Duidelijk anders. Outsourcing en cloud. Dorine ten Brink Miranda Top Sarneel. NGB Extra 12 februari 2013

Duidelijk anders Outsourcing en cloud computing een zorg minder? computing: een zorg minder? NGB Extra ‐ 12 februari 2013

Dorine ten Brink Miranda Top‐Sarneel

22

P Programma 16.00 uur 16 00 uur 16.05 uur 16 10 uur 16.10 uur 17.05 uur 17 15 uur 17.15 uur 18.10 uur 18 10 uur 18.10 uur  19.00 uur

Welkom NGB  Welkom NGB ‐ Suzanne Drion Suzanne Drion Welkom ‐ Rutger Ploum Start cursus (Blok I en II) Start cursus (Blok I en II) Pauze Hervatting cursus (Blok III en IV) Hervatting cursus (Blok III en IV) Einde cursus Borrel Einde

33

W lk Welkom Rutger Ploum maatschapsvoorzitter Rutger Ploum, maatschapsvoorzitter

44

F ll Full‐service i kantoor k t • Gestart Gestart in 1995  in 1995 • Gevestigd in Rotterdam  aan de Blaak 28 • Inmiddels > 70 advocaten  en notarissen • Gericht op ondernemers / zakelijke markt  • Internationaal netwerk

55

S ti Secties • Arbeidsrecht • Bestuurs‐ en strafrecht • Commerciële contracten  Commerciële contracten en concurrentie • Corporate Recovery en Corporate Litigation • Ondernemingsrecht g • Notariaat

66

K Kennisdeling i d li • Oranje Oranje Loper  Loper bijeenkomsten • In‐house presentaties  p en trainingen • Nieuwsbrieven • Webinars

77

U Uw sprekers van vandaag k d

Dorine ten Brink

Miranda Top‐Sarneel

IT en Privacy / Commerciële  contracten / Arbitrages contracten / Arbitrages T   010 440 6450 M  06 2269 3380 E    [email protected]

IT en Privacy / Commerciële  contracten/ Aanbestedingen contracten/ Aanbestedingen T   010 404 1183 M  06 2075 1001 E    [email protected]

88

W t Wat gaan we doen vandaag? d d ? • • • •

Blok I: Algemeen/inleiding Blok I: Algemeen/inleiding Blok II: Juridische risico’s outsourcing Pauze Blok III: Contracteren (aan de hand van PON model  sourcings overeenkomst)  sourcings‐overeenkomst) • Blok IV: Outsourcing versus the Cloud

Bron: filipspagnoli.wordpress.com

99

BLOK I ALGEMEEN / INLEIDING BLOK I – ALGEMEEN / INLEIDING

Bron: standardmarketing.ca

10 10

ONDERWERPEN • • • • •

Definities Ontwikkelingen in 2012 Leveranciers Vragen Poll

Bron: pm4web.blogspot.com

11 11

DEFINITIES • Outsourcing: Outsourcing: een verzamelbegrip voor situaties waarbij  een verzamelbegrip voor situaties waarbij een derde bedrijfsfuncties gaat verrichten welke functies  het bedrijf eerder intern verrichtte • Offshoring: wanneer deze derde de bedrijfsfuncties gaat  verrichten vanuit lage lonen landen als bijvoorbeeld  Brazilië, India of China (BRIC‐countries), Philippijnen, etc. • Cloud computing: verzamelnaam voor technologieën en  di t di diensten die gericht zijn op het gebruik van IT‐ i ht ij h t b ik IT applicaties, rekenkracht en opslag op afstand via het  internet (definitie van gezamenlijke Europese internet (definitie van gezamenlijke Europese  privacytoezichthouders) • SaaS, PaaS, IaaS , ,

12 12

ONTWIKKELINGEN IN 2012 ONTWIKKELINGEN IN 2012 • • • • •

Overzicht deals Overzicht deals Opvallend in 2012 Toename insourcing Toename insourcing Toename clouddiensten Te verwachten in 2013 Te verwachten in 2013

13 13

O Overzicht deals in 2012 i ht d l i 2012 • 28 deals (versus 37 in 2011) 8 dea s ( e sus 3 0 ) • Een paar grote nieuwe deals p g 9 Het Kadaster (CapGemini) 9 Het UWV (KPN Corporate Market) 9 Het Openbaar Ministerie (CapGemini) • Voor de rest: kleinere deals en verlengingen 9 Shell (T‐Systems) – datacenter en ict‐diensten 9 Rabobank (Ordina) – R b b k (O di ) applicatiediensten li i di 9 Unilever (CapGemini) – bpo financiële diensten

