Exit-strategie softwarepakketten

Uit NORA Online
Exit-strategie
Ga naar: navigatie, zoeken
Versie 1.1 van 30 maart 2021 van de BIO Thema-uitwerking Softwarepakketten is vervangen door versie 1.2 van 26 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Omvat het plan van handelen, inclusief voorwaarden voor de beëindiging van de dienstverlening bij een bestaande leverancier en het kunnen overzetten van data naar een nieuwe leverancier van softwarepakketten.

Objecttoelichting

Aan het einde van de levenscyclus van een softwarepakket (met name software in de cloud) moeten er mogelijkheden bestaan om bestaande contracten te ontbinden en een nieuwe leverancier te kiezen. Vendor lock-in moet worden voorkomen. Voor de transitiefase en een probleemloze overdracht van bedrijfsgegevens moeten vooraf bindende afspraken worden gemaakt tussen de klant en de leverancier.

Schaalgrootte

Middel of groot.

Voor wie

Klant.


Criterium

In de overeenkomst tussen de klant en leverancier behoort een exit-strategie te zijn opgenomen, waarbij zowel een aantal bepalingen over exit zijn opgenomen, als een aantal condities die aanleiding kunnen geven tot een exit.

Doelstelling

Het voorkomen van discontinuïteit en het kunnen overgaan tot exit bij vooraf bepaalde condities.

Risico

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is CIP-netwerk

Onderliggende normen

IDConformiteitsindicatorStelling
SWP_B.03.01 Bepalingen

De klant legt in de overeenkomst bepalingen over exit vast dat:

  • De exit-bepaling geldt zowel bij het einde van de overeenkomst als om valide redenen aangedragen door de klant (zie norm B.03.02 bij conformiteitsindicator Condities).
  • De overeenkomst (en eventuele verwerkersovereenkomst) duurt voort totdat de exit-regeling helemaal is uitgevoerd.
  • De opzegtermijn voldoende tijd geeft om te kunnen migreren.
  • Data en configuratiegegevens (indien relevant) pas na succesvolle migratie verwijderd mogen worden.
  • Door een onafhankelijke partij wordt gecontroleerd en vastgesteld dat alle data is gemigreerd.
  • De exit-regeling wordt aangepast/anders ingevuld als de software die gebruikt wordt voor de clouddienst is gewijzigd.
SWP_B.03.02 Condities

De klant kan, buiten het verstrijken van de contractperiode, besluiten over te gaan tot exit wanneer sprake is van aspecten die gerelateerd zijn aan:

  • Contracten:
    • niet beschikbaar zijn van de afgesproken prestatie;
    • eenzijdige wijziging door de leverancier van het Service Level Agreement (SLA);
    • prijsverhoging.
  • Geleverde prestatie/ondersteuning:
    • onvoldoende compensatie voor storingen;
    • niet leveren van de afgesproken beschikbaarheid of prestatie;
    • gebrekkige ondersteuning.
  • Clouddienst(en):
    • nieuwe eigenaar of nieuwe strategie;
    • einde van de levensduur van clouddiensten als softwarepakket;
    • achterwege blijvende features.