Auteur Bart Lieben Onderwerp Juridische aandachtspunten bij outsourcing van IT-activiteiten Datum Mei 2001 Copyright and disclaimer Gelieve er nota van te nemen dat de inhoud van dit document onderworpen kan zijn aan rechten van intellectuele eigendom, die toebehoren aan bepaalde betrokkenen, en dat er u geen recht wordt verleend op die desbetreffende rechten. M&D Seminars wil u met dit document de nodige informatie verstrekken, zonder dat de in dit document vervatte informatie bedoeld kan worden als een advies. Bijgevolg geeft M& D Seminars geen garanties dat de informatie die dit document bevat, foutloos is, zodat u dit document en de inhoud ervan op eigen risico gebruikt. M&D Seminars, noch enige van haar directieleden, aandeelhouders of bedienden zijn aansprakelijk voor bijzondere, indirecte, bijkomstige, afgeleide of bestraffende schade, noch voor enig ander nadeel van welke aard ook betreffende het gebruik van dit document en van haar inhoud. M&D Seminars - 1 september 2001 M&D CONSULT BVBA HUBERT-FRERE-ORBANLAAN 47 9000 GENT TEL 09/224 31 46 FAX 09/225 32 17 E-mail: info@mdseminars.be www.mdseminars.be
INHOUDSTABEL JURIDISCHE AANDACHTSPUNTEN BIJ DE UITBESTEDING VAN IT... 2 I. INLEIDING... 2 1. Wat wordt verstaan onder IT outsourcing?... 2 2. Organisatie... 4 3. Evoluties... 5 II. OVEREENKOMST TUSSEN DE UITBESTEDER EN DE LEVERANCIER... 6 1. Totstandkoming van de overeenkomst... 6 A. Informatieplicht en précontractuele aansprakelijkheid... 6 B. Letters of intent, beginselakkoorden en voorovereenkomsten... 8 (i) letter of intent... 8 (ii) beginselakkoord... 9 (iii) voorovereenkomst... 10 2. Overeenkomst tussen leverancier en uitbesteder... 10 A. Contractuele behandeling van de précontractuele fase... 10 B. Voorwerp van de overeenkomst... 11 C. Resultaats- of inspanningsverbintenis kwaliteitseisen en service levels... 11 (i) Principe en voorwerp van de verbintenis... 11 (ii) Resultaats- of inspanningsverbintenis... 12 (iii) Contractuele aansprakelijkheid gemeenrechtelijke principes... 12 (iv) Contractueel mechanisme... 14 D. Criteria... 14 (i) Performantie (performance)... 15 (ii) Betrouwbaarheid van het systeem (reliability)... 15 F. Sanctiemechanisme... 18 G. Best practices voor de ASP-industrie... 18 (i) infrastructure planning en management... 18 (ii) connectivity planning en management... 19 (iii) security planning en management... 20 (iv) application management... 22 (v) implementation planning en management... 24 (vi) Support planning en management... 25 H. Service Level Management en Reporting... 26 III. CONCLUSIE... 28
JURIDISCHE AANDACHTSPUNTEN BIJ DE UITBESTEDING VAN IT 1 I. Inleiding De toenemende complexiteit van de hedendaagse informatietechnologie en de dikwijls hoge investeringskosten die hiermee gepaard gaan, tezamen met een toenemend vraag naar continuïteit en kwaliteit in de dienstverlening hebben als gevolg dat een verhoogd aantal ondernemingen, overheden en organisaties meer en meer componenten van hun automatiserings- en informatiseringsproject gaan uitbesteden aan gespecialiseerde ondernemingen. Kenmerkend in dit verband is de toenemende vraag van de markt naar, zowel op technologisch als zoals zal blijken juridisch vlak ingewikkelde totaaloplossingen, waardoor een structurele en geïntegreerde samenwerking tussen verschillende ondernemingen aan de aanbodzijde eerder een noodzaak dan een opportuniteit geworden is. Het is dan ook niet verwonderlijk dat het juridisch documenteren van de verschillende rechten en verplichtingen die worden toegeschreven aan de respectieve contractspartijen allerminst een sinecure kan worden genoemd. Gezien het feit dat verschillende van deze automatiserings- en informatiseringsprocessen dikwijls dermate cruciaal worden geacht voor het (goed) functioneren van een onderneming, is het zelfs onontbeerlijk voor alle betrokken partijen om aan de verschillende processen en aspecten van de operationele relaties een adequaat juridisch draagvlak te bieden. Bij gebrek aan een specifiek juridisch kader in dit verband, is het aan de partijen om in een duidelijke omkadering en contractuele grondslag van hun samenwerking te voorzien. Ons inziens kan het schetsen van het juridisch kader niet los worden gezien van de hedendaagse realiteit waarmee de verschillende partijen, zowel langs de vraag- als de aanbodzijde worden geconfronteerd. Alvorens dieper in te gaan op de juridische aandachtspunten, wordt dit kader kort toegelicht, waarbij duidelijk zal worden dat het voorwerp van de studie bijzonder complex genoemd kan worden en bijgevolg een veelvoud van vragen opwerpt. 1. Wat wordt verstaan onder IT outsourcing? IT outsourcing in de meest ruime zin van het woord behelst de uitbesteding door een onderneming van een gedeelte of het geheel van haar automatiserings- en informatiseringsproject aan één of meerdere gespecialiseerde ondernemingen. In het verleden had outsourcing van IT voornamelijk betrekking op IT management; vandaag de dag is IT outsourcing meer en meer geëvolueerd naar een contractueel model voor het verwerven van nieuwe diensten, zoals front-end consulting, ontwerp van oplossingen, 1 Bart Lieben is advocaat bij Bogaert & Vandemeulebroeke, dat lid is van Landwell, een internationaal netwerk van advocatenkantoren en is als wetenschappelijk medewerker verbonden aan het Departement Rechten van de Universiteit van Antwerpen (U.I.A.). Standpunten die in onderhavig document naar voren worden geschoven zijn evenwel louter persoonlijk. 2
application development en management, in de meeste gevallen neergeschreven in een lange-termijnovereenkomst met de klant 2. Daarenboven vormt de toenemende convergentie van IT en ondernemingsstrategieën een belangrijke bepalende factor voor het aannemen van een ondernemingsgerichte houding ten opzichte van IT en, bijgevolg, van outsourcingprocessen. IT outsourcing heeft bijgevolg, sinds het gebruik van informatie- en communicatietechnologie in het algemeen en het internet in het bijzonder doorheen de industrie een haast onmisbare plaats heeft opgeëist in verschillende bedrijfsprocessen, een evolutie ondergaan van een louter technische oplossing die door ondernemingen werd aangewend voor het beheren en optimaliseren van IT-activa en infrastructuur, naar een verhoogde integratie in de dagdagelijkse bedrijfsprocessen binnen verschillende organisaties. In sommige van deze ondernemingen worden overigens aldus niet alleen bepaalde bedrijfsprocessen uitbesteed, zelfs en dan