Software escrow en compliance
Escrow is geen nicheproduct. Het is een concrete invulling van verplichtingen die voortvloeien uit Europese en internationale wet- en regelgeving. Hieronder staat per framework wat de relevante verplichting is en waarom een escrow bij Softcrow daar direct aan bijdraagt.
| Framework | Van toepassing op | Kernverplichting | Escrow als maatregel |
|---|---|---|---|
| DORA | Financiële entiteiten (banken, verzekeraars, betaaldienstverleners) | ICT-derde partijrisico beheren, exitstrategie contractueel vastleggen (art. 28 en 30) | Directe invulling van de exitstrategie- en continuïteitsverplichting |
| NIS2 | Essentiële en belangrijke entiteiten in kritieke sectoren | Risicobeheer toeleveringsketen, continuïteitsmaatregelen voor kritieke ICT | Aantoonbare maatregel richting toezichthouders en auditors |
| ISO 22301 | Organisaties met een business continuity managementsysteem | Kritieke resources identificeren en herstelmaatregelen treffen | Concreet bewijs van beheersmaatregel voor softwareafhankelijkheden |
| ISO 27001 | Organisaties met een ISMS | Leveranciersrelaties beheersen, toegang tot software-assets borgen (Annex A) | Invulling van het leveranciersrisico-control |
| CRA | Fabrikanten en afnemers van producten met digitale elementen | Toegang tot broncode bij end-of-life of uitval van de fabrikant | Alternatief toegangspad, ook voor software met AI-componenten |
| BIO | Nederlandse overheidsorganisaties | Leveranciersrisico’s beheersen op basis van ISO 27001 | Aantoonbare beheersing van continuïteitsrisico’s ICT-toepassingen |
DORA: Digital Operational Resilience Act
DORA is een EU-verordening die sinds januari 2025 van toepassing is op financiële entiteiten: banken, verzekeringsmaatschappijen, beleggingsinstellingen, betaaldienstverleners, crypto-assetdienstverleners en andere ICT-afhankelijke financiële partijen.
DORA verplicht financiële entiteiten tot het beheren van ICT-derde partijrisico’s. Dat betekent: aantoonbaar in kaart brengen welke kritieke processen afhankelijk zijn van externe ICT-leveranciers, en maatregelen treffen voor de situatie dat die leverancier wegvalt of niet meer presteert.
Artikel 28 en 30 van DORA vereisen contractuele bepalingen over toegang tot gegevens, exitstrategieën en continuïteit bij beëindiging van de ICT-dienstverlening. Een escrowovereenkomst is een directe en aantoonbare invulling van deze verplichting: de broncode of cloudomgeving is beschikbaar voor de begunstigde zodra de afgiftevoorwaarden zijn vervuld, ongeacht de staat van de leverancier.
DORA maakt escrow daarmee niet optioneel voor financiële entiteiten die afhankelijk zijn van kritieke softwareleveranciers. De toezichthouder (in NL: De Nederlandsche Bank) verwacht aantoonbare maatregelen.
NIS2: Netwerk- en Informatiebeveiliging Richtlijn
NIS2 is de opvolger van de NIS-richtlijn en is in Nederland omgezet in de herziene Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn geldt voor essentiële en belangrijke entiteiten in kritieke sectoren, waaronder energie, transport, financiën, gezondheidszorg, digitale infrastructuur en overheid.
NIS2 verplicht organisaties tot risicobeheer van de toeleveringsketen, inclusief afhankelijkheden van softwareleveranciers. Continuïteitsmaatregelen voor kritieke ICT-toepassingen zijn een expliciet onderdeel van de zorgplicht.
Escrow biedt een aantoonbare maatregel: bij uitval of faillissement van de leverancier is de broncode beschikbaar voor herstel of doorontwikkeling. Dat versterkt de aantoonbaarheid richting toezichthouders en auditors.
ISO 22301: Business Continuity Management
ISO 22301 is de internationale norm voor bedrijfscontinuïteit. De norm verplicht organisaties tot het identificeren van kritieke resources en het treffen van herstelmaatregelen voor de situatie dat die resources wegvallen.
