrijf je een normaal ondernemingsrisico, waar niet alleen cloud providers mee te maken hebben.
Als je klant niet kan/wil betalen dan stuur je aanmaningen en bv een deurwaarder. In je voorwaarden heb je natuurlijk staan dat je dienstverening stopt als er niet betaald wordt.

Met een curator kunnen afspraken gemaakt worden, meestal is het dat men de dienstverlening korte tijd (bv 1 maand) voortzet zodat eventuele doorbetaling geregeld kan worden. Daarna stellen we een backup ter beschikking en is het over. Over het algemeen kost de advocaat die we inhuren om dit af te wikkelen veel meer dan de netto schade die de klant zelf heeft veroorzaakt.
Bij strafzaken zoals bij megaupload ligt dat anders, daar kan de server door justitie in beslag genomen worden als onderdeel van een criminele activiteit. Dat is vervelend, omdat je hem in het beste geval pas veel later weer terugkrijgt. De schade is in dit geval lastig te claimen. Gelukkig komt dit zeer zelden voor en kan je als cloud provider justitie ook zeer goed helpen met een exacte copie van de virtuele omgeving.

Als je bedrijf omvalt omdat 1 klant een maand of wat niet betaald dan ben je eigenlijk niet solvable genoeg om diensten aan te bieden. Daar helpt geen garantie fonds tegen. Dat komt in de praktijk natuurlijk best vaak voor (met name bij toeleveranciers die feitelijk maar 1 soort klant hebben). Maar iedere ondernemer heeft helaas te maken met niet of te laat betalende klanten, bij grote contracten loont het daarom zeer om kredietwaardigheid te controleren en andere zekerheden in te bouwen (pre-paid bv).

Cloud is echt niets anders dan het uitbesteden van een deel van je activiteiten. Veel bedrijven besteden hun loonadministratie uit, huren een externe bedrijfsarts, besteden hun wagenpark uit aan een leasemaatschappij, laten hun schoonmaak doen door een ander bedrijf en huren een heel leger aan externe werknemers via een uitzendbureau en freelancende adviseurs in voor allerlei activeiten. IT-diensten als helpdesk en programmeertaken zijn al heel lang uit te besteden aan india bv.
En nu kunnen bedrijven ook hun IT-hosting/datacenter uitbesteden aan een ander bedrijf, wat dan plotseling een prachtig etiket opgeplakt krijgt: "Cloud". "Cloud" staat ook voor nog iets meer dan normaal uitbesteden, nml dat vrijwel alle contacten en opdrachten ook electronisch verlopen, zonder menselijke tussenkomst. Maar dat is dan ook het enige verschil en in de huidige tijden van e-mail en webwinkels is dat niet eens zo heel groot.

Juridisch moet uitbesteden goed afgedekt zijn, zeker als je dat bij een niet-europese partij onderbrengt. Wat sommige bedrijven vergeten is dat je als je met een cloud-provider in zee gaat je zelf ook nog steeds verantwoordelijk blijft voor de informatie en taken die je uitbesteed.
En het is voor zowel aanbieder als afnemer verstandig om de betrouwbaarheid van de ander te (laten) onderzoeken en de contracten te (laten) beoordelen. Een contract maak je vooral om vast te leggen wat er gebeurd als er dingen mislopen, immers als iedereen zich altijd netjes aan de afspraken houd heb je geen contracten nodig.

Reza,

http://depous.blogspot.nl/2012/04/curator-vangt-bot-bij-cloud-service.html

Zie hier een voorbeeld van wat ik al verwachtte. De cloud provider hoeft dus niet door te leveren bij failliet gaan van klant.