denken we voornamelijk aan de zogenaamde dot.com s het operationeel beheer van de onderneming wordt op deze manier dikwijls overgelaten aan gespecialiseerde bedrijven die zorg kunnen dragen voor geïntegreerde (totaal)oplossingen op dit vlak 3. Dergelijke verhoogde vraag, alsmede de toenemende technische complexiteit, heeft ontegensprekelijk tot gevolg dat de meeste ondernemingen die actief zijn op het gebied van IT outsourcing hun eigen strategieën zullen moeten herzien. Vermits hierbij, en dit is voornamelijk het geval voor de gevestigde waarden in deze industrie, nooit over één nacht ijs wordt gegaan, profiteren nieuwe bedrijven van deze koersverandering door nieuwe, additionele en inventieve diensten op dit terrein aan te bieden. IT outsourcing kan bijgevolg vandaag de dag moeilijk onder één enkele noemer worden geplaatst. Gartner Group, Inc. onderscheidt volgende types: Bron : Gartner Dataquest, december 2000 2 BROWN, R.A. en YOUNG, A., Scenarios for the Future of Outsourcing, 12 december 2000, Gartner Group, Inc. (www.gartner.com). 3 idem. 3
De kwadranten management en optimization hebben voornamelijk betrekking op de meer gebruikelijke dienstverlening waarbij een oplossing geboden wordt voor de meer traditionele vragen; de kwadranten access en creation hebben dan weer meer betrekking op nieuwe, op het internet gerichte diensten die minder matuur zijn, maar niettemin essentieel zijn voor ondernemingen die zich hoe langer hoe meer gaan concentreren op hun e-business-activiteiten. Management en access leveren de infrastructuur die erop gericht is de waarde van de diensten die zich binnen de kwadranten optimization en creation naar een hoger niveau te tillen. 2. Organisatie De toenemende vraag naar almaar complexere oplossingen, nopen hooggespecialiseerde ondernemingen aan de aanbodzijde ertoe met elkaar unieke relaties, en bijgevolg specifieke engagementstructuren op te zetten voor de verschillende types van dienstverlening die zij bieden. Volgende structuren worden hierbij onderscheiden : Bron : Gartner Dataquest, december 2000 In een management -strategie worden er voornamelijk, one-to-one, klant-specifieke engagementen gesloten, waarbij een prime contractor een overeenkomst afsluit met de klant, en vervolgens bepaalde aspecten van de dienstverlening naar anderen uitbesteedt. De access -strategie is voornamelijk gericht op het one-to-many-model, waarbij er voornamelijk gestandaardiseerde diensten worden aangeboden. In deze strategie zijn zowel prime contractors als consortia aanwezig aan de aanbodzijde. Het optimization -model biedt tevens een one-to-one oplossing die erg specifiek is voor de afnemer van de dienst, maar hier zal de prime contractor eerder de rol spelen van hoofdaannemer, die rekenschap en verantwoording dient af te leggen met betrekking tot de dienstverlening. De creation -strategie is de minst duidelijk gedefinieerde strategie, vermits er zowel one-to-many als many-to-many diensten worden verstrekt en er tevens verschillende organisatiemodellen aan de aanbodzijde vallen terug te vinden. Bij de opzet en het beheer van marketplaces en meta-marketplaces zijn er voornamelijk (industrie)consortia betrokken. 4
3. Evoluties De huidige malaise in de informatie- en telecommunicatiesector, gekarakteriseerd door hoge schuldenlasten en lage beurskoersen, noodzaakt dergelijke ondernemingen om geïntegreerd samen te werken. Een consolidatiebeweging binnen deze bedrijven is onvermijdelijk : technologiereuzen Compaq en Hewlett-Packard kondigden op 4 september 2001 een fusie tussen de twee multinationals aan, samen goed voor 87 miljard USD. Op basis van een analyse van de resultaten bij genoemde IT-giganten blijkt overigens duidelijk dat tijdens de laatste jaren het omzetaandeel van de respectieve services - afdelingen gestaag terrein won op het aandeel gerelateerd aan de verkoop van producten (servers, PC s, e.d.m.). 5
II. Overeenkomst tussen de uitbesteder en de leverancier 1. Totstandkoming van de overeenkomst Afgezien van de vrij courante praktijk, waarbij standaardcontracten en algemene voorwaarden gehanteerd worden, worden er, gezien de dikwijls erg specifieke vraag van de uitbesteder en afhankelijk van het al dan niet bedrijfskritische karakter van de opdracht, meer en meer ad hoc-overeenkomsten gesloten tussen uitbesteder en leverancier. Alvorens over te gaan tot de realisatie van een concreet project, voeren partijen dikwijls een langdurig en moeizaam onderhandelingsproces, waarbij de verschillende partijen in het project (niet noodzakelijk aan de onderhandelingstafel) een erg cruciale rol spelen (de zogenaamde pré-contractuele fase) 4. Gezien, zoals hoger reeds vermeld, de toenemende vraag naar een one stop shopping -situatie, waarbij de uitbesteder enkel wenst te contracteren met een prime of een general contractor, lijkt het opportuun om de verschillende rechten en verplichtingen van alle betrokkenen in het project duidelijk op een rij te zetten, rekening houdend met de courante praktijk bij de uitbesteding van IT. A. Informatieplicht en précontractuele aansprakelijkheid Algemeen wordt aangenomen dat er zelfs in de fase voor het sluiten van de overeenkomst tussen de onderhandelingspartners een door de goede trouw beheerste vertrouwensrelatie bestaat, dewelke geconcretiseerd wordt in de verplichting om elkaar de inlichtingen te geven die van belang zijn voor de totstandkoming of voor de uitvoering van het contract 5. De juridische grondslag voor deze regel dient te worden gezocht in de leer van de précontractuele aansprakelijkheid, gebaseerd op de artikelen 1382-1383 B.W. 6 Op basis van de rechtspraak moeten onderhandelingspartners elkaar tijdens de onderhandelingen juiste informatie verschaffen; begaat een culpa in contrahendo, de onderhandelingspartij die misleidende, leugenachtige of onnauwkeurige gegevens mededeelt. Dit is onder meer het geval wanneer de leverancier bepaalde uitlatingen doet 4 SCHRANS, G., De progressieve totstandkoming der contracten, T.P.R., 1984, nr. 1-2, p. 1; T KINT, F., Négociation et conclusion du contrat, in Les obligations contractuelles, Brussel, Ed. Du Jeune Barreau, 1984, (7à, p. 9, nr. 1; MARCHANDISE, P., La libre négociation Droits et obligations des négociateurs, J.T., 1987p. 621, 3; VAN OEVELEN, A., Juridische verhoudingen en aansprakelijkheid bij onderhandelingen over (commerciële) contracten, DAOR, 1990, 14, p. 43. 