Propriëtaire software waarvan de broncode uitsluitend bij de leverancier berust, is een kritieke afhankelijkheid die in een business continuity plan thuishoort. Escrow is de directe maatregel: de broncode is beschikbaar voor herstel, doorontwikkeling of overdracht aan een andere partij als de leverancier niet meer functioneert.
Voor ISO 22301-certificering is escrow een concreet en controleerbaar bewijs van beheersmaatregelen voor softwareafhankelijkheden.
ISO 27001: Informatiebeveiliging
ISO 27001 vereist in Annex A beheersing van leveranciersrelaties en de risico’s die voortvloeien uit afhankelijkheden van externe partijen. Behoud van toegang tot kritieke software-assets bij beëindiging van de leveranciersrelatie is een standaard aandachtspunt in ISMS-audits.
Escrow geeft invulling aan dit control: de broncode blijft toegankelijk voor de begunstigde, ongeacht de commerciële of operationele status van de leverancier.
CRA: Cyber Resilience Act
De EU Cyber Resilience Act stelt cyberbeveiligingseisen aan producten met digitale elementen, zowel voor fabrikanten als voor afnemers die deze producten in hun processen integreren. De CRA benadrukt het belang van lifecycle-beheer, kwetsbaarheidsbeheer en toegang tot software na end-of-life.
Voor afnemers van propriëtaire software geldt: als de fabrikant stopt met onderhoud of niet meer bereikbaar is, moet er een alternatief pad zijn voor toegang tot de broncode. Escrow voorziet daarin, ook voor software met AI-componenten, waarvan modelgewichten en trainingslogica deponeerbaar zijn.
BIO: Baseline Informatiebeveiliging Overheid
De BIO is het verplichte normenkader voor informatiebeveiliging bij Nederlandse overheidsorganisaties, gebaseerd op ISO 27001. Overheidsinstanties die afhankelijk zijn van software van externe leveranciers zijn verplicht leveranciersrisico’s in kaart te brengen en te beheersen.
Softcrow levert escrow aan overheidsorganisaties en hun softwareleveranciers. Een escrowovereenkomst onder de BIO-context biedt aantoonbare beheersing van de continuïteitsrisico’s van ICT-toepassingen.
Dataresidentie en soevereiniteit: buiten de Amerikaanse CLOUD Act
Voor DORA, NIS2 en de AVG is niet alleen relevant dát er een continuïteitsmaatregel is, maar ook waar en onder welk rechtsstelsel de data wordt opgeslagen. De US CLOUD Act verplicht Amerikaanse bedrijven om data te verstrekken aan US-autoriteiten, ook als die data fysiek in de EU staat en ook via buitenlandse dochterondernemingen. Een rechtskeuze in een contract biedt daar geen bescherming tegen.
De opslaginfrastructuur van Softcrow, SecureStorage, is volledig binnen de EU gehost, onder EU-recht en de AVG, en valt buiten Amerikaanse rechtsmacht. De CLOUD Act en de USA PATRIOT Act zijn er niet op van toepassing: Softcrow is een onafhankelijke Nederlandse vennootschap zonder Amerikaanse moedermaatschappij of incorporatie. Voor een AVG-verwerkersbeoordeling en voor de DORA- en NIS2-eisen rond ICT-derde partijrisico betekent dat een aantoonbaar soevereine, CLOUD- en USA PATRIOT Act-vrije opslag.
Daar komt de zero-knowledge architectuur bovenop. Softcrow houdt geen sleutels, dus de data is wiskundig onleesbaar voor Softcrow en voor de hostingpartijen. Soevereine opslag en zero-knowledge versterken elkaar: de data valt niet onder een buitenlands rechtsstelsel, en zou opslag toch onder dwang worden opgevraagd, dan is er zonder sleutel niets zinvols te verstrekken.
Escrow als aantoonbare maatregel
Wat al deze frameworks gemeen hebben: ze vereisen dat organisaties aantoonbaar grip hebben op hun afhankelijkheden van externe softwareleveranciers. Escrow is geen papieren maatregel. Bij Softcrow is het een zero-knowledge depot met periodieke integriteitscontrole, optioneel verificatie-onderzoek door een onafhankelijke NOREA IT-auditor en een juridisch waterdichte overdrachtsstructuur onder Nederlands recht. De onderliggende opslag, SecureStorage, is volledig EU-gehost en CLOUD- en USA PATRIOT Act-vrij.