Escrow

Escrow is een juridische constructie waarbij een onafhankelijke derde partij waardevolle materialen in bewaring neemt. Binnen de IT en cybersecurity gaat het meestal om broncode, technische documentatie, configuratiebestanden en soms databases die bij een escrow-agent worden ondergebracht. Het doel is om de continuiteit van bedrijfskritieke software te waarborgen wanneer een leverancier onverhoopt wegvalt, failliet gaat of contractuele verplichtingen niet meer nakomt. De constructie biedt je als afnemer een vangnet: als het misgaat met je leverancier, krijg je toegang tot de materialen die je nodig hebt om je systemen draaiend te houden. In de context van informatiebeveiliging speelt escrow een belangrijke rol bij het borgen van beschikbaarheid, een van de drie pijlers van het BIV-model.

Waarom is escrow belangrijk?

Organisaties zijn steeds afhankelijker van software die door externe partijen wordt ontwikkeld en onderhouden. Denk aan ERP-systemen, branchespecifieke applicaties of maatwerk-koppelingen met je IT-infrastructuur. Als die leverancier wegvalt, sta je met lege handen als je geen toegang hebt tot de broncode. Escrow lost dit probleem op door de broncode en bijbehorende documentatie veilig te stellen bij een neutrale partij. In Nederland groeit het gebruik van escrow-overeenkomsten, mede door de verschuiving naar SaaS-modellen en cloudoplossingen. De afhankelijkheid van externe software is groter dan ooit, waardoor het risico van leveranciersuitval ook toeneemt. Voor organisaties die onder regelgeving als NIS2 vallen, is het borgen van software-continuiteit geen luxe maar een verplichting. De richtlijn stelt expliciet dat organisaties hun toeleveringsketen moeten beveiligen en continuiteitsplannen moeten hebben.

Escrow is ook relevant voor organisaties die werken met gevoelige data. Als je softwareleverancier plotseling stopt, moet je niet alleen de software kunnen voortzetten, maar ook de data die erin zit veilig kunnen migreren of beheren. Zonder escrow-overeenkomst ben je volledig afhankelijk van de goodwill van een leverancier of diens curator bij faillissement. Dat is een risico dat je als professionele organisatie niet wilt lopen.

Hoe pas je escrow toe?

Een escrow-overeenkomst komt tot stand tussen drie partijen: de softwareleverancier (depositor), de afnemer (begunstigde) en de escrow-agent. De leverancier deponeert periodiek de broncode en bijbehorende materialen bij de escrow-agent. De agent bewaart deze materialen in een beveiligde omgeving en geeft ze alleen vrij als aan vooraf afgesproken voorwaarden is voldaan, zoals faillissement van de leverancier, contractbreuk of het staken van onderhoud.

Er bestaan verschillende typen escrow. Bij broncode-escrow gaat het puur om de softwarecode. Bij technologie-escrow worden ook build-scripts, ontwikkelomgevingen en technische documentatie meegenomen. SaaS-escrow is de nieuwste variant en richt zich specifiek op cloudapplicaties, waarbij niet alleen code maar ook data, configuraties en infrastructuurdocumentatie worden bewaard. De keuze voor het type hangt af van je afhankelijkheid en het risicoprofiel van je organisatie.

Een belangrijk onderdeel van het escrow-proces is verificatie. Een goede escrow-agent voert periodiek een technische verificatie uit om te controleren of de gedeponeerde materialen volledig, actueel en bruikbaar zijn. Zonder verificatie loop je het risico dat je bij een calamiteit materialen ontvangt die verouderd of onbruikbaar zijn. Verificatie kan variieren van een basiscontrole op volledigheid tot een volledige build-test waarbij de software daadwerkelijk wordt gecompileerd en getest. Hoe kritischer de software voor je bedrijfscontinuiteit, hoe grondiger de verificatie moet zijn.

Escrow in de praktijk

Stel dat een middelgroot accountantskantoor werkt met maatwerksoftware voor belastingaangiftes. De software wordt onderhouden door een klein softwarebedrijf met vijf medewerkers. Als dat bedrijf failliet gaat, komt het accountantskantoor in de problemen: klantdata zit vast in een systeem waar niemand meer bij de broncode kan. Met een escrow-overeenkomst had het kantoor de broncode kunnen opvragen en een andere partij kunnen inschakelen om het onderhoud over te nemen.