5 Zie o.m. WILMS, W., Het recht op informatie in het verbintenissenrecht. Een grondslagenonderzoek" R.W., 1980-81, (489), kol. 499-500; SCHRANS, G., De progressieve totstandkoming van contracten, p. 10, nr. 7; VAN OEVELEN, A., o.c., p. 52. 6 SCHRANS, G., Praecontractuele verhoudingen naar Belgisch recht, in Vereniging voor de Vergelijkende Studie van het Recht van België en Nederland Jaarboek 1967-68, Zwolle, Tjeenk Willink, 1968, 257-258; KRUITHOF, R., Overzicht van rechtspraak 1974-1980. Verbintenissen, T.P.R., 1983, p. 607, nr. 103; VANDENBERGHE, G., De computer in het verbintenissenrecht, T.P.R., p. 468-469, nr. 14; VAN OEVELEN, A., o.c., p. 52; VANDENBERGHE, G., VAN HOOF, D. en TAEYMANS, M., Computercontracten, OBO, december 1990, afl. 16, p. 10-11; zie evenwel, a contrario, WILMS, W., o.c., kol. 500, nr. 6 en POULLET, Y. en ULLMANN, PH., Jurisprudence belge récente relative aux contrats informatiques, T.B.H., 1983, p. 491, nr. 10 die de opvatting verdedigen dat de grondslag van dit principe terug moet worden gevonden in artikel 1134, derde lid B.W., krachtens hetwelk verbintenissen niet alleen te goeder trouw zouden moeten worden uitgevoerd, maar dat deze goede trouw tevens aanwezig dient te zijn bij het aangaan van de overeenkomst. 6
over de technische kwalificatie en specialisatie van één of meerdere van zijn onderaannemers. In de tweede plaats wordt gesteld dat de informatieverplichting zich uitstrekt tot alle bestanddelen van de overeenkomst waarvan de informatieverstrekker wist of behoorde te weten dat ze voor de medecontractant een substantieel karakter hebben. In vele gevallen, waarop later uitvoerig wordt teruggekomen, stelt dit in de praktijk een probleem wanneer gesproken wordt over de veiligheid van de omgeving, het platform en de configuratie van software (firewalls) die ervoor moet zorgen dat ongeautoriseerd gebruik van bijvoorbeeld de applicaties en de gegevens die in een data center worden bewaard onmogelijk of bemoeilijkt wordt. Zo ook bij het gebruik van cryptografie bij bepaalde applicaties, zoals e-mail. In dergelijk geval kunnen sommige leveranciers terughoudend reageren wanneer hen gevraagd wordt om meer informatie te verstrekken met betrekking tot deze omgeving, vermits dit gevolgen kan hebben met betrekking tot de veiligheid van de totale omgeving. In sommige gevallen kan het zelfs raadzaam zijn om in bepaalde gevallen in een beginselakkoord of voorovereenkomst tussen partijen te voorzien in een exoneratieregeling met betrekking tot het verstrekken van onjuiste, onvolledige of onnauwkeurige informatie. Dergelijke regeling wordt geldig geacht voor zover zij (a) geen exoneratie bevat voor de persoonlijke opzettelijke fout van de schuldenaar; (b) niet iedere zin of betekenis ontnemen aan de aard van het contract dat de partijen beoogden tot stand te komen, en; (c) zij geen inbreuk plegen op bijzondere wetsbepalingen. Dergelijk exoneratiebeding is voor de partijen evenwel slechts verbindend indien ze daarmee, uitdrukkelijk of stilzwijgend, hun instemming hebben bevestigd 7. Wanneer een leverancier geconfronteerd wordt met een klant die niet vertrouwd is met informatietechnologie in het algemeen en/of met nieuwe ontwikkelingen op dit vlak in het bijzonder, geldt in de onderhandelingsfase een verhoogde informatieverplichting van de kant van de leverancier. Soms wordt deze informatieplicht tevens afgeleid uit de theorie van de verscherpte informatieplicht inzake gevaarlijke activiteiten, waartoe informatica zou behoren 8. Of dit daadwerkelijk het geval is, blijft evenwel nog steeds een feitenkwestie. De leverancier heeft evenwel niet alleen de verplichting om informatie te verstrekken; hij dient zich net zo goed te informeren bij de klant met betrekking tot de behoeften van deze laatste. Zoals terecht opgemerkt in de rechtsleer, kan het niet voldoen aan genoemde verplichting tot gevolg hebben dat er achteraf aan overselling of underselling wordt gedaan 9. Om dergelijk risico te vermijden, zullen er aan de onderhandelingsfase dikwijls een aantal activiteiten vooraf gaan waarbij in sommige gevallen zelfs de medewerking van hetzij een derde-expert, de toekomstige leverancier of de verschillende mogelijke leveranciers wordt gevraagd. Worden onderscheiden : 1. het opstellen van een behoeften-analyse op basis van een technische due diligence; 2. het uitvoeren van een opportuniteitsstudie naar de uitvoerbaarheid, de wenselijkheid en de rentabiliteit van de geplande uitbesteding; 7 VAN OEVELEN, A., o.c., p. 54-55. 8 VANDENBERGHE, G., VAN HOOF, D. en TAEYMANS, M., o.c., p. 11 en de verwijzingen aldaar. 9 VANDENBERGHE, G., VAN HOOF, D. en TAEYMANS, M., o.c., p. 12 en de verwijzingen aldaar. 7
3. het opstellen van een functionele en technische analyse van het op te zetten systeem; 4. het opstellen van een lastenkohier dat een beschrijving van de organisatie en de concreet uit te besteden activiteiten bevat; 5. de offerte-aanvraag, [waarbij het lastenkohier aan (geselecteerde) leveranciers wordt toegestuurd]; 6. [het vergelijkend onderzoek van de aanbiedingen]; en 7. de onderhandelingen tot het sluiten van de finale overeenkomst met een leverancier 10. Het opstellen van het lastenkohier is in hogergenoemde opeenvolging van activiteiten allicht één van de belangrijkste, zoniet de belangrijkste taak. Hoewel ze niet kan worden afgedaan als een algemene verplichting die wordt opgelegd aan de uitbesteder, toch wijst de praktijk uit dat dergelijk lastenkohier meestal wordt opgesteld, al dan niet met medewerking van de leverancier, hetgeen belangrijke gevolgen met zich kan meebrengen. Indien er namelijk bij één of meerdere bovengenoemde activiteiten reeds één of meerdere (potentiële) leverancier(s) betrokken zijn, kunnen er desgevallend belangrijke juridische gevolgen worden gehecht aan hun aanwezigheid, medewerking en verklaringen. Zo kunnen onder meer de (behoeften-)analyses, studies en lastenkohier met behulp van of door een potentiële leverancier dermate worden gesteld of zelfs gemanipuleerd dat de keuzemogelijkheid van de uitbesteder beperkt ofwel helemaal uitgesloten wordt. Afhankelijk van de concrete omstandigheden, zal dergelijke handelswijze dienen te worden beoordeeld in het licht van hetzij de contractuele, hetzij de buitencontractuele aansprakelijkheid in hoofde van dergelijke leverancier. B. Letters of intent, beginselakkoorden en voorovereenkomsten Naarmate onderhandelingen met het oog op het sluiten van een contract worden aangevat of worden voortgezet, kan het gebeuren dat partijen het gebied van