APPLICATION SERVICES ASP mr drs Lesley Broos en ir Joost Boerstoel. Geactualiseerde versie d.d. 30 augustus 2005

APPLICATION SERVICES ASP mr drs Lesley Broos en ir Joost Boerstoel Geactualiseerde versie d.d. 30 augustus 2005

Inhoud: WAT IS ASP?....................................................................................................................... 4 APPLICATION SERVICES................................................................................................. 6 ONTSTAAN VAN ASP........................................................................................................ 7 TOEKOMSTVERWACHTINGEN....................................................................................... 8 VOORBEELDTOEPASSINGEN........................................................................................ 9 TOEPASBAARHEID VAN ASP.......................................................................................10 NADELEN EN RISICO´S VAN ASP................................................................................12 ASP TECHNIEK - OVERZICHT.......................................................................................14 ASP TECHNIEK - NAAR DE CLIENT.............................................................................15 ASP TECHNIEK - VERANTWOORDELIJKHEID ..........................................................16 ASP TECHNIEK - BIJ DE ASP THUIS............................................................................18 ASP TECHNIEK - OPSLAG VAN KLANTGEGEVENS ...............................................20 BEVEILIGING .....................................................................................................................23 TECHNISCHE OVERWEGINGEN BIJ INKOOP VAN APPLICATION SERVICES...26 BEHEER.............................................................................................................................28 SOORTEN ASP’S .............................................................................................................30 SELECTEREN VAN EEN ASP .......................................................................................32 CONTRACTEREN MET EEN ASP .................................................................................35 STRUCTUUR VAN EEN ASP CONTRACT...................................................................37 INHOUD VAN EEN ASP-CONTRACT: AFSPRAKEN OVER SERVICE ONTWIKKELING ................................................................................................................41 INHOUD VAN EEN ASP-CONTRACT: AFSPRAKEN OVER SERVICE EXPLOITATIE.....................................................................................................................42 BELANGRIJKE KWALITEITSNORMEN: BESCHIKBAARHEID EN PERFORMANCE ..............................................................................................................................................44 INHOUD VAN EEN ASP-CONTRACT: AFSPRAKEN OVER SERVIC E BEËINDIGING.....................................................................................................................48 CONTRACTMANAGEMENT............................................................................................50

TQL Application Services ASP

2

IMPLEMENTATIE VAN APPLICATION SERVICES .....................................................52 GEBRUIK VAN APPLICATION SERVICES...................................................................54 ASP BELANGENORGANISATIES..................................................................................56 AFKORTINGEN EN BEGRIPPEN...................................................................................59 OVER DE AUTEURS ........................................................................................................60


3

Wat is ASP? 1. Wat is Application Service Providing? Application Service Providing is een alternatieve manier van automatiseren. Een Application Service Provider (ASP) is een (service)organisatie die - via het Internet of andere datanetwerken softwareapplicaties beschikbaar stelt en aan die applicaties gerelateerde ICT-diensten levert aan klanten die daarvoor naar rato van hun gebruik betalen. 2. Waarom is Application Service Providing een alternatieve manier van automatiseren? In het verleden was het veelal zo dat je als eindgebruiker hardware, software en IT-diensten inkocht en je dat onder eigen verantwoordelijkheid tot een werkend geheel moest zien te krijgen. Een ASP neemt deze verantwoordelijkheid over door een kant en klare IT-oplossing via een WAN ter beschikking te stellen. 3. Wat heb ik nodig om van een ASP gebruik te kunnen maken? In de meeste gevallen heeft u alleen een eenvoudige PC met een Internetbrowser, bijvoorbeeld Microsoft Internet Explorer of Netscape Navigator, nodig. En natuurlijk een connectie naar het Internet. 4. Waar draait de software als die niet meer op mijn PC staat? De software wordt niet langer fysiek op uw eigen PC’s geïnstalleerd. In plaats daarvan installeert een ASP de software op een centrale server die hij zelf beheert en waartoe hij u als gebruiker via Internet of een ander datanetwerk toegang verschaft. 5. Maken er meerdere klanten gebruik van dezelfde software? Ja, de ASP kan meerdere klanten bedienen vanuit één centrale locatie. Zo kan hij schaalvoordelen behalen. 6. Hoe zit het met de gegevens die ik met de software van een ASP verwerk? Voor de gegevens geldt dat deze op de centrale locatie van de ASP worden opgeslagen. Zodoende bent u minder gebonden aan uw eigen werkplek en hoeft u zich ook geen zorgen meer te maken over back-ups aangezien de ASP de zorg over de gegevens overneemt. 7. Werken ASP’s altijd via het Internet? Nee. ASP-diensten aanbieden via het Internet heeft als voordeel dat je altijd en overal met een webbrowser gebruik kan maken van ASP-diensten, maar is minder betrouwbaar (beschikbaarheid, performance, veiligheid) dan wanneer je bijvoorbeeld via huurlijnen gebruik maakt van een ASPdienst. 8. Werkt de software van een ASP altijd met behulp van een webbrowser? Nee, in sommige gevallen werkt de software van een ASP op basis van specifieke hulpprogramma’s. Een reden hiervoor kan zijn dat de applicaties die de ASP biedt, niet geschikt zijn om met een webbrowser benaderd te worden, of dat de applicaties een zware grafisch gebruikersinterface hebben, zoals CAD- en grafische bewerkingsprogramma’s.


4

9. Wat voor soort applicaties kan ik op ASP basis gebruiken? In principe is iedere applicatie op ASP basis aan te bieden, zowel lichte applicaties (e-mail, productivity tools), als middelzware (CRM-pakketten, financiële software) als zware applicaties (bijvoorbeeld ERP-systemen). De zwaarte van een applicatie en het belang van een applicatie voor de gebruiker bepaalt in hoge mate de eisen die aan de ASP moeten worden gesteld.


5

Application services 10. Wat zijn application services nu precies? Een application service is een logisch geheel van diensten dat een ASP aanbiedt, levert en ondersteunt teneinde de afnemer gebruik te kunnen laten maken van een applicatie die via het Internet of aan ander datanetwerk ter beschikking is gesteld. 11. Wat omvatten application services zoal? Iedere ASP biedt application services, maar de inhoud van die services verschilt erg per aanbieder. Vaak wordt op voorhand onvoldoende gedefinieerd wat de geboden services exact omvatten. Het is dus zaak voor de afnemer om hier voldoende duidelijkheid over te krijgen. De application services kunnen in beginsel worden onderverdeeld in kerndiensten, ondersteunende diensten en extra diensten. 12. Welke kerndiensten levert een ASP? De kerndienst die een ASP levert bestaat uit het voorzien in applicatietoegang; het beschikbaar stellen van een applicatie via het Internet of een ander datanetwerk, waar een klant gebruik van kan maken. 13. Welke ondersteunende diensten levert een ASP? Een ASP zal ten alle tijde in basisondersteuning moeten voorzien zodanig dat een klant daadwerkelijk gebruik kan maken van de applicatie. De basisondersteuning kan minimaal zijn, dus zich bijvoorbeeld beperken tot puur technische ondersteuning en geen enkele vorm van applicatie inhoudelijke ondersteuning. Daarnaast moet een ASP voorzien in “intake, wijzigingen en exit”; het afhandelen van de activiteiten die behoren bij het voor een afnemer opstarten, wijzigen en beëindigen van een application service. 14. Welke extra diensten kan een ASP leveren? Een ASP die kerndiensten en ondersteuning verzorgt mag zich een volwaardig ASP noemen. Uiteraard kan een ASP ervoor kiezen zijn dienstenportfolio nog breder te trekken door bijvoorbeeld extra ondersteuning te bieden (rapportages aanleveren, gebruikers trainen, applicatieinhoudelijke vragen beantwoorden, etc.), de clients (eenvoudige PC’s met internetverbinding, eventueel via een LAN) bij de klant te leveren en / of te onderhouden, businessconsultancy te leveren, etc.


6

Ontstaan van ASP 15. Hoe lang bestaan er al ASP’s? De term ASP is nog niet zo oud, maar het principe om op deze manier automatisering aan te bieden is al ouder. Door ontwikkelingen op technisch, bedrijfskundig en juridisch vlak heeft de toepassing van dit principe de laatste jaren echter een sterke groei doorgemaakt. 16. Welke technische ontwikkelingen dragen bij aan de opkomst van ASP? Met name de ontwikkeling van het Internet van Spielerei tot een serieus en breed geaccepteerde basisvoorziening binnen het bedrijfsleven en de beschikbaarheid van steeds grotere bandbreedte tegen steeds lagere kosten hebben de opkomst van ASP gestimuleerd. 17. Welke bedrijfskundige ontwikkelingen dragen bij aan de opkomst van ASP? Door op deze manier te automatiseren heeft u als eindgebruiker minder IT-personeel nodig, hetgeen kostenbeparing met zich mee kan brengen. Verder worden steeds hogere eisen gesteld aan de beschikbaarheid en kwaliteit van IT-systemen (24 uurs economie, steeds grotere afhankelijkheid). Als non-IT-bedrijf wordt het steeds moeilijker om aan deze eisen te kunnen blijven voldoen en is het efficiënter om deze functie aan hierin gespecialiseerde bedrijven (ASP's) uit te besteden. Dit past tevens in de 'back-to-core' filosofie die veel organisaties onderschrijven. 18. Welke juridisch ontwikkelingen dragen bij aan de opkomst van ASP? In het verleden had je als eindgebruiker veel IT-aanbieders nodig om tot een werkende oplossing te komen (1 of meer softwareleveranciers, hardwareleveranciers, dienstenleveranciers etc.). De kans op kastje-muur-effecten was groot door het ontbreken van een “hoofdaannemer”. Door de verantwoordelijkheid bij één partij, de ASP, weg te leggen, wordt dit risico gereduceerd. U koopt niet langer hard- en software maar u betaalt de ASP om van een werkende IT-systeem gebruik te mogen maken.


7

Toekomstverwachtingen 19. Wordt ASP de toekomst? Onderzoekbureaus voorspelden ooit een miljardenomzet in de wereldwijde ASP markt. Tegelijkertijd bereikten ons minder positieve berichten namelijk dat de ASP markt zich minder hard zou ontwikkelen dan verwacht. Inmiddels heeft ASP een stevige plek verworven in IT-land en is ASP nog steeds stevig in opmars. Weliswaar zal de ASP-optie de traditionele wijze van softwaredistributie niet op korte termijn geheel doen verdwijnen, maar we zien al wel dat ASP in bepaalde marktsegmenten de slag gewonnen heeft van traditionele automatisering: waar bankieren bij de postbank vroeger een 'girotel-applicatie' kon worden gedownload om lokaal gebruikt te worden door de klant, is de standaard inmiddels dat de ASP-dienst "Mijn Postbank.nl" wordt gebruikt. Waar op www.ns.nl vroeger de "reisplanner-diskette" kon worden gedownload, kan nu nog 'slechts' gebruik worden gemaakt van de ASP-toepassing 'Reisadvies'. 20. Is ASP een stap in de goede richting? Kijkend naar de relatief jonge IT-branche is ASP als een volgende stap naar volwassenheid te beschouwen. De marktoriëntatie verschuift van producten naar diensten. Er worden vaak parallellen getrokken naar andere branches: Als je energie wilt gebruiken koop je geen elektriciteitscentrale (product) maar maak je gebruik van een dienst om tegen betaling naar rato van gebruik elektriciteit on demand te kunnen afnemen (dienst). Als je een vliegreis wilt maken hoef je ook geen vliegtuig (product) te kopen maar koop je een ticket (dienst). 21. Loopt Nederland in het gebruik van ASP’s achter ten opzichte van andere landen? Er worden veel marktvoorspellingen gedaan over de verdere ontwikkeling van ASP. Voorspellingen en analyses van diverse onderzoeksbureau's lopen sterk uiteen. Algemeen wordt wel aangenomen dat in de VS de ontwikkeling van ASP's eerder is gestart dan in Nederland. Organisaties als de Software Services Group van Comptia (www.comptia.nl, vroeger was dit ASPIC, het ASP Industry Consortium) en ASP Forum Nederland dragen er in ieder geval aan bij om de eventuele achterstand in te halen.


8

Voorbeeldtoepassingen 22. Is Hotmail een ASP? Ja, Hotmail en vergelijkbare online providers van e-mailfuncties zijn ASP’s. Zij stellen een softwareapplicatie (namelijk een mailprogramma inclusief opslag van verzonden en ontvangen mail) via Internet beschikbaar. 23. En de NS reisplanner? Het spoorboekje van de NS heeft een leuke ontwikkeling doorgemaakt. Vroeger kocht je echt een papieren "spoorboekje". Daarna kwam er een digitale versie uit die je op floppy kocht aan het loket en je thuis op de PC kon installeren. Later kon je de floppy ook downloaden van de website van de NS. Thans is dit allemaal historie en bestaat de mogelijkheid nu om in te loggen op de website van de NS die het elektronische spoorboekje aldaar, dus via het internet, als applicatie service ter beschikking stelt aan eindgebruikers die dus alleen nog maar een PC met een browser en een internetverbinding nodig hebben. Dus ja, de NS reisplanner in de huidige vorm kan gezien worden als ASP-toepassing. 24. Worden ook zware, bedrijfskritische bedrijfsapplicaties op ASP basis aangeboden? Ja, bekende pakketten zoals Oracle e-business software, Exact, Unit4, mySAP.com et cetera zijn thans op ASP basis af te nemen. 25. Is een BSP ook een soort ASP? Een BSP is een Business Service Provider, een service-organisatie die niet zozeer een IT-oplossing ter beschikking stelt om uw bedrijfsproces te ondersteunen, maar die een heel bedrijfsproces voor u uitvoert. Salarisverwerking is een typische dienst van BSP’s. BSP’s kunnen vervolgens als onderdeel van hun dienstverlening de IT-systemen waarvan zij gebruik maken via internet toegankelijk maken voor hun klanten zodat zij eenvoudig inzage hebben in de salarisgegevens en de status van de salarisverwerking. In dit geval wordt een BSP tevens ASP. 26. Is een FSP ook een soort ASP? Een FSP is een Full Service Provider, een service-organisatie die niet alleen een applicatie via Internet ter beschikking stellen, maar ook een aantal aanvullende services levert. Een FSP stelt bijvoorbeeld een in opdracht van u ingerichte webshop via het internet aan u en uw klanten ter beschikking en verzorgt vervolgens ook de financiële en logistieke afhandeling. 27. Wat zijn leuke voorbeelden van ASP toepassingen? Inzichtelijke voorbeelden: - www.wboffice.nl : online documentmanagement systeem, bijvoorbeeld handig om met mensen uit verschillende organisaties projectinformatie te delen) - www.salaris.nl : online applicatie waarmee u de salarisspecificatie en jaaropgave via het intranet naar uw medewerkers kunt verspreiden.


9

Toepasbaarheid van ASP 28. Wat voor soort bedrijven maken gebruik van een ASP? Allerlei soorten en maten bedrijven maken momenteel van ASP gebruik, al dan niet ter ondersteuning van bedrijfskritische processen. In algemene zin biedt ASP aan bedrijven de meeste voordelen en kansen naarmate ze meer van de volgende kenmerken bezitten: meerdere vestigingen, telewerkers, streven naar concentratie op kernactiviteiten, hoog verloop onder IT-personeel, innovativiteit. 29. Welke voordelen biedt het gebruik maken van een ASP? Er zijn allerlei redenen om gebruik te maken van een ASP, dus de te behalen voordelen verschillen per situatie. Voor het ene bedrijf is het grote voordeel dat telewerkers eindelijk vanaf thuis of in het veld over dezelfde digitale omgeving beschikken als op kantoor. Voor het andere bedrijf is het grote voordeel dat de IT-kosten inzichtelijker worden (vaak is het mogelijk een vast bedrag per maand af te spreken met bijvoorbeeld een opslag naar rato van feitelijk gebruik of aantal gebruikers). Weer een ander voordeel kan zijn dat nieuwe versies van de programmatuur sneller bedrijfsbreed kunnen worden gedistribueerd. 30. Kan ik een ASP ook gebruiken om eens te experimenteren met een applicatie? Ja, aangezien een ASP een kant en klare oplossing aanbiedt die (behoudens uitzonderingen) geen nader installatie of inrichtingswerk behoeft, kun je vaak een contract voor een korte tijd, bijvoorbeeld 1 tot 3 maanden, overeenkomen waarin je op ASP-basis gebruik maakt van een bepaalde applicatie. De instap en beëindigingkosten zijn relatief laag; je kunt experimenteren met een applicatie zonder die daarvoor zelf te hoeven aanschaffen. 31. Komen duurdere applicaties hierdoor ook binnen mijn bereik? Ja, er zijn applicaties die voorheen nauwelijks werden afgezet omdat de aanschafkosten enorm hoog waren. Thans is het mogelijk zo’n applicatie, bijvoorbeeld voor een beperkter duur, tegen een lager maandbedrag te gebruiken, mits een passend prijsmodel wordt gehanteerd. 32. Waarom is de toepasbaarheid van een ASP-oplossing mede afhankelijk van het prijsmodel? Je kunt een ASP gebruiken om over een applicatie te beschikken die te duur is om aan te schaffen. Bijvoorbeeld een consultant die drie keer per jaar een geavanceerd grafisch programma nodig heeft zal zo’n programma niet zo snel aanschaffen. Gebruik van zo’n programma op ASP-basis is alleen interessant indien hij een bepaald bedrag betaalt voor iedere keer dat hij er gebruik van maakt, dus zonder langlopend contract met vaste maandelijkse tarieven ongeacht het gebruik. 33. Heb ik minder IT-personeel nodig als ik gebruik maak van een ASP? ASP is een vorm van outsourcing. Indien bepaalde zaken substantieel worden uitbesteed zou dat ertoe moeten leiden dat intern minder mensen en faciliteiten nodig zijn. Deze pretentie wordt natuurlijk alleen waargemaakt indien een afnemer daadwerkelijk bereid en in staat is om ‘vrijkomend’ IT-personeel ofwel uit dienst te doen treden ofwel ander zinvol werk te laten verrichten.


