Een slecht gedefinieerd uitbestedingscontract genereert meer operationele wrijving dan een intern beheerd informatiesysteem met beperkte middelen. Het probleem komt bijna nooit van het principe van uitbesteding zelf, maar van de manier waarop de technische scope is afgebakend, gecontracteerd en gecontroleerd. Het uitbesteden van de IT-beheer van een bedrijf veronderstelt dat drie punten worden behandeld die de meeste gidsen oppervlakkig behandelen: de omkeerbaarheid, de recente naleving van regelgeving en het model van gedeeld bestuur.
Omkeerbaarheidsclausules en exitplan in een uitbestedingscontract
Een leverancier die geen gedocumenteerd exitplan levert vóór de ondertekening van het contract vormt een structureel risico. Omkeerbaarheid beperkt zich niet tot het terughalen van gegevens: het omvat netwerkinstellingen, toegangsrechten tot cloudomgevingen, automatiseringsscripts en actuele technische documentatie.
Wij raden aan om drie elementen te formaliseren vanaf de contractfase:
- Een volledige inventaris van de digitale activa die aan de leverancier zijn overgedragen, die elk kwartaal wordt bijgewerkt, inclusief softwarelicenties en hun draagbaarheid
- Een maximale omkeerbaarheidstermijn (meestal onderhandeld tussen 30 en 90 dagen), met controleerbare tussenliggende mijlpalen door het klantbedrijf
- Een gestandaardiseerd exportformaat voor alle gegevens en configuraties, om elke vendor lock-in te voorkomen
Zonder een geteste omkeerbaarheidsclausule wordt uitbesteding een afhankelijkheid. Sommige contracten voorzien in