de vrijblijvende voorstellen en tegenvoorstellen als het ware geruisloos verlaten om een (zekere) contractuele binding tot stand te brengen, zonder dat zij dit noodzakelijk bedoelen of bedoeld hebben 11. Gezien de courante praktijk waarin toekomstige contractspartijen reeds in het begin van de précontractuele fase met elkaar samenwerken, o.m. bij het opstellen van de behoeften-analyse of het lastenkohier, maken zij dikwijls een onontbeerlijk instrument uit. Voor afspraken en documenten die door partijen in de précontractuele fase worden gehanteerd, worden dikwijls uiteenlopende benamingen gebruikt. Hieronder belichten we er een drietal, namelijk (1) de letter of intent, (2) het beginselakkoord, en (3) de voorovereenkomst. (i) letter of intent Een letter of intent of intentieverklaring kan worden omschreven als een één- of tweezijdig, veelal in briefvorm opgesteld document, dat ter voorbereiding van de 10 Zie ook VANDENBERGHE, G., VAN HOOF, D. en TAEYMANS, M., o.c., p. 8. 11 VAN OEVELEN, A., o.c., p. 56; het begrip geruisloos tot stand komen van contracten werd geïntroduceerd in SCHRANS, G., De progressieve totstandkoming van contracten, T.P.R., 1984. 8
totstandkoming van een definitieve overeenkomst, het voorlopig resultaat van de onderhandelingen weergeeft in het stadium waarin deze zich op dat ogenblik bevinden. Veelal wordt ook gebruik gemaakt van een letter of intent om onderhandelingen en activiteiten die worden uitgevoerd tijdens de onderhandelingsfase enige contractuele grondslag te bieden. De juridische betekenis van dergelijke intentieverklaringen hangt af van de bedoeling van de partijen, de gebruikte bewoordingen en de concrete omstandigheden. Naargelang hun inhoud kunnen deze documenten dan ook variëren van vrijblijvende, onverbindende intentieverklaringen tot verbindende afspraken, met in het uiterste geval zelfs een volledige overeenkomst 12. (ii) beginselakkoord Een beginselakkoord kan worden omschreven als een overeenkomst waarbij de partijen vaststellen over welke elementen er reeds wilsovereenstemming bestaat, en waarbij ze zich ertoe verbinden de onderhandelingen voort te zetten over de modaliteiten die nog nader moeten worden uitgewerkt. De definitieve overeenkomst zal evenwel pas tot stand komen wanneer tussen de partijen ook wilsovereenstemming is bereikt over de bestanddelen waarover na het beginselakkoord nog moet worden onderhandeld. Een variant op dit thema betreft de dikwijls gehanteerde praktijk waarbij de uitbesteder reeds enkele belangrijke modaliteiten van de definitieve overeenkomst unilateraal op voorhand vastlegt, deze rondstuurt aan verschillende leveranciers met de duidelijke vermelding dat de onderhandelingen enkel worden aangevat of voortgezet rekening houdend met deze modaliteiten. In dergelijk geval kan er enkel van een beginselovereenkomst sprake zijn wanneer de kandidaat-leverancier zich met deze modaliteiten akkoord verklaart. Modaliteiten die in dergelijke beginselovereenkomst in concreto naar voren worden geschoven zijn o.m. de behandeling van bestaande en toekomstige intellectuele eigendomsrechten, source code escrow, garanties met betrekking tot bepaalde aspecten van de dienstverlening (service levels), timing (milestone-planning), aansprakelijkheid, enz. In ieder geval is het een courante praktijk om in een beginselovereenkomst een duidelijke regeling op te nemen met betrekking tot de door voorinformatie of tijdens onderhandelingen verkregen know-how en bedrijfsgeheimen die werden uitgewisseld. Dergelijke regeling dient niet enkel het eventuele verspreiden aan het publiek door de verkrijger van dergelijke know-how en bedrijfsgeheimen te sanctioneren; tevens dient te worden voorzien in een regeling met betrekking tot het eigen, bedrijfsintern gebruik van dergelijke informatie door de verkrijger ervan. In beide gevallen kan zodanig gebruik of misbruik worden beschouwd als een onrechtmatige daad en, meer bepaald, als een gedraging in strijd met de in het handelsverkeer gebruikelijke zorgvuldigheid, die kan worden gesanctioneerd op grond van de artikelen 1382-1383 B.W. in de mate waarin daaruit schade is voortgevloeid voor de eigenaar of houder van deze informatie. Bovendien kan deze gedraging worden bestempeld als een daad die strijdig is met de eerlijke handelsgebruiken, zodat op grond 12 VAN OEVELEN, A., o.c., p. 48 en de verwijzingen aldaar. 9
van artikel 95 van de Wet betreffende de handelspraktijken en de voorlichting en bescherming van de consument de stopzetting ervan kan worden gevorderd bij de voorzitter van de rechtbank van koophandel 13. (iii) voorovereenkomst Ook een voorovereenkomst kan verschillende gezichten vertonen; worden onderscheiden : de wederkerige contractbelofte, de eenzijdige contractbelofte of het optiecontract, en het voorkeurscontract. Een voorovereenkomst sensu stricto kan worden omschreven als een rechtens verbindende overeenkomst waarbij één of beide partijen zich ertoe verbinden om op een later tijdstip een andere (hoofd)overeenkomst aan te gaan waarvan de hoofdbestanddelen reeds zijn vastgelegd of toch voldoende bepaalbaar zijn 14. Een voorovereenkomst in de strikte zin van het woord wordt ook wel contractbelofte genoemd. In complexe uitbestedingsrelaties tussen een general contractor en een uitbesteder wordt wel eens gebruik gemaakt van voorovereenkomsten onder de opschortende voorwaarde dat de verschillende onderaannemers, die tijdens het onderhandelingsproces door de general contractor of door beide onderhandelingspartijen werden geselecteerd en al dan niet werden betrokken bij de onderhandelingen, een overeenkomst sluiten met de general contractor. Afhankelijk van het tijdstip, de concrete situatie en het al dan niet aanwezig zijn van een (geschreven) akkoord tussen partijen en de inhoud ervan, kan het afbreken van onderhandelingen een contractuele of een buitencontractuele fout uitmaken, waardoor de andere partij gerechtigd is op hetzij een vergoeding voor de opgelopen schade, hetzij een eventuele forfaitaire vergoeding die tussen de onderhandelingspartners werd overeengekomen. 2. Overeenkomst tussen leverancier en uitbesteder A. Contractuele behandeling van de précontractuele fase In de definitieve overeenkomst tussen de uitbesteder en de leverancier worden dikwijls bepalingen opgenomen die de activiteiten en de eventueel door partijen ondertekende documenten uit de précontractuele fase regelen. Afhankelijk van de waarde die de partijen aan deze fase hechten, zullen bepaalde documenten (o.m. lastenkohier, voorstel van de leverancier) deel uitmaken van de definitieve overeenkomst, andere (o.m. notulen van vergaderingen en technische specificaties van soft- en hardware) worden uit het finale contract worden geweerd. Om iedere discussie achteraf uit te sluiten, kan er gebruik gemaakt worden van het zogenaamde vierhoekenbeding, waarbij het voorwerp van het definitieve contract wordt beperkt tot de contractuele bepalingen, en alle andere afspraken uit te sluiten. Ook een 13 Zie o.m. SCHRANS, G., Praecontractuele verhoudingen naar Belgisch recht, p. 251-252; SCHRANS, G., De progressieve totstandkoming van contracten, p. 15-16, nr. 9. 14 VAN OEVELEN, A., o.c., p. 60 en de verwijzingen aldaar. 10