10

34. Maken veel startende bedrijven gebruik van een ASP? Ja, zeker voor startende bedrijven is ASP een optie. Een startend bedrijf beschikt vaak over weinig liquide middelen om direct dure apparatuur en programmatuur aan te schaffen. Het kunnen huren van een applicatie is dan een prettig alternatief. Bovendien is van belang dat het benodigde ITsysteem zo snel mogelijk beschikbaar is opdat de exploitatie van de nieuwe onderneming niet vertraagd wordt. Middels een ASP, die de applicaties al heeft geïnstalleerd (en bovendien de baby-fouten er al heeft uitgehaald) is dit mogelijk, maar uiteraard dient een applicatie nog steeds in de bedrijfsvoering geïmplementeerd te worden. 35. Kan ik van een ASP gebruik maken als ik veel maatwerk nodig heb? ASP biedt de meeste (schaal)voordelen naarmate de geboden oplossing zo standaard mogelijk is. Maatwerk leidt ertoe dat de ASP vanaf een bepaald niveau in zijn architectuur in klantspecifieke zaken moet voorzien, waardoor er meer kosten gemaakt worden. Meestal wordt in situaties waarin veel maatwerk nodig is een 1-op-1 systeem ingericht, dus een IT-systeem dat klantspecifiek wordt geïnstalleerd en via het Internet of anderszins ter beschikking wordt gesteld. Echter, deze vorm van automatiseren lijkt meer op traditionele hosting (met verdergaande verantwoordelijkheid van de aanbieder en minder regie-bevoegdheden bij de afnemer) dan op ASP. 36. Kan het interessant zijn om ASP-diensten door te verkopen? Jazeker, het kan interessant zijn om, ook als niet-IT-bedrijf, ASP-diensten in te kopen en door te leveren aan bijvoorbeeld klanten, leden, vertegenwoordigers of leveranciers die je aan je wilt binden. Naast binding biedt een dergelijke constructie ook vergaande mogelijkheden voor ketenintegratie.


11

Nadelen en risico´s van ASP 37. Wat zijn de belangrijkste nadelen als ik gebruik maak van een ASP? Natuurlijk kent het gebruik van ASP ook nadelen. Wel verschillen de relevante nadelen sterk per situatie; de optelsom van de eisen en wensen van de afnemer en de mogelijkheden van de aanbieder zijn hierbij bepalend. Mogelijke nadelen liggen op het gebied van: beveiliging, mate van beschikbaarheid, onvolwassenheid van de ASP-sector, juridische complexiteit en beperkt geïntegreerd applicatieaanbod. 38. Welke risico’s kent ASP op tactisch en strategisch niveau? Een belangrijk aandachtspunt is de grote afhankelijkheid die kan ontstaan ten opzichte van de ASP wanneer bedrijfskritische application services worden afgenomen terwijl de beëindiging (hoe kom je van elkaar af zonder continuïteitsrisico) op voorhand niet goed geregeld is. Daarnaast speelt een aantal technische zaken, bijvoorbeeld of integratie met eigen applicaties of applicaties van een andere ASP wel goed mogelijk is. Verder dient voorkomen te worden dat de performance onvoldoende is en dient er de nodige flexibiliteit m.b.t. de functionaliteit van de applicatie te zijn. Tenslotte noemen we op dit punt de continuïteit van de ASP – als daaromtrent te weinig zekerheden bestaan, vormt dat een groot risico gezien de mogelijke afhankelijkheid zoals hierboven beschreven. 39. Welke risico’s kent ASP op operationeel niveau? Het belangrijkste risico is het ontstaan van schade doordat bijvoorbeeld de applicatie langere tijd niet beschikbaar is, derden zich ongeautoriseerd toegang hebben verschaft tot bedrijfsinformatie of data verminkt of verloren is gegaan. Een ASP zal doorgaans alle mogelijke maatregelen treffen om dergelijke incidenten te voorkomen, maar mocht het dan onverhoopt toch gebeuren, dan is de ASP op grond van de door hem gehanteerde juridische voorwaarden veelal niet gehouden de daaruit voortvloeiende schade te vergoeden. Het is aan te raden na te gaan of de ASP wel kan voorzien in noodscenario’s indien zich dergelijke “rampen” voordoen. Tenslotte zij hier genoemd dat de ASP-afnemer doorgaans weinig controle heeft over het update/releasebeleid van de ASP en derhalve gehouden is de keuze van de ASP daarin te respecteren (hetgeen onder andere kan betekenen dat medewerkers getraind moeten worden in een nieuwe versie van een applicatie, terwijl die specifieke versie functioneel niets toevoegt). 40. Welke juridische risico’s kent ASP? Het contracteringsproces met een ASP wil nog wel eens moeizaam verlopen. Niet voor de eenvoudige, weinig bedrijfskritische toepassingen, maar wel voor bijvoorbeeld volledige ERPsystemen die op ASP-basis gaan worden afgenomen. Het is van groot belang in deze laatste situatie materiedeskundige IT-juristen in te schakelen, aangezien anders in de toekomst veel ongedekte schade kan ontstaan mocht de dienstverlening van de ASP niet aan de gerechtvaardigde verwachtingen voldoen. Het moge duidelijk zijn dat dit soort contracteringen veel kennis en tijd vergen, zeker aangezien op dit moment nog maar weinig referentiekader (voorbeelden, standaarden etc.) voor ASP-contracten bestaat.


12

41. Welke sociale risico’s kent ASP? Van groot belang is dat gebruikers de keuze voor ASP kennen, begrijpen en waarderen. Gebruikers met weinig IT-kennis kunnen moeite hebben het concept te begrijpen. Het ASP-model moet stroken met geldende normen, waarden, ervaringen en behoeften om een vlotte acceptatie te bewerkstelligen. Het kan helpen om kleinschalig, met een niet bedrijfskritische applicatie te beginnen waarvan de voordelen groot en eenvoudig communiceerbaar zijn. 42. Welke financiële risico’s kent ASP? Van groot belang is dat gebruikers een omschakeling naar ASP als positief ervaren. Gebruikerservaringen worden vaak bepaald door (vanuit de optiek van de ICT-organisatie) detailpunten. Het kan voorkomen dat een oude, misschien nog karaktergebaseerde, eenvoudige toepassing sneller en vertrouwder werkte dan een functioneel gelijkwaardige ASP-toepassing. Als een gebruiker de voordelen van de ASP-variant (onafhankelijk van werkplek, minder beheerinspanningen et cetera) niet als zodanig ervaart vormt dit een probleem in de acceptatie. Ook kan het voorkomen dat een ASP strikter beleid voert wat betreft door gebruikers gewenste maatwerk-aanpassingen dan de eigen, oude, ontwikkelomgeving dat deed in de voorheen gebruikte maatwerk-applicatie. Ook deze verandering kan negatief overkomen op een eindgebruiker terwijl een meer op standaardisatie gericht beleid organisatiebreed mogelijk voordelen heeft. Het kan helpen om kleinschalig, met een niet bedrijfskritische applicatie te beginnen waarvan de voordelen groot en eenvoudig communiceerbaar zijn.


13

ASP Techniek - overzicht 43. Hoe steekt ASP technisch globaal in elkaar? De ASP stelt haar applicaties aan klanten ter beschikking vanuit een centrale locatie (vaak een datacenter). In dit datacenter staan grote computersystemen (servers genaamd) waarop de applicaties uitgevoerd worden en waarop de gegevens van de klanten bewaard worden. Deze servers staan in een fysiek en technisch zwaar beveiligde omgeving, zodat de ASP een hoge beschikbaarheid en betrouwbaarheid van haar application services kan beloven. De servers staan vanuit het datacenter via een verbinding in contact met het Internet. Deze verbinding ligt normaliter zo dicht mogelijk bij de backbone van het Internet. 44. Wat is de backbone van Internet? De backbone bestaat als ruggengraat van het Internet, uit de hoofdverbindingen in het totale fijnmazige netwerk van Internet. Deze verbindingen zorgen voor een hoge snelheid en grote transportcapaciteit van gegevens op het Internet en zorgen voor internationale en intercontinentale verbindingen. Vaak zijn dit glasvezelkabels met zeer hoge capaciteiten, honderden malen de capaciteit van een ISDN-verbinding. 45. Mijn ASP geeft aan dat zij aansluiten op een POP. Wat is een POP? Op bepaalde plaatsen kunnen service providers (ASP's en ISP's) op de backbone van Internet aangesloten worden; dit heet een Point Of Presence (POP). In Nederland zit de belangrijkste POP in Amsterdam, andere zitten in Rotterdam en Groningen. Dit is ook de reden waarom de meeste datacenters in Nederland zich in Amsterdam vestigen.


14

ASP Techniek - naar de client 46. Welke technieken worden gebruikt om de centraal draaiende applicatie decentraal toegankelijk te maken? Tot nu toe gebruiken ASPs bijna altijd één van twee technieken om applicaties ‘op de desktop’ van de gebruiker (dit noemen we de client) beschikbaar te stellen: op basis van een gebruikersinterface die web-enabled is of door emulatie van de oorspronkelijke gebruikersinterface met behulp van specifieke hulpprogrammatuur (zoals Citrix of Microsoft Terminal Services). 47. Wat is een web-enablede gebruikersinterface? Een web-enabled gebruikersinterface is gebaseerd op open Internetstandaarden voor de presentatie van een applicatie, zoals HTML, XML, Java, enzovoort. Iedere normale Internetbrowser is zo in staat de gebruikersinterface van de applicatie weer te geven en de interactie van de gebruiker en de applicatie af te handelen. 48. Wat is emulatie van de gebruikersinterface (zoals onder Citrix of Tarantella)? Bij emulatie van de gebruikersinterface wordt de gebruikersinterface van een applicatie op de desktop van de gebruiker ‘geëmuleerd’. Op de centrale server wordt de applicatie in zijn geheel uitgevoerd, waarna de emulatiesoftware de schermpresentatie naar de desktop van de gebruiker stuurt. Het client-deel van deze software geeft het verzonden scherm weer op de desktop en vangt gebruikersacties, zoals muisbeweging en toetsaanslagen op, welke weer naar de centrale server worden gestuurd. 49. Wat zijn technische voordelen van applicaties met een webgebaseerde gebruikersinterface? Een belangrijk technisch voordeel van web-enablede applicaties is dat deze alleen een browser aan de client-zijde nodig hebben. Een browser is vrij verkrijgbaar en er hoeft geen verdere software op de desktop geïnstalleerd en gedraaid te worden, waardoor de client in de regel bijzonder eenvoudig kunnen blijven. 50. Is een oplossing met een webgebaseerde gebruikersinterface onafhankelijker van de gebruikte clienthardware? Ja, een applicatie met een webgebaseerde gebruikersinterface is onafhankelijker van de weergavemogelijkheden en technische specificaties van de client. In principe kan de applicatie zelfs gebruikt worden op handhelds (PDA) die over een browser beschikken. Door de open Internetstandaarden zullen er weinig problemen ontstaan door veranderende versies van gebruikte software (alleen de browser en de applicatie in dit geval).


15

51. Wat zijn financiële voordelen van applicaties met een webgebaseerde gebruikersinterface? In principe kan je twee voordelen onderscheiden: 1. Het kostenvoordeel direct voor de klant omdat geen speciale software op de client gebruikt wordt voor het benaderen van de applicatie. Een browser is gratis. Bij emulatiesoftware is er sprake van licentiekosten per client, gebruiker of klant. 2. Ook aan de ASP-kant zijn additionele kosten per gebruiker erg beperkt. Een webgebaseerde applicatie is (theoretisch) veel beter schaalbaar dan een applicatie die gebruik maakt van emulatie. Hierdoor zijn de additionele kosten per gebruiker laag te houden. 52. Wat zijn technische voordelen van Citrix en andere emulatieoplossingen? Een belangrijk technisch voordeel voor de ASP is dat ‘traditionele’ applicaties bijna zonder aanpassingen beschikbaar gesteld kunnen worden. Het niet hoeven aanpassen heeft daarmee de voordelen dat er geen verdere ontwikkelkosten gemaakt hoeven te worden om de applicatie ASPgeschikt te maken (investering vooraf voor de ASP), de applicaties sneller aangeboden kunnen worden op ASP-basis (time to market) en voorkomen wordt dat er nieuwe fouten geïntroduceerd worden in de ASP-geschikte applicaties. 53. Wat zijn verdere technische voordelen van Citrix en andere emulatieoplossingen? Doordat gebruik wordt gemaakt van emulatie op de cliënt hoeft de gebruikersinterface van de applicatie niet gemaakt te worden op basis van openbare Internetstandaarden, zoals HTML en Java, maar kan net als ieder ander computerprogramma gebruik gemaakt worden van de mogelijkheden die besturingssystemen als Windows, Unix en Linux bieden. Dit houdt in dat applicaties met complexe gebruikersinterfaces, als bijvoorbeeld CAD, desktop publishing en grafische modelleerprogramma’s, ook via ASP beschikbaar gesteld kunnen worden. 54. Zijn er nog andere technieken denkbaar voor het beschikbaar stellen van applicaties? Er zijn andere technieken denkbaar, waarbij meer functionaliteit op de werkplek van de eindgebruiker wordt geplaatst. De functionaliteit wordt daarmee ‘gedistribueerd’ ingezet, tussen de centrale servers en de werkplekken van de eindgebruikers. Een aparte functie of programma zorgt ervoor dat de functionaliteit op de werkplek up-to-date blijft. Dit introduceert beheerproblemen en risico’s voor de ASP omdat niet alle functionaliteit onder handbereik van de ASP meer is en de eindgebruiker meer invloed heeft op de goede werking van de applicatie. Aangezien de ASP verantwoordelijk is voor die goede werking, wordt deze techniek nog weinig gebruikt. 55. Zijn er voorbeelden van de variant waarbij functionaliteit gedistribueerd wordt? Voorbeelden zijn er met name in de niet-zakelijke markt, zoals bijvoorbeeld Kazaa (een applicatie om mediabestanden te zoeken en beschikbaar te stellen via Internet) of veel on-line games, waarbij functionaliteit en content via Internet wordt geüpdate. De opzet van deze applicaties is zodanig dat de functionaliteit nagenoeg volledig op de werkplekken geplaatst is en dat alleen updates, content en communicatie tussen gebruikers vanuit een centrale locatie worden geregeld. De.Net-strategie van Microsoft gaat uit van distributie van functionaliteit. De beheersing van de goede samenwerking van de gedistribueerde functies wordt in de .Net-omgeving geregeld.

ASP Techniek - verantwoordelijkheid TQL Application Services ASP

16

56. Tot op welk punt van de techniek is de ASP verantwoordelijk voor goede werking? De ASP is in principe verantwoordelijk voor de goede werking van de applicatie tot op het scherm van de eindgebruiker. In veel gevallen zal een ASP op bepaalde punten verantwoordelijkheden niet nemen. De verantwoordelijkheid zou minimaal moeten strekken over het centrale deel tot aan het punt dat de application service op het Internet komt. 57. Op welke technische onderdelen maken ASP´s uitzonderingen op de verantwoordelijkheid of garanties voor goede werking? In veel gevallen geeft de ASP geen garantie op de beschikbaarheid en betrouwbaarheid van Internet, omdat dit buiten zijn invloedsfeer licht. Als gebruik wordt gemaakt van huurlijnen, zullen sommige ASP´s niet verder gaan dan de garanties die zij zelf van de eigenaar van de huurlijnen hebben gekregen. Tenslotte zullen veel ASP´s geen verantwoordelijkheid nemen voor zaken die de klant zelf regelt, zoals de connecties vanuit de klantlocaties naar Internet en het interne netwerk en de werkplekken van de klant.