14 14

O ll d i 2012 Opvallend in 2012 • ‘Triple Triple dip dip’:: derde fase kredietcrisis derde fase kredietcrisis • Grote deals zijn zeldzaam geworden • Grote leveranciers moeten daarom over de  Grote leveranciers moeten daarom over de landsgrenzen heen • Drijfveer: krimpende budgetten Drijfveer: krimpende budgetten en kostenreducties en kostenreducties 9 Roep om fikse kortingen (m.n. bij verlengingen) 9 Klant vaker bereid om met bestaande leverancier  Klant vaker bereid om met bestaande leverancier verder te gaan (vermijden extra transitiekosten) • Nauwere samenwerking vereist om doelstelling  g g kostenreductie te realiseren → vraagt om creativiteit • ‘Heilige huisjes’ niet langer onbespreekbaar

15 15

T Toename insourcing i i in 2012 i 2012 • Opdrachtgevers Opdrachtgevers nemen ICT weer in huis of overwegen  nemen ICT weer in huis of overwegen dit te doen • Ontevredenheid leverancier • Zelf goedkoper of beter • Van Lanschot Van Lanschot Bankiers (2008: IBM)  Bankiers (2008: IBM) – 70 ICT 70 ICT‐ers ers terug • Aegon – datacenters en werkplekbeheer (EDS/HP)

16 16

T Toename clouddiensten l ddi t • • • • •

Steeds meer organisaties nemen clouddiensten Steeds meer organisaties nemen clouddiensten af Gespecialiseerde leveranciers en systeemintegrators Markt is aanbodgedreven Markt is aanbodgedreven Leverancier bepaalt inhoud en kwaliteit Meer onafhankelijke rol die opdrachtgever laatste jaren Meer onafhankelijke rol die opdrachtgever laatste jaren  versus leverancier innam, neemt weer af • Aanpassingen (vooralsnog) niet/beperkt mogelijk Aanpassingen (vooralsnog) niet/beperkt mogelijk • Google buigt alleen voor grote multinationals • Kostenverlaging door standaardisatie Kostenverlaging door standaardisatie

17 17

T Te verwachten in 2013 (i) ht i 2013 (i) • ‘Heilige huisjes’ niet langer onbespreekbaar  e ge u sjes et a ge o besp ee baa 9 Online werkplekken (PostNL) p j pp 9 Uitbesteden primaire bedrijfsapplicaties 9 Uitbesteden van eigen datacenters 9 Verticale sourcing per applicatie of applicatiecluster  (i.p.v. horizontale sourcing) • A Agressiever optreden traditionele spelers i t d t diti l l 9 Sneller conflicten met opdrachtgevers 9 Sneller conflicten met onderaannemers Sneller conflicten met onderaannemers 9 Aanvechten voorlopige gunningen in  aanbestedingstrajecten g j

18 18

T Te verwachten in 2013 (ii) ht i 2013 (ii) • Hercontractering met grote kostenfocus met grote kostenfocus 9 kosten nog steeds belangrijkste drijfveer 9 kostenverlaging door standaardisatie kostenverlaging door standaardisatie 9 meer creativiteit • Opdrachtgevers – Opdrachtgevers – nog scherper: wat wel/wat niet nog scherper: wat wel/wat niet 9 kansen voor leveranciers die permanente dialoog  aangaan 9 openheid van cloudleveranciers (integratie  oplossingen) p g ) 9 samenwerking door cloudleveranciers (overgang;  exit)

19 19

LEVERANCIERS • Traditionele Traditionele spelers spelers • Grote concurrent: de Indiërs • Hoe doen ze het? Hoe doen ze het?

