Software as a service (SaaS): juridische risico’s en tips

Software as a Service, beter bekend als SaaS, is inmiddels niet meer weg te denken uit de de software-wereld. Steeds meer softwareleveranciers bieden hun software niet meer aan in de vorm van een fysiek cd’tje, maar als online dienst. De software blijft dus in het beheer van de leverancier en de gebruiker(s) krijgt via het internet ‘slechts’ toegang tot het programma. Deze nieuwe manier van werken, brengt natuurlijk ook weer nieuwe juridische risico’s en aandachtspunten met zich mee. In deze blog gaan onze juristen hier uitgebreid op in.

Wat is SaaS eigenlijk?

We hebben het hierboven al even kort aangestipt, maar SaaS is dus de afkorting van ‘Software as a Service”. Wie goed oplet, kan uit de term SaaS afleiden wat er precies mee wordt bedoeld. Het gaat namelijk om software als een dienst: ‘as a Service’. Als gebruiker van SaaS zal je dus geen eigenaar worden van de software, maar maak je gebruik van een service. Je hoeft dan ook niets te kopen, maar betaalt vaak een x bedrag per maand om van de software te mogen genieten. Wat dat betreft lijkt het wel een beetje op huur. Via het internet (i.e. de cloud) krijg je toegang tot de software. 

Voor- en nadelen van SaaS

Vanuit het oogpunt van de klant (i.e. de afnemer) zijn de grootste voordelen van SaaS de relatief lage kosten en het stukje ontzorging. Wat bedoelen we nou precies met ontzorging? Het komt er, kort gezegd, op neer dat jij je als klant niet zoveel meer hoeft bezig te houden met het onderhoud van de software. De software blijft immers in beheer van de leverancier. Zo zorgt de leverancier voor het oplossen van bugs en het doorvoeren van updates. Handig! 

Ondank deze voordelen zijn er toch ook enkele nadelen verbonden aan het gebruik van een SaaS-oplossing. Het grootste nadeel is natuurlijk dat je erg afhankelijk bent van jouw software-leverancier. Als deze besluit niet zoveel zin meer te hebben in het verbeteren van de software, loop je het risico om op een gegeven moment vast te komen zitten aan verouderde software. Of wat dacht je van de beveiliging van persoonsgegevens? De data die jij stopt in de software, wordt opgeslagen op de server van jouw provider. Als deze het niet zo nauw neemt met beveiligingsvoorschriften, loop je het risico dat dat jouw gegevens zometeen op straat komen te liggen. 

Maak mijn SaaS-contract

Juridische problemen SaaS

Als het goed gaat, gaat het goed. Gaat het mis, dan gaat het goed mis. Ofwel: als de software goed werkt, persoonsgegevens worden beveiligd en de leverancier niet failliet gaat, dan is er niks aan de hand. Maar als de software opeens niet meer beschikbaar is, er een datalek ontstaat of de leverancier geen enkele update (meer) wil doorvoeren, kan het snel uit de hand lopen.

De volgende 2 risico’s verdienen in ieder geval al even je aandacht:

  1. Beschikbaarheid: als klant heb je er natuurlijk belang bij dat je te allen tijde gebruik kan (blijven) maken van de SaaS-dienst. Stel je voor dat je gebruikmaakt van een boekhoudprogramma in de cloud en de boekhoudsoftware, vlak voordat je jouw belastingaangifte moet doen, tijdelijk niet beschikbaar is. Je mist de deadline en de fiscus is absoluut niet blij met je. Zoiets wil je natuurlijk voorkomen. Daarom worden er vaak afspraken gemaakt over de “uptime” van een SaaS-dienst. Als leverancier van een SaaS-oplossing is het natuurlijk wel belangrijk dat je goed kijkt of je deze uptime ook daadwerkelijk kan garanderen. Garandeer je een beschikbaarheid van 97%, terwijl je door een brand bij de hostingprovider, uiteindelijk maar 90% levert? Dan is het mogelijk dat je aansprakelijk wordt gesteld voor de schade die jouw klanten lijden. Als je iets garandeert, kan je namelijk ook geen beroep meer doen op overmacht (‘force majeure’). 
  2. Exit: het kan uiteraard voorkomen dat de klant en software-leverancier op een gegeven moment uit elkaar willen. Misschien is er een ruzie ontstaan of heeft de klant de SaaS-oplossing simpelweg niet meer nodig. Alhoewel een dergelijke scheiding op zichzelf geen probleem hoeft te zijn, is het voor de klant waarschijnlijk wel belangrijk dat deze toegang tot zijn/haar data behoudt. Als hier geen duidelijke afspraken over zijn gemaakt, loopt de klant het gevaar dat de leverancier de data gebruikt als ‘onderhandelings-truc’. Ofwel: je krijgt de data pas ter beschikking als je x bedrag betaalt. Het is als klant daarom ook belangrijk om vooraf duidelijke afspraken te maken over de export van jouw data, mocht de relatie met de software-leverancier tot een einde komen.

Wat moet je opnemen in een SaaS-contract?

We hebben het al even gehad over de voor-en nadelen van SaaS en daarbij enkele risico’s aangekaart. Maar hoe voorkom je nou dat een SaaS-oplossing tot een mislukking uitloopt? Een eerste stap is in ieder geval het opstellen van een overzichtelijke SaaS-overeenkomst. Door vooraf te bepalen wat partijen van elkaar mogen verwacht, voorkom je misverstanden. Expectation management, noemt men dat.

Denk dan bijvoorbeeld aan het opnemen van afspraken over:

  • De beschikbaarheid / continuïteit van de software;
  • Aansprakelijkheid, vrijwaringen, garanties;
  • Beveiliging gegevens;
  • Kwaliteit & onderhoud van de software (“SLA”);
  • Exit-regeling.

Verwerkersovereenkomst sluiten met cloudprovider

Je bent er helaas nog niet met het opstellen van een SaaS-contract. Dikke kans namelijk dat er persoonsgegevens worden verwerkt. Persoonsgegevens is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Wat dacht je van die boekhoudsoftware waar we het al even eerder over hadden? Als jij als klant al jouw facturen upload in het programma, zal je daarmee sowieso persoonsgegevens verwerken (betaalgegevens, NAW-gegevens, etc.). Wanneer je persoonsgegevens verwerkt, moet je rekening houden met de AVG

Omdat je de verwerking van de persoonsgegevens uitbesteedt aan de SaaS-provider, is de kans groot dat je een verwerkersovereenkomst met deze moet sluiten. Daarnaast is het belangrijk om zicht te houden op de datastromen. Worden de persoonsgegevens ook doorgegeven aan landen buiten de EU? Dan is het goed om te weten dat het sinds de Schrems-II zaak, erg lastig is geworden om legaal gebruik te (blijven) maken van Amerikaanse cloud-providers. 

Laat een SaaS-contract opstellen

Het opstellen van een SaaS-overeenkomst vraagt om juristen gespecialiseerd in het ICT-recht. Door onze tech-kennis kunnen wij bovendien de juiste vragen stellen. Dat is wel zo prettig communiceren.

Maak mijn SaaS-contract

 

 

Scroll naar top

Waar kunnen we bij helpen?