17

ASP Techniek - bij de ASP thuis 58. De ASP maakt gebruik van een datacenter. Wat is een datacenter? Een datacenter is de centrale locatie waar de servers staan die de applicaties en gegevensopslag van de ASP verzorgen. Dit datacenter is in de regel zwaar beveiligd tegen allerlei soorten risico’s, als inbraak en diefstal, brand, overstroming, stroomuitval e.d. In veel gevallen hebben naast de ASP meerdere bedrijven servers in een datacenter staan. Het datacenter heeft een brede, beveiligde verbinding naar de backbone van het Internet. 59. Welke diensten gebruikt een ASP van een datacenter? Voor een ASP is met name de zwaar beveiligde omgeving van een datacenter en de goede verbinding naar Internet belangrijk. De ASP huurt bij een datacenter zogenaamde 'rackspace' (d.i. ruimte om haar servers te plaatsen in het datacenter) en bandbreedte (de hoeveelheid dataverkeer dat tegelijk tussen de servers van de ASP en het Internet heen en weer kan gaan). 60. De ASP maakt gebruik van een AIP (Application Infrastructure Provider). Wat is een AIP? Een AIP (Application Infrastructure Provider) is een partij die diensten levert aan (primair) ASP's. De AIP levert een dienstenpakket dat gericht is op het zoveel mogelijk uit handen nemen van infrastructuur werkzaamheden die de ASP moet uitvoeren om applicatieservices aan te beiden: de applicatie infrasture service. 61. Wat is de application infrastructure service die een ASP van een AIP gebruikt? De application infrastructure service die de AIP biedt bestaat uit het bieden van 'kant en klare' centrale servers en verbindingen naar Internet (ook wel de infrastructuur), waar een ASP alleen nog maar haar applicaties op hoeft te installeren. De AIP is verantwoordelijk voor de veiligheid en goede werking van de centrale servers en Internetverbindingen. In sommige gevallen biedt de AIP ook voor ASP behulpzame aanvullende functionaliteit, zoals een elektronisch betalingsplatform of beheerprogramma's. Door alle technische werkzaamheden en voorzieningen als dienst aan te bieden behalve de applicatie en de marketing en management naar klanten stelt een AIP partijen als ISV's, haar dealers en serviceorganisaties eenvoudig in staat de rol van ASP op zich te nemen. 62. Hoe steekt de techniek in elkaar van het centrale deel van de applicatieservices? Het centrale deel van de applicatieservices kent grofweg vier technische functies: toegang, verwerking, opslag en beheer. De toegangsfunctie zorgt ervoor dat alleen die personen (en systemen) die dat mogen toegang krijgen tot de aan hen toegewezen verwerkings- en opslagfuncties. De verwerkingsfunctie bestaat uit de systemen die de applicaties uitvoeren (waarmee ingevoerde en opgeslagen gegevens verwerkt worden). De opslagfunctie zorgt ervoor dat gegevens van de klanten betrouwbaar bewaard worden en toegankelijk zijn. Naast de applicatiegegevens, worden ook beheergegevens (als toegangsrechten, configuratiegegevens van de applicatie e.d.) en gebruiksgegevens (onder andere voor de betaling) opgeslagen. Met de beheerfunctie bewaakt en administreert de ASP (en deels mogelijk ook de klant) het geheel van toegang, verwerking en opslag.


18

63. Hoe zorgt de ASP ervoor dat de applicaties snel genoeg werken? De ASP dient voor het snel genoeg werken van applicaties (ook wel: performance) maatregelen te nemen binnen zijn eigen centrale infrastructuur en voor de verbinding tussen de eindgebruikers en de centrale infrastructuur: het Internet of andere datanetwerken. 64. Hoe regelt een ASP in zijn centrale infrastructuur de performance? Met de moderne centrale infrastructuur waarop de meeste ASP’s hun applicaties hebben draaien, zijn zij goed in staat verwerkingscapaciteit per klant toe te delen. Behoudens storingen of calamiteiten is een goede ASP door performancemeting en tijdige bijstelling van verwerkingscapaciteit in staat de performance van de applicaties op centraal niveau altijd aan overeengekomen prestatieafspraken (het service level) te laten voldoen. 65. Kan een ASP maatregelen nemen voor de performance over het netwerk? Ja en nee. Internet is een weinig beïnvloedbare factor in de performance van applicaties. Met de huidige stand der techniek (lees de huidige TCP/IP protocollen) is het onmogelijk een zogenaamde Quality of Service (QoS) garantie op Internet af te dwingen, waarmee de capaciteit en lijnsnelheid gegarandeerd kunnen worden. Via dedicated netwerken is dit wel mogelijk (bijvoorbeeld Frame Relay diensten of huurlijnen) - nadeel: de kosten voor deze connectivitydiensten betaalt u zelf. Het "next generation" Internetprotocol (IPv6) heeft deze QoS mogelijkheid ook, samen met betere veiligheid en ondersteuning voor mobiele toepassingen. Toepassing van IPv6 is momenteel nog erg beperkt, maar de uitrol van deze technologie wordt sinds kort versterkt door de enorme toename aan mobiele apparaten met Internetverbinding. Kan een ASP dan geen invloed uitoefenen? In beperkte mate wel, met name de kwaliteit van het aansluitpunt van het datacenter op Internet is belangrijk: een zware verbinding direct aan de backbone van Internet en ook geografisch niet te ver van u als afnemer (ook wel: aantal hops). 66. Waardoor worden op Citrix gebaseerde applicaties traag? De Citrix gebaseerde applicaties sturen het op de centrale server bepaalde scherm (of de interface) over naar de PC van de eindgebruiker. Hierbij wordt gebruik gemaakt van een slim compressiemechanisme om de hoeveelheid gegevens die overgestuurd wordt te minimaliseren. Deze compressie werkt het beste bij vrij statische (stilstaande) en grafisch eenvoudige, weinigkleurige applicatie-interfaces (bijvoorbeeld de standaard MS Office interfaces). Bij grafisch intensieve applicaties werkt de compressie veel minder goed en zal er voor één schermverandering veel gegevens overgestuurd moeten worden. Het gevolg is dat de applicatie en de schermopbouw traag worden. Voorbeelden van minder geschikte applicaties zijn: Powerpoint van Microsoft, met veelkleurige presentaties die foto’s gebruiken, fotobewerking- en tekenpakketten, CADprogramma’s. Geschikt zijn tekstverwerkers, transactie applicaties (order-entry e.d.).


19

ASP Techniek - opslag van klantgegevens 67. Hoe zijn de gegevens van een klant bij een ASP opgeslagen? De ASP heeft voor de opslag van gegevens meerdere mogelijkheden, die afhankelijk kunnen zijn van de mogelijkheden die de applicatie biedt, de vereiste veiligheid en performance en de hoeveelheid gegevens die opgeslagen worden. Er is een onderscheid te maken tussen hoe de gegevens fysiek en hoe gegevens logisch gezien opgeslagen worden. 68. Welke mogelijkheden zijn er vanuit logisch oogpunt om gegevens van een klant op te slaan? Logisch gezien kunnen alle gegevens van alle klanten gezamenlijk in a) één grote database, b) per klant in een apart deel van de database of c) voor iedere klant in een aparte database opgeslagen worden. 69. Op welke afwegingen baseert een ASP de logische methode van opslag van gegevens van een klant? De keuze die de ASP maakt in de vorm van opslag is onder meer afhankelijk van de mogelijkheden van de applicatie, de beveiligingsbehoefte die klanten hebben en de efficiency van de oplossing voor opslag. In sommige gevallen is het door eigenschappen van een applicatie niet mogelijk op een veilige manier de gegevens van alle klanten in een gezamenlijke database op te slaan. In andere gevallen betreft het een applicatie die door zeer veel klanten, maar slechts incidenteel wordt gebruikt, waarbij de gegevens minder gevoelig zijn. In dat geval kan gezamenlijke opslag van klantgegevens in één database vanuit efficiency-overwegingen de voor de hand liggende keuze zijn. Tenslotte kan de gevoeligheid van gegevens zo groot zijn dat de ASP een zo groot mogelijke veiligheid wil garanderen en de gegevens van iedere klant maximaal wil isoleren (bijvoorbeeld door ze ook fysiek op verschillende systemen te zetten). Dan ligt het voor de hand voor iedere klant een aparte database in te richten. 70. Welke mogelijkheden zijn fysiek gezien om gegevens van een klant op te slaan? Fysiek gezien kunnen gegevens volgens drie methoden opgeslagen worden: - middels direct storage, - middels network attached storage (NAS) en - in een storage area network (SAN). 71. Wat is direct storage als fysieke methode om gegevens van een klant op te slaan? Direct storage houdt in dat de opslag van gegevens en het uitvoeren van de applicatie op dezelfde server plaatsvinden. 72. Wat zijn voor- en nadelen van direct storage? Het belangrijkste voordeel is de eenvoud van de implementatie. Er hoeven geen speciale hardwareen softwarevoorzieningen voor opslag geregeld te worden. Een belangrijk nadeel is de invloed op performance en beschikbaarheid. Indien onderhoud dat nodig is vanwege opslag van gegevens, zoals uitbreiding van de opslagcapaciteit en back-ups maken van gegevens, kan dit de werking van de applicatie verstoren: de applicatie kan trager worden, of tijdelijk niet beschikbaar zijn. Andersom zullen bij problemen of onderhoud aan hardware of software voor de applicatie de gegevens niet goed beschikbaar zijn voor de klant.


20

73. Wat is Network Attached Storage (NAS) als fysieke methode om gegevens van een klant op te slaan? Networked Attached Storage is een methode waarbij voor de opslag van gegevens aparte, speciaal voor die functie bedoelde apparatuur in het netwerk geplaatst wordt. De opslag en verwerking van gegevens wordt daarmee fysiek gescheiden. Een NAS-device is in de regel weinig meer dan een eenvoudige, maar robuuste server met een grote, eenvoudig uitbreidbare opslagcapaciteit. 74. Wat zijn voordelen van Network Attached Storage? Network Attached Storage is er op gericht de nadelen van direct storage weg te nemen. De NASapparatuur is specifiek op de opslagtaak ontworpen, en heeft daarmee goede prestaties en robuustheid. Onderhoud bij storingen of capaciteitstekorten kan bijna altijd zonder de performance of beschikbaarheid van de applicatieservice te beïnvloeden. 75. Wat zijn nadelen van Network Attached Storage? Nadelen bij NAS zijn dat ten eerste de gegevensuitwisseling tussen de NAS-apparatuur en de servers waar de applicaties op worden uitgevoerd het tussenliggende netwerk belast. Hierdoor kunnen de prestaties van de applicatieservice beïnvloed worden. Ten tweede dient de opslag van gegevens georganiseerd te worden tussen de NAS-apparatuur en de servers: welke klantgegevens worden waar opgeslagen, hoe wordt met capaciteitstoename omgegaan e.d. 76. Wat is een Storage Area Network (SAN) als fysieke methode om gegevens van een klant op te slaan? Een Storage Area Network (SAN) is een apart netwerk dat alleen op de opslag van gegevens is gericht. Het SAN gedraagt zich als één grote opslag. Dit concept wordt met name gebruikt om zeer grote hoeveelheden gegevens op te slaan. 77. Wat is een Storage Service Provider? Een Storage Service Provider is een partij die zich gespecialiseerd heeft in het bouwen en beheren van een Storage Area Network (SAN) en opslag van gegevens in haar SAN als een dienst aanbiedt aan andere partijen. Hierdoor kan de situatie ontstaan dat verwerking van gegevens in een ander datacenter plaatsvindt als de opslag van de gegevens. 78. Wat zijn voordelen van een Storage Area Network? Een SAN (Storage Area Network) heeft een enorme capaciteit en zeer hoge performance. Een SAN organiseert daarnaast voor een groot deel de afhandeling van de opslag binnen het netwerk. Het netwerk waar de applicatieservers staan, wordt niet belast met gegevens die tussen de opslagen verwerkingseenheden heen en weer gestuurd worden.


21

79. Wat zijn nadelen van een Storage Area Network? Een SAN is op dit momenteel nog een geavanceerde technologie. Er zijn geen technische standaarden op dit gebied en het implementeren van een SAN is specialistisch werk. Dit maakt een ASP afhankelijk van de specialist die het SAN bouwt. Daarnaast zijn de investeringskosten erg hoog. Een partij als een ASP moet de zekerheid hebben deze investeringskosten terug te verdienen. Is dit niet zo, dan kan de voorkeur liggen bij stapsgewijze investering in bijvoorbeeld NAS-oplossingen.


22

Beveiliging 80. Wat pleit voor de veiligheid van het gebruik van application service? Voor de meeste ASP's geldt dat dit professionele IT-serviceorganisaties zijn, waarvan de klant mag verwachten dat zij over veel kennis beschikken omtrent beveiliging van de applicatieservices. Veel ASP's zien veiligheid als één van de eerste vereisten om vertrouwen te winnen bij klanten. In de regel zal de veiligheid bij ASP's beter geregeld zijn dan bij de gemiddelde in-house implementatie van een gebruikersorganisatie. 81. Wat zijn meer ASP-specifieke risico's voor de veiligheid van application services, die ik in de eigen situatie niet snel heb? De application services staan of vallen met de betrouwbaarheid van Internet (of een WAN). Ook is de ASP een aantrekkelijker doel voor hackers dan een middelgroot individueel bedrijf. Daarnaast zijn er meerdere klanten die gebruik maken van de applicatieservices. Vanuit dit gezamenlijk gebruik zijn ook risico's denkbaar, als beslaglegging van gegevens waarvoor de totale centrale omgeving tijdelijk niet benaderbaar is, of ongeoorloofd of fout gebruik door andere klanten met performance- of betrouwbaarheidsgevolgen. 82. Hoe kan ik zelf bepalen hoe veilig de application service is? Hoewel informatiebeveiliging een complex vakgebied is, kunt u zelf enig beeld vormen van de veiligheid van een applicatieservice door het veiligheidsbelang in uw situatie, de risico's en daartegen genomen maatregelen door de ASP in kaart te brengen. Door specifiek te kijken naar de veiligheid van de onderdelen gegevenstransport, toegang en autorisatie en gegevensopslag, krijgt u een gedetailleerder beeld. Zeker bij een keuze tussen meerdere ASP's dient u de veiligheid van de application service mee te wegen. 83. Wat zijn risico's bij het verzenden of transporteren van gegevens over Internet? De risico's kunnen getypeerd worden naar enerzijds aftappen, inzien en openbaren van verzonden gegevens en anderzijds verminking en verlies van gegevens, moedwillig of door storingen. Omdat het Internet in de basis toegankelijk is voor iedereen, is de kans op met name het eerste risico niet irreëel. Het is afhankelijk van de aard van de application service hoe schadelijk de gevolgen kunnen zijn voor de klant. Tenslotte is er het risico dat de transportfunctie (Internet) niet beschikbaar is, denkt u bijvoorbeeld aan het uitvallen van stroom of het telefoonnetwerk bij u in de regio - het gaat hier dan om de toegang naar Internet. Het Internet zelf is ontwikkeld om juist bij uitval van delen van het datanetwerk te blijven werken. 84. Welke maatregelen kan een ASP treffen om het verzenden van gegevens over Internet te beveiligen? Om het risico van aftappen en openbaren te verkleinen kan de ASP gebruik maken van HTTPS als transportprotocol of een Virtual Private Network (VPN): een methode om over het openbare netwerk veilige, versleutelde verbindingen tussen locaties leggen, zodat een eigen 'virtueel' privé netwerk ontstaat, waar alleen de klant toegang toe heeft. Ook kan de ASP de optie aanbieden de klant niet via Internet maar via huurlijnen toegang te verlenen naar het datacenter.


23

85. Waarin zitten de risico's rondom toegang naar en gebruik van application services? Anders dan bij de situatie dat de klant de applicatie in huis heeft draaien, heeft de klant erg weinig inzicht wie er potentieel toegang heeft tot de applicatie. De risico's omtrent toegang en gebruik spelen met name op de zogenaamde toegang via Internet (de zogenaamde logische toegang) en toegang via achterdeuren (het beheer door de ASP en haar partners). De regels om fysiek toegang te krijgen tot het datacenter zijn normaliter zeer stringent. 86. Wat zijn de risico's rondom toegang naar en gebruik van application services? De risico's zijn onder meer dat toegang wordt gegeven aan personen die hiervoor niet gerechtigd zijn (authenticatiefouten), dat toegangsgerechtigden geen toegang kunnen krijgen (denial of service), dat personen die toegang gekregen hebben meer kunnen dan waartoe zij bevoegd zijn (autorisatiefouten). Bij dit laatste speelt met name het risico dat klanten via de applicatie kennis kunnen nemen of gegevens kunnen wijzigen van andere klanten. 87. Wat is een minimale maatregel die een ASP moet nemen om te zorgen voor veiligheid in toegang en gebruik? De minimale maatregel die een ASP kan nemen voor beveiliging van toegang is het laten inloggen met een userid en password en een goed login-beleid. 88. Wat zijn zwaardere maatregelen die een ASP kan nemen om te zorgen voor veiligheid in toegang en gebruik? Een zwaardere vorm van beveiliging is het hanteren van een strong-authentication principe. Een ASP zal doorgaans veel investeren in maatregelen die onbevoegden weren (hackers) en de diensten beschikbaar houden (bijvoorbeeld tegen zogenaamde denial-of-service attacks). Autorisatie is normaal gesproken geregeld in de applicatie zelf. De behoefte aan de autorisatiemogelijkheden hangt nauw samen met het soort applicatie. Naast technische (basis)maatregelen, ligt rond deze risico's een grote verantwoordelijkheid bij de partijen die de autorisatie, authenticatie en toegang inrichten en beheren, om organisatorische maatregelen te treffen. Bij ASP zal in veel gevallen deze taak bij de ASP liggen, maar bij complexe bedrijfsinformatiesystemen kan een deel van het toegangs- en autorisatiebeheer ook door de klanten zelf verzorgd moeten worden. 89. Wat is strong-authentication? Strong-authentication houdt in dat voor het vaststellen van de identiteit van iemand die toegang wil hebben tot de applicatieservice, een combinatie van twee typen beveiligingsmaatregelen wordt gebruikt uit: iets wat de persoon weet (password), iets wat de persoon heeft (een zgn. token, denk aan een digipass of smartcard) of iets wat een persoon is (biometrie: irisscan, vingerafdruk, handafdruk, stem). De combinatie geeft het sterkste bewijs dat de persoon is voor wie deze zich uitgeeft. 90. Wat zijn de risico's rondom opslag van mijn gegevens? Risico's voor de opslag van gegevens kunnen we categoriseren in: geen toegang tot de gegevens, inzicht en diefstal van gegevens, aantasten van de integriteit van de gegevens en verlies van gegevens.


