Cloud escrow versus CloudSecure: continuïteit die standhoudt


Voor de continuïteit van bedrijfskritische software wil je geen schijnzekerheid. Veel traditionele cloud- en continuity-escrowregelingen claimen continuïteit, maar lopen vast op de juridische en operationele praktijk. Belangenverstrengeling bij de verificatie, AVG-risico’s door datareplicatie en de onzekere status bij een faillissement zijn daarbij de zwakke plekken.

CloudSecure® pakt die punten bij de basis aan. Geen tijdelijke overbrugging, maar een juridische en technische constructie die de volledige clouddienst draaiend houdt, ook als de leverancier wegvalt.


Wat is cloud escrow?

Cloud escrow, ook continuity escrow genoemd, is een regeling die de continuïteit van een clouddienst of SaaS-applicatie borgt als de leverancier wegvalt, door faillissement of het staken van de dienstverlening. Waar broncode-escrow zich op de broncode richt, draait cloud escrow om de volledige dienst: code, configuratie en de afhankelijkheden van het cloudplatform. Hoe die continuïteit juridisch en technisch wordt geborgd, verschilt sterk per aanbieder. Precies daarin zit het verschil tussen zo’n traditionele regeling en CloudSecure van Softcrow.


Wat CloudSecure anders doet

  • Continuïteit bij faillissement: de juridische constructie staat los van de faillissementsafwikkeling; de dienst blijft draaien zolang begunstigden hun licentie betalen.
  • Onafhankelijke IT-audit: een aan de NOREA verbonden IT-auditor, niet de escrow-agent zelf.
  • Dataminimalisatie: de productiedata verlaat het platform van de leverancier niet (AVG).
  • EU-soevereiniteit: volledig binnen de EU gehost, CLOUD- en USA PATRIOT Act-vrij.
  • Zero-knowledge: alle gedeponeerde informatie is client-side versleuteld. Softcrow heeft de sleutel niet.

Vergelijking op een rij

CategorieAspectTraditionele cloud escrowCloudSecure
Governance en controleVerificatie en IT-auditBelangenverstrengeling
De escrow-agent treedt vaak zelf op als auditor van het depot, wat de onafhankelijkheid van het oordeel onder druk zet.
Strikte scheiding
Een onafhankelijke, aan de NOREA verbonden IT-auditor levert een rapport van bevindingen.
VerificatieprocesInterne controle
Wordt uitgevoerd door de agent zelf op de leesbare depotinformatie.
Onafhankelijk toezicht
De leverancier bouwt de omgeving op volgens een vooraf aangeleverde beschrijving, onder toezicht van de onafhankelijke auditor.
Juridisch en operationeelStatus bij faillissementOnzeker
De curator bepaalt of de cloudomgeving wordt stopgezet, ongeacht vooraf betaald abonnementsgeld.
Waterdicht
De juridische constructie staat los van de faillissementsafwikkeling; de omgeving blijft draaien zolang begunstigden hun licentie betalen.
ContinuïteitsmechanismeTijdelijke overbrugging
Gedeponeerde account-sleutels en een geldbedrag houden de omgeving korte tijd draaiend.
Structurele doorstart
De bestaande cloud-omgeving blijft operationeel, zonder directe afhankelijkheid van de faillissementsafwikkeling.
Data-locatie en privacy (AVG)Data-replicatie
Gevoelige productiedata wordt continu naar de escrow-agent gesynchroniseerd, een extra AVG-risico.
Data-minimalisatie
De productiedata verlaat het platform van de leverancier niet; geen datatransport naar of opslag bij derden.
Implementatie en beheerReplicatie of integratieExtra IT-last
Er moet een replicatie- of integratiekoppeling worden gebouwd en doorlopend beheerd, met bijbehorende kosten en faalpunten.
Geen koppeling nodig
Niets te repliceren of te integreren; de bestaande omgeving blijft draaien zoals die is.
Wetgeving en soevereiniteitJurisdictie en soevereiniteitAmerikaanse jurisdictie
Vaak gehost op Amerikaanse cloudplatforms, waardoor de data onder de CLOUD Act en USA PATRIOT Act valt.
EU-soeverein
Volledig binnen de EU gehost, CLOUD- en USA PATRIOT Act-vrij.
Beveiliging en architectuurToegang tot het depotLeesbare toegang
Via koppelingen of account-sleutels heeft de agent zelfstandig toegang tot het intellectueel eigendom.
Geen toegang (zero-knowledge)
De broncode is client-side versleuteld (E2EE); Softcrow houdt geen sleutel en heeft geen toegang tot de inhoud.
Rol en vertrouwenRol als Trusted Third PartyGecombineerde rollen
De agent verenigt beheer, opslag en verificatie in één partij en heeft inzage in alle depotinformatie.
Neutrale derde partij
Softcrow heeft nooit inzage in de inhoud van een depot.

Veelgestelde vragen

Wat is het verschil tussen traditionele cloud escrow en CloudSecure?

Bij traditionele cloud escrow worden vaak account-sleutels en een geldbedrag gedeponeerd om de omgeving tijdelijk draaiend te houden, en treedt de escrow-agent regelmatig zelf op als auditor. CloudSecure gebruikt een juridische constructie die losstaat van de faillissementsafwikkeling, een onafhankelijke aan de NOREA verbonden IT-auditor, dataminimalisatie waarbij de productiedata het platform van de leverancier niet verlaat, EU-soevereiniteit (CLOUD- en USA PATRIOT Act-vrij) en zero-knowledge opslag waarbij Softcrow geen sleutel houdt.

Wat dekt een SaaS Escrow?

Een SaaS Escrow stelt de broncode én de klantdata veilig: de leverancier levert een broncodedepot en een datadepot aan, zodat de begunstigde bij afgifte over beide beschikt. Een SaaS Escrow houdt de live clouddienst niet uit zichzelf draaiend; daarvoor is CloudSecure bedoeld, dat met een juridische constructie de volledige dienst operationeel houdt. Meer over SaaS Escrow.

Wat gebeurt er met de clouddienst als de leverancier failliet gaat?

Bij CloudSecure zijn het intellectueel eigendom, de hostingcontracten en de gebruikerslicenties ondergebracht in afzonderlijke rechtspersonen. De juridische constructie staat los van de faillissementsafwikkeling, zodat de bestaande cloud-omgeving operationeel blijft zolang begunstigden hun licentie betalen.

Heeft Softcrow toegang tot de broncode of data?

Nee. De broncode wordt client-side versleuteld aangeleverd (E2EE) en Softcrow houdt de sleutel niet, dus Softcrow heeft geen toegang tot de inhoud (zero-knowledge). De productiedata blijft bij de leverancier en wordt niet naar Softcrow gerepliceerd.

Lees meer veelgestelde vragen op onze FAQ-pagina.


Benieuwd of CloudSecure past bij jouw clouddienst? We denken graag met je mee over de juridische en technische inrichting.

Meer over CloudSecure → Neem contact op →