Wat te doen bij faillisement van Cloud leverancier. geschreven vanuit de juridische kant. Maakt het overzicht weer wat completer: http://www.itenrecht.nl/?//Wat+te+doen+bij+faillissement+cloudleverancier%3F////31443/

@Floris,
Dat klopt, ik beschrijf een ondernemingsrisico. Maar zo normaal is het niet! Dit betekent dat het risico dat een cloudleverancier neemt (hoge investering in een klant) mag ook als risico voor/van haar klanten gezien worden en de ellende die een klant veroorzaakt kan ook de ellende voor andere klanten worden (waar ze niet om gevraagd hebben)
Een leverancier in deze situatie kan op een aantal fronten een verlies lijden! Het gaat niet alleen om de dienstverlening aan de klant, dat kan een leverancier na (bijvoorbeeld) een maand stopzetten, maar wel eerder terugverdienen van zijn investering door de omgeving van de klant snel kunnen vrij krijgen voor een andere klanten (als ze er zijn) terwijl de curator zijn werk moet nog verrichten.
Daarnaast het is de vraag of de curator gedurende zijn werk (wat langer duurt dan 1 maand) de hoge leaseprijs van de failliete klant aan de leverancier moet betalen! Dat betwijfel ik, maar ik heb ook geen duidelijke uitspraak of richtlijnen hierover kunnen vinden, het wordt misschien een touwtrek. . Ik heb in mijn stuk aangegeven dat ik het niet over een softwarepakket uit cloud (SaaS) heb maar een prive omgeving, er is hier een verschil dat een effect heeft op de investering, procedures en de doorlooptijden.
Of mijn cloudleverancier solvabel is, kan ik niet als klant zien. Ik wil ontzorgd worden en daarom maak ik gebruik van zijn diensten. Misschien moet er ook een keurmerk gemaakt worden voor de cloudleveranciers die solvabel zijn! De voorbeelden die je benoemd hebt voor het uitbesteden van een dienst zijn correct. Ze lijken op de softwarediensten uit cloud, hierdoor beschouw ik ze anders dan mijn cloud-case in dit artikel.
Je komt in je reactie met interessante punten waar ik het helemaal met je over eens ben. Dank voor je reactie.

@Henri,
Ik denk dat ik al hierop in mijn reactie van 22-10-2012 11:36 een antwoord heb gegeven.

@Andre,
M. Korpershoek en nog twee collega`s van hem zijn mensen die op dit moment de ondernemers mooie adviezen geven voor dit vraagstuk (cloud) Ik heb al eerder stukken van hen gelezen.
Dank voor de link. Deze link beschrijft “wat te doen als..” maar ik heb het in dit artikel over een fase hiervoor: “wees gewaarschuwd”

Los van het juridische verhaal in deze link, toont deze link naar mijn mening aan dat cloud een “van af” prijs heeft. Als je de kosten die voor het managen van een risico in de “cloudketen” bij elkaar optelt dan zou je zien dat er een groot verschil is tussen de oorspronkelijke prijs en die van wat je nu berekend hebt!



@Reza,
Je artikel maakt veel los, je hebt iig een discussiepunt gevonden!

Cloud providers (IAAS, PAAS of SAAS), doen financieel niets anders dan iedere andere webwinkel. Je probeert je voorraad (schoenen of CPU-core-uren) te verkopen tegen een gunstige prijs waarmee je kosten (van je totale voorraad) gedekt zijn en je een redelijke winst maakt.

Voor cloud leveranciers is de investering op hardware gebied uitgesmeerd over de afschrijvingsperiode van minstens 36 maanden. In die periode moet een provider zorgen dat de investering daarop is terugverdiend. Als er een klant tussen zit die een maand of wat niet betaald, dan is dat ontzettend vervelend, maar het is 1/36 van het totaal... Dat valt weg in de ruis van capaciteits management omdat het zelden lukt om 100% utilisatie op de infrastructuur te halen.
Als dat verlies veroorzaakt dat de provider omvalt, dan is er veel meer mis dan alleen die ene klant.

Van al je klanten is er een percentage dat niet, te laat of op een andere manier schade veroorzaakt. Dat valt mee als je je zaken goed beschermt. Ter vergelijking, webwinkels krijgen regelmatig goederen terug, die daarna meestal onverkoopbaar zijn. Of dmv credit card fraude wordt de betaling teruggedraaid. Dat is enorm triest en vervelend, maar zou als je het goed spreid minder dan 1% van je omzet moeten betreffen. Dat gaat idd van de winst af en ten koste van de aandeelhouders.
Je kan dit risico beperken als provider door alleen grote contracten te sluiten met partijen waar je meer van weet, bv door een credit check uit te voeren.

