IT-trends en compliance

In de informatietechnologie hebben zich altijd al allerlei trends gemanifesteerd. En die werden dan opgepikt door allerlei soorten bedrijven die daar geheel of gedeeltelijk hun bedrijfsmodel op bouwden. Zo hebben we vandaag de dag te maken met Software as a Service (SaaS). Langzaam maar zeker gaan steeds meer softwareleveranciers over van het verstrekken van een on site licentie naar het SaaS model. Dat is logisch en begrijpelijk want voor de softwareleverancier zijn er voordelen te behalen. Er is ook de trend om veel aandacht te besteden aan compliance. Ook dat is logisch, want er komt nu eenmaal steeds meer wet- en regelgeving die rust op informatiesystemen (recent de GDPR / Avg) van licentienemers. Nu wordt aan het SaaS model door de aanbieder daarvan ook nog extra dienstverlening gekoppeld. Dienstverlening die te maken heeft met het beheer en onderhoud van het informatiesysteem van een licentienemer van de software. Zoals bekend bestaat een informatiesysteem uit vijf delen: 1. Hardware, 2. Software, 3. De gegevens, 4. De gebruikers en 5. De procedures. Wat via de SaaS constructie wordt uitbesteed betreft de hardware en de software. Weliswaar bevinden de gegevens zich op de hardware in het datacenter maar ze vallen onder de verantwoordelijkheid van de eigenaar (houder) van het informatiesysteem. Uiteraard blijven de gebruikers zitten op hun werkplek waar ze altijd al zaten en moeten de procedures worden aangepast aan de nieuwe werkwijze. Op dit gehele informatiesysteem rust de compliance verplichting. De verplichtingen rusten vooral op de licentienemer.  

In veel wet- en regelgeving komt de verplichting voor, dat de beschikbaarheid van het informatiesysteem door middel van technische maatregelen moet zijn zeker gesteld. Hier ontstaat een nieuw en vaak niet of niet volledig verzorgd brandpunt voor de aandacht van compliance officers en ook accountants.

Hier speelt namelijk de vraag: wie is waar verantwoordelijk voor? Er zijn nu ten minste drie partijen in het spel betrokken: de gebruiker van het informatiesysteem, de softwareontwikkelaar (die vaak de overeenkomst met het datacenter heeft) en het datacenter (ook wel: hostingpartij). Het probleem is natuurlijk dat de houder van het informatiesysteem moet voldoen aan de wet- en regelgeving die op zijn (gedeeltelijk uitbestede) informatiesysteem rust.

Dat is een zware verplichting, want verantwoordelijkheid kun je niet uitbesteden. Het is dus erg zinvol na te gaan wie waarvoor verantwoordelijk is en dan de juiste afspraken te maken. U kunt denken aan Service Level Agreements (SLA’s) met afspraken over beschikbaarheid van de SaaS-dienst en aan een verwerkersovereenkomst met een hostingprovider waarin wordt gewaarborgd dat er veilig wordt omgegaan met persoonsgegevens en dat er bij een datalek adequaat wordt gehandeld en geïnformeerd. Ook de vraag wie welke verantwoordelijkheid draagt en welke rechten heeft met betrekking tot de data die u ter beschikking stelt aan de hostingpartij moet eenduidig worden beantwoord.

Henri Hensen