20 20

T diti Traditionele dienstverleners l di t l • CapGe CapGemini, Atos, HP, IBM en Ordina , tos, , e Od a • Via Wovo veel werknemers binnengekregen 9 vaak ouder en 9 relatief duur • ‘Melting pot’ van bedrijfsculturen 9 energie, tijd en geld om tot 1 organisatie om te  vormen • Druk van hoofdkantoren (Frankrijk, UK, USA) – D k h fdk t (F k ijk UK USA) keuze:  k 9 ‘global delivery model’ (achterstand op lokale  spelers) 9 lokaal model (te groot) g ( ) 9 Logica (Canadese CGI)

21 21

G t Grote concurrent: de Indiërs t d I dië • Indiase Indiase offshore bedrijven doen het goed offshore bedrijven doen het goed • Tevredenheidsonderzoek KPMG: Indiërs bovenaan in NL  p én in Europa • Vermijden publiciteit • Traditioneel sterk op applicatiediensten Traditioneel sterk op applicatiediensten • Winnen terrein bij infrastructuurdienstverlening • KPN (Tech Mahindra)  KPN (Tech Mahindra) ‐ applicatiediensten • Aegon (HCL) ‐ applicatiediensten • EU‐aanbestedingen? EU aanbestedingen?

22 22

H d Hoe doen ze het? h t? • Indiase Indiase partijen partijen 9 homogene organisatie 9 dingen selectief mee met deals dingen selectief mee met deals 9 ‘here to stay’  9 TCS hoofdsponsor Marathon A TCS hoofdsponsor Marathon A’dam dam + HQ + HQ • Maar: Maar: let ook op de  let ook op de ‘lokalo’s’ lokalo s  (Cegeka, Nobel, Inter (Cegeka Nobel Inter Access, Centric)

23 23

VRAGEN?

Bron: radicalsanity.wordpress.com

24 24

POLL Is het bezwaarlijk om een helpdesk in India te hebben?  • Ja? • Nee?

25 25

BLOK II JURIDISCHE RISICO’S OUTSOURCING BLOK II – JURIDISCHE RISICO’S OUTSOURCING

Bron: http://www.funnytimes.com/

26 26

JURIDISCHE RISICO’S JURIDISCHE RISICO’S • • • • •

(Gebrek aan) Controle (Gebrek aan) Controle Beveiliging Privacy Compliance Personeel

27 27

(G b k (Gebrek aan) Controle )C t l

28 28

C t l t l Controletools • Rapportage service levels • TPM ten aanzien van processsen • Audit door EDP‐auditor (of IT‐auditor) • Benchmark

29 29

C t l Service Level Agreement Controle – S i L lA t Se ce e e s Service levels • Formulering service levels g = vertaling van diensten naar  g indicatoren (specifieke, minimumvereisten) 9 Beschikbaarheid B hikb h id 9 Verwerkingssnelheid 9 Capaciteit 9 Gebruiksvriendelijkheid/klanttevredenheid 9 Wijzigbaarheid 9 Efficiëntie ondersteuning (response vs. herstel) esc baa e d e pdes 9 Beschikbaarheid helpdesk 

30 30

C t l Service Level Agreement Controle‐ S i L lA t • Service Service level als resultaatsverplichting?  level als resultaatsverplichting? 9 Formulering • Bonus/malus of service credits;  9 daarnaast ook nog schadevergoeding? daarnaast ook nog schadevergoeding? 9 en/of ontbinding?  • Verzuim? • Rechtvaardigt ontbinding tekortkoming?

• Rapportage 9 Real time 9 Online toegankelijk

31 31

C t l TPM Controle ‐TPM Third Party Mededeling Party Mededeling • Hoe vaak? 9 Denk ook aan kosten

• Welke inhoud;  9 Alleen processen of ook werkelijke naleving afspraken

• Verschillende typen standaard TPM, vaak uit  Amerikaanse toezichtpraktijk: 9 Voorheen SAS 70 type I (beschrijving beheersmaatregelen) en  type II (testen), nu SSAE16 te vinden op www.isae‐16.com. SOC  2 en 3 ten aanzien van “Trust 2 en 3 ten aanzien van  Trust Service Principles Service Principles” 9 ISAE3402, type A en B, www.ISAE3402.nl (register)

32 32

C t l inhoud TPM Controle‐ i h d TPM Inhoud verklaring: g • Reikwijdte  9 kwaliteit en/of proces kwaliteit en/of proces • Looptijd  onderzoek 9 momentopname of gedurende bepaalde periode • Verversing 9 hoe vaker hoe duurder • Soorten processen Controle over onderaannemers • Controle over onderaannemers

33 33

C t l eigen auditor Controle‐ i dit Audit ud t • Welk type auditor 9 EDP of IT of ander soort

• Hoe vaak? 9 Hoe vaker hoe duurder, impact op organisatie leverancier 9 Te allen tijde? Te allen tijde?