beding van adequate voorlichting kan de aansprakelijkheid van de leverancier voor de door hem in de précontractuele fase gemaakte fouten beperken, voor zover rekening gehouden wordt met de wettelijke beperkingen ter zake 15. Het is ontegensprekelijk in het voordeel van de uitbesteder om dergelijke clausules, of op zijn minst de impact ervan, zoveel als mogelijk te vermijden. Een beding waarin onder meer gesteld wordt dat de uitbesteder bij de ondertekening van de definitieve overeenkomst uitgaat van de assumptie dat de verklaringen van de leverancier, de tussen partijen uitgewisselde documenten en de door de leverancier verstrekte technische specificaties correct waren, biedt een stok achter de deur voor wat betreft de (eventuele) précontractuele aansprakelijkheid van de leverancier. B. Voorwerp van de overeenkomst Het correct definiëren van het voorwerp van de overeenkomst is, voornamelijk in complexe outsourcingcontracten, geen sinecure. Worden onder meer onderscheiden : 1. softwarecontracten (ontwikkeling, licenties, application service provision); 2. hardwarecontracten (huur, lease, ); 3. hosting-overeenkomsten 4. onderhoud en support 5. source code escrow 6. consultancy 7. helpdesk 8. connectiviteit 9. C. Resultaats- of inspanningsverbintenis kwaliteitseisen en service levels (i) Principe en voorwerp van de verbintenis Indien een onderneming beslist om (een gedeelte van) haar IT-infrastructuur en/of dienstverlening uit te besteden aan één of meerdere derden, zullen allicht duidelijke eisen worden gesteld met betrekking tot de kwaliteit van de aangeboden diensten en/of afzonderlijke verplichtingen van de dienstverlener. De contractuele vertaling van deze kwaliteitseisen wordt veelal bestempeld met de term service level agreement of, afgekort, SLA. Afhankelijk van het voorwerp van de overeenkomst, wordt in dergelijke service level agreements enerzijds de verschillende diensten en/of verplichtingen gedefinieerd en geïsoleerd en, anderzijds, bepaalde kwaliteitsparameters of niveaus vastgelegd met betrekking tot iedere respectieve dienst en/of verplichting die werd geïdentificeerd. Afhankelijk van de concrete invulling die de partijen aan de specifieke, geïdentificeerde en geïndividualiseerde verbintenissen geven, komt het contractueel vastleggen van deze zogenaamde service levels neer op het aangaan in hoofde van de leverancier van hetzij een resultaatsverbintenis met bepaalde modaliteiten, hetzij een inspanningsverbintenis. 15 Zie hoger, p. [XXX]. 11
(ii) Resultaats- of inspanningsverbintenis Verbintenisrechtelijk houdt een resultaatsverbintenis in dat de schuldenaar van een dergelijke verbintenis zich ertoe verplicht een welbepaald resultaat te bereiken. Een inspanningsverbintenis daarentegen legt aan de schuldenaar enkel de verplichting op een bepaalde inspanning te leveren of bepaalde middelen aan te wenden om een resultaat te bereiken, maar de debiteur belooft niet dat hij erin zal slagen dat resultaat ook te verwezenlijken. De draagwijdte van het genoemde onderscheid is om drie redenen van belang. Op de eerste plaats biedt het de mogelijkheid om de inhoud en de draagwijdte van de door de schuldenaar aangegane verbintenis nader te bepalen, hetgeen van wezenlijke betekenis is om uit te maken of deze debiteur zijn verbintenis al dan niet is nagekomen. Op de tweede plaats is het onderscheid van belang inzake de bewijslastverdeling : indien de debiteur een resultaatsverbintenis is aangegaan, zal de schuldeiser bij wanuitvoering het bewijs moeten leveren van (i) het bestaan van de verbintenis en (ii) het uitblijven van het beloofde resultaat; op de debiteur rust dan de plicht het bewijs te leveren van overmacht of toeval 16. In het geval de debiteur een inspanningsverbintenis dient te leveren, dan rust de bewijslast nagenoeg volledig op de schuldeiser, die zowel (i) het bestaan van de verbintenis als (ii) de wanuitvoering door een gebrek aan zorg in hoofde van de schuldenaar dient te bewijzen 17. Het onderscheid is in de derde plaats belangrijk op het vlak van de overmachtsleer. Alleen voor de resultaatsverbintenissen dienen de strenge vereisten van deze leer in acht te worden genomen; voor inspanningsverbintenissen geldt enkel het zorgvuldigheidscriterium van de goede schuldenaar. Gezien de belangrijke gevolgen van het onderscheid tussen resultaats- en inspanningsverbintenis, dienen partijen bij het vastleggen van hogergenoemde parameters, het bepalen van de aard van de verbintenis alsmede bij het documenteren van hun respectieve rechten en verplichtingen in geval van niet-nakoming door de schuldenaar uiterst nauwgezet tewerk te gaan. (iii) Contractuele aansprakelijkheid gemeenrechtelijke principes Zoals hierboven bepaald, is het onderscheid tussen de inspannings- en resultaatsverbintenis van belang op het vlak van de aansprakelijkheid van de schuldenaar in geval van niet-nakoming van diens verbintenissen. Met betrekking tot inspanningsverbintenissen is iedereen het er over eens dat terzake het foutcriterium geldt 18. Begaat in dit verband een fout de schuldenaar die niet de 16 Art. 1315 B.W.; Cass., 10 december 1953, Pas., 1954, I, 290; Cass., 26 november 1954, Pas., 1955, I, 271. 17 Cass, 26 februari 1962, Pas., 1962, I, 723. 18 Zie hoger, p. 10. 12
