Outvie zomeractie: Kies uit een Winkelcheque of een Bol.com cadeaubon t.w.v. €50,-* Bekijk de actie.

Back-upafspraken in een IT-contract: hoe gaat u om met RPO en RTO?

Foto van Peter van Schelven, zelfstandig jurist

Peter van Schelven, zelfstandig jurist

Onlangs kwam ik in het cloudcontract van een middelgrote provider van storage- en back-updiensten de volgende bepaling tegen: “Wij zullen op de bij ons gebruikelijke wijze reservekopieën maken van de data die u als opdrachtgever in onze systemen opslaat.” Een contractuele toezegging van een externe provider om back-ups te maken is een eerste stap voor bedrijven en organisaties die hun gegevens wensen te beveiligen en te beheren. Goed bruikbare back-ups zijn immers een absolute must in de hedendaagse digitale wereld.

 

IT-contracten back-up

Het is algemeen bekend: computers kunnen crashen, slechte software of netwerken veroorzaken soms grote problemen en bij cyberaanvallen versleutelen criminelen steeds vaker data. Ook door talloze menselijke fouten kunnen digitale data verloren gaan of gecorrumpeerd raken. Het back-uppen van gegevens behoort dan ook tot de meest elementaire verplichtingen op het gebied van cyberhygiëne, zo valt expliciet te lezen in de NIS2, de inmiddels veelbesproken Europese richtlijn voor beveiliging van kritieke digitale infrastructuur.

Wat regelt u rondom back-ups in een IT-contract?

De aangehaalde clausule is echter zo vaag en weinigzeggend dat deze de opdrachtgever nauwelijks zekerheid biedt. Want met welke regelmaat maakt de provider back-ups en hoe lang worden deze ongewijzigd bewaard? Welke softwaretool wordt ingezet voor het back-uppen, het herstel en de replicatie van gegevens? En niet minder belangrijk: is de back-up zelf ook wel voldoende beveiligd tegen onbedoelde wijzigingen of sneuvelt die onverhoopt mee bij een eventuele ransomware aanval? En: ziet de back-up niet alleen op opgeslagen data of ook op data die anderszins worden verwerkt? En voorts: worden de wezenlijke configuratie-instellingen van uw systemen ook meegenomen in de back-up? Kortom, veel werk aan de winkel voor de IT-jurist die afspraken rondom het back-uppen moet schrijven of beoordelen.

 

In dit verband is het essentieel om als jurist ten minste de termen Recovery Point Objective (RPO) en Recovery Time Objective (RTO) te begrijpen en correct te verwerken in contracten. Dat zijn twee kritieke parameters die de continuïteit van IT-diensten na verlies of verminking van data bepalen. Waar staan deze parameters voor, die – kort gezegd – aangeven hoeveel dataverlies een organisatie kan tolereren en welke uitvaltijd acceptabel wordt geacht. Het antwoord op die vraag verschilt per organisatie en zelfs per soort data. Heldere en eenduidige contractuele definities van RPO en RTO zijn daarbij onontbeerlijk. In de praktijk worden die veelal in een Service Level Agreement (SLA) vastgelegd.

Een eerste parameter: Recovery Point Objective (RPO)

Recovery Point Objective (RPO) is de maximale hoeveelheid data, concreet uitgedrukt in tijd, die bij een storing of incident verloren mag gaan voordat de normale bedrijfsvoering wordt verstoord. Spreek je als advocatenkantoor met je externe provider een RPO van bijvoorbeeld 4 uur af, dan komt dat er op neer dat de provider iedere 4 uur een back-up moet maken om te zorgen dat de gegevens nog zo actueel mogelijk zijn. Als kantoor tolereer je in dat geval dus een mogelijk dataverlies van 4 uur.

 

Uiteraard kan in het contract onderscheid worden gemaakt naar diverse soorten data. De RPO van – zeg – de gegevens in de juridische dossiers van advocaten moet, met het oog op een de continuïteit in de primaire dienstverlening, wellicht korter zijn dan de RPO voor gegevens van de backoffice van het kantoor. Wil je een verantwoord RPO overeenkomen, dan beoordeel je dus eerst het kritische karakter van de betrokken data. Is de tolerantiegrens zelfs nul dan kies je voor de vaak dure oplossing van real-time replicatie en synchronisatie naar een gespiegeld systeem.

