image

Welke security eisen stelt de wet aan SaaS-diensten?

woensdag 29 september 2021, 10:07 door Arnoud Engelfriet, 1 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik ben een kleine ondernemer en net gestart met een software-as-a-service dienst. Het voelt nog wat vroeg om harde SLA’s aan klanten aan te bieden, maar waar sta ik als dat niet doe? Aan welke security eisen zit ik dan vast volgens de wet?

Antwoord: Een service level agreement of SLA is bedoeld om concrete afspraken te maken tussen een leverancier en afnemer, bijvoorbeeld over beschikbaarheid van een SaaS-dienst of de reactiesnelheid bij problemen of storingen. Dat concrete is handig, omdat je dan geen discussie krijgt over "te laat" of “te langzaam” iets oppakken. Daar staat natuurlijk tegenover dat je dan wel concreet dat getal moet leveren, ook als dat eigenlijk niet past bij je bedrijf. Dus ik snap dat kleine bedrijven dit liever niet doen.

Als je geen expliciete afspraken maakt, dan kom je als hoofdregel uit bij wat de wet de redelijkheid en billijkheid noemt. Je ziet dat ook wel in de algemene voorwaarden van SaaS-diensten: Leverancier zal zich inspannen een redelijk niveau van beveiliging te leveren. Dat is genoeg, het enige is natuurlijk dat je dan bij een klagende klant héle lange discussies kunt krijgen over wat een redelijk niveau is en waarom jij die Exchange patch gewoon niet al dinsdagmiddag had geïnstalleerd.

Aanvullend geldt daarbij de gewoonte (art. 6:248 lid 1 BW), wat je kunt zien als wat gebruikelijk is in de branche waarin je opereert. Als daar een bepaald percentage gebruikelijk is, dan moet jij dat ook leveren. Ik ken alleen niet echt dergelijke gebruiken in welk deel van de software-as-a-service markt, ik zou juist willen zeggen dat de gewoonte is om zonder SLA alleen zo’n "redelijk inspannen" toezegging te doen.

Wel is het zo dat je als ondernemer een zorgplicht hebt bij dienstverlening (art. 7:401 BW). Hieronder valt ook een zekere verantwoordelijkheid voor de beveiliging, voor zover dat binnen jouw verantwoordelijkheid ligt. We kennen dit van zaken zoals geen back-ups inregelen, maar een SaaS dienst gehackt laten worden kan ook binnen je zorgplicht vallen. Het lastige is alleen dat er geen harde, duidelijke lijnen zijn om die zorgplicht in te kleuren.

Ik zou als kleine ondernemer dan ook juist de vlucht vooruit kiezen. Je klanten worden een stuk tevredener als ze weten dat jij ze persoonlijk begeleidt en informeert. Dus wees proactief in wat je wel en niet doet. Het is prima om te zeggen "dit valt buiten mijn verantwoordelijkheid", als je dat gemotiveerd en expliciet doet. (En dat is niet hetzelfde als "verstopt in artikel 12.4 van je voorwaarden".)

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (1)
07-10-2021, 10:19 door Anoniem
Alhoewel ik ook niet zo van dingen dicht timmeren ben... het kan ook een voordeel hebben: er wil iets niet. Klant klaagt dat het te lang duurt. In je SLA staat dat jij binnen 8 uur een aanvang maakt met het herstel van de storing. Nou, je bent na 6 uur begonnen. En het gaat 24 uur duren voordat de boel weer operationeel is. Dan voldoe je netjes aan wat je hebt afgesproken.

Die klant ben je waarschijnlijk alsnog kwijt, maar op zich is je (denk ik) niks te verwijten.

Idem zou je iets kunnen doen als: updates binnen xx tijd geïnstalleerd (tenzij bla bla bla). Elke 6 maanden een audit (ja, dat kost geld... maar je klant weet dan wel waar-ie voor betaalt en jij hebt je best gedaan).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.