24

91. Hoe bepaal ik of de toegang tot mijn gegevens zeker is? Met name het risico dat uw bedrijf voor langere tijd geen enkele toegang heeft tot de gegevens kan vervelende gevolgen hebben. Dit kan zich voordoen indien er onverhoopt een grote storing is in de applicaties of om een andere reden de toegang tot de database via uw applicatie onmogelijk wordt gemaakt (bijvoorbeeld tijdens een zeldzaam geval van een beslagleggingzaak of gerechtelijk gegevensonderzoek, dat vereist dat de database niet gewijzigd wordt). De ASP zal hiervoor noodoplossingen moeten aandragen, bijvoorbeeld door om de applicatie heen rechtstreeks toegang te verlenen tot uw gegevens, dan wel uw gegevens binnen korte tijd op een alternatief systeem beschikbaar te stellen. 92. Welke maatregelen kan een ASP treffen om inzicht en diefstal van mijn gegevens te voorkomen? In bepaalde gevallen zullen uw gegevens samen met die van andere in één grote omgeving staan. Beveiliging in deze database en in de applicatie dient dan in ieder geval te voorkomen dat via de applicaties (denk ook aan eventuele aparte rapportage- en analysetools die direct op de database werken) toegang tot andermans gegevens verkregen wordt. In sommige situaties kiezen ASP's ervoor om fysiek gescheiden databases per klant te hanteren. Om toegang tot gegevens buiten alle applicaties om tegen te gaan, kiezen sommige ASP's ervoor de gegevens in de database te versleutelen. Tenslotte hanteren ASP's gewoonlijk de policy dat hun eigen personeel geen verdere toegang heeft tot de inhoudelijke klantgegevens, dan strikt noodzakelijk en bekend aan de klant. 93. Hoe kan ik bepalen hoe groot het risico van gegevensverlies is? In principe zou een ASP aan moeten kunnen geven wat het maximale gegevensverlies is in geval van calamiteiten, bijvoorbeeld in productie-uren. Dit is af te leiden uit de procedures die een ASP stelt om gegevens van klanten veilig te stellen (back-ups e.d.). Indien een ASP maar eens per week de back-up tapes naar een andere locatie brengt, is het potentiële gegevensverlies bij een zware ramp nog steeds een week aan productiegegevens. Als vlak voordat de back-up tapes naar een externe locatie worden gebracht, deze back-up tapes en de servers zelf in een calamiteit verloren gaan, kan de ASP alleen de stand van de voorgaande week nog herstellen.


25

Technische overwegingen bij inkoop van application services 94. Ik overweeg meerdere applicaties op ASP-basis afnemen. Moet ik rekening houden met technische consequenties in de keuzes? Ja, indien het de bedoeling is meerdere applicaties op ASP-basis af te nemen zijn er technisch gezien vraagstukken waar u op moet letten. Zeker indien applicaties samenwerken of van dezelfde gegevens en bestanden gebruik maken zult u na moeten gaan wat de gevolgen van uw keuzes zijn. Deze aandachtspunten spelen met name als u a) een deel van de applicaties in eigen beheer houdt en een deel op ASP-basis afneemt en b) als u verschillende applicaties bij meerdere ASP's afneemt. 95. Waar moet ik specifiek op letten als ik meerdere applicaties op ASP-basis af wil nemen? U zult moeten vaststellen of de benodigde integratie tussen de applicaties goed is en of gegevens die mogelijk door meerdere applicaties gebruikt worden goed toegankelijk zijn. Daarnaast zult u geen of weinig invloed hebben op het in gebruik nemen van nieuwe versies van applicaties. Dit kan gevolgen hebben voor de uitwisselbaarheid van gegevens. 96. Wat zijn aandachtspunten als ik maar een deel van de applicaties bij een ASP afneem? Omdat meerdere applicaties gebruik kunnen maken van dezelfde gegevens, of omdat u bepaalde bestanden in meerdere pakketten gebruikt, kan het zijn dat er problemen ontstaan met het uitwisselen en benaderen van deze gegevens en bestanden of het gebruik ervan in de verschillende applicaties. Neemt u bijvoorbeeld een e-mailpakket op basis van ASP af en ontvangt en verstuurt u veel grote bestanden die u met lokaal geïnstalleerde pakketten bewerkt (bijvoorbeeld als grafisch ontwerper of DTP'er), dan merkt u al gauw dat de bestandsoverdracht van de ASP naar uw eigen werkplek een knelpunt is om de oplossing efficiënt te gebruiken. Hetzelfde geldt bijvoorbeeld voor een ERP-pakket op ASP-basis, welke u wilt combineren met een eigen ontwikkeld gegevensanalyse pakket. Dit pakket zal de database van het ERP-pakket direct en op een eigen manier willen benaderen. Grote kans dat dit door de ASP niet wordt toegestaan. 97. Wat zijn technische aandachtspunten als ik applicaties bij meerdere ASP's afneem? Indien u bij meerdere ASP's application services afneemt, spelen er technisch gezien een aantal aandachtspunten: kunnen applicaties bij verschillende ASP's onderling voldoende geïntegreerd worden, kunnen er problemen ontstaan doordat de ASP's op eigen initiatief nieuwe versies van applicaties uitbrengen en zijn gegevens over en weer voldoende toegankelijk voor de applicaties.


26

98. Om welke technische redenen biedt een ASP geen maatwerk aan, of wil deze mijn maatwerk niet overnemen? Een ASP neemt een grotere verantwoordelijkheid op zich dan traditionele IT-dienstverleners. Om deze verantwoordelijkheid waar te kunnen maken is het de ASP eraan gelegen complexiteit in haar beheertaken zoveel mogelijk te beperken. Complexiteit leidt tot hogere kosten en grotere risico's. Het voor meerdere klanten onderhouden van klantspecifiek maatwerk is in grote mate complexiteitverhogend voor de centraal beheerde IT-systemen, tenzij de applicaties hiervoor technisch goede voorzieningen bieden. In dat laatste geval zal de ASP tot op zekere hoogte maatwerk kunnen aanbieden. De ASP beperkt door maatwerk toe te staan, haar bewegingsvrijheid op applicatiebeheergebied. Iedere aanpassing van de centrale applicaties vereist onderzoek en mogelijk aanpassing van het door de ASP geaccepteerde maatwerk. Naast technische complexiteit ontstaan er ook problemen op andere gebieden, als service level agreements en juridische afspraken rond eigendom van maatwerk.


27

Beheer 99. Wat is beheer in het kader van ASP? Het beheer is het geheel aan activiteiten gericht op onderhoud en bewaking van de productiemiddelen, zodat gebruik van de application services blijvend mogelijk is. De beheeractiviteiten kunnen grofweg ingedeeld worden in drie onderdelen (Looijen '98): functioneel beheer, applicatiebeheer en technisch beheer. Omdat de ASP verregaand verantwoordelijk is voor de goede werking van de application services, voert deze het beheer grotendeels uit en dit naar eigen inzicht en 'onzichtbaar' voor de klant. De invloed die de klant kan uitvoeren op dit deel van het beheer is minimaal. 100. Wat is functioneel beheer? Functioneel beheer richt zich op het bepalen van de behoefte aan geautomatiseerde ondersteuning van bedrijfsprocessen in een organisatie. Vanuit deze activiteiten ontstaan eisen die de benodigde functionaliteit en kwaliteit van de application services definieren. Daarnaast bestaat functioneel beheer uit ondersteuning van gebruikers bij het gebruik van ICT. Concreet kan gedacht worden aan het configureren van applicaties, het verwoorden van gebruikerswensen en het voeren van een helpdesk. 101. Wat is applicatiebeheer? Tot het taakgebied van het applicatiebeheer behoort het wijzigen van de functionaliteit van applicaties en het oplossen van problemen in de programmatuur. 102. Wat is technisch beheer? Het technisch beheer is verantwoordelijk voor het werkend maken en houden van de ITinfrastructuur en applicaties. Ook het exploiteren van de IT-infrastructuur en de applicaties valt onder technisch beheer. 103. Welke beheertaken neemt de ASP op zich? De ASP is in grote mate de verantwoordelijke voor het technisch en applicatiebeheer. De rol van de ASP in functioneel beheer is beperkt. In een aantal gevallen heeft de ASP een helpdesk. Deze zal echter niet geheel op de klantsituatie en haar eindgebruikers gericht zijn, maar meer algemene applicatiegerichte vragen behandelen en probleemmeldingen van de klanten aannemen. In veel gevallen mogen alleen specifieke contactpersonen van de klant de helpdesk benaderen. 104. Welke beheertaken moet ik zelf invullen? In de definitie van ASP is de klant verantwoordelijk voor het technisch beheer van de eigen ITinfrastructuur. Dit beheer wordt door ASP's ook wel als aanvullende dienst aangeboden. De belangrijkste taak van de klant ligt in het functioneel beheer: het vaststellen welke eisen de organisatie aan de application services stelt, het vertalen van gebruikerswensen naar oplossingen in de applicatieservice. Tenslotte zal de klant voor haar eigen eindgebruikers een eerstelijns helpdesk moeten organiseren om eenvoudige vragen te beantwoorden en de meldingen van incidenten en problemen gecoördineerd door te melden aan de ASP.


28

105. Hoe bepaal ik of een ASP het beheer goed geregeld heeft? Het belangrijkste om dit te vast te stellen zijn uiteraard de garanties die de ASP bereid is te geven op de resulterende applicatieservices. Een ASP zal in de regel weinig inzicht geven hoe zij inhoudelijk te werk gaan. Maar je kan natuurlijk kijken naar bepaalde 'indicatoren' om een indruk te krijgen van de professionaliteit van het beheer. Over welke ISO-certificaten of andere kwaliteitswaarborgen beschikt de ASP? Werkt de ASP volgens best-practices zoals ITIL (Information Technology Infrastructure Library) en ASL (Application Services Library)? Kan de ASP aangeven op wel CMM niveau (Capability Maturity Model) zijn organisatie opereert en acht u dat niveau passend gezien de eisen die u stelt? 106. Het beheer bij de ASP wordt door een MSP uitgevoerd. Wat houdt dit in? Een Managed Service Provider (MSP) biedt beheer en managementdiensten aan op IT-gebied, net zoals een ASP application services biedt. Een ASP kan het beheer van haar centrale systemen uitbesteden aan een gespecialiseerde MSP.


29

Soorten ASP’s 107. Zijn er veel verschillende soorten Application Service Providers? Er zijn allerlei soorten ASP’s. Qua herkomst, qua omvang, qua dienstenaanbod en qua professionaliteit zijn er grote verschillen waar te nemen. Het uitvoeren van een gedegen selectie is derhalve van groot belang. 108. Wat is de herkomst van veel ASP-partijen? ASP’s komen uit alle windrichtingen van de IT-industrie. Er zijn veel traditionele softwareproducenten die thans als Application Service Provider opereren, maar ook veel softwaredealers, datacenters, telecommaatschappijen en zelfs brancheorganisaties bieden tegenwoordig application services. Daarnaast is er een aantal nieuwe partijen (zonder historie) opgestaan die zich als “Pure-play-ASP” presenteren. 109. Waarom is de herkomst van een ASP van belang? Een ASP biedt een zeer brede dienst, waarvoor onder meer technische, bedrijfskundige (commercieel inzicht en branchekennis) en juridische expertise nodig is. De herkomst van een ASP bepaalt op welk terrein de ASP al veel kennis en ervaring heeft en waar mogelijk zwakke plekken zitten. Zo heeft een softwareproducent veel kennis van de ter beschikking te stellen applicatie maar wellicht minder van hosting en het leveren van 24*7 support en heeft een brancheorganisatie veel kennis van de branchespecifieke bedrijfsprocessen maar minder technische kennis in huis. 110. Waarom worden veel brancheorganisaties ASP? Brancheorganisaties leveren diensten aan hun leden. Veel diensten gaan al meer en meer via het WWW, bijvoorbeeld het ter beschikking stellen van informatie, communicatie met leden, het kunnen doen van aanvragen via de website etc. Leden van één brancheorganisatie hebben vaak behoefte aan vergelijkbare functionaliteit. Ieder lid voor zich zou die functionaliteit in de vorm van application services individueel kunnen inkopen bij een ASP, maar de brancheorganisatie kan ook één voor haar branche op maat gemaakte applicatie of set van applicaties bij één ASP afnemen en die via haar eigen website als extra service aan de leden tegen vergoeding doorleveren aan haar leden. Hiervan bestaan inmiddels de nodige voorbeelden. 111. Hoe kan ik de verschillende soorten ASP’s indelen? Er zijn vele manieren om ASP’s te rangschikken. Redenerend vanuit marktsegmentatie zijn ASP’s in te delen in: Enterprise ASP’s, Local/regional ASP’s, Specialist ASP’s, Vertical market ASP’s en Volume business ASP’s.


30

112. Wat zijn Enterprise ASP’s? Enterprise ASP’s leveren bedrijfsbrede applicaties op ASP-basis. In de praktijk komt deze vorm nog niet zo veel voor, aangezien bedrijfsbreed de standaard softwaretoepassingen veelal niet alle benodigde functionaliteit dekken en derhalve op punten maatwerkaanpassingen nodig zijn. Hierdoor ontstaat een situatie waarin de “ASP” eigenlijk een klantspecifieke oplossing biedt waardoor schaalvoordelen, welke aan de basis van het ASP-model staan, minder benut worden. Bovendien bevindt de ASP-markt zich nog in een relatief pril stadium: Veel gebruikers beginnen met het afnemen van minder bedrijfskritische applicatie services alvorens hun bedrijfsbrede ITvoorzieningen van een ASP te betrekken. 113. Wat zijn Local/regional ASP’s? Local/regional ASP’s zijn ASP’s die een breed aanbod aan diensten levert aan een beperkt aantal fysiek geconcentreerde afnemers. Denk hierbij bijvoorbeeld aan de situatie waarbij één ASP op een industrieterrein of in een bedrijfsverzamelgebouw een groot aantal bedrijven om zich heen van dienst is. 114. Wat zijn Specialist ASP’s? Specialist ASP’s leveren specialistische applicaties op ASP-basis. Denk hierbij bijvoorbeeld aan dure grafische pakketten voor professionele grafici welke voorheen door de hoge licentieprijs buiten het bereik van veel kleinere bedrijven lagen. Andere voorbeelden: een subsidiedisk, een online telebankierapplicatie, belastingdiskettes, plannings-/calculatietools die slechts incidenteel worden gebruikt etc. 115. Wat zijn Vertical Market ASP’s? Vertical Market ASP´s zijn ASP´s die een portfolio aan application services hebben samengesteld dat specifiek op één bepaalde branche is gericht. 116. Wat zijn Volume Business ASP’s? Volume Business ASP´s zijn ASP´s die laagdrempelige application services bieden aan een groot publiek, bijvoorbeeld Hotmail. 117. Hoe volwassen zijn ASP´s? De IT-industrie staat, vergeleken met bijvoorbeeld de bouw, nog in de kinderschoenen. ASP is een relatief nieuwe manier van aanbieden binnen die IT-branche. Het zal dan ook geen verbazing wekken dat de ASP-branche nog volop in ontwikkeling is. Gelukkig zijn er inmiddels ASP's met respectabele referentielijsten. Bij de selectie van een ASP is het desondanks van belang goed te letten op zaken als omvang, toekomstverwachting, financiële positie, referenties etc.


