image

Juridische vraag: mag leverancier auditor langssturen?

woensdag 30 december 2015, 10:45 door Arnoud Engelfriet, 5 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: we hebben (eindelijk) een legacy-softwarepakket kunnen vervangen door iets nieuws. Nu wil de leverancier daarvan de garantie dat we deze volledig hebben verwijderd, en daarvoor willen ze hun auditor langs laten komen. Zijn wij verplicht hieraan gehoor te geven? En mag deze dan ook backups en dergelijke bekijken?

Antwoord: Als je een softwarelicentie beëindigt, ben je verplicht de software te verwijderen van alle systemen waar deze op in gebruik was. Het is dan ook niet gek dat de leverancier bevestiging wil dat dit is gebeurd.

Moderne software heeft vaak een constructie met licentiesleutels of periodieke activatie. Dan is het buiten gebruik stellen van die software vrij eenvoudig; maak de sleutel ongeldig of deactiveer de code.

Deze software heeft een dergelijke feature nog niet, dus zal men iets anders moeten verzinnen. Een schriftelijke verklaring vanuit de klant "Wij hebben alles gewist, beloofd" is dan wel het minste dat je kunt doen.

Als de leverancier dat niet kan of wil accepteren, dan is een audit de logische vervolgstap. Gebruikelijk is wel dat een onafhankelijk iemand die audit uitvoert, ook omdat er dan geen bijvangst (wat draaien jullie nu) bij de leverancier terecht komt.

Een audit is iets dat expliciet afgesproken moet zijn. Zonder afspraak is er eigenlijk geen grond om een audit uit te mogen voeren. Er is weliswaar artikel 843a Rechtsvordering dat een wettelijke plicht tot afgifte van bepaalde documenten betreft, maar dat gaat niet zo ver dat je kunt afdwingen dat je langs mag komen om documentatie te máken. Als aannemelijk te maken is dat de administratie er gewoon is, dan kun je die wel opeisen. Maar voor compliance bij het wissen van software heb ik deze route nog niet gezien. Dus ik zou zeggen: als het contract spreekt van audits, dan mag het, anders niet.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (5)
30-12-2015, 12:58 door Anoniem
wat ik dan wel een intressante vraag zou vinden is waar de desbetreffende 'onafhankelijke' auditeur allemaal mag kijken. Ik zit er als security engineer niet op te wachten dat er iemand door mijn complete netwerk grasduint. Helemaal niet met de nieuwe privacy richtlijn die per 1 januari wordt gestart.
30-12-2015, 18:35 door Anoniem
Oracle is een bedrijf dat berucht is om het vaak uitvoeren van audits bij klanten, en met een erg complexe licentie policy waarbij het erg makkelijk is om (te goeder trouw) niet aan de licenties te voldoen - die bij nacalculatie excessief duur worden.

(zelf installerende extra componenten, andere prijzen voor redundante systemen of meer cpu's etc).
Juist bij large enterprises is dat heel moeilijk om over alle IT te bewaken of alles met iets van Oracle nog voldoet.

De dreiging van een Oracle audit maakt veel bedrijven angstig om scherp te onderhandelen over licenties.
http://searchoracle.techtarget.com/feature/The-seven-deadly-sins-that-lead-to-an-Oracle-audit

Het zal inderdaad in het originele contract of voorwaarden moeten staan dat de leverancier een audit mag eisen, maar Oracle is één voorbeeld van een partij die hier gebruik van maakt .
30-12-2015, 21:47 door Anoniem
Bij mij zou de leverancier aan een paar voorwaarden moeten voldoen. Ten eerste natuurlijk een onafhankelijke auditor met een nauwkeurig vastgesteld doel. Daarnaast betaling van de uren die er binnen het bedrijf besteed moeten worden aan begeleiding e.d. Natuurlijk heb ik met er van vergewist dat de software echt weg is.

Ik vraag me alleen af in hoeverre dit ook geldt voor de back-up. Het is vaak lastig (zo niet onmogelijk) om die gegevens te vernietigen anders dan na de bewaartermijn van de back-up.

Peter
31-12-2015, 14:11 door Anoniem
ntwoord: Als je een softwarelicentie beëindigt, ben je verplicht de software te verwijderen van alle systemen waar deze op in gebruik was. Het is dan ook niet gek dat de leverancier bevestiging wil dat dit is gebeurd.

Nou, misschien niet in het juridisch boekje, maar in realiteit toch wel.
Nog nooit meegemaakt in ieder geval, en dat vanuit enterprise na enterprise.
01-01-2016, 11:56 door Anoniem
Door Anoniem: Als je een softwarelicentie beëindigt, ben je verplicht de software te verwijderen van alle systemen waar deze op in gebruik was. Het is dan ook niet gek dat de leverancier bevestiging wil dat dit is gebeurd.

Dat ligt er maar aan hoe de licentie in elkaar zat. Het is er van afhankelijk waar je zelf mee akkoord gegaan bent bij het
begin van de licentie.
Wij zijn zelf een aantal keren gewisseld van belangrijke software zoals ERP en we timmeren dit altijd heel goed dicht al
bij de aanvang. Als we er mee willen stoppen dan willen we zekerheid dat we de licentie kunnen omzetten in een
vorm die read-only toegang tot de gegevens mogelijk maakt voor minstens de 7 jaar dat we verplicht zijn die gegevens
toegankelijk te houden voor de belastingdienst. Dat houdt dus in dat de software niet verwijderd wordt maar dat deze
bijvoorbeeld door een nieuwe licentiesleutel een andere licentievorm krijgt, wat dan een maximaal eenmalig bedrag kost
en geen kosten per jaar meer.
Als de leverancier hier niet mee akkoord gaat dan wordt het pakket niet aangeschaft. Dan komen we later tenminste niet
in dergelijke situaties terecht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.