Zeker 66% van de bedrijven is niet op de hoogte van de consequenties rond SaaS. Dat blijkt uit onderzoek van onder andere de Universiteit van Utrecht naar de perceptie rondom veiligheid en beschikbaarheid van SaaS-oplossingen. Het onderzoek vond bij zowel leveranciers als gebruikers plaats.
Het gebruik van ‘online’ software door bedrijven is de laatste jaren hard gegroeid, echter, tweederde van de bedrijven is zich nog niet bewust van de potentiële risico’s. In 2010 was er al eerder onderzoek naar de mogelijke risico’s en oplossingen bij een faillissement van een SaaS-leverancier.
Nu, negen jaar later, wordt er nog nauwelijks aandacht aan deze risico’s besteed. Klanten onderzoeken de potentiële risico’s zelden en SaaS-leveranciers nemen nog nauwelijks het initiatief oplossingen te ontwikkelen.
Faillissement softwareleverancier
Anno 2019 wordt voor steeds meer belangrijke bedrijfsprocessen SaaS gebruikt die beschikbaar wordt gesteld vanuit de cloud. Denk aan CRM-software, boekhoudsoftware, projectmanagement software, etc. Dat betekent ook het risico om geen eigenaar te zijn van de software te zijn, waardoor de toegang tot hun eigen data in het geding komt. Als bedrijf loop je volgens de onderzoekers ook het risico dat je geen invloed meer hebt op waar en bij wie de data terecht komt. En wat als de SaaSprovider failliet gaat?
Deze gevolgen kunnen leiden tot grote problemen in de continuïteit van de bedrijfsvoering. Denk bijvoorbeeld aan aansprakelijkheidsstellingen omtrent privacy (AVG) en weglopende klanten. De financiële consequenties zijn vooraf vaak niet in te schatten.
Continuïteitsoplossing
Uit het onderzoek blijkt dat de meeste SaaS-leveranciers zich niet verantwoordelijk voelen. De bewustwording en daarmee de eis om continuïteitsoplossingen te implementeren zal dus vooral vanuit klanten moeten komen.
Eénderde van de klanten heeft deze bewustwording inmiddels wel. Daarnaast geven SaaS-leveranciers aan dat een certificering voor bedrijfscontinuiteit zeker van toegevoegde waarde is. Met een dergelijke certificering kunnen SaaS-leveranciers die continuiteitsoplossingen omarmen zich onderscheiden. Groot voordeel voor klanten is dat ze de keuze krijgen zichzelf wel of niet te beschermen tegen de effecten van faillissementsrisico’s.
SaaS schendt AVG
Vorig jaar stelde Brenno de Winter ook al dat SaaS indruist tegen de AVG. De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties immers om persoonsgegevens goed te beveiligen. Wie dienstverleners inzet, moet met hen heldere afspraken hebben. Bij SaaS – software uit de cloud – druist dat in tegen de kern van het businessmodel. Een onoplosbaar probleem?
De verordening verwoordt het mooi. Wie bij de verwerking van persoonsgegevens het doel (waarom deze gegevens worden verwerkt) en de middelen bepaalt (de wijze van verwerking) is ‘verwerkingsverantwoordelijke’ of kortweg: verantwoordelijke. Is er een derde partij ingehuurd om de verwerking voor een deel of helemaal uit te voeren, dan is die de verwerker.