zorgvuldigheid in acht heeft genomen waaraan een goede schuldeiser van dezelfde categorie geplaatst in dezelfde externe omstandigheden zich zou gehouden hebben. Op de vraag of de schuldenaar een culpa levis in abstracto of een culpa levis in concreto moet hebben begaan om zijn eventuele fout in de niet-nakoming van zijn verbintenissen te beoordelen, heeft het Hof van Cassatie in een interessant arrest van 27 januari 1977 geoordeeld dat artikel 1137, eerste lid B.W. de algemene regel vastlegt dat de contractuele fout in abstracto moet worden beoordeeld, maar dat het tweede lid van deze wetsbepaling uitzonderingen voor bepaalde contracten mogelijk maakt 19. Voor wat resultaatsverbintenissen aangaat, wordt in België overigens net als in Frankrijk de leer van de ontoereikende onmogelijkheid gehanteerd 20. Volgens deze opvatting kan er slechts sprake zijn van overmacht wanneer de omstandigheid die als vreemde oorzaak ter bevrijding wordt geroepen, de nakoming van de verbintenis onmogelijk maakt en de schuldenaar ter zake geen enkele fout treft. Voor de toepassing van deze leer bestaan dus twee vereisten : (1) de onmogelijkheid om de verbintenis na te komen, en (2) de niet-toerekenbaarheid daarvan aan de schuldenaar. Voor wat de eerste vereiste betreft, de onmogelijkheid om de verbintenis na te komen, dient de overmacht een onverkomelijk beletsel te onderstellen 21. Maakt derhalve geen overmacht uit, de omstandigheid die de uitvoering van het contract niet volkomen onmogelijk maakt, maar slechts moeilijker of kostelijker 22. Omtrent de vraag of er sprake dient te zijn van een absolute onmogelijkheid of van een normale, menselijke of praktische onmogelijkheid, waarbij vandaag de dag quasi unaniem voor het laatste gekozen wordt. Hoe ver men hierin mag gaan, is evenwel niet duidelijk. Het tweede vereiste de niet-toerekenbaarheid van de verhindering aan de schuldenaar houdt in dat de schuldenaar niet bevrijd zal zijn van zijn verbintenis, zelfs indien de nakoming van de verbintenis absoluut of praktisch onmogelijk blijkt te zijn, indien de omstandigheid die de nakoming verhindert, te wijten is of gepaard gaat met een fout in zijn hoofde en zonder dewelke de uitvoering van de verbintenis geheel of gedeeltelijk toch mogelijk zou zijn geweest. Hierop steunen de regels dat de vreemde oorzaak onvoorzienbaar en onvermijdbaar moet zijn geweest en dat de schuldenaar zich niet kon beroepen op een omstandigheid die aan zijn eigen nalatigheid of onvoorzichtigheid is te wijten. Opvallend is evenwel dat in de rechtspraak en rechtsleer vaak de stelling verdedigd wordt dat de debiteur niet de minste schuld, zijnde een culpa levissima mag treffen, vermits algemeen aanvaard wordt dat de contractuele aansprakelijkheid steunt op de culpa levis in abstracto. Volgens een tweede theorie die voornamelijk in Nederland wordt verdedigd is de nietnakoming van de verbintenis aan overmacht te wijten, wanneer de schuldenaar ter bereiking van het door de overeenkomst beoogde resultaat alles heeft gedaan wat een 19 Cass., 27 januari 1977, Arr. Cass., 1977, 595; Pas., 1977, I, 575, met conclusie Proc. Gen. Delange; zie ook RUTSAERT, J., La responsabilité civile contractuelle du prestataire de service en droit privé, De Verz., 1977, 221. 20 Cass, 9 december 1976, Arr. Cass., 404. 21 Idem. 22 Cass., 23 februari 1967, Arr. Cass., 1967, 797. 13
zorgvuldig debiteur in de gegeven omstandigheden zou hebben gedaan (de zgn. schuldleer ). Volgens deze leer steunt de contractuele aansprakelijkheid dus uitsluitend op de fout; overmacht begint bijgevolg waar schuld ophoudt. Een derde theorie, waarbij de schuldleer of de traditionele overmachtsleer wordt aangevuld met het risicobeginsel, kent evenwel een groeiend aantal aanhangers. Hierbij dient evenwel de vraag te worden gesteld welke gevallen onderworpen dienen te worden aan de risicoaansprakelijkheidsregeling. Hieromtrent bestaat er onenigheid: een eerste strekking hanteert hierbij het begrip vreemde oorzaak, volgens een tweede strekking dient deze kwalificatie op pragmatische wijze te geschieden. Naar Belgisch recht wordt deze theorie vrijwel unaniem verworpen, vermits, voor wat de eerste strekking betreft, de oorzaak van de verhindering aan de schuldenaar enkel vreemd kan zijn, wanneer deze omstandigheid op generlei wijze aan zijn fout is toe te wijzen. De strikte toepassing van de tweede strekking zou dan weer aanleiding kunnen geven tot arbitraire toestanden. (iv) Contractueel mechanisme In principe zal aan iedere geïdentificeerde dienst en/of verplichting een bepaald kwaliteitsniveau gealloceerd worden waaraan deze dienst en/of verplichting binnen een bepaalde periode in principe dient te voldoen (het zogenaamde target service level). Indien dit target service level door de leverancier wordt behaald, zal hij de met betrekking tot deze dienst en/of verplichting contractueel afgesproken vergoeding geheel mogen factureren aan de klant. In sommige gevallen meestal in de gevallen waarbij de IT-oplossing voor de klant bedrijfskritisch is kan er, voor specifieke diensten en/of verplichtingen van de leverancier een contractueel bonificatiesysteem worden voorzien indien de graad van kwaliteit aangaande de dienstverlening en/of de door de leverancier aangegane verplichtingen uitstijgen boven het vastgelegde target service level. Indien de kwaliteit van de dienstverlening van de leverancier dit contractueel bepaalde niveau niet bereikt, zal de leverancier bepaalde kortingen toestaan aan de uitbesteder zie verder, punt 3). D. Criteria Om alle onduidelijkheid tegen te gaan, is het voor de uitbesteder van het grootste belang om zijn objectieven zo duidelijk mogelijk te definiëren en te onderscheiden, dit om het effect van de resultaatsverbintenis vanwege de leverancier te verkrijgen 23. Het is daarbij van belang om tegen de diverse meetbare criteria bepaalde parameters te plaatsen waaraan de dienstverlening in verband met het gedefinieerde criterium moeten voldoen. Algemeen worden twee belangrijke criteria aangewend : enerzijds performantie (performance), gemeten vanuit het eindgebruikersperspectief, en anderzijds betrouwbaarheid (reliability) van het systeem. 23 VANDENBERGHE, G., VAN HOOF, D. en TAEYMANS, M., o.c., p. 11 en de verwijzingen aldaar. 14