31

Selecteren van een ASP 118. Waar moet ik op letten bij de selectie van een ASP? Grofweg vallen de selectiecriteria in drie groepen uiteen: functionaliteit, kwaliteit en continuïteit. 119. Wat bepaalt de functionaliteit die een ASP kan bieden? Er zijn ASP’s die specifiek voor één applicatie in het leven geroepen zijn. Het gaat dan bijvoorbeeld om een zeer specialistische, dure applicatie die middels het ASP-model binnen het bereik van een grotere groep komt, of juist om een op de grote massa gerichte, doorgaans niet bedrijfskritische applicatie, zoals bijvoorbeeld Hotmail. Het moge duidelijk zijn dat dergelijke ASP’s geen totaaloplossingen voor de meeste bedrijven bieden. Daarnaast zijn er ASP’s die dat wel pretenderen en derhalve een portfolio aan min of meer geïntegreerde applicaties hebben samengesteld, soms zelfs branchegericht. Het is van groot belang dat dit portfolio aansluit bij de gewenste functionaliteit, teneinde integratieproblemen zoveel mogelijk te voorkomen. 120. Kan ik tegelijkertijd van verschillende ASP’s gebruik maken? Ja, dat is mogelijk. Zeker als het om strikt gescheiden functies gaat leidt dat niet tot problemen. Als er echter integratie nodig is, bijvoorbeeld tussen de ASP voor kantoorautomatisering en de ASP voor het ERP-systeem, dan is het eenvoudiger het geheel bij één ASP af te nemen die tevens de integratie verzorgt. 121. Als de geboden functionaliteit niet aansluit, kan ik dan maatwerkaanpassingen laten maken? Maatwerk en ASP gaan eigenlijk niet goed samen. Afhankelijk van de door de ASP gehanteerde IT-architectuur is het in meer of mindere mate wel mogelijk maatwerk geleverd te krijgen, maar de schaalvoordelen waar het ASP-model op is gebaseerd namen dan af, waardoor de prijs stijgt. Indien een organisatie veel maatwerk nodig heeft, is (application) hosting, het klantspecifiek voorzien in de benodigde applicatieservices, vaak een beter passende vorm van outsourcing. 122. Welke diensten moet een ASP leveren? Een ASP dient tenminste een kerndienst (het ter beschikking stellen van de applicatie) en een aantal basale ondersteunende diensten (“basisondersteuning”) te leveren, zoals het helpen van klanten met inlogproblemen (beperkte helpdesk). Tenslotte kan een ASP nog aanvullende diensten leveren en vervult een ASP een belangrijke taak bij de intake, het wijzigen en bij het beëindigen van de application service. 123. Welke ondersteunende diensten kan een ASP leveren? De basisondersteuning betstaat uit het helpen van klanten met inlogproblemen, oftewel het zodanig ondersteunen van de klant zodat deze daadwerkelijk van de applicatie gebruik kan maken. Een ASP kan uiteraard veel verder gaan in zijn ondersteunende dienstverlening: hij kan de helpdesk in staat stellen om ook technisch complexer en eventueel ook functionele vragen te beantwoorden.


32

124. Hoe bepaal ik de gewenste mate van ondersteuning? Het is van belang bewust vast te stellen welke ondersteuning u nodig heeft door de het belang van de application service te relateren aan de schade die zou kunnen ontstaan indien die application service een bepaalde tijd niet beschikbaar zou zijn. Veelal verschilt de benodigde ondersteuning naar gelang het soort applicatie; applicaties die een functie vervullen in een primair bedrijfsproces mogen doorgaans niet te lang buiten werking zijn. Van belang is dehalve dat uw ASP het mogelijk maakt verschillende ondersteuningsniveau’s voor verschillende application services te kiezen. Zo niet, dan loopt u het risico om ofwel te weinig ondersteuning op sommige application services te hebben, ofwel te veel te betalen voor bepaalde application services. 125. Welke aanvullende diensten kan een ASP leveren? Naast het ter beschikking stellen van de applicatie, is het van belang dat u waar nodig een beroep kunt doen op ondersteuning door de ASP, bijvoorbeeld als u een technische of functionele vraag heeft of als u wijzigingen wenst in de geleverde service. Het is van belang over dit soort aspecten goede afspraken te maken. 126. Wat omvat de intakeservice? De intakeservice omvat het afhandelen van activiteiten die behoren bij het opstarten van een application service. Sommige (eenvoudige) application services vergen nauwelijks menselijke interactie bij het opstarten – u meldt zichzelf aan en de applicatie genereert automatisch wachtwoorden etc waarmee u zelf direct aan de slag kunt. Andere application services kennen een uitgebreide intakeservice waarin de ASP onder meer de database inricht, eventuele klantspecifieke wensen behartigt, gebruikers traint etc. 127. Wat zijn factoren die de omvang van de intakeservice bepalen? De omvang van de intake-inspanning wordt voor een groot deel bepaald door de architectuur die de ASP hanteert (zo is er minder actie nodig indien alle klanten binnen één grote database werken en meer naarmate iedere klant zijn eigen database heeft) alsmede door de complexiteit van de applicatie (zijn opleidingen nodig?) 128. Wat omvat de wijzigingenservice? De wijzigingen omvat het afhandelen van activiteiten die behoren bij het aanpassen van de application service aan nieuwe eisen, wensen of omstandigheden. Denk hierbij bijvoorbeeld aan het aanmaken van nieuwe gebruikers (bij sommige application services is de ASP hierbij benodigd, bij andere niet), het uitbreiden van opslagcapaciteit, het verhogen van de beschikbaarheid of performance etc. Het is handig om op voorhand afspraken te maken met de ASP hoe “flexibel” de service is: in hoeverre kunnen bepaalde wijzigingen in de toekomst worden doorgevoerd?


33

129. Wat omvat de exitservice? Op enig moment eindigt de samenwerking tussen ASP en afnemer. Dit kan in vriendelijke sferen (aflopen contract, heroriëntatie op bedrijfsactiviteiten etc.) en in minder vriendelijke sferen (faillissement een der partijen, ontbinding op grond van wanprestatie etc.). In al deze situaties is het van belang zo mogelijk nog ondersteuning te krijgen van de ASP om ofwel op eigen kracht ofwel met behulp van een andere IT-dienstverlener uw IT-voorzieningen weer op orde te brengen. Zo zullen er wellicht conversie moeten plaatsvinden, dient uw data in een leesbaar format te worden geretourneerd etc. 130. Wat bepaalt de kwaliteit die een ASP kan leveren? De kwaliteit die een ASP kan leveren, is van vele factoren afhankelijk: het kennisniveau van zijn medewerkers, zijn omvang en onderhandelingskracht richting toeleveranciers, de kwaliteit van partners waar hij mee samenwerkt etc. Van belang is tijdens de selectie een goed beeld te krijgen van dergelijke eigenschappen. 131. Moet ik de ASP tijdens de selectie al om een Service Level Agreement (SLA) vragen? Ja. De Service Level Agreement (SLA) is het visitekaartje van de ASP. Een helder, goed gestructureerd en goed verzorgde SLA die de belangrijkste zaken dekt is een absoluut noodzakelijk document. Het is mede bepalend voor de gerechtvaardigde verwachting die u van de ASP mag hebben. Na de selectie vormt de SLA, waarin de kwaliteit van de application services beschreven staat, een belangrijke onderdeel van de totale overeenkomst. 132. Wat bepaalt de continuïteit van een ASP? De continuïteit van een ASP wordt mede bepaald door de continuïteit van zijn toeleveranciers: indien de ISV wiens software de ASP ter beschikking stelt ophoudt de applicatie te onderhouden, kan een ASP daar vaak weinig aan doen. Hetzelfde geldt voor het datacenter waar de ASP gebruik van maakt; als het datacenter een onbetrouwbare beschikbaarheid levert of onverwacht leveringsproblemen krijgt, heeft een ASP veelal weinig alternatieven. De financiële gesteldheid van de ASP bepaalt hoe lang hij in geval van problemen overleeft. 133. Wat is nog meer van belang tijdens de selectie? Naast functionaliteit, kwaliteit en continuïteit is van belang dat de ASP, als belangrijke toeleverancier van uw organisatie, qua cultuur aansluit op uw organisatie. Gedeelde normen en waarden zijn essentieel om op langere termijn een succesvolle relatie te onderhouden.


34

Contracteren met een ASP 134. Wat is een ASP-contract? Met een ASP-contract bedoelen we het contract dat de ASP aangaat met zijn klant(en), ofwel het “verkoop”contract van de ASP. Dit contract heeft een aantal bijzondere kenmerken; het betreft een contract waarbij op een hoog niveau resultaatsverplichtingen worden aangegaan, in tegenstelling tot veel traditionele IT-contracten waar het doorgaans traditionele inspanningen en leveringen betreft. De inkoopcontracten van de ASP (contracten met leveranciers hardware, software, diensten, datacenters, telecombedrijven etc.) zijn veelal traditionele inkoopcontracten. 135. Wat zijn de belangrijkste functies van een contract? Contracten hebben drie belangrijke functies: een goed contract verdeelt expliciet de risico’s, legt afspraken vast en vormt een leidraad voor de uitvoering. 136. Waarom vereist het opstellen van een ASP-contract interdisciplinariteit? Een goed contract verdeelt risico’s, legt afspraken vast en vormt een leidraad voor de uitvoering. Om deze functies consequent en in elkaars verlengde te kunnen incorporeren is inzicht nodig in onder meer commerciële, technische en juridische issues. Een interdisciplinaire benadering is nodig om deze issues tot één samenhangend geheel te maken. 137. Waarin verschilt een ASP-contract van meer traditionele IT-contracten? Een ASP-contract is juridisch complex gezien het gemengde karakter ervan. Veelal herbergt het karakteristieken van huurovereenkomsten en dienstverleningsovereenkomsten, zoals onderhoudsovereenkomsten. Soms is er zelfs sprake van koopovereenkomsten. Daarnaast worden vaak aanvullende diensten geleverd, bijvoorbeeld fulfillmentservices, waarvoor andersoortige afspraken gemaakt moeten worden. Naast het brede karakter van ASP-contracten kenmerken ASP-contracten zich doordat op hoog niveau resultaatsverplichtingen worden overeengekomen. Niet langer worden afspraken gemaakt over de beschikbaarheid van één of enkele ITcomponenten, maar worden afspraken gemaakt op het niveau van bedrijfsprocessen of onderdelen daarvan. 138. Wat maakt het afsluiten van kwalitatief goede ASP-contracten zo lastig? Het gemengde karakter van ASP-contracten maakt deze juridisch complex en het opstellen van ASP-contracten vereist een sterk interdisciplinaire benadering. Bovendien is er nog weinig referentiekader, mede gezien de beperkte beschikbaarheid van branchestandaarden.


35

139. Waar moet ik op letten bij het beoordelen van een ASP-contract? Zowel de structuur als de inhoud van het ASP-contract moet passend zijn. Zonder een passende structuur is het niet goed mogelijk de inhoud op volledigheid en consistentie te beoordelen. Wat de inhoud betreft verdient het aanbeveling om na te gaan of daadwerkelijk op hoog niveau resultaatsverplichtingen worden overeengekomen en er geen afspraken worden gemaakt over de beschikbaarheid van één of enkele IT-componenten of "onder-water-activiteiten" van de ASP worden beschreven. In de praktijk blijkt dit laatste nogal eens het geval te zijn. Daarnaast hebben ASP's die afkomstig zijn uit de traditionele automatisering nogal eens de neiging om uit gewoonte hun 'oude' algemene voorwaarden van toepassing te verklaren, terwijl die voorwaarden geschreven ware voor klassieke automatisering en niet voor ASP-achtige leveringen, hetgeen tot een slechte overeenkomst en daarmee tot veel bronnen voor geschillen leidt.


36

Structuur van een ASP contract 140. Uit welke onderdelen bestaat een ASP-contract? Een ASP-contract kent een juridisch kader, een servicedefinitie, een beschrijving van de kwaliteit van de service in de vorm van een Service Level Agreement (SLA), veelal een Dossier met Afspraken en Procedures (DAP, Daily Agreed Procedures) en tenslotte nog bijlagen met prijsafspraken en/of de offerte waarop de overeenkomst gebaseerd is. 141. Wat omvat het juridisch kader van een ASP-contract? Het juridisch kader van een ASP-contract omvat de zuiver juridische bepalingen zoals een nauwkeurige kwalificatie van het voorwerp van de overeenkomst, bepalingen inzake aansprakelijkheidsbeperkingen, garanties, overmacht, beëindiging, de relatie met overige formele documenten zoals de SLA en het DAP etc. 142. Waaraan moet een service-definitie voldoen? De service definitie is een belangrijk onderdeel van een ASP-contract. In het juridisch kader van het contract is de juridische kwalificatie van de dienst beschreven, de service definitie beschrijft de meer operationele aanduiding van de ASP-service. Let wel, de service definitie dient niet alleen functionaliteit van de ter beschikking te stellen applicaties te beschrijven, maar omvat meer: ook de manier waarop en kwaliteit waarmee ter beschikking gesteld wordt is onderdeel van de service en dient derhalve gedefinieerd te worden. 143. Wat is een Service Level Agreement (SLA)? Een Service Level Agreement (SLA) is een belangrijke bijlage bij het ASP-contract. De SLA beschrijft de kwaliteit van de overeengekomen service. Termen als beschikbaarheid, performance, integriteit en exclusiviteit (omvat mede beveiligingsissues) zijn hier van belang. 144. Hoe komt de SLA die ik afsluit met een ASP tot stand? Bij application services is dit erg afhankelijk van het type applicatie. Standaardapplicaties worden vaak met een niet onderhandelbaar SLA geboden; de ASP biedt de application services massaal aan en kan daardoor niet ingaan op klantspecifieke wensen omtrent de kwaliteit van de services. Een take-it-or-leave-it setting, dus. Bij bedrijfskritische applicaties zal de precieze invulling van een SLA een gezamenlijke exercitie zijn. Daarbij dient u (eigenlijk voor de keuze voor een ASP al) uw eigen service requirements helder te hebben. De requirements onderhandelt u uit met de ASP, waarin mogelijkheden van de ASP, kosten en uw eisen uiteindelijk moeten komen tot overeenstemming over de te leveren servicekwaliteit.


37

145. Wat dient er specifiek in een SLA behandeld te worden? In een SLA voor belangrijke application services dienen de service definitie (voorzover niet apart vastgelegd) en het van toepassing zijnde service level beschreven te zijn. Een indicatie van de flexibiliteit van de application services op beide gebieden is met name bij langdurige ASPovereenkomsten een aandachtspunt: in welke mate kunnen functionaliteit en volume van de service aangepast worden en in welke mate kunnen hogere en lagere kwaliteitsnormen eenvoudig overeengekomen worden binnen het huidige contract? Voorts dient in de SLA vastgelegd te worden aan welke randvoorwaarden voldaan dient te zijn, wil het gegarandeerde service level afdwingbaar zijn. Een belangrijke voorwaarde is dat de gebruiker werkt conform het Dossier van Afspraken en Procedures (DAP, Daily Agreed Procedures). Tenslotte dienen er service (level) management afspraken vastgelegd te worden over de application services. 146. Aan wat voor soort service (level) management afspraken moet ik denken bij het opstellen van een SLA? Belangrijke afspraken zijn in ieder geval: wat wordt op welke wijze gerapporteerd over de services, wie keurt de prestaties goed of af, welke bonus / malus regels er gelden op de prestaties. Ook is escalatie een belangrijk onderwerp: wat gebeurt er indien afnemer en aanbieder het operationeel of qua geleverde prestaties niet met elkaar eens zijn? Hoe escaleert dat naar hogere managementniveaus? 147. Moet in een SLA ook de bereikbaarheid van de helpdesk worden beschreven? Indien de ASP-service mede ondersteuning van het gebruik omvat, dient ook de kwaliteit van die ondersteuning beschreven te worden. In dit kader kunnen afsprakenm gemaakt worden over de beschikbaarheid (timeframes), snelheid en kwaliteit van de respons, prijsmechanismen etc. 148. Waaraan moet de formulering van een kwaliteitsnorm voldoen? De formulering van een kwaliteitsnorm moet zorgen voor een eenduidige, meetbare en beïnvloedbare definitie. Eenduidig wil zeggen dat de formulering niet op meerdere manieren uitgelegd mag kunnen worden of vaag mag zijn, omdat er dan ondanks overeenstemming welk niveau gerealiseerd is, er toch verschil van mening kan ontstaan of de afspraak op dit punt gehaald is. Meetbaar houdt in dat het afgesproken level op een duidelijk wijze gemeten kan worden en dat de meting een zinvolle uitkomst heeft. Beïnvloedbaar is vanzelfsprekend: indien een ASP niet bij machte is de uitkomsten van een kwaliteitsnorm te beïnvloeden is er geen reden hier afspraken over te maken. 149. Waaraan moet de definitie van een kwaliteitsnorm voldoen? De gedefinieerde kwaliteitsnorm moet een duidelijke relatie hebben met de kwaliteitseisen van de klant, qua object, niveau en qua onderwerp. Het object van de kwaliteitsnorm zal typisch liggen op de application service, dus gaand over het gebruik van de beschikbare applicaties. Het niveau van de kwaliteitsnorm zal aan moeten sluiten op de requirements zoals die vanuit de ondersteunde bedrijfsprocessen volgen.