 

Maak je als kantoor zelf ook nog regelmatig back-ups of besteed je het maken van back-ups tot meerdere zekerheid ook nog eens uit aan een derde partij, dan kan volstaan worden met de ‘inkoop’ van een minder stringent RPO. Daarbij geldt: hoe korter de afgesproken RPO, hoe duurder de back-updienst in de regel wordt. Een RPO van bijvoorbeeld een uur resulteert immers al gauw in een opslag van een enorme hoeveelheid data.

Een tweede parameter: Recovery Time Objective (RTO)

En wat houdt vervolgens Recovery Time Objective (RTO) in? Die ziet op de maximale tijd die nodig is om een IT-systeem na een storing of incident – simpel gezegd – weer aan de praat te krijgen. De RTO bepaalt hoe snel systemen weer operationeel moeten zijn om de bedrijfsvoering te kunnen voortzetten. Zijn data verminkt, dan is door gebruik te maken van een goed recovery-tool herstel van die data binnen de RTO wellicht nog mogelijk. Maar is dat niet het geval, dan geeft de RTO aan binnen welke tijd de back-up operatoneel geïnstalleerd moet zijn. Komt u met uw provider een RTO van bijvoorbeeld 6 uur overeen, dan moet dat waarborgen dat de impact van het incident op uw bedrijfsvoering niet significant is. Snelheid van handelen en betrouwbaarheid zijn daarbij dus essentieel. In de hedendaagse complexe IT-omgevingen is dat alleen te realiseren als uw provider gebruik maakt van moderne softwaretools.

Overige contractuele aandachtspunten

Het spreekt voor zich dat bij het overeenkomen van RPO en RTO de specifieke doelen – lees: de service levels van uw provider – realistisch en technisch haalbaar moeten zijn. Als grote hoeveelheden data moeten worden gerepliceerd naar een back-up, dan moet de beschikbare netwerkbandbreedte voldoende zijn om al deze gegevens snel te kunnen verplaatsen. En verlangt u een stringent RPO van bijvoorbeeld 1 uur, dan vergt dat al snel forse investeringen in technologieën, netwerken en opslagoplossingen. Het maken van daadwerkelijk uitvoerbare contractuele afspraken vereist daarom intensieve samenwerking van de jurist met andere disciplines.

 

Contractuele afspraken over RPO en RTO moeten idealiter meetbaar zijn. In dat verband geeft de IT-jurist aandacht aan contractuele onderwerpen zoals testprocedures, de mogelijkheid van regelmatige audits en rapportageverplichtingen van de provider, zulks om de naleving van RPO- en RTO-vereisten te waarborgen. Regelmatige tests kunnen potentieel zwakke punten in herstelprocedures identificeren en corrigeren.

 

Niet in de laatste plaats zorgt een goed IT-jurist voor de consistentie van afspraken binnen het IT-contract. Een voorbeeld. In de praktijk bevatten veel SLA’s tamelijk algemeen en generiek geformuleerde afspraken over het prioriteren van IT-incidenten en de termijnen waarbinnen de provider een incident dient op te pakken of op te lossen. Als een incident ernstiger of meer ontwrichtend is dan krijgt deze volgens die afspraken een hoge prioriteit, in welke geval de provider tamelijk snel actief dient op te treden. Juist omdat RPO en RTO specifieke IT-parameters zijn, doet zich de vraag voor hoe deze zich verhouden tot de meer generieke prioriteringsafspraken over incidenten. Een goed SLA geeft daar een klip en klaar antwoord op.

Verdieping van de IT-contractspraktijk

Het correct omgaan met RPO en RTO in IT-contracten draagt bij aan de stabiliteit en betrouwbaarheid van de IT-diensten en de algehele bedrijfscontinuïteit. Het goed vastleggen ervan in contracten is niet alleen een juridische vereiste, maar ook een noodzaak voor bedrijven en organisaties die erg afhankelijk zijn van IT. Kortom, complex en uitdagend werk voor de IT-jurist… maar meer dan de moeite waard!

Interesse in een verdieping van uw kennis? schrijf u in voor de training Verdieping van de IT-contractspraktijk.

Download de brochure

Share

Outvie logo