• Waar kijkt de auditor naar? 9 Proces goed ingeregeld of daadwerkelijke nakoming g g g j g

• Wie draagt de kosten? 9 Afhankelijk van uitkomst

• Waarin inzage? 9 Geheimhouding, zeker bij beursgenoteerde ondernemingen

34 34

C t l Benchmark Controle ‐ B h k Benchmark =  toets verhouding kosten /kwaliteit aan marktstandaard • Welke diensten 9 Vaak ondoorzichtige opbouw tarieven • Alleen op prijs of ook op kwaliteit • Met  welke andere marktpartijen Met welke andere marktpartijen • Methode vergelijking en inhoud vraag ( j p j ) • Wanneer (bijvoorbeeld pas na aantal jaar) • Door welke partij en hoe benoemen • Gevolgen benchmarkresultaat; prijswijziging met of zonder  mogelijkheid tot tussentijdse beëindiging door leverancier  lijkh id ijd b ëi di i d l i (als de prijzen moeten dalen) of klant (als de prijs moet  stijgen)

35 35

B ili i Beveiliging gegevens

36 36

B ili i Beveiligingsrisico’s en maatregelen ii ’ t l Risico’s: • Vertrouwelijkheid gegevens  • Zijn de gegevens in te zien door onbevoegde partijen  (onderscheppen, ontfutselen, hacken en/of openbaarmaken) (onderscheppen, ontfutselen, hacken en/of openbaarmaken)

• Integriteit gegevens • Is de inhoud van de gegevens gewijzigd?

• Beschikbaarheid gegevens • Zijn de gegevens verwijderd zonder toestemming eigenaar?

Maatregelen: • • • • •

Netwerkbeveiliging  (encryptie, firewalls) Systeembeveiliging  (inlogcodes, gebruikersnamen  Authenticatieprocessen (Certificaten, tokens) (Certificaten tokens) Fysieke beveiliging (toegangscontrole) Preventie, detectie en correctie

37 37

B ili i Beveiligingsrisico hanteren ii h t • Eisen Eisen voor beveiliging zwaarder naarmate de gegevens  voor beveiliging zwaarder naarmate de gegevens gevoeliger zijn; dataclassificatie  9 Kritische gegevensstromen: identificatie, impactanalyse en  risicobeheersplan 9 Vooraf bekijken hoe risicoanalyses uit te voeren en welke  vormen van schadevergoeding en/of boetes wenselijk zijn  g g / j j

• Nieuwe beveiligingstechnologie en het uitvoeren van  g g g controles en audits; kostenbesparing? 

38 38

B ili i Beveiligingsstandaarden t d d • Beveiligingsstandaards 9 Zie voor voorbeelden www.enisa.europe.eu • Juridische bruikbaarheid standaards 9 Welke standaard te gebruiken? Welke standaard te gebruiken? 9 Wat als de standaard niet wordt nagekomen? Wat als de standaard niet wordt nagekomen? • RBC/Brinkers (Hof Den Haag 8 maart 1984 en HR 11 april 1986) • Telespectrum MVS/ Tri‐Ennium (Rb. Rotterdam 22 augustus 2012,  LJN BX7295 ) V LJN BX7295 ) Verantwoordelijkheid voor hack? t d lijkh id h k?

9 Beveiligingsnormen als onderdeel SLA Beveiligingsnormen als onderdeel SLA

39 39

B ili i Beveiligingsgaranties door Leverancier ti d L i • Volledige en duidelijke informatie over en toegang tot alle  documentatie  inzake beveiligingsrichtlijnen en ‐maatregelen  • Te allen tijde beschikbare informatie over de locatie,  integriteit, beschikbaarheid en vertrouwelijkheid van de  data  data • Onmiddellijk informeren van klant ingeval van een lek of  incident  • Recht klant om periodieke controles uit te voeren met  afspraken over toegankelijkheid data  • Volledige medewerking aan (ook forensisch) onderzoek,  risicobeheersing en schadebeperking • Vernietiging data na einde overeenkomst (na retransitie)! Vernietiging data na einde overeenkomst (na retransitie)!

40 40

B ili i Beveiliging ‐ wat zijn de legal t ij d l l remedies? di ? • Aansprakelijkheid? Zorgplicht leverancier, maar ook eigen  j verantwoordelijkheid  klant  • Maar voor wat? Maar voor wat? 9 Reputatieschade 9 Verlies aan concurrerend vermogen 9 Claims betrokkenen persoonsgegevens

Lastig aan te tonen! Boete?

