Bij aanbestedingen van (semi-)overheid instellingen wordt escrow als een voorwaarde neergelegd. Compliance regelgevingen zoals SOX en Basel II zien toe op de permanente beschikbaarheid van ICT systemen. De AFM en de DNB houden scherp toezicht op de escrow regelingen met betrekking tot in gebruik zijnde strategische software binnen financiële instellingen.

Kortom, escrow is tegenwoordig simpelweg best practice bij software inkoop en ICT risicobeheer van softwaregebruik. Bij een software escrow regeling heeft een gebruiker – in casu de begunstigde – onder bepaalde omstandigheden recht op het gebruik van de gedeponeerde broncode en technische documentatie; denk bijvoorbeeld aan het faillissement van de leverancier. Beheer en onderhoud van de applicatie kunnen dan onafhankelijk van de leverancier worden voortgezet, zodat de bedrijfsprocessen geen gevaar lopen.

Voor aanbieders van bedrijfskritische software is een escrow regeling daarom een must have om tot zaken te kunnen komen. Dit geldt onverminderd ook voor aanbieders van Document Management Software (DMS). Vandaar dat escrow bij DMS veelal is geregeld. De noodzaak van escrow wordt wel degelijk erkend en men denkt dit gebied dan ook te hebben afgedekt.

De vraag is echter: is de escrow regeling werkelijk zodanig opgezet, dat deze adequaat is en volledig is afgestemd op uw situatie. Doorvragen en een gezonde portie achterdocht is absoluut op zijn plaats. Het gebeurt vaak dat escrow clausules – bedongen bij de aanbesteding of tijdens de contractonderhandelingen – niet worden omgezet in een escrow overeenkomst. ICT inkopers die escrow zien als een afvinkpuntje en niet omkijken komen, wanneer zich problemen voordoen zoals een faillissement bij een software maker, van een koude kermis thuis.

Van belang is derhalve waar u op dient te letten en welke verschillende typen escrow oplossingen zijn er.

Escrow in eigen beheer

Sommige softwaremakers regelen hun escrow onderhands. Dat wil zeggen direct met hun klanten zonder tussenkomst van een onafhankelijke derde partij. In enkele gevallen wordt hiervoor een stichting continuïteit of klantenbelangen in het leven geroepen. Met de tussenkomst van een stichting wordt de indruk van onafhankelijkheid gewekt. Is dat in de praktijk ook zo? Wanneer het escrow depot zich fysiek in een kluis in het bedrijfspand van de leverancier bevindt, kan dit een probleem vormen. Immers, een curator heeft geen leveringsplicht; ook niet wanneer het gaat om de verplichtingen voorvloeiend uit de escrow overeenkomst. Wanneer dat struikelblok is overwonnen, is het nog maar de vraag of het escrow depot nog actueel en bruikbaar is. Controleren en updaten van het escrow depot is dan ook absoluut vereist.

Passieve escrow

Een aantal notarissen en advocaten in Nederland biedt escrow regelingen aan. Veelal zijn dit passieve escrow regelingen. De juridische basis kan, vanzelfsprekend, zonder problemen door notarissen en advocaten worden gelegd. Echter, de werkprocessen van een gemiddeld notaris- of advocatenkantoor zijn niet ingericht om een escrow regeling uit te voeren. Niet zo lang geleden vertelde de directeur van een softwarebedrijf mij dat hij het wel tijd vond om escrow professioneel te regelen: “Vijf jaar geleden heb ik een lege CD-Rom bij een notaris neergelegd. Als het goed is, ligt die er nog steeds.” Doordat verificaties optioneel zijn en door externe partijen worden uitgevoerd, wordt dat in de praktijk overgeslagen. Om misverstanden te voorkomen: escrow regelingen bij een notaris of advocaat zijn niet per definitie slecht. Regelingen waarbij depots niet worden ververst en niet worden gecontroleerd wel.

