Herman Kui, Managing Director van Escrow4All, legt in een interview met ITchannelPRO uit waarom de vraag naar escrow-overeenkomsten stijgt, nu NIS2 en digitale soevereiniteit hoog op de agenda staan. Het interview begint met de vraag om escrow uit te leggen op een manier die voor iedereen te begrijpen is. Herman: “Het doel van een escrow-overeenkomst is de continuïteit en controle over software bij leveranciersuitval te waarborgen.”
Vervolgens staat hij stil bij het verleden. “Vroeger, ik spreek dan over de jaren tachtig en negentig van de vorige eeuw, kocht een bedrijf software op dragers en de bijbehorende licenties. Toegang tot de broncode was geen vereiste. Wie dat wel wenste, sloot een overeenkomst waarbij de broncode bij een notaris werd gedeponeerd. Het idee was dat men toegang zou kunnen krijgen als de maker niet meer bereikbaar was.”
Broncode in de kluis van een notaris is juridisch en technisch veilig, maar tegenwoordig nog maar beperkt bruikbaar. Waar voorheen het aantal software-aanpassingen per jaar beperkt was, ligt de frequentie van aanpassingen tegenwoordig veel hoger. Alleen al daarom is het opslaan op een fysieke drager en het opbergen daarvan in een kluis niet meer aan de orde.
Broncodes en meer
Herman: “Wat wij tegenwoordig verstaan onder een adequate escrow-regeling bestaat uit het combineren van technische controles met juridische afspraken en het zorgen voor regelmatige updates, passend bij de huidige agile ontwikkelingscycli. De broncode wordt bij ons in een digitale kluis opgeslagen. Escrow-overeenkomsten gaan trouwens niet uitsluitend over de broncode. Het is bijvoorbeeld ook mogelijk om afspraken te maken over SaaS-diensten.”
Onder welke omstandigheden de klant toegang heeft, staat in het contract. Faillissement van de maker is nadrukkelijk niet de enige reden. Herman: “Wat we meer en meer zien is dat ook in het geval van malware of ransomware toegang tot de broncode of software moet worden verleend. Dat is op dat moment namelijk de enige schone versie van de software.”
Meer dan grote bedrijven en overheden
Vroeger was escrow alleen een vereiste voor grote bedrijven en overheidsdiensten. “Banken, logistiek en transport zijn voorbeelden van sectoren die al jaar en dag escrow-overeenkomsten sluiten met hun softwareleveranciers. Ze moeten wel, want zodra de IT daar uitvalt, is er meer dan alleen eigen schade; domino-effecten zijn dan onvermijdelijk.”
Dit soort bedrijven was voorheen gewend om met grote softwarehuizen zaken te doen en het initiatief te nemen. “We zien inmiddels steeds vaker dat juist de maker van de software dit geregeld wil hebben. Het initiatief ligt nu dus ook bij de aanbodzijde en dan hebben we het ook over kleine bedrijven en start-ups.”
NIS2 en CER
Een van de stellingen van Herman is dat NIS2 en CER niet zonder escrow kunnen. “Voor NIS2 is veel aandacht. Er is ook nog de CER (Critical Entities Resilience-richtlijn) die echt minder bekend is. Beide richtlijnen hebben als doel de digitale weerbaarheid te verhogen. Dan ontkom je er niet aan om naar alles te kijken wat die beschikbaarheid, dus de continuïteit, bepaalt.”
Onvermijdelijk is dat er ook naar de software wordt gekeken en dan komen escrow-overeenkomsten vanzelf in beeld. “Dat onder NIS2 en CER bestuurlijke aansprakelijkheid een rol gaat spelen, heeft grote gevolgen. Het is een van de redenen waarom de vraag naar escrow-oplossingen fors toeneemt. Bestuurders moeten ten eerste kunnen aantonen dat ze alle risico’s en kwetsbaarheden in kaart hebben gebracht. Vervolgens moeten er maatregelen getroffen zijn om dit te ondervangen. Escrow-overeenkomsten zijn wat dat betreft net als verzekeringen. Het geeft rust omdat je weet dat je de juiste voorbereidingen hebt getroffen.”
Keten
Tijdens het interview is een paar keer het begrip keten voorbijgekomen. Herman: “NIS2 draagt bestuurders op meer aandacht te besteden aan de keten waarvan ze deel uitmaken. Ik sluit niet uit dat kleinere dienstverleners in de IT-keten op enig moment te maken zullen krijgen met escrow-overeenkomsten.”
Digitale soevereiniteit
Dat Herman van mening is dat digitale soevereiniteit evenmin zonder escrow kan, zal na het bovenstaande niet meer verbazen. “Ook digitale soevereiniteit heeft alles te maken met continuïteit, weerbaarheid en resilience. Natuurlijk is het startpunt anders dan bij NIS2 en CER, maar de overeenkomsten in de uitwerking zijn groot. Wie streeft naar meer digitale soevereiniteit moet weten waarvan hij gebruikmaakt en een plan hebben om toegang te kunnen blijven houden tot systemen of software.”
Wie meer wil weten over Escrow4All voor zijn bedrijf kan contact opnemen met Herman Kui via Herman.kui@escrow4all.com of bel 020 3420 250.
(dit artikel verscheen eerder in ITchannelPRO magazine 2026 #02)