(i) Performantie (performance) De performantie van het systeem kan gemeten worden op basis van een aantal sub-criteria, namelijk : (a) packet loss : het internet is een zogenaamd packet switched network waarbij data wordt opgedeeld in verschillende pakketjes van dezelfde lengte, welke vervolgens over het netwerk worden verstuurd. Eén van de maatstaven betreft het aantal datapakketten die tussen bepaalde punten in het netwerk worden verstuurd en niet ontvangen werden; wanneer tussen verschillende knooppunten in het netwerk teveel datapakketten verloren gaan, dient het systeem net zolang data over het netwerk te verzenden totdat de eindgebruiker het volledige antwoord heeft ontvangen. (b) round trip delay, waarbij de tijdsduur wordt gemeten tussen het ogenblik waarop een pakket werd verzonden en ontvangen door de bestemmeling ervan, waarbij rekening wordt gehouden met opstoppingen (queing delays) aan de eindpunten; (c) throughput, waarbij zowel de hoeveelheid data als de snelheid waarop deze wordt verstuurd wordt gemeten; (d) jitter metrics, waarbij onder meer verschillen in de aankomsttijden van datapakketten en, bijgevolg, synchronisatieproblemen gemeten worden. (ii) Betrouwbaarheid van het systeem (reliability) Zijn in dit verband relevant : (a) beschikbaarheid (availability) De kosten die bedrijven oplopen wegens het onbeschikbaar zijn van het systeem (downtime) worden dikwijls onderschat. Een studie binnen 400 ondernemingen in de Verenigde Staten wees uit dat de kosten waarmee bedrijven worden geconfronteerd in geval van downtime oplopen tot USD 1.400 per minuut of USD 85.000 per uur. Indien een systeem op jaarbasis slechts voor 1% onbeschikbaar is, bedraagt de financiële weerslag hiervan ongeveer USD 7,5 miljoen. 24 Het opleggen van een resultaatsverbintenis met betrekking tot de beschikbaarheid is in de meeste gevallen cruciaal. Om de beschikbaarheid of het operationeel zijn van, naargelang het geval, de hardware en/of de applicatie(s), hetgeen duidelijk uit het contract moet blijken. Om de beschikbaarheid hiervan te bepalen, dienen de fouten en de niet-operationaliteit ervan te worden bepaald aan de hand van verschillende formules. Indien bepaalde hardware en/of software niet beschikbaar is, dient de leverancier een interventie te doen. Hieromtrent dienen duidelijk afspraken te worden 24 STURM, R., MORRIS, W., en JANDER, M., Foundations of Service Level Management, SAMS Publishing, Indianapolis, USA, 2000, p. 127. 15
gemaakt met betrekking tot de interventietijd (termijn binnen dewelke de leverancier de interventie dient te verrichten) de wijze van interventie (mogelijkheid tot het op afstand connecteren met het netwerk van de klant, interventie on site) en de interventieduur (de tijd die de leverancier nodig heeft om de interventie uit te voeren). In sommige gevallen, voornamelijk wanneer de beschikbaarheid van de applicatie cruciaal is voor de uitbesteder, worden er afspraken gemaakt met betrekking tot het opzetten van een tweede (reserve- of back-up) systeem dat, bij gebrek aan beschikbaarheid van het hoofdsysteem, de taken van het eerste systeem overneemt, desgevallend met beperkte functionaliteiten. Een volledig vertrouwen in dergelijk reserve- of back-upsysteem is evenwel niet altijd mogelijk, zeker wanneer de nietbeschikbaarheid van het eerste systeem veroorzaakt werd door een fout die desgevallend repetitief kan zijn, waardoor het risico bestaat dat het tweede systeem ook zal uitvallen. Gezien het grote belang van de beschikbaarheid van het systeem en de (verschillende) applicatie(s), wordt er dikwijls een uitvoerige beschrijving opgenomen van de procedures die worden gevolgd in geval van elektriciteitspannes, onderhoudswerkzaamheden aan het systeem en de applicaties, e.d.m. Data centers zijn in de meeste gevallen uitgerust met een systeem dat elektriciteitsvoorziening garandeert in geval er een stroompanne optreedt. In dit verband kan gespecifieerd worden binnen en voor welke termijn een backupbatterij voor stroomvoorziening kan zorgen, de autonomie van de stroomgenerator en zelfs de termijn binnen dewelke nieuwe brandstof voor zulke generator kan worden aangeleverd. Bij het opstellen van een service level agreement dat betrekking heeft op de beschikbaarheid van het systeem, is het van het grootste belang om duidelijke afspraken te maken met betrekking tot geplande niet-beschikbaarheid van het systeem. Zo dient er meer bepaald te worden gespecifieerd wanneer er onderhoudswerkzaamheden aan het systeem kunnen worden verricht (dikwijls heeft dit als gevolg dat de applicatie voor een bepaalde duur off line wordt gezet), hoe dikwijls dit gebeurt en voor welke tijd de applicatie niet beschikbaar zal zijn. (b) antwoordtijden (response time) Zowel voor de leverancier als voor de uitbesteder is het belangrijk om uiterst gedetailleerd tewerk te gaan bij het vastleggen van de antwoordtijden van het systeem, zijnde de tijd die het systeem nodig heeft om resultaten te geven. Dit punt is meestal voor de uitbesteder en de gebruikers cruciaal omdat dit een rechtstreekse invloed heeft op de bruikbaarheid en de rentabiliteit van het systeem. Alleszins dient in dergelijk geval duidelijk te worden gespecificeerd onder welke omstandigheden, met welke apparatuur en met welke (netwerk)verbindingen een bepaalde antwoordtijd kan worden gegarandeerd. 16
Moeilijker wordt het evenwel wanneer de uitbesteder garanties met betrekking tot antwoordtijden vraagt binnen een omgeving die niet of niet volledig onder controle staat van de leverancier, hetgeen meestal in een internet-omgeving het geval is. Indien de internet service provider van de gebruiker niet dezelfde is als de leverancier van de dienstverlening kunnen er voor zover er geen peering agreements bestaan tussen de verschillende internet service providers meestal geen garanties worden geboden voor wat de responstijd betreft wegens de aanwezigheid van externe factoren die door de leverancier moeilijk kunnen worden beïnvloed. Vandaar de noodzaak om duidelijk vast te leggen vanaf welk momenten de (desgevallend verschillende) responstijden worden gemeten : het ogenblik waarop de gebruiker zijn vraag aan het systeem richt of het ogenblik waarop de centrale server de vraag verkrijgt of verwerkt. Anderzijds dient ook het eindmoment duidelijk te worden vastgelegd : het ogenblik waarop de centrale server de gegevens van de applicatieserver verkrijgt, deze gegevens verwerkt of doorzendt, het ogenblik waarop de gebruiker het antwoord ontvangt of volledig gepresenteerd krijgt. E. Uitwerking van de service levels Het is van het grootste belang voor de partijen om de verschillende criteria en de respectieve parameters vast te leggen bij de aanvang van de overeenkomst, om eventuele discussies achteraf te vermijden. Doorgaans worden drie verschillende fasen onderscheiden : (a) transition in : de applicatie wordt (gradueel) overgeplaatst naar het data center van de leverancier en aldaar in productie gezet. Vermits de applicatie nog niet volledig is, is het dikwijls onmogelijk om tijdens deze overgangsfase stringente service level-verplichtingen op te leggen aan de leverancier; afhankelijk