41 41

B ili i Beveiliging‐ verantwoordelijkheid gebruiker t d lijkh id b ik Eigen verantwoordelijkheid gebruiker Eigen verantwoordelijkheid gebruiker • Goed opdrachtgeverschap; meebepalen, beoordelen,  g controleren en afdwingen • Due diligence uitvoeren voor overeenkomst en eigen  diligence uitvoeren voor overeenkomst en eigen beveiligingsbeleid op orde • Hack is niet zonder meer reden voor ontbinding  overeenkomst;  – Triple P/CMS (Rb. Utrecht 17 oktober 2012, zaaknr. 308617/HA ZA11‐1288)

42 42

Pi Privacy

Bron: thedailydose.com

43 43

W tB h Wet Bescherming Persoonsgegevens i P • Alle Alle handelingen met handelingen met behulp van een computer op  behulp van een computer op gegevens die direct of indirect te herleiden zijn tot een  natuurlijk persoon (“persoonsgegevens”).  • Persoonsgegevens; bijvoorbeeld HR‐administratie,  gegevens van klanten, gegevens over gebruik netwerk  door medewerkers  • Verwerking in overeenstemming met vooraf bepaalde  d l lli doelstellingen d door verantwoordelijke of bewerker d lijk f b k (behoorlijk, zorgvuldig, toereikend,ter zake dienend en proportioneel)

44 44

Pi Privacy – verantwoordelijke en bewerker t d lijk b k Verantwoordelijke =  Verantwoordelijke Partij die het doel en de middelen voor verwerking  bepaalt p Dus: klant Bewerker = Partij die in opdracht van de verantwoordelijke gegevens Partij die in opdracht van de verantwoordelijke gegevens  verwerkt Dus: leverancier

45 45

V li hti Verplichtingen verantwoordelijke t d lijk • Niet langer bewaren dan noodzakelijk (artikel 10 Wbp) Niet langer bewaren dan noodzakelijk (artikel 10 Wbp) • Beveiliging; Beveiliging; passende technische en organisatorische  passende technische en organisatorische maatregelen (artikel 13 Wbp) • Bewerkersovereenkomst (artikel 14 WBP) – Voldoende waarborgen beveiliging g g g – Toezien op naleving 

46 46

Juridische consequenties overtreding privacywetgeving Juridische consequenties overtreding privacywetgeving

• Last onder dwangsom, bestuursdwang, bestuurlijke  g g g g boete door College Bescherming Persoonsgegevens  (CBP) – Ten hoogste EUR 4500,=

• Strafrechtelijke boete van tweede categorie  – Ten hoogste EUR 3900,=

• Betrokkene kan naar de rechter om rechten af te  dwingen • Publicatie door CBP op www.cbpweb.nl P bli i d CBP b b l Maar: concept‐privacyverordening!

47 47

Pi Privacy – E Exporteren gegevens  t • Buiten EU alleen aan landen met een passend  g ( p) beschermingsniveau (artikel 76 Wbp) • Safe Harbour Safe Harbour • EU Model Clauses EU Model Clauses (in plaats van vergunning) (in plaats van vergunning) • Patriot Act Patriot Act

48 48

Pi Privacy ‐ ontwikkelingen t ikk li • Concept‐Privacyverordening (25 januari 2012) – Verdergaande toezichtverplichting en verantwoordingsplichten g p g gp – Hogere boetes (tot 2% van de wereldwijde jaaromzet) – Meldplicht lek

• Binding Corporate Rules

49 49

C Compliance li Externe regelgeving Externe regelgeving • Sectoraal;  – financiële sector onder meer 1.1, 3:18 en 4:16 Wet Financieel  , Toezicht  – “professional services firms”; Wet toezicht  Accountantskantoren – Post‐ en telecomsectoren

• Concentratietoezicht Concentratietoezicht (3 lid 1 Concentratieverordening en  (3 lid 1 Concentratieverordening en 24 Mededingingswet) • Arbeidsrecht (OR en Wet Overgang Onderneming) ( g g g) • Fiscaal recht • IE

50 50

C Compliance li • Interne Interne regelingen regelingen Beleidsregels, compliance framework • Soms: Specifieke regelgeving betreffende dienst  (bijvoorbeeld uitbesteding Finance and accounting) (bijvoorbeeld uitbesteding Finance and accounting) MAAK COMPLIANCE CHART MAAK COMPLIANCE CHART

