Escrow voor clouddiensten: een wassen neus

Levert escrow nog wel de zekerheid die je wil? Zorgt escrow bij clouddiensten voor continuïteit van de dienstverlening? Waarschijnlijk niet! De escrow-regeling is bij clouddiensten een schijnzekerheid.  De escrow-regeling is over komen waaien uit het Angelsaksische recht en wordt ook in Nederland al jaren gebruikt. Het doel is vaak om de klant de zekerheid te geven dat de software ook na een eventueel faillissement van de leverancier over de software kan beschikken. Dit doel wordt voor clouddiensten niet bereikt. Hieronder leg ik uit waarom en bied ik een praktische checklist aan waarmee u uw huidige escrow-overeenkomsten kan controleren op actualiteit en juistheid.

Hoe werkt de klassieke escrow-regeling?

Bij klassieke escrow geeft de leverancier van software de broncode in bewaring bij een escrow-agent of een bewaarnemer (bijvoorbeeld een notaris). Deze partij bewaart een kopie van de broncode in een kluis tot het moment dat de leverancier niet meer in staat is de software te onderhouden (bijvoorbeeld in geval van een faillissement). Middels een escrow-overeenkomst verkrijgt de klant op dat moment de kopie van de broncode inclusief een gebruiksrecht van de leverancier (licentie).

Wat gebeurt er praktisch na faillissement bij klassieke escrow?

De klant krijgt de kopie van de broncode en het is dan aan hem om er voor te zorgen dat hij de technische middelen heeft om dit te gebruiken. Bij klassieke software levert dit voor een klant de mogelijkheid om de software te onderhouden. De beschikbaarheid van klassieke software komt niet direct in gevaar aangezien het ‘on premise’ op de systemen van de klant draait. Bij clouddiensten ligt dat anders.

Waarom is de klassieke escrow niet genoeg voor de cloud?

De meeste bedrijven maken gebruik van een clouddienst zodat ze de technische kennis en faciliteiten niet in huis hoeven te halen. Het zal daarom doorgaans nogal een belasting zijn voor klanten van clouddiensten wanneer zij de software (broncode) opeens zelf moeten virtualiseren en onderhouden. Mocht een klant daar wel toe in staat zijn dan kunnen de volgende zaken roet in het eten gooien.

Sinds het Nebula-arrest van 2006 is de constructie juridisch onhoudbaar geworden. Na dit arrest van de Hoge Raad is het niet langer zeker dat de escrow-overeenkomst zekerheid oplevert in geval van een faillissement. (lees hier meer).

Bovendien bestaat een clouddienst uit meer dan alleen broncode. Wanneer software als een dienst wordt aangeboden draait de software niet op de systemen van de klant zelf. De software draait op de servers van de leverancier of bij een externe hostingpartij. Wanner de hosting uitvalt is de toegang tot de software verbroken. Wanneer je als klant van een clouddienst de broncode tot je beschikking hebt zal er een hostingomgeving moeten worden ingericht om een overeenkomstig gebruik te bereiken. Als dit al mogelijk zou zijn voor een gebruiker van de SaaS-dienst kost het tijd voordat het systeem weer operationeel is.

Belangrijker: klassieke escrow houdt geen rekening met data. Logisch, want in de klassieke situatie draait de software bij de klant dus die heeft de data al. Maar bij een clouddienst staat de data bij de leverancier. Het terugkrijgen van de data na een faillissement van de leverancier is niet gewaarborgd met enkel het verkrijgen van de broncode. Dit probleem kan opgelost worden met een aparte data-escrow, maar alleen als de data in een uitleesbaar formaat in bewaring wordt gegeven en regelmatig geüpdatet wordt.

Hoe zou escrow in de cloud dan wél moeten werken?

Wil je de continuïteit van een clouddienst goed regelen zullen er andere maatregelen genomen moeten worden waarbij de bovengenoemde problemen worden opgelost. Bent u klant of leverancier van een clouddienst en wil u weten of uw escrow-regeling nog nut heeft? Loop dan de checklist op cloudrecht.nl na.


Hugo Atzema is juridisch adviseur bij ICTRecht. In 2012 heeft hij aan de Rijksuniversiteit Groningen de master Recht & ICT (Informaticarecht) afgerond. Tijdens zijn studie heeft hij ook ervaring in het buitenland opgedaan aan de University of East Anglia in Norwich (GB). Naast interesse in cookies heeft Hugo een brede interesse op het gebied van IT en recht. Hij houdt zich binnen ICTRecht met name bezig met Cloudrecht en start-ups.

Dit artikel verscheen op 7 mei 2014 op cloudrecht.nl en is met toestemming op ISP Today gepubliceerd.