38

150. Wanneer is het object van een kwaliteitsnorm verkeerd? Het object van een kwaliteitsnorm is binnen een SLA voor ASP te gedetailleerd als er bijvoorbeeld over de prestaties van aparte IT-componenten van de application services (de server, het netwerk, de firewall) afspraken gemaakt worden. De verantwoordelijkheid van de ASP impliceert dat deze genormeerde kwaliteit biedt over de totale application services: zogenaamde end-to-end afspraken. Voorbeelden hiervan zijn: de performance en beschikbaarheid van de applicatie op een werkplek, de maximale uitvalsduur van een applicatie en de gemiddelde tijd tussen storingen die de gebruiker ervaart. 151. Wanneer sluit een kwaliteitsnorm niet aan op het niveau van de kwaliteitseisen? Een voorbeeld waarbij een kwaliteitsnorm qua niveau niet aansluit op de kwaliteitseisen (requirements van een bedrijfsproces) is als een beschikbaarheid van 99,99% van een 24*365 periode overeen wordt gekomen, terwijl de application service onregelmatig gebruikt wordt en maar een beperkt bedrijfsbelang heeft: het afgesproken niveau staat niet in verhouding tot de eisen. De kwaliteitsnorm dient dus een goede graadmeter en vertaling te zijn van de kwaliteitsbehoefte uit het bedrijfsproces. 152. Wanneer sluit een kwaliteitsnorm niet aan qua inhoud op de requirements vanuit het bedrijfsproces? Een kwaliteitsnorm sluit qua inhoud bijvoorbeeld niet aan op de requirements indien een kwaliteitsnorm vereist dat de helpdesk 24*7 uur bereikbaar is en meertalige medewerkers te woord zal staan, als dit hoogstens interessant is voor enkele gebruikers binnen uw bedrijf. 153. Wat zijn belangrijke kwaliteitsnormen om overeen te komen? Het is van belang dat de kwaliteitsnormen in voldoende mate alle eisen uit de bedrijfsprocessen of gebruikssituatie afdekken of "vertegenwoordigen". Het is daarom verstandig om binnen een zo compleet mogelijke categorisatie van kwaliteit van application services, minimaal steeds één kwaliteitsnorm overeen te komen. Een voorbeeld categorisatie of indeling van kwaliteit is: beschikbaarheid, betrouwbaarheid, performance, exclusiviteit en flexibiliteit. 154. Hoeveel kwaliteitsnormen moet je overeen komen? De meningen hierover verschillen nogal in het veld. Soms adviseert men juist het aantal kwaliteitsnormen te beperken tot een handvol heldere meetwaarden. Anderen wijzen juist op de kwetsbaarheid daarvan, gezien de kans dat de service op een niet benoemd punt ver onder de maat is, maar de klant geen middelen heeft om de ASP te corrigeren. Een middenweg kan zijn een onderscheid te maken tussen harde en minder harde kwaliteitsnormen (met dito boetebepalingen), waarbij de essentie van de servicekwaliteit middels de harde kwaliteitsnormen wordt gewaarborgd, maar ook duidelijk is wat de verwachtingen op minder essentieel (lijkende) punten is. Tenslotte onderscheidt men soms minimale en streefniveaus, waarbij onderschrijding van de minimale niveaus boete- of compensatie als gevolg heeft en overschrijding van de streefwaarden een bonus kan betekenen voor de ASP.


39

155. Is de Service Definitie onderdeel van de SLA? Strikt tekstueel uitgelegd is de service definitie geen onderdeel van de SLA, aangezien de SLA zuiver de kwaliteit van de geboden service zoals gedefinieerd in de service definitie beschrijft. In de praktijk wordt de Service Definitie om praktische redenen echter nogal eens vooraan in de SLA opgenomen. 156. Is een SLA ook een ASP-contract? De term SLA wordt in de praktijk zowel smal als breed geïnterpreteerd. In de smalle betekenis van het woord omvat een SLA uitsluitend afspraken welke de kwaliteit van de service en dus geen beschrijving van de service zelf, het juridisch kader etc. omvatten. In de brede betekenis des woords wordt de term SLA ook wel gebruikt als de totale overeenkomst tussen partijen, mede omvattend het juridisch kader, de Service Definitie, een beschrijving van de kwaliteit van de service, het DAP etc. 157. Wat is een DAP? Een dossier van Afspraken en Procedures (of ook wel de Daily Agreed Procedures) beschrijven operationele werkafspraken tussen ASP en gebruiker: welke regels dient de gebruiker in acht te nemen, wat mag wel en wat mag niet, hoe verloopt communicatie tussen partijen etc. Het DAP dient expliciet geen beschrijving van de kwaliteit van de service te omvatten aangezien deze in de SLA thuis hoort. Naleving van de afspraken uit het DAP vormt veelal een voorwaarde om als gebruiker een beroep te kunnen doen op kwaliteitsgaranties. 158. Waarom moeten ASP-contracten gemoduleerd worden opgebouwd? In de structuur met een juridisch kader, een Service Definitie, een SLA, een DAP en eventueel andere bijlagen worden het juridisch niveau, het managementniveau en het operationele niveau gescheiden, zodat de betrokkenen zich met hun eigen materie kunnen bezighouden; de jurist zou zich niet met de inhoud van het DAP moeten hoeven bezighouden, de manager onderhandelt over de definitie en kwaliteit van de service en het DAP mag, in tegenstelling tot bijvoorbeeld het juridisch kader, in operationeel overleg tussen partijen worden aangepast. De hier voorgestelde structuur helpt derhalve taken, verantwoordelijkheden en bevoegdheden beter afgebakend toe te delen. 159. Zijn er situaties waarin een eenvoudig ASP-contract kan worden gehanteerd? Ja, als het een situatie is waarin voor een beperkt aantal gebruikers een niet-bedrijfskritische applicatie ter beschikking wordt gesteld, is het niet altijd noodzakelijk om een uitgebreide gemoduleerde structuur aan te houden in de overeenkomst en voldoet een beknopter overeenkomst. 160. Wat zijn de belangrijkste zaken die in een ASP-contract geregeld moeten worden? Het aantal te regelen zaken in een ASP-contract is erg groot, maar laat zich aan de hand van de lifecycle van een application service onderverdelen in 3 delen: afspraken over service ontwikkeling, over service exploitatie en over service beëindiging.


40

Inhoud van een ASP-contract: afspraken over service ontwikkeling 161. Wat is de fase “service ontwikkeling” in een application service lifecycle? Alvorens de service daadwerkelijk geleverd kan worden, is - afhankelijk van het soort applicatie service - vaak een ontwikkelingsfase nodig, waarin de applicatie geparametriseerd wordt, gebruikers worden opgeleid, eventueel aan de clientkant voorbereidingen worden getroffen met hulp van de ASP etc. Het traject waarin deze activiteiten plaatsvinden noemen we vaak de implementatie. 162. Kent ieder ASP-traject een fase van service ontwikkeling? Sommige application services doorlopen een minimale ontwikkelfase. Bijvoorbeeld op ASP gebaseerde documentmanagementachtige toepassingen zoals www.wboffice.nl kan een gebruiker zich via het web eenvoudig aanmelden en direct daarna de toepassing gebruiken. In andere gevallen kan de ontwikkelingsfase meer omvatten. Bijvoorbeeld een financieeladministratieve toepassing, gebruikmakend van Citrix, vereist de invoering van stamgegevens, installatie van (beperkte) clientsoftware, wellicht een koppeling van de applicatieservice aan lokaal draaiende relatiebeheerprogrammatuur, instructie van gebruikers etc. 163. Welke afspraken moeten er gemaakt worden over de fase “service ontwikkeling”? In veel gevallen wordt de afnemer in de fase service ontwikkeling door de aanbieder begeleid. Partijen kunnen afspreken dat de aanbieder de in deze fase te maken kosten op basis van time & materials in rekening brengt, maar evengoed kunnen partijen overeenkomen dat de ASP deze kosten in de exploitatiefase verdisconteert in de gebruiksvergoeding. In dit laatste geval moet wel worden afgesproken wat de minimale looptijd van de overeenkomst is en of de wettelijke bevoegdheid van de opdrachtgever om het ASP-dienstverleningscontract voortijdig op te zeggen is uitgesloten. Ook moet duidelijk zijn wat er met die kosten gebeurt indien het project wordt gestaakt gedurende de ontwikkelingsfase, bijvoorbeeld omdat niet tot een werkende oplossing gekomen wordt los van de vraag aan welke partij(en) dat ligt. 164. Zijn contractuele afspraken over de service ontwikkeling vergelijkbaar met traditionele ITprojectovereenkomsten? Voor een groot deel is de ontwikkelingsfase vergelijkbaar met meer traditionele ontwikkel- of implementatietrajecten en dienen derhalve afspraken gemaakt te worden over het implementatierisico, geschiktheid voor het doel, verantwoordelijkheid voor connectiviteit en over acceptatiecriteria. Een belangrijk verschil met traditionele IT-projectovereenkomsten is dat bij ASP-constructies de juridische samenhang met de exploitatiefase beschreven dient te worden. 165. Is het verstandig de service ontwikkeling in een separate projectovereenkomst te regelen? De ontwikkelingsfase behelst werkzaamheden van beperkte duur (“projectovereenkomst”). De exploitatiefase behelst werkzaamheden van onbepaalde duur (“SLA”). Over het algemeen is het verstandig projectovereenkomsten en duurovereenkomsten te scheiden. Wel dienen partijen overeen te komen of, indien er reden is de exploitatiefase te ontbinden, de projectovereenkomst in dat geval eveneens geheel of gedeeltelijk kan worden ontbonden.


41

Inhoud van een ASP-contract: afspraken over service exploitatie 166. Wat behelst de fase “service exploitatie”? Zodra de service ontwikkeling is afgerond kan de dienst geëxploiteerd worden. Het is daarbij cruciaal dat volgens de gedefinieerde maatstaven voorzien wordt in beschikbaarheid, performance, beveiliging en noodscenario’s. In deze fase wordt applicatietoegang en ondersteuning geleverd, waarvoor de afnemer periodiek of naar rato van gebruik betaalt. 167. Waar draait het om in de exploitatie fase? In de exploitatiefase draait het om zaken als continuïteit (is de applicatie service met een acceptabele performance voldoende beschikbaar), integriteit (wordt data correct verwerkt en worden geen gegevens verminkt?), exclusiviteit (hebben alleen geautoriseerde personen toegang tot mijn informatie) en adaptief vermogen (flexibiliteit). 168. Welke afspraken moeten er gemaakt worden over de fase “service exploitatie”? Over de fase service exploitatie dienen partijen duidelijke afspraken te maken over onder meer: kwaliteitsnormen, aansprakelijkheidsbeperkingen, toetsingsrecht, licentiebeleid / releasebeleid, beveiliging / bescherming van gegevens en flexibiliteit. 169. Wat zijn gangbare aansprakelijkheidsbeperkingen in ASP-contracten? Een ASP mag niet zijn aansprakelijkheid uitsluiten voor de kern van zijn prestatie. Daarnaast kunnen partijen onderling overeenkomen waarvoor de ASP wel en niet aansprakelijk is. Belangrijke vragen hierbij zijn: Wat gebeurt er als de overeengekomen beschikbaarheid of performance onder de maat is of zelfs data verminkt of verloren raken? De schade die afnemer hierdoor lijdt kan erg hoog oplopen. Heeft de ASP zich geëxonereerd voor enige vorm van schade? Is de aansprakelijkheid beperkt tot de som van de betaalde vergoedingen gedurende een beperkt aantal aan het incident voorafgegane maanden of tot de hoogte van het door de schadeverzekering van de ASP uitgekeerde bedrag? 170. Hoe verhoudt een bonus-malus regeling zich tot de aansprakelijkheidsbeperking? Veelal wordt overeengekomen dat de ASP een malus dient te betalen indien en naar rato van de mate waarmee de geleverde service onder de norm was. Partijen dienen vast te stellen of deze malus een gefixeerde schadevergoeding is bij wanprestatie (met als gevolg dat veelal geen overige schade meer geclaimd kan worden, terwijl de werkelijke schade van de klant vaak groter is dan de malus), of dat de malus slechts gezien moet worden als korting op de prijs en het recht om schadevergoeding te vorderen verder onverminderd blijft bestaan. 171. Wat is (het belang van) een toetsingsrecht? Vaak wordt in ASP-contracten een toetsingsrecht overeengekomen, hetgeen inhoudt dat de klant indien hij daartoe aanleiding ziet een deskundige mag inschakelen die een audit uitvoert en daarover rapporteert. De motivatie voor een dergelijke regeling is dat de service veelal “onzichtbaar:” wordt geleverd en de klant desondanks grip wenst te houden op de prestaties van de ASP.


42

172. Waarom zijn afspraken over het licentiebeleid / releasebeleid van belang? Veelal is de ASP niet de intellectueel eigenaar van de applicaties die hij ter beschikking stelt en is de ASP gehouden zijn klanten gebruiksbeperkingen op te leggen. In dat kader is een afnemer vaak verplicht het releasebeleid van de ASP te volgen. Welke zeggenschap heeft de afnemer dan nog over nieuwe versies? Indien een minor release uitkomt waarvan een gebruiker functioneel niet of nauwelijks iets merkt, is er weinig aan de hand. Zodra een nieuwe versie ter beschikking wordt gesteld waardoor gebruikers bijgeschoold moeten worden, koppelingen met andere programmatuur en wellicht zelfs maatwerk moeten worden herzien, heeft dat meer consequenties. De vraag is dan of de afnemer tijdig wordt geïnformeerd en ondersteund en / of dat de afnemer zelfs invloed heeft op het moment waarop zijn ASP-omgeving wordt geconverteerd, hetgeen uiteraard alleen mogelijk is indien de door de aanbieder gehanteerde architectuur dit faciliteert. 173. Wat voor afspraken moet ik als afnemer maken over licentiebeleid / releasebeleid? Gezien de mogelijk beperkte invloed die een ASP zelf heeft op de vormgeving van licenties en releases en het feit dat u met meerdere afnemers de application services deelt is het van belang heldere afspraken te maken op dit punt. Onderwerpen zijn daarin onder andere: de gevolgen van en uw rechten bij minor en major releases (bijvoorbeeld keuzevrijheid in óf en wanneer u meegaat in de upgrade), de geboden ondersteuning in die gevallen en de kosten van werkzaamheden als gevolg van het doorvoeren van releases. Voorts is het in dit kader van belang om af te spreken hoe lang, op welke wijze en voor wie (met name voor bepaalde derden zoals de fiscus) historische data nog digitaal toegankelijk moeten zijn of gemaakt moeten kunnen worden, bijvoorbeeld omwille van fiscaalrechtelijke verplichtingen van de gebruiker. 174. Welke verantwoordelijkheden heeft een ASP inzake beveiliging / bescherming van gegevens? Een ASP is veelal bewerker van persoonsgegevens en is op grond van de Wet Bescherming Persoonsgegevens derhalve gehouden zich conform bepaalde voorschriften te gedragen. Naast persoonsgegevens is de ASP vaak bewaarder van vertrouwelijke bedrijfsgegevens. Welke maatregelen heeft de ASP in dat kader genomen om exclusiviteit te waarborgen? Denk hierbij aan toegangsverificatiemechanismen (vergelijk de maatregelen bij telebankieren), fysieke bescherming (bunkerachtig datacenter) en generieke informatiebeveiligingsmethoden. 175. Wat moet geregeld worden inzake flexibiliteit? In hoeverre is het gaandeweg mogelijk het overeengekomen service level bij te stellen? Als de gebruiker tot de conclusie komt dat hij ook met een verminderde performance prima zou kunnen werken, gaat de afnemer dan ook minder betalen? En is een hogere beschikbaarheid mogelijk als de afnemer bereid is daarvoor meer te betalen? Of werkt de ASP met één of enkele standaardniveaus en is daar weinig variatie in mogelijk? En hoe zit het met het aantal gebruikers? Tot hoeveel gebruikers kan de service worden uitgebreid met behoud van gegarandeerde kwaliteitsnormen?