51 51

P Personeel l

Bron: tilburgers.nl

52 52

O Overgang personeel bij aanvang overeenkomst l bij k t 7 : 662‐666 7 : 662 666 BW en Richtlijn Overgang van Onderneming BW en Richtlijn Overgang van Onderneming – Werknemers gaan mee bij overgang van een onderneming naar  een andere ondernemer, met behoud van dezelfde  arbeidsvoorwaarden (ook pensioen!) b d d ( k !) – Onderneming =economische eenheid  =  identiteitsbehoud : • Aard onderneming;  Aard onderneming; – Arbeidsintensief; als wezenlijk deel (zowel aantal als inhoud)  personeel mee overgaat » HBG/Getronics (Hof Den Haag  12 juni 2008 LJN BD5399)

– Kapitaalintensief; als materiële activa overgaan – Gemengd ook mogelijk – Altijd omstandigheden van het geval j g g

– Dezelfde werkzaamheden na overname?

53 53

O Overgang personeel bij einde overeenkomst l bij i d k t Overgang werknemers bij einde overeenkomst? Overgang werknemers bij einde overeenkomst? 9 Is er sprake van een onderneming die overgaat op de  p g g opvolgende leverancier? Vaak is de afdeling die eerder is  geoutsourced ontmanteld/verwaterd 9 Norm: meer dan 50% tijd aan de klant besteed, dezelfde  locatie als voorheen werken? 9 Regel in nieuwe outsourcingscontract alvast en/of geef  als opdrachtgever aan de opvolgende leverancier de  opdracht om personeel over te nemen 9 Mogelijke oplossing: inzet personeel oude  M lijk l i i l d dienstverlener gedetacheerd bij nieuwe dienstverlener

54 54

VRAGEN?

55 55

POLL Privacyrisico’s zijn meer een theoretisch dan een  reëel risico voor de outsourcende partij: reëel risico voor de outsourcende • •

Eens? Oneens?

56 56

BLOK III CONTRACTEREN  BLOK III – CONTRACTEREN

Bron: cagle.com

57 57

PON MODELSOURCINGSOVEREENKOMST PON ‐ • Vereniging Vereniging PON  PON ‐ onafhankelijk • Uitgangspunt: “volwassen klant en leverancier,  p j Nederlandse partijen” • Evenwichtig model “als voorbeeld of ter inspiratie eigen  contract” • http://platformoutsourcing.nl/profiles/blogs/pon‐ modelcontractering

58 58

C t td Contractdocumenten t • • • • • • •

Overname overeenkomst (activa  Overname overeenkomst (activa – passiva transactie) passiva transactie) Dienstverleningsovereenkomst (outsourcing) SLA DAP (Dossier Administratieve Procedures) Transitieplan Transformatieplan Retransitieplan

59 59

O Overname, transitie en transformatie t iti t f ti • Overname Overname van activa (en passiva) door leverancier van activa (en passiva) door leverancier • Transitieperiode → verantwoordelijkheid voor diensten  g wordt overgeheveld naar leverancier • Transformatie → zo nodig worden diensten  getransformeerd: standaardisatie + kostenefficiency • Let op: PON contract regelt niet HOE p g • Do: uitwerken in Transitieplan en in Transformatieplan • Do: van inspanningsverbintenis via acceptatieprocedure  p g p p naar resultaatsverbintenis

60 60

I Inzoomen op transitie (i) t iti (i) • Transitie: de periode direct na de overname • Langdurig proces, zelden volgens initiële planning • Wat zijn de (juridische) opties voor de klant bij  vertraging of andere problemen in deze fase? – Boete (incentive en vaak forfaitaire schadevergoeding) en/of  schadevergoeding – Opschorting betaling of verrekening Opschorting betaling of verrekening – Ontbinding: lastig en risicovol

61 61

I Inzoomen op transitie (ii) t iti (ii) • Is Is er sprake van een (dreigende) tekortkoming; te late of  er sprake van een (dreigende) tekortkoming; te late of gebrekkige oplevering (vaak allebei)? • Uitgangspunt bij IT‐projecten:  9 termijn is in beginsel niet fataal: Rb Amsterdam 7  termijn is in beginsel niet fataal: Rb Amsterdam 7 april 2004 (Masalco/PinkRoccade), IT en Recht nr. IT  8  9 fatale termijnen kunnen fatale karakter verliezen  door handelen of nalaten schuldeiser, onder meer  Rb U Rb Utrecht 21 mei 2008 (Arbo h 21 i 2008 (A b Unie/PQR) en Rb  U i /PQR) Rb Utrecht 8 juli 2009 (Raindrop Information Systems  Ltd /ASR Vermogensbeheer BV) Ltd./ASR Vermogensbeheer BV)

