Contracten horen ingewikkeld te zijn, toch?
Afgelopen maand werd ik gevraagd om een Managed Detection and Response (MDR) contract te reviewen. Het ging om een subset van 11 documenten, in totaal bestaande uit meer dan 170 pagina’s. De review resulteerde in meer dan 170 opmerkingen en vragen over de dienstverlening en garanties die gegeven werden. Dan heb ik niet eens de moeite genomen om taal- en spellingsfouten, onduidelijke afbeeldingen en het gebruik van verschillende talen in hetzelfde document mee te tellen.
Ik begreep niet wat de klant precies kon verwachten van de dienstverlener en hun dienstverlening. Als ik, iemand die ervaring heeft met het leveren van MDR-dienstverlening en opstellen en reviewen van de contracten op de inhoud, het al niet begrijp hoe kan een relatief onervaren klant dat dan wel?
Als ik betrokken word in een traject om security-dienstverlening af te nemen bij een dienstverlener wil ik dat dit geleverd wordt als een geïntegreerde dienst. Ik wil niet ervaren dat de dienst uit meerdere sub-diensten bestaat en al helemaal niet merken dat de dienst geleverd wordt door verschillende afdelingen die niet van elkaar op de hoogte zijn. Dat is vaak ook hoe het gepresenteerd wordt. Totdat ik in het contracttraject terechtkom. De dienst blijkt uit meerdere bouwblokken te bestaan met elk hun eigen set aan documentatie. Het is een hele speurtocht om te achterhalen welke werkzaamheden binnen welke “sub-dienst” vallen. Maar erger nog: de afspraken kunnen verschillen per dienst waar ze ook hetzelfde zouden kunnen zijn. Een voorbeeld hiervan is de reactietijd voor change-verzoeken.
Als je documentatie leest en je begrijpt niet wat er geleverd wordt, dan zijn aanpassingen noodzakelijk. Dat is waar het lastig wordt. “Dit zijn onze standaardcontracten en dienstbeschrijvingen, daar maken we geen aanpassingen in”. Een veel gehoorde zin. Een heel traject verder en je wensen worden niet juist weergegeven in een contract. Dan sta je voor de keuze om het te accepteren of opnieuw met een traject te beginnen. Zorg er dan ook voor dat contract- en dienstdocumentatie zo vroeg mogelijk in het traject beschikbaar is.
Dienstdocumentatie en contracten kunnen en moeten eenvoudiger. Het is mogelijk om de kern van dienstverlening in een paar pagina’s op te schrijven. Hoe kan dienstverlening op een juiste manier geleverd en afgenomen worden als de partijen niet weten wat er van hen verwacht wordt? Voorwaarden en verplichtingen voor beide partijen moeten duidelijk zijn en niet voor meerdere interpretaties vatbaar zijn. Ook iemand die niet betrokken geweest is bij de totstandkoming van de overeenkomst moet begrijpen wat er geleverd wordt. Als contactpersonen bij de klant of dienstverlener wisselen moet het begrip hetzelfde zijn.
Over Lisa
Lisa de Wilde is cybersecurity expert met hands-on ervaring in het oplossen van complexe cyberaanvallen bij organisaties in binnen- en buitenland. Ze weet als geen ander hoe groot de impact van security incidenten kan zijn – zowel op organisaties als op mensen.
Als spreker en trainer staat ze bekend om haar energieke, interactieve stijl. Ze duikt in de belevingswereld van haar publiek en past haar verhaal direct aan op hun behoeften. Met haar workshops en trainingen en tijdens adviesopdrachten helpt ze organisaties weerbaarder te worden en veerkrachtiger om te gaan met cyberaanvallen.
Bij Security Innovation Stories deelt ze haar praktijkervaringen in columns én korte video’s. Ze put daarbij uit haar frontlinie-ervaring en vertaalt complexe security-uitdagingen naar concrete, praktische inzichten.