Als klant moet je niet met de goedkoopste beunhaas in zee willen gaan, maar gewoon een normale prijs voor een betrouwbaar product betalen bij een gerenomeerde aanbieder. Dat kan je ook als klant beter van te voren controleren. Oa kan je controleren of de aanbieder de juiste certifieringen heeft, bv ISAE3402 en ISO 27001.

Er is echt geen extra keurmerk (boven op bestaande certificeringen) of garantie fonds nodig, cloud computing is ook niet anders dan andere zakelijke diensten. Zowel klanten als aanbieders moeten hun gebruikelijke zakelijke instincten gebruiken net als bij alle andere diensten.

In de reisbranche is er wel een garantiefonds en allerlei bescherming. Dat is omdat het gemiddelde reisbureau hooguit een paar tientjes op een reis van duizenden euro's verdiend. Als vervolgens het reisbureau of de vliegmaatschappij failliet gaat, is er te weinig geld om dat risico te dekken.
Deze situatie kan voorkomen als je je cloud infrastructuur huurt via een tussenpersoon. Maar dat schrijf je niet in je artikel, daar beschrijf je dat de provider failliet zou kunnen gaan doordat de klant niet betaald. En dat is alsof de vliegtuig maatschappij failliet gaat omdat iemand zijn ticket niet betaald, iets waarop de kans wel heel klein is.

Floris,
Ik heb genoten van je mooie analyse en reactie, dank!

Ik vind je reactie rondom de financiële aspecten(afschrijving en investering) terecht als je met een grote leverancier zaken doet.
Maar ik wil niet altijd met grote leveranciers zaken doen, want ze zijn heel stug in hun algemene voorwaarden en SAL! Als je probeert om bijvoorbeeld met Amazon of Google een SLA af te sluiten dan zou je zien dat je nagenoeg geen keuze hebt dan alleen hun regels te accepteren. Daarentegen kan ik best zaken doen met de leveranciers die wat lager zitten. Nadeel hiervan is dat ze niet sterke financiële positie kunnen hebben. Het aanbieden van een IaaS, PaaS of SaaS oplossing is meer dan alleen genoeg financiële middelen hebben om de benodigde hardware aan te schaffen.
Een credit check uitvoeren zou misschien een oplossing zijn. Dan moet ik gedurende mijn contract (36 maanden) en niet alleen in het begin en op z`n minst een keer per halfjaar een check uitvoeren. Zou de leverancier deze accepteren?
Een keurmerk voor cloudleverancier vind ik een mogelijke oplossing voor dit vraagstuk. Maar wie gaat deze afgeven? Wat zijn de regels? Hoe moeten de leveranciers beoordeeld worden? Deze en nog meer ander vragen maken het moeilijk om een “keurmerk” in het levern te roepen en breed door iedereen te laten accepteren. Dit hebben we ook te danken aan het gebrek aan standaarden binnen dit verschijnsel “Cloud”!

Een certificering en ISOxxx lijkt me ook geen oplossing. Kijk maar wat er met Diginotar gebeured is! Ze hadden alle certificeringen en ISO-keurmerken, audit en sterker nog ze gaven certificering aan bedrijven af!

Een NIET grote vliegtuigmaatschappij zou ook failliet kunnen gaan als je als klant in een keer 300 stoelen wil hebben terwijl ze maar kleine toestellen met 100 stoelen hebben. Als ze gebaseerd op je aanvraag gaan investeren in een groot toestel en jij als klant later aangeeft dat je failliet bent gegaan dus geen geld meer, dan zou dit de business van deze maatschappij op z`n kop zetten.

Communicatie via schrijven is niet altijd makkelijk, helder en efficient. Toch hoop ik dat ik mijn beeld en idee wat duidelijker heb kunnen overbrengen.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×