62 62

Al Algemene verplichtingen leverancier (i) li hti l i (i) • “Voldoen Voldoen aan de mate van zorgvuldigheid die van een  aan de mate van zorgvuldigheid die van een redelijk handelende, bekwame en professionele  leverancier onder vergelijkbare omstandigheden en  onder vergelijkbare contractuele voorwaarden geëist  mag worden” • RBC/Brinkers (Hof Den Haag 8 maart 1984 en HR 11 april  1986) • Jurisprudentie beroepsaansprakelijkheid J i d ti b k lijkh id • Redelijk handelend en bekwaam  automatiseringsadviseur

63 63

Al Algemene verplichtingen leverancier (ii) li hti l i (ii) • Eigen Eigen personeel voldoende vertrouwd maken met  personeel voldoende vertrouwd maken met organisatie klant • Trainingen verzorgen voor klant g g • Naleving huisregels klant • Naleving wet Naleving wet‐ en regelgeving en regelgeving • Vereiste vergunningen (+ vrijwaring, optioneel) • Maar niet: inlenersaansprakelijkheid • Weer wel: naleving sectorspecifieke wetgeving (toezicht  Weer wel: naleving sectorspecifieke wetgeving (toezicht door AFM en DNB)

64 64

Al Algemene verplichtingen klant li hti kl t • • • •

Spiegelbeeld verplichtingen leverancier Spiegelbeeld verplichtingen leverancier Mate van zorgvuldigheid redelijk bekwame klant Naleving wet‐ en regelgeving Naleving wet en regelgeving Eigen personeel vertrouwd maken met diensten en  gebruiksmogelijkheden → “Hidden gebruiksmogelijkheden →  Hidden services services”!! • Redelijkerwijs medewerking verlenen aan leverancier • HELP: de partnerschip HELP: de partnerschip‐gedachte! gedachte!

• Do: Do: Houd taken en verantwoordelijkheden scherp en  Houd taken en verantwoordelijkheden scherp en vermijd vermenging • Do: Verwachtingspatroon klant goed definiëren gp g

65 65

H d Hardware, software en IE‐rechten ft IE ht • Verkrijgen, in stand houden en betalen licenties en  e jge , sta d oude e beta e ce t es e onderhoudsvergoedingen software en hardware • Do: deze verplichting verder uitwerken (gangbare  types/versies; nieuwe ontwikkelingen; anticipatie op  / kk l evt. exit bij aanschaf/vervanging) • Maatwerk Do: uitwerken akte van overdracht (incl. documentatie) • Do: uitwerken akte van overdracht (incl. documentatie) • Do: garantie geen inbreuk op rechten derden (bovenop  vrijwaring) • Do: algemene kwaliteitseisen • Do: license back regelen

66 66

A Aansprakelijkheid, garanties en vrijwaringen (i) k lijkh id ti ij i (i) • Aansprakelijkheid Aansprakelijkheid directe schade directe schade • Cap per event, met een maximum per jaar • Aansprakelijkheid voor indirecte of gevolgschade  Aansprakelijkheid voor indirecte of gevolgschade uitgesloten • Do (leverancier): uitbreiden buitencontractuele  aansprakelijkheid → ongeacht rechtsgrond p j g g • Do (leverancier): Himalaya‐clausule (derdenbeding ex  art. 6:253 BW) – positie hulppersoon • Do (leverancier): exoneraties toeleverancier back‐to‐ back doorzetten 

67 67

A Aansprakelijkheid, garanties en vrijwaringen (ii) k lijkh id ti ij i (ii) • Reikwijdte Reikwijdte exoneratie exoneratie • Ook voor garanties? • Ook voor vrijwaringen? Ook voor vrijwaringen? • Do: zolang onduidelijk → regelen! Do: zolang onduidelijk → regelen! • Bonus‐malus regeling Bonus malus regeling • Verzekeringsplicht • Parent company guarantee Parent company guarantee

68 68

B ëi di i Beëindiging en exit it • • • •

Gebruikelijke opzegmogelijkheden Gebruikelijke opzegmogelijkheden Exit fees Ontbindingsbevoegdheid bij Verzuim Ontbindingsbevoegdheid bij Verzuim Iedere tekortkoming