van de specificiteit en complexiteit van de hosting-opdracht, dienen er desgevallend contractuele mechanismen te worden ingebouwd die voorzien in het gradueel optrekken van de service levels tot op het tijdstip waarop de applicatie onder volledige controle van de leverancier wordt geplaatst of dit geacht wordt te zijn. (b) productie : indien de applicatie geheel of gedeeltelijk in productie staat, kunnen de tussen partijen overeengekomen garanties ten volle hun uitwerking krijgen; (c) transition out : wanneer de overeenkomst tussen de klant en de leverancier wordt stopgezet, dient de applicatie uit het data center van de leverancier te worden verwijderd en te worden overgeplaatst naar hetzij de klant zelf, hetzij een derde-leverancier van hosting-diensten. Indien deze overplaatsing geen (grote) invloed mag hebben op de beschikbaarheid en de performantie van het systeem, worden er vanop voorhand duidelijke afspraken gemaakt met betrekking tot de service levels die tussen partijen zullen gelden van zodra het contract wordt beëindigd. 17
F. Sanctiemechanisme Het niet-behalen van de afgesproken service levels, heeft als gevolg dat de leverancier hiervoor een bepaalde schadevergoeding dient te betalen. Deze betaling kan verschillende vormen aannemen. De meest gehanteerde techniek is deze waarbij zogenaamde service credits worden uitgereikt van zodra de dienstverlening van de leverancier lager was dan de afgesproken waarde. Concreet komt dit erop neer dat aan de uitbesteder een korting zal worden gegeven op de volgende factuur die door de leverancier zal worden uitgestuurd. Indien de dienstverlening vanwege de leverancier een bepaald kritisch niveau niet bereikt, kan er desgevallend voorzien worden in additionele sanctioneringsmechanismen, zoals het doorbreken van exclusiviteit of het stopzetten van bepaalde elementen van de dienstverlening. In het ergste geval zal het contract, indien het kritisch niveau niet bereikt wordt, worden opgezegd. G. Best practices voor de ASP-industrie De World Intellectual Property Organization (WIPO) 25 en het Application Service Provider Industry Consortium (ASPIC) 26 hebben, specifiek voor de ASP-industrie, enkele operationele best practices opgesteld, waarbij enkele industrie-specifieke thema s nader worden uitgewerkt teneinde een goede relatie tussen de leverancier(s) en de uitbesteder te garanderen en geschillen te vermijden. Deze operationele best practices bestrijken volgende domeinen : (i) (ii) (iii) (iv) (v) (vi) infrastucture planning en management; connectivity planning en management; security planning en management; applications planning en management; implementation planning en management; support planning en management Hieronder wordt kort ingegaan op bovenstaande modellen. (i) infrastructure planning en management Infrastructure planning en het management ervan heeft voornamelijk betrekking op het operationeel in stand houden van het data center, de configuratie van de servers en de planning en het beheer van de beschikbaarheid van het systeem. Voor wat het data center aangaat, dienen er best practices te worden gehanteerd met betrekking tot de controle van de omgeving en bescherming tegen kritische problemen. 25 http://www.wipo.int. 26 http://www.allaboutasp.org. 18
De toegang tot het systeem (voornamelijk shared cabinets of rack infrastructuren) dient enerzijds te worden verzekerd en anderzijds continu van dichtbij te worden gecontroleerd en geëvalueerd; hieromtrent dienen duidelijke richtlijnen te worden uitgeschreven die in gezamenlijk overleg op regelmatige tijdstippen te worden herzien. Met betrekking tot de configuratie van de servers dienen aandachtspunten vast te stellen aangaande aan een specifieke klant toegewezen (dedicated) hardware-omgevingen en door verschillende klanten gedeelde (shared) hardware-omgevingen. Tevens dient er, in het kader van de planning en het beheer van de beschikbaarheid van het systeem, een duidelijke opgave te worden gemaakt van de load-balancing, de clustering en de geografische redundancy van het systeem. Bij load balancing, tezamen met zogenaamde fail-over capabilities wordt de reactie gemeten van een aantal lokale servers met het oog op het doorverwijzen en alloceren van clients aan de snelst of best reagerende server in die set. Op grotere schaal, teneinde de problematiek van beperkte bandbreedte weg te werken, kan tevens de mogelijkheid geboden worden om zogenaamde mirror-servers op te zetten, desgevallend met een beperktere capaciteit, die sommige of meerdere specifieke taken op zich nemen. Een algemene methode van clustering heeft betrekking op het met elkaar verbinden van verschillende computers, waarbij connecties worden aangewend om data tussen verschillende servers te versturen en software-applicaties met elkaar gelinkt worden, hetgeen als voordeel heeft dat de eindgebruiker geen of weinig problemen ondervindt indien één van de servers buiten werking is. Geografische redundancy verzekert de beschikbaarheid van systemen en applicaties in geval een volledig local area network of zelfs een data center niet meer of niet meer naar behoren functioneren omwille van een lokaal probleem. Door geografische redundancy te voorzien, wordt de impact van dergelijk lokaal probleem omzeild, vermits andere systemen op een andere geografische locatie overnemen. Het spreekt voor zich dat geografische redundancy enkel en alleen aangeboden kan worden door meer mature dienstverleners op dit vlak, vermits de kosten voor het operationeel houden van dergelijk back-up systeem aanzienlijk zijn. (ii) connectivity planning en management Een gedegen ontwerp van de netwerkinfrastructuur is van cruciaal belang, voornamelijk wanneer er applicaties ter beschikking worden gesteld waarvoor een grotere capaciteit is vereist of ingezet worden voor complexe berekeningen. Zijn in dit verband relevant : (a) vermindering van de vertraging op de datatransmissie en packet loss, hetgeen hogere wachttijden veroorzaakt aan de kant van de eindgebruiker, (b) onmogelijk maken van zogenaamde single point failures, waarbij het netwerk op dergelijke manier geconfigureerd dient te worden dat het dataverkeer onmiddellijk moet worden afgeleid in geval van fouten, met het oog op het vermijden van onderbrekingen van de dienstverlening. Ook omtrent schaalbaarheid moeten er bepaalde garanties worden gegeven, waarbij rekening dient te worden gehouden met een hoger of lager aantal gebruikers en een hogere 19