Actieve escrow

Onder een actieve escrow regeling wordt verstaan een regeling waarbij een onafhankelijke derde partij de regie in handen neemt. De escrow agent initieert alle acties en zorgt ervoor dat de gemaakte afspraken worden nagekomen. Het escrow depot wordt regelmatig vernieuwd en ieder depot wordt minimaal gecontroleerd op leesbaarheid en aanwezigheid van de broncode van de desbetreffende applicatie.

Controles van escrow depots zijn cruciaal, omdat het aanmaken van een escrow depot, feitelijk het extern maken van de know-how, geen deel uitmaakt van de dagelijkse werkzaamheden van software engineers. Een DMS pakket bevat vele manjaren research & development. Abusievelijk een component vergeten is niet vreemd.

Individuele regeling of mantelovereenkomst

Naast het type escrow oplossing, is de vraag hoe u als licentienemer deelgenoot ofwel begunstigde wordt van een escrow regeling.

Bekend is de drie-partijen overeenkomst. Dit is een één-op-één regeling. Als gebruiker tekent u mee en bent u de enige begunstigde. Door deze opzet kunt u in overleg de standaard afspraken (polisvoorwaarden) aanpassen en het service niveau vaststellen: frequentie van deponering. Op welke wijze (niveau) worden de escrow depots gecontroleerd. Omdat de escrow overeenkomst specifiek voor u wordt opgezet, betaalt u doorgaans de escrow kosten direct aan de escrow agent.

Een alternatief bij standaard software applicaties is een escrow mantelovereenkomst (ook wel escrow raamovereenkomst genoemd). Voor DMS aanbieders, die met regelmaat escrow verzoeken van klanten krijgen, is een dergelijke one-to-many regeling ideaal. Vraag bij een mantelovereenkomst altijd om een schriftelijke bevestiging van de escrow agent. Wanneer u ook maatwerk of extra modules heeft laten ontwikkelen, controleer dan of dat onderdeel uitmaakt van de escrow regeling. Bij afgifte heeft u met de standaard applicatie een halve of zelfs onbruikbare oplossing.

Status escrow account

Eenvoudig maar lang niet altijd goed geregeld, is de informatievoorziening rondom de escrow regeling. Hoe wordt u geïnformeerd omtrent depot updates? Is een verificatie succesvol verlopen?
Informatie distribueren via een web portal lijkt een logische keuze. Echter, bij meerdere grote DMS aanbieders werken de links naar de escrow informatie pagina nota bene niet…

Concluderend: tenzij de begunstigde van de escrow regeling zelf actief controleert of bij escrow in eigen beheer of passieve escrow wordt voldaan aan de minimale vereisten van een escrow regeling (update beleid en controle van depots), is de kans groot dat men een kat in de zak koopt.

Vaak wordt echter gekozen voor escrow in eigen beheer of passieve escrow daar men vermoedt dat dit eenvoudiger te regelen is. Vraag is echter of dit de kwaliteit (onafhankelijk) van de regeling ten goede komt. Tevens wordt vaak als argument aangevoerd dat de kosten beduidend lager zijn; is goedkoop in dit geval niet duurkoop?

Naast verschillende typen escrow oplossingen is de markt van software zelf de laatste jaren veranderd – van standaard client-server (on premise software) oplossingen ziet men dat partijen meer en meer overgaan naar SaaS omgevingen waar de applicatie zelf extern wordt gehost. De continuïteitsproblematiek neemt hiermee significant toe, alsmede de eisen die aan een escrow agent worden gesteld. Meer over SaaS escrow in een volgend bijdrage.


Over de auteur

Herman Kui (1972) is commercieel directeur van Escrow4all, een gespecialiseerd escrow bedrijf dat beproefde en vernieuwende escrow oplossingen aanbiedt aan kwaliteitsbewuste opdrachtgevers. Als bekwaamd escrow expert heeft Herman honderden organisaties geadviseerd met het opzetten en uitvoeren van escrow regelingen. Contact: herman.kui@escrow4all.com


Beperk bedrijfsrisico van software: Escrow? Dat hebben we geregeld!
5 (100%) 1 vote

Print Friendly