• Gedragscode Retransitie: vergoeding op time and  material basis • Do: exitregeling uitwerken van tevoren • Do: onderscheid maken naar reden voor beëindiging Do: onderscheid maken naar reden voor beëindiging • Do: verbod voor leverancier om op te schorten

69 69

C t t Contracteren in de cloud i d l d (i) • Nauwelijks onderhandelbare toetredingscontracten Nauwelijks onderhandelbare toetredingscontracten • Kwalificatie Kwalificatie contract? contract? 9 Uitsluitend licentie? 9 Hostingdiensten? 9 Leasing of huur? (infrastructuur) 9 Sui generis of Benoemde overeenkomst? of Benoemde overeenkomst?

70 70

C t t Contracteren in de cloud i d l d (ii) • Opbouw 9 Terms and conditions 9 SLA ( SLA (“as as is is”, scheduled scheduled maintenance, service credits) maintenance service credits) 9 Acceptable Use Policy 9 Afzonderlijke Privacy Policy Afzonderlijke Privacy Policy • Privat cloud of Public cloud? of Public cloud? • Gratis / tegen vergoeding? • Aard dienstverlener?  Aard dienstverlener?

71 71

VRAGEN?

Bron: cloudtweaks.com

72 72

POLL Gaat u het PON‐contract gebruiken? • Ja? • Nee?

73 73

BLOK IV OUTSOURCING VERSUS THE CLOUD  BLOK IV – OUTSOURCING VERSUS THE CLOUD

74 74

O t Outsourcing i vs. Cloud Cl d • Geen uitonderhandelde contracten Geen uitonderhandelde contracten – standaarddienstverlening

• Gespreide (internationale) opslag gegevens – Onbekende datalocatie (praktische (on) uitvoerbaarheid  audits)  ) – Gedeeld gebruik gegevensdragers (manipulatie mogelijk?) – Data veel  Data veel “in in transit transit” (verhoogde kans op dataverlies) (verhoogde kans op dataverlies) – Data moeilijk te wissen. • Enisa, “Cloud Computing ‐ benefits, risks and recommendations for information  security”, november security november 2009 (hierna:  2009 (hierna: “Rapport Rapport Enisa Enisa”)), p. 38. Te vinden op  p 38 Te vinden op http://www.enisa.europa.eu/act/rm/files/deliverables/cloud‐computing‐risk‐ assessment, Rapport Enisa, p. 10.

• Geen overgang van werknemers Geen overgang van werknemers

75 75

Outsourcing vs. Cloud vs Cloud • Privacy – Andere rollen verantwoordelijke, bewerker en veel  j , subbewerkers – Zienswijze CBP inzake cloud computing http //www cbpweb nl/downloads med/med 20120910 http://www.cbpweb.nl/downloads_med/med_20120910‐ zienswijze‐toepassing‐wbp‐SURFmarket‐cloud‐computing.pdf – Opinie Artikel 29 werkgroep (EU) over Cloud computing 05/2012  http://www.cbpweb.nl/Pages/med_20120703_europese‐ opinie‐cloudcomputing.aspx p p g p

76 76

O t Outsourcing i vs. Cloud Cl d • Internationaal Internationaal Privaatrecht relevanter? Privaatrecht relevanter? – Cloud valt binnen het bereik van de Rome I‐ / ) , verordeningg ((Vo. 593/2008) = dienstenovereenkomst,  want er wordt een welbepaalde activiteit verricht  tegen vergoeding (i.t.t. licentieovereenkomst) – Forumkeuze (geldigheid bepalen aan de hand van het  gekozen recht) – Bij forumkeuze wel sommige dwingendrechtelijke  bepalingen van toepassing land gewoonlijke  verblijfplaats leverancier verblijfplaats leverancier

77 77

O t Outsourcing i vs. Cloud Cl d

Europese cloud:  Europese cloud: • http://ec.europa.eu/information_society/activities/clou dcomputing/index en.htm dcomputing/index_en.htm

78 78

VRAGEN?

Bron: cloudtweaks.com

79 79

POLL Adviseert u de Raad van Bestuur vanuit juridisch oogpunt  , g of de  de duurdere, klassieke maatwerkoutsourcing goedkopere, standaard cloud? • •

Outsourcing? Cloud?

80 80

B d kt Bedankt voor uw aandacht d ht