Management

Juridische zaken
Contracten

Bedrijven maken serieus werk van datastrategie

Een goede datastrategie voorkomt complianceproblemen met softwareleveranciers

contract reading © delphinmedia,  CC 2.0 Generic
19 juli 2017

Compliance-issues rondom indirect gebruik zijn dankzij de rechtszaak tussen SAP en Diageo de laatste maanden volop in het nieuws. Dergelijke problemen zijn te voorkomen door van tevoren contractuele afspraken te maken met de softwareleverancier. En dat heeft weer alles te maken met de datastrategie van de organisatie.

Compliance-issues rondom indirect gebruik hebben enorme financiële gevolgen voor organisaties. Begin dit jaar verplichtte de Britse rechter drankenleverancier Diageo tot het betalen van 60 miljoen euro aan SAP. Diageo gaf gebruikers via Salesforce toegang tot data in een SAP-database, zonder dat daar in de licentievoorwaarden van SAP toestemming voor was gegeven. Vraag het een willekeurige IT’er en hij zal beamen hoe vaag die voorwaarden soms kunnen zijn, maar desalniettemin moest er fors betaald worden. Hoewel SAP inmiddels meer duidelijkheid en transparantie in zijn voorwaarden belooft, raadde ik in een vorige blog bedrijven aan daar niet op te wachten en zelf de touwtjes in handen te nemen.

Juridisch afdekken

Er is namelijk maar één manier om met volledige zekerheid dergelijke grote nabetalingen te voorkomen: alles van tevoren juridisch afdekken met SAP. Dan weet je namelijk later altijd precies wat wel en niet mag en kom je niet voor verrassingen te staan. Het maken van goede contractuele afspraken is echter makkelijker gezegd dan gedaan, want wat spreek je precies af? Je moet daarvoor goed weten waar de toegevoegde waarde van SAP voor jouw organisatie zit én een aantal jaar vooruit kunnen kijken. En het allerbelangrijkste: je moet precies weten wat er met je data gebeurt. Een discussie over indirect gebruik is namelijk altijd een gesprek over datastromen, data-eigendom en het recht om data te bewerken. De juiste beslissingen nemen over indirect gebruik kan dan ook niet zonder de datastrategie van de organisatie erbij te pakken.

Datastrategie

De laatste jaren zijn data steeds meer fluïde geworden binnen bedrijven. Vrijwel elke organisatie maakt gebruik van de diensten van verschillende softwareleveranciers. Gegevens gaan van systeem naar systeem. De onstuitbare opkomst van cloud en de bijbehorende SaaS-modellen hebben daar sterk aan bijgedragen. Dat brengt allerlei strategische vraagstukken met zich mee voor organisaties. Weet ik waar mijn data staan? Wat wil ik met mijn data? Van wie zijn mijn data precies? Nu steeds meer ondernemingen op weg zijn naar een data-gedreven bedrijfsmodel, zijn dit onmisbare vragen vanuit een privacy- en datasecurity-oogpunt. Aanleidingen genoeg: hackers liggen op de loer, er komt een nieuwe strengere Europese privacywet aan en de boetes voor een datalek liegen er niet om (nog los van de imagoschade). Het gevolg is dat veel bedrijven serieus werk maken van een datastrategie.

Compliance-voordelen

De voordelen van zo’n datastrategie gaan verder dan het voorkomen van een datalek en compliant zijn met de wet. Het helpt ook om compliance-issues met softwareleveranciers te voorkomen. De indirect gebruik-case is daar een perfect voorbeeld van. Als je namelijk een duidelijk idee hebt van wat je met je data wilt, weet je ook veel beter welke contractuele afspraken je met SAP moet maken om mogelijke problemen in de toekomst te voorkomen. Je kunt bijvoorbeeld nu al inschatten dat je medewerkers binnen drie jaar vanuit meerdere SaaS-platformen data uit je SAP-database gaan halen – neem daar dan een clausule over op in het nieuwe contract. Het resultaat is dat je niet meer afhankelijk bent van de vage algemene voorwaarden van SAP, maar van concrete afspraken (die je uiteraard intern nog wel goed moet bespreken met alle technische betrokkenen). Op korte termijn betaal je daardoor wellicht wel meer, maar je weet in elk geval zeker dat je later niet alsnog veel duurder uit bent. Reken maar dat Diageo het vanaf nu ook op deze manier gaat aanpakken.

Reactie toevoegen