In de Nederlandse markt zijn verschillende gespecialiseerde escrow-agents actief. Zij bieden naast bewaring ook diensten als verificatie, juridisch advies over de overeenkomst en ondersteuning bij het daadwerkelijk vrijgeven van materialen. De kosten voor een escrow-overeenkomst variieren van enkele duizenden euro's per jaar voor een eenvoudige broncode-escrow tot tienduizenden euro's voor complexe SaaS-escrow met regelmatige verificatie.

Escrow past binnen een breder risicomanagement-beleid. Het is geen vervanging voor andere maatregelen zoals leveranciersbeoordeling, contractuele afspraken over broncode-eigendom of het gebruik van open-source alternatieven. Het is een aanvulling die je inzet wanneer de afhankelijkheid van een specifieke leverancier hoog is en de impact van uitval groot. Combineer escrow altijd met een goed incident response-plan, zodat je bij vrijgave van escrow-materialen ook weet wie de software kan overnemen en hoe je de transitie organiseert.

De juridische aspecten van escrow verdienen bijzondere aandacht. Een escrow-overeenkomst moet duidelijk vastleggen onder welke voorwaarden de materialen worden vrijgegeven, wie de kosten draagt, hoe geschillen worden opgelost en welk recht van toepassing is. Bij internationale softwareleveranciers kan de jurisdictie complex worden. Laat de overeenkomst altijd beoordelen door een jurist met ervaring in IT-recht. In Nederland zijn organisaties als ICTrecht en NLdigital actief in het adviseren over escrow-constructies.

Escrow wordt ook steeds relevanter in het kader van supply chain security. De toenemende complexiteit van softwareketens, waarbij applicaties afhankelijk zijn van tientallen bibliotheken en diensten van derden, maakt het moeilijker om te overzien welke risicos je loopt bij het wegvallen van een schakel. Een Software Bill of Materials (SBOM) in combinatie met escrow geeft je inzicht in en toegang tot alle componenten waarvan je software afhankelijk is. Dit is een groeiende best practice die aansluit bij de eisen van NIS2 voor supply chain risk management. Steeds meer aanbestedingen bij de Rijksoverheid nemen escrow-vereisten op als standaardeis bij de inkoop van maatwerksoftware.

Veelgestelde vragen over escrow

Wat kost een escrow-overeenkomst?

De kosten variieren van enkele duizenden euro's per jaar voor eenvoudige broncode-escrow tot tienduizenden euro's voor SaaS-escrow met verificatie. De prijs hangt af van de complexiteit van de software, de frequentie van updates en het niveau van verificatie dat je kiest.

Is escrow verplicht onder NIS2?

NIS2 schrijft escrow niet letterlijk voor, maar verplicht organisaties wel om hun toeleveringsketen te beveiligen en continuiteitsplannen te hebben. Escrow is een effectieve maatregel om aan die verplichting te voldoen, vooral bij kritieke softwareafhankelijkheden.

Wat is het verschil tussen broncode-escrow en SaaS-escrow?

Bij broncode-escrow wordt alleen de softwarecode bewaard. SaaS-escrow gaat verder en omvat ook data, configuraties, infrastructuurdocumentatie en soms zelfs een draaiende kopie van de applicatie. SaaS-escrow is complexer maar noodzakelijk bij cloudapplicaties.

Hoe vaak moet een escrow-depot worden bijgewerkt?

Idealiter bij elke significante software-update, maar minimaal twee keer per jaar. De frequentie hangt af van hoe snel de software evolueert. Bij agile ontwikkeling met frequente releases is maandelijkse depositie aan te raden.

Kan ik escrow regelen voor open-source software?

Bij open-source software is de broncode al publiek beschikbaar, waardoor traditionele escrow overbodig is. Wel kan het zinvol zijn om configuraties, aanpassingen en data te beschermen via een escrow-achtige constructie als je sterk leunt op een specifieke open-source implementatie.

Wil je de continuiteit van je software waarborgen? Vergelijk Governance, Risk & Compliance aanbieders op IBgidsNL.