43

Belangrijke kwaliteitsnormen: beschikbaarheid en performance 176. Wat zijn belangrijke kwaliteitsnormen om overeen te komen? Welke kwaliteitsnormen overeengekomen moeten worden is afhankelijk van de aard van het bedrijfsproces dat met de application service wordt ondersteund en de mate van afhankelijkheid daarvan. Veelal worden afspraken gemaakt over beschikbaarheid en performance. De definitie van kwaliteitsnormen luistert zeer nauw en mag slechts op 1 manier geïnterpreteerd kunnen worden. Verder is eigen aan ASP-contracten, anders dan bij traditionele outsourcingscontracten, dat afspraken gemaakt worden op applicatie service niveau en niet op component niveau. 177. Waarom zijn kwaliteitsnormen inzake beschikbaarheid vaak onvoldoende duidelijk? Beschikbaarheid wordt als kwaliteitsnorm vaak onvoldoende nauwkeurig gespecificeerd danwel op een verkeerd objectniveau toegepast. 178. Wanneer is de kwaliteitsnorm over beschikbaarheid onvoldoende gespecificeerd? De kwaliteitsnorm over beschikbaarheid is onvoldoende gespecificeerd indien uit de formulering niet duidelijk blijkt hoe het level dient te worden berekend; heeft niet-beschikbaarheid als gevolg van planmatig onderhoud bijvoorbeeld effect op de beschikbaarheid? En hoe zit het met responsen hersteltijden? Op welke tijdsbasis (dag, maand, kwartaal, jaar?) wordt de beschikbaarheid gemeten, oftwel, hoeveel tijd heeft de ASP om een tijdelijk lag beschikbaarheid te compenseren? 179. Wanneer heeft het kwaliteitsnorm over beschikbaarheid betrekking op een verkeerd objectniveau? Beschikbaarheidsgaranties bij ASP dienen in principe geen betrekking te hebben op hardwarecomponenten. Bij traditionele outsourcing was het bijvoorbeeld gebruikelijk om afspraken te maken over de technische beschikbaarheid van een bepaalde server. Bij ASP gaat het om beschikbaarheid van bepaalde verwerkingsfuncties. 180. Wat wordt precies bedoeld met performancegaranties? De term performance wordt op velerlei (verwarrende) manieren gebruikt. Onder performance wordt soms verstaan het geheel aan prestaties van een bepaald systeem, soms een subset daarvan, soms wordt alleen op transactiesnelheden gedoeld etc. Van belang is derhalve om deze term in ieder contract waar deze gebruikt wordt, goed te definiëren. Hier doelen we met de term performance op hoe snel het systeem bepaalde verwerkingen in bepaalde omstandigheden uit kan voeren. 181. Waaraan moeten goede performancegaranties voldoen? Garanties inzake performance dienen niet alleen duidelijk en eenduidig geformuleerd te worden, ook dienen de garanties zinvol gekozen te zijn; een performancegarantie dat een bepaalde functie die bijna nooit wordt gebruikt en al helemaal niet bedrijfskritisch is, is weinig zinvol. Een goede performancegarantie dient specifiek betrekking te hebben op de snelheid waarmee bepaalde, goed afgebakende en geconditioneerde bedrijfskritische verwerkingsprocessen kunnen worden uitgevoerd.


44

182. Waarom is het vaak moeilijk overeenstemming te krijgen over performancegaranties? ASP’s dragen in onderhandelingen over performancegaranties doorgaans vele argumenten aan waarom dergelijke garanties niet zouden kunnen worden afgegeven. Veelvoorkomende bezwaren hebben betrekking op: multitasking, gebruik van publieke netwerken, groei van bestanden, componenten van derden, wijzigingen in de systeemomgeving en op meetproblemen. 183. Waarom kan multitasking een bezwaar vormen om performancegaranties af te geven? De server en de werkplekken waarop de applicatie draait, worden vaak ook voor andere doeleinden gebruikt dan die ene callcenterapplicatie. Bovendien kan de aard van de infrastructuur op de centrale locatie danwel op nevenvestigingen storend werken. Daardoor kan het voorkomen dat de apparatuur op bepaalde momenten minder verwerkingscapaciteit beschikbaar heeft waardoor de performance kan dalen. 184. Waarom kan gebruik van publieke netwerken een bezwaar vormen om performancegaranties af te geven? Indien gebruik wordt gemaakt van externe informatiediensten of (het datacenter van) de ASP met de klant is verbonden via een publiek netwerk, bijvoorbeeld internet, verliest de ASP de controle over een stukje van het systeem, waardoor onvoorspelbare vertraging kan optreden. 185. Waarom kan groei van bestanden een bezwaar vormen om performancegaranties af te geven? Dit argument heeft betrekking op het systeem in de tijd: naarmate het systeem ouder wordt en veel historische data omvat, kan het systeem trager worden. De gebruiker heeft hier doorgaans meer invloed op dan de ASP. 186. Waarom kunnen componenten van derden een bezwaar vormen om performancegaranties af te geven? Het is zeer waarschijnlijk dat in een ASP-systeem componenten van derden worden gebruikt. Zelfs als vastgesteld zou worden dat zo´n component van een derde de zwakste schakel in het systeem vormt en deze schakel negatieve consequenties heeft voor de totale performance, heeft de leverancier slechts beperkte invloed om daar wat aan te veranderen. 187. Waarom kunnen wijzigingen in de systeemomgeving een bezwaar vormen om performancegaranties af te geven? Soms dient het operating system of de databaseomgeving een upgrade te ondergaan op last van de betreffende licentieverlener. Het is mogelijk dat deze verplichting negatieve effecten heeft op de performance van het systeem. Had de ASP dit moeten voorzien en moet de ASP in zo’n situatie alsnog voor eigen rekening zorgen dat de overeengekomen performance desondanks wordt gehaald? 188. Waarom kunnen meetproblemen een bezwaar vormen om performancegaranties af te geven? Vaak draagt de ASP aan dat het zeer lastig is om precieze performancemetingen te verrichten: meet je in een laboratoriumopstelling of achter een in gebruik zijnde werkplek van een der gebruikers? Welke transactie gebruik je als testcase? Als je geen goede performancemetingen kunt uitvoeren, heeft het weinig zin om performancegaranties overeen te komen.


45

189. Welke tegenargumenten zijn er indien een ASP geen performancegaranties wil afgeven als gevolg van het multitasking probleem of in verband met de onvoorspelbare groei van bestanden? In dit geval kunnen condities gesteld worden aan de minimaal beschikbare schijfruimte en kunnen storende invloeden van buitenaf, infrastructuurperikelen alsook batchverwerkingen worden uitgesloten, waardoor een en ander beter te overzien is. 190. Welke tegenargumenten zijn er indien een ASP geen performancegaranties wil afgeven in verband met het gebruik van een publiek netwerk? Ofwel moet Indien het gebruik van een publiek netwerk het probleem is, moet ofwel gekozen worden voor een private network (een huurlijn of een vergelijkbare oplossing) ofwel gekozen worden om de metingen aan de grens van het publiek netwerk te verrichten. Dit laatste heeft echter als nadeel dat de door de gebruiker ervaren performance sterk kan verschillen van de gemeten performance. 191. Welke tegenargumenten zijn er indien een ASP geen performancegaranties wil afgeven in verband met het gebruik van componenten van derden die performanceproblemen kunnen veroorzaken? Dat componenten van derden performanceproblemen kunnen veroorzaken, kan geen argument zijn; zoals in iedere branche dient een hoofdaannemer in te staan voor producten en diensten die hij met hulp van derden levert. Exoneratie voor wanprestatie door derden leidt al gauw tot gezichtsverlies voor de ASP die zo´n clausule hanteert. 192. Welke tegenargumenten zijn er indien een ASP geen performancegaranties wil afgeven in verband met verplicht door te voeren wijzigingen in de systeemomgeving? Het argument dat (door derden opgelegde) wijzigingen in de systeemomgeving drastische gevolgen voor de performance kunnen hebben, welke noch de klant noch de ASP doorgaans op voorhand kunnen overzien, is minder makkelijk te ontkrachten. Een werkwijze is om procedureel af te spreken dat in voorkomende gevallen de ASP indien nodig een wijzigings-/investeringsvoorstel doet teneinde de performance weer op het gewenste niveau te krijgen (“overlegclausule”). Zodoende wordt mede voorkomen dat de ASP grote risico-opslagen dient te hanteren in verband met toekomstige onzekerheden. 193. Welke tegenargumenten zijn er indien een ASP geen performancegaranties wil afgeven in verband met meetproblemen? Inmiddels zijn er genoeg tools op de markt waarmee van alles en nog wat gemeten kan worden. De vraag is alleen wat je precies wilt meten en hoe je dat definieert. Een werkwijze is om een aantal voor de opdrachtgever cruciale, veelvoorkomende transacties te definiëren, zoals bepaalde menuovergangen, opvragingen of schermwisselingen en volgens een helder script periodiek metingen te verrichten. Gekozen kan worden om een zogenaamde “dummy terminal” op te tuigen alwaar de metingen verricht worden, zodat storende invloeden op de werkplek vermeden worden.


46

194. Wat kunnen partijen doen als zij niet overeen weten te stemmen over performancegaranties? In dit geval rest nog een aantal minder elegante maar desondanks menigmaal gehanteerde alternatieven: - de ASP kan ervoor kiezen voor rekening van de klant ferm overcapaciteit te leveren, waardoor de kans op slechte performance gereduceerd wordt. - risico nemen en verzekeren. Afhankelijk van de risicoaversie van een ASP kan hij besluiten het risico aansprakelijk gesteld te worden voor een slechte performance gewoon te nemen en zich een goede bedrijfsaansprakelijkheidsverzekering aan te meten, zodat de pijn bij eventueel te betalen schadevergoeding niet al te groot is. De verzekeringspremie betaalt de klant uiteindelijk natuurlijk zelf als onderdeel van de te betalen vergoedingen. 195. Over welke andere onderwerpen dienen kwaliteitsnormen overeengekomen te worden? Naast beschikbaarheid en performance kan het van belang zijn concrete afspraken te maken over onder meer integriteit (juistheid van gegevensverwerking), capaciteit, exclusiviteit (beveiliging) en portabiliteit (garanties inzake de (on)mogelijkheden om het ASP-systeem naar een andere omgeving over te zetten).


47

Inhoud van een ASP-contract: afspraken over service beëindiging 196. Wat behelst de fase “service beëindiging”? Ieder contract loopt een keer af. Ofwel de looptijd is verstreken en er wordt niet verlengd ofwel de overeenkomst wordt opgezegd. Ook kan een faillissement van de ASP grote gevolgen hebben voor de continuïteit van de afnemer. 197. Welke afspraken moeten er gemaakt worden over de fase “service beëindiging”? Voor iedere vorm van contractbeëindiging dient op voorhand afgesproken te worden hoe de afnemer zelfstandig dan wel met hulp van een andere leverancier de continuïteit van zijn IT kan bewerkstelligen. Heeft de afnemer bijvoorbeeld de mogelijkheid om, na een bepaald aantal termijnen betaald te hebben, een traditionele licentie op de programmatuur te verwerven (vergelijk huurkoop) en deze lokaal te installeren of onder te brengen bij een andere ASP? Hoe zit het met eventueel benodigde middelware, maatwerkaanpassingen, parametrisering, etc? In welk format en hoe snel na beëindiging worden in het systeem opgebouwde data geretourneerd? Levert de ASP, afhankelijk van de verstreken duur van de samenwerking, een vastgesteld aantal support-uren om de migratie te ondersteunen? Wordt documentatie meegeleverd etc. Kortom: welke “exit services” biedt de ASP? 198. Wat gebeurt er als mijn ASP failliet gaat? Als uw ASP door faillissement stopt met het leveren van de application services heeft u accuut een continuïteitsprobleem. Bij traditionele automatisering lag dat anders: als de leverancier van uw software failliet ging was het mogelijk lastig om bij fouten in de software of bij nieuwe wensen iemand te vinden die de software kon aanpassen, maar voortgezet gebruik was in beginsel wel gewoon mogelijk; er hoefde geen accuut probleem te zijn. Het is belangrijk om bij ASP hiervoor dus een noodscenario te ontwikkelen want als u geen voorzieningen heeft getroffen voor het geval uw ASP failliet gaat, is er waarschijnlijk weinig waar u zo maar op terug kan vallen.


48

199. Welke voorzieningen kan ik treffen om continuïteit te waarborgen bij faillissement van mijn ASP? Bij traditionele automatisering was dit vrij eenvoudig op te lossen door middel van escrowconstructies ("broncode-deponering"); als uw softwareleverancier failliet ging kwam het depot van de broncode en de technische documentatie vrij en kon u het onderhoud op de programmatuur voort (doen) zetten. Bij ASP ligt dit niet zo eenvoudig. Zeker als de ASP-infrastructuur tot hoog in het OSI-model gedeeld ("shared solutions") wordt door meerdere klanten, kunt u niet zomaar de server met de applicatie uit het datacenter van de ASP oppakken en door een andere partij opnieuw aan u beschikbaar laten stellen. Alleen al de eigendomskwestie staat dit in de weg, aangezien de server waarop de ASP de applicatie draaide niet uw eigendom is maar in de failliete boedel zal vallen c.q. door een lease-maatschappij zal worden teruggevorderd. Daarnaast is er vaak veel technische kennis nodig om de complexe ASP-infrastructuur weer up-and-running te krijgen in een andere technische omgeving. Er zijn mogelijkheden om door oprichting van een andere rechtpersoon (bijvoorbeeld een stichting) die een soort 'waarborgfunctie' krijgt continuïteit te borgen. Deze rechtspersoon moet dan voorafgaand aan het faillissement 'gevoed' worden met geld en andere middelen, IE-rechten, technische knowhow etcetera. Laat u op dit punt goed adviseren en spreek een dergelijk scenario goed door met uw ASP voordat u een ASP-contract met hem aangaat. 200. Hebben de meeste ASP’s de service beëindiging goed geregeld? Veel ASP´s hebben hun “exit services” nog onvoldoende uitgewerkt. Een afnemer doet er goed aan hier toch aan vast te houden, zeker omdat zijn belang bij goede exit services doorgaans groter is dan het belang van de ASP.


49

Contractmanagement 201. Wat is contractmanagement? Contractmanagement vanuit het perspectief van een ASP-afnemer omvat het verrichten van activiteiten gericht op het zo winstgevend mogelijk incasseren en uitvoeren van contractuele rechten en plichten. 202. Wat is het belang van contractmanagement? Het komen tot een contract is de eerste stap. Daarna volgt de uitvoeringsfase (ontwikkeling, exploitatie en beëindiging) gedurende welke fasen de kwaliteit van contractmanagement in grote mate de winstgevendheid van zo'n contract bepaalt. Zowel klant als ASP zijn zelf verantwoordelijk om stipt hun eigen verplichtingen na te leven en toe te zien op naleving van de verplichtingen van de wederpartij. Doet men dit laatste niet dan kan bijvoorbeeld rechtsverwerking optreden, een rechtsprincipe waardoor achteraf geen beroep meer gedaan kan worden op eerder verworven rechten indien men telkens akkoord is gegaan met de niet naleving van bepaalde verplichtingen van de tegenpartij. Goed gestructureerd contractmanagement helpt dit te voorkomen. 203. Wat zijn belangrijke contractmanagement issues in de uitvoeringsfase? Contractmanagement in de uitvoeringsfase gaat met name om “prestatiebewaking”; ervoor zorgen dat contractuele rechten en plichten zo winstgevend mogelijk worden geïncasseerd en uitgevoerd. Dit betekent dat je als afnemer het gedrag van de ASP moet monitoren (welke diensten levert de ASP mij en met welke kwaliteit?), kwalificeren (voldoet de geleverde dienst aan het overeengekomen kwaliteitsniveau?), stimuleren (ervoor zorgen dat de ASP zijn best blijft doen voor je), evalueren (bepalen of je in de tijd tevreden blijft over je ASP of dat er wellicht betere alternatieven zijn) en documenteren (vastleggen verloop van de samenwerking als bewijsmateriaal/ dossiervorming met het oog op eventuele geschillen). 204. Hoe organiseer ik contractmanagement in de uitvoeringsfase? Een handige werkwijze is om na het sluiten van de overeenkomst een checklist te maken met alle uit het contract voortvloeiende rechten en plichten inclusief termijnen en eventuele voorwaarden. Aan de hand van zo’n checklist is op ieder moment eenvoudig te bepalen of partijen zich nog aan de afspraken houden. 205. Wat moet ik doen als mijn ASP onder het afgesproken niveau presteert? Indien de ASP wanpresteert (toerekenbaar tekortkomt) is het van belang hem in gebreke te stellen. Doe je dit niet dan bestaat kans op rechtsverwerking ("verlies van rechten") waardoor je later bijvoorbeeld geen aanspraak meer op schadevergoeding kunt maken.


50

206. Hoe moet ik mijn ASP in gebreke stellen? In de ingebrekestelling (welke schriftelijk en en bij voorkeur aangetekend wordt verzonden) dient de ASP duidelijk gemaakt te worden dat hij zich niet gedraagt of heeft gedragen in overeenstemming met de overeenkomst. Indien de prestatie die geleverd had moeten worden niet blijvend onmogelijk is, dient de ASP een concrete en redelijke termijn gegund te worden waarbinnen hij zijn fout kan goedmaken. Doet hij dat niet, dan kan de ASP aansprakelijk zijn voor daaruit voortvloeiende schade bij de klant. 207. Kan ik geld terugkrijgen van mijn ASP als die onder de maat presteert? Indien partijen een adequate bonus-malus regeling hebben getroffen is bij wanprestatie een direct opeisbare boete te incasseren, los van de vraag of de klant door die wanprestatie schade heeft geleden. Het vorderen van schadevergoeding kan niet altijd zomaar; allereerst dien je als klant aan te tonen dat je voor vergoeding in aanmerking komende schade geleden hebt (dat wil zeggen schade waarvoor de ASP zich in het contract niet heeft geëxonereed). Bovendien moet de ASP op correcte wijze in gebreke stelt zijn en hebben nagelaten binnen de daarin gestelde termijn zijn tekortkomingen ongedaan te maken. 208. Hoe kan ik het beste omgaan met geschillen met mijn ASP? Ten alle tijden geniet het de voorkeur voor beide partijen om geschillen in onderling overleg op te lossen. Het inschakelen van een rechter is immers een langdurige en zeer kostbare aangelegenheid en leidt ook zeker niet altijd tot het gewenste resultaat. Bovendien is een rechtszaak per definitie schadelijk voor de relatie tussen partijen. Indien partijen er zelf niet aan uit komen kan als tussenweg nog naar een oplossing gezocht worden in de sfeer van de alternatieve geschillenregelingen, bijvoorbeeld: mediation, arbitrage of bindend advies. Het is verstandig om in het contract op voorhand afspraken te maken over hoe partijen wensen te handelen indien tussen hen een geschil zou ontstaan.


51

Implementatie van application services 209. Wat houdt implementatie in? Voor een klant houdt dit in het kader van ASP, in dat de application services voor de klant gereed voor gebruik worden gemaakt. Na de selectie en afsluiten van een contract met de gekozen ASP zullen op projectmatige wijze de gecontracteerde services ingericht moeten worden en de organisatie van de klant daarop aangepast moeten. De complexiteit en duur van een implementatie zijn sterk afhankelijk van de aard van de application services die ingekocht worden. 210. Is er bij ASP nog wel sprake van een implementatie? Hoewel ASP pretendeert dat een organisatie eenvoudig gebruik kan gaan maken van application services, is in veel gevallen een implementatie nog wel aan de orde. Zeker bij complexere application services als ERP, CRM en volledige overgang van kantoorautomatisering naar application service, is er sprake van een implementatie. In technisch opzicht is de implementatie sterk vereenvoudigd; de application service zal tot op zekere hoogte al voorbereid voor gebruik zijn. Toch zal er zeker bij complexe applicaties nog een belangrijk inrichtingstraject uitgevoerd moeten worden. Ook organisatorisch moet het gebruik van de applicatie in het bedrijf ingevoerd worden. 211. Wat zijn activiteiten die bij een implementatie van een application service uitgevoerd moeten worden? In de implementatie zal de huidige IT-infrastructuur aangepast worden. De gegevens uit de huidige systemen worden geconverteerd en ingevoerd in de systemen van de ASP, de applicaties zullen ingericht worden naar de bedrijfsprocessen van de klant. Daarnaast zullen de gebruikers begeleidt moeten worden in de verandering, waarbij naast opleiding aandacht moet worden besteed aan "zachtere" aspecten van de innovatie. Tenslotte zal het service management ingericht en opgestart worden, zodat de klant en de ASP tijdens het gebruik de verwachtingen en realisatie van de application services blijvend kunnen afstemmen. 212. Waarom moet de verandering voor betrokkenen begeleid worden? Bij ASP verandert voor een organisatie de manier waarop van IT gebruik wordt gemaakt. Zo zal de afstand tussen de mensen die de IT beheren en beschikbaar stellen en de eindgebruikers groter worden. De rol van de eigen IT-afdeling en mensen zal veranderen. Het bedrijf (zijnde de betrokken medewerkers) moet deze innovatie adopteren, om succesvol en naar tevredenheid gebruik te maken van de application services.


52

213. Hoe verandert de IT-functie van de klant? De IT-afdeling of IT-medewerkers hebben in de oorspronkelijke situatie directe verantwoordelijkheid voor de IT en voeren inhoudelijk management en beheer uit van de ITmiddelen in de organisatie. Deze taken worden sterk ingeperkt. De IT-infrastructuur in de organisatie wordt eenvoudiger: complexe servers, het bedrijfsinformatiesysteem en uitgebreide werkplekken worden vervangen door eenvoudige desktops en een connectie naar de ASP. Het beheer en management van deze IT-omgeving is eenvoudiger en vereist minder capaciteit. Daarentegen verandert de rol van de IT-afdeling in die van intermediair, contractmanager of inkoper. De IT-afdeling vertaalt de behoeften van de organisatie naar eisen aan de application services, onderhandeld met de ASP en bewaakt de correcte realisatie van de overeengekomen diensten. 214. Wat zijn factoren die de adoptie van ASP als innovatie beïnvloeden? De volgende vijf factoren beïnvloeden de adoptiesnelheid: het relatieve voordeel dat gebruikers waarnemen, de compatibiliteit van ASP met de opvatting van de organisatie, de ervaren eenvoud of complexiteit, de triabiliteit en de zichtbaarheid van de innovatie. De klant zal bij de implementatie voldoende maatregelen moeten nemen op ieder van deze factoren. 215. Wanneer eindigt de implementatie? In de afspraken met de ASP eindigt de implementatie op het moment dat de klant de implementatie accepteert. Dit houdt dat de klant formeel aangeeft dat de ASP haar werkzaamheden en eventuele leveringen om de application service voor de klant gebruiksklaar te maken, volledig en volgens afspraak heeft uitgevoerd. In de overeenkomst met de ASP zal vastgelegd zijn welke werkzaamheden en productleveringen hieronder vallen en hoe de klant de acceptatie uitvoert. Los van dit formele eindpunt van de implementatie door de ASP, kan het zeer goed zijn dat de implementatie-activiteiten van de klant zelf nog niet afgerond zijn. Het is zeer wel mogelijk dat de klant nog organisatorische maatregelen moet instellen, zoals een eigen eerstelijns helpdesk.


53

Gebruik van application services 216. Wat zijn activiteiten die ik als klant moet uitvoeren tijdens de gebruiksfase? De activiteiten die door de klant uitgevoerd moeten worden in de gebruiksfase zullen gericht zijn op het in stand houden van de aanwezige gewenste situatie. Inhoudelijk zijn de activiteiten sterk afhankelijk van de aard van de application service. Bij complexe, voor de bedrijfsvoering cruciale applicaties zullen de taken aan klantzijde uitgebreider zijn dan bij een application service op kleine schaal, of welke enkel een secundair proces binnen het bedrijf ondersteunt. Activiteiten zijn te onderscheiden op drie niveaus: contractmanagement, service management en operationele ondersteuning (vergelijk strategisch, tactisch en operationeel). 217. Wat houdt contractmanagement in in de gebruiksfase? Binnen contractmanagement worden de afspraken met de ASP vanuit een juridisch perspectief bewaakt en worden acties gestart en aangestuurd om uit het contract volgende verplichtingen en rechten zo goed mogelijk in te lossen (to get what you paid for). U kunt hierbij denken aan activiteiten in een reguliere situatie, zoals het signaleren van termijneinden en verlenging van het contract, het goedkeuren van overeengekomen rapportages, het periodiek herzien van juridische afspraken in het licht van recente ontwikkelingen. Een belangrijke rol speelt contractmanagement op het moment dat er (mogelijk) sprake is van een situatie waarin een der partijen zijn verplichting niet nakomt. Het is dan belangrijk vanuit het gesloten contract de juridische consequenties en benodigde acties goed in te schatten. 218. Wat houdt servicemanagement in in de gebruiksfase? Onder servicemanagement wordt een proces verstaan waarin zowel de leverancier als klant een rol hebben. Het servicemanagement richt zich op het in overeenstemming brengen van verwachtingen, afspraken en realisatie van de application services. Voor de klant houdt dit in dat deze zijn verwachtingen over de diensten van de ASP eenduidig overbrengt in de overleggen met de ASP. Verwachtingen binnen de eigen organisatie kunnen verschillen: het management kan heel andere verwachtingen hebben dan de eindgebruikers. De ASP en klant moeten binnen de mogelijkheden tot overeenstemming komen over de inhoud en kwaliteit van de te leveren diensten. Indien dit een omvangrijke hoeveelheid afspraken zijn worden deze afspraken vastgelegd in een zogenaamd Service Level Agreement. Normaliter houden de ASP en klant minimaal één of een paar keer per jaar een servicemanagementoverleg. In het geval van basale application services kan het zijn dat de klant geen specifieke afspraken over de inhoud en kwaliteit van de services kan maken. Servicemanagement heeft dan geen tot een zeer beperkte rol (denk bijvoorbeeld aan standaard Internet mailservices als Hotmail).


54

219. Wat zijn operationele, dag tot dag activiteiten die in de gebruiksfase door de klant uitgevoerd worden? In het gebruik van application services mag verwacht worden dat de bulk van de werkzaamheden nu door de ASP uitgevoerd worden. Het beheer en oplossen van storingen in de eigen lokale ITinfrastructuur (de PC's en het netwerk op de eigen locaties) zullen tot de operationele taken van de eigen organisatie horen, tenzij ook dit uitbesteed is aan de ASP. Mogelijk dat de klant zelf een stuk functioneel beheer, zoals gebruikersbeheer en gegevensbeheer (het onderhouden van bijvoorbeeld stamgegevens, artikel- en kortingstructuren), uitvoert. Tenslotte zal de eigen organisatie problemen en vragen van gebruikers in eerste instantie vaak zelf opvangen en afhandelen omdat zij de ondersteuning van de ASP hierbij pas in tweede instantie c.q. via officiële contactpersonen in mag roepen.


55

ASP belangenorganisaties 220. Zijn er belangenorganisaties die zich met ASP bezighouden? Ja, in Nederland is bijvoorbeeld de vereniging ASP Forum nederland (AFN) actief. Ook de Software Services Group van Comptia (www.comptia.nl, vroeger was dit ASPIC, het ASP Industry Consortium) is op dit vlak actief. 221. Wat is ASP Forum Nederland (AFN)? Het ASP Forum Nederland (AFN, www.aspforum.nl) is een vereniging die zich ten doel stelt de ontwikkeling van de ASP-markt in Nederland te stimuleren. AFN organiseert vanuit een onafhankelijke positie activiteiten en ontwikkelt diensten ter ondersteuning van alle partijen in de ASP-markt, inclusief de (potentiële) klanten en gebruikers van ASP diensten. Het ASP Forum is eind 1999 opgericht op initiatief van een groep bedrijven, die geloven in deze vorm van automatisering. 222. Met wie werkt het ASP Forum Nederland (AFN) samen? Het ASP Forum Nederland werk nationaal en internationaal samen met verschillende andere organisaties die actief zijn op het gebied van automatisering en belangenbehartiging.Vanuit een onafhankelijke positie organiseert het Forum activiteiten en ontwikkelt het Forum diensten ter ondersteuning van alle partijen in de ASP-markt. Dit zijn ook de (potentiële) klanten en gebruikers van ASP diensten." 223. Wie zijn lid van ASP Forum Nederland? De vereniging heeft aanbieders, afnemers, brancheorganisaties en toeleveranciers van ASP's als leden. Gezamenlijk streven zij ernaar de kennis over het ASP model te vergroten en te verspreiden en initiatieven voor ASP toepassingen te stimuleren. 224. Wie zijn de initiatiefnemers van het ASP Forum? ASP Forum Nederland is in 2000 geïnitieerd door een aantal in de ASP markt actieve marktpartijen: Boulogne Programma Management (initiator: Jerry Boulogne), Compaq Computer BV, Deloitte & Touche, Energis NV, Multrix BV, Mitopics BV en Progress Software BV. 225. Hoe is ASP Forum Nederland georganiseerd? Het ASP Forum Nederland is een vereniging van leden en wordt bestuurd door een bestuur dat momenteel bestaat uit vertegenwoordigers van leden en initiërende bedrijven. Het Forum formeert werkgroepen waarin de toepassing van ASP in een specifiek marktsegment onder de loep wordt genomen. 226. Welke werkgroepen heeft ASP Forum Nederland zoal in het leven geroepen? Het Forum heeft werkgroepen ingericht op bijvoorbeeld: retail, zorg en logistiek. De verwachting is dat veel andere branches zullen volgen maar de realisatie is afhankelijk van de inzet van samenwerkende leden van het Forum.


56

227. Wat voor activiteiten onderneemt ASP Forum Nederland? Naast evenementen ontwikkelt het Forum ook allerlei producten en diensten voor de leden. Voorbeelden hiervan zijn: Voorlichting aan branche - en gebruikersorganisaties, nieuwsbrieven en informatiediensten, ontwikkeling en stimulering van standaarden, onafhankelijke onderzoeken, directory met ASP marktpartijen en een online kenniscentrum. 228. Wat is het ASP Industry Consortium (ASPIC)? Het ASP Industry Consortium was de wereldwijd opererende vereniging die zich bezighield met het promoten van de Application Service Provider industrie. Dit gebeurde onder andere door het sponsoren van onderzoek en het articuleren van strategische en meetbare voordelen van het ASPmodel. ASPIC is inmiddels opgegaan als de Software Services Group van Comptia www.comptia.nl). 229. Wat doet de Software Services Group van Comptia? De Software Services Group van Comptia is ontstaan uit het vroegere ASPIC. CompTIA, the Computing Technology Industry Association, is een non-profit brancheorganisatie met meer dan 10.000 bedrijfsmatige en individuele leden in een markt waar computer- en communicatie technologie steeds meer samenkomen. CompTIA heeft leden in meer dan 50 landen en pretendeert een éénduidige stem te zijn voor de industrie in gebieden als e-commerce standaards, leveranciers onafhankelijke certificeringen, service metrics, public policy en workforce development. Meer dan een kwart miljoen mensen wereldwijd zijn CompTIA gecertificeerd op het gebied van PC service, networking, document imaging, en/of Internet. CompTIA's Software Services Group (SSG) houdt zich bezig met ondemand en utility-computing en biedt haar leden een forum voor samenwerking en voor het stimuleren van adoptie in de gebruikersmarkt. 230. Wat zijn de belangrijkste verschillen tussen ASP Forum Nederland en CompTIA's Software Services Group (SSG)? Het ASP Forum Nederland kenmerkt zich door onafhankelijkheid en het streven naar kennisdeling tussen en participatie van zoveel mogelijk betrokkenen (afnemers, aanbieder en derden). CompTIA's Software Services Group (SSG) heeft meer het karakter van een belangenvereniging voor ASP aanbieders.

231. Waar kan ik meer informatie vinden over ASP, belangenorganisaties, ASP directories et cetera? Voorbeelden van in dit kader interessante sites zijn: - www.aspforum.nl - www.comptia.org/sections/ssg/ - asp.pagina.nl - www.mitopics.nl/asp - www.softwarepakketten.nl - http://aspect.telin.nl - ASPnews.com - ASPisland.com - VNUnet.nl


57


58

Afkortingen en begrippen 232. Wat zijn belangrijke ASP-gerelateerde afkortingen en begrippen? - ASP - Application Service Provider / Providing / Provision - ISV - Independent Service Provider - DC - DataCenter - AIP - Application Infrastructure Provider - MSP- Management Service Provider - SSP- Storage Service Provider - BSP- Business Service Provider - CSP - Content Service Provider - Telco - Telecommaatschappij - SLA - Service Level Agreement - DAP - Daily Agreed Procedures / Dossier van Afspraken en Procedures - SLM - Service Level Management - ITIL - IT Infrastructure Library, Procesgerichte beschrijving van best practices voor het beheren van IT-infrastructuren


59

Over de auteurs Mr drs Lesley Broos is IT-juridisch consultant bij onafhankelijk IT-adviesbureau Mitopics BV te Gouda. Lesley Broos houdt zich in zijn dagelijkse adviespraktijk bezig met IT-juridische ondersteuning van zowel aanbieders als afnemers van IT. Hij doet dit vanuit de cominatie van de disciplines bedrijfskunde, recht en IT. Daarnaast verzorgt de heer Broos regelmatig publicaties, cursussen en lezingen over onder meer: juridische aspecten van IT, Application Service Providing (ASP), Service Level Agreements (SLA's), contractmanagement en IT-outsourcing. Ir Joost Boerstoel studeerde technische informatica op de Universiteit Twente en is consultant bij het onafhankelijke IT-adviesbureau Mitopics BV te Gouda. Inmiddels 7 jaar werkzaam bij Mitopics, is hij betrokken geweest bij en verantwoordelijk voor de uitvoering van uiteenlopende IT-projecten. Joost heeft ervaring in ASP-, beheer- en IToutsourcingsvraagstukken (ervaring in projecten over inrichting van beheerprocessen en diverse Europese Aanbestedingstrajecten voor applicatiebeheer). Daartegenover heeft hij interesses in diverse technische onderwerpen: Internet- en e-mailtechnologie, informatiebeveiliging en methodologie. Weblink: www.mitopics.nl


60

APPLICATION SERVICES ASP mr drs Lesley Broos en ir Joost Boerstoel. Geactualiseerde versie d.d. 30 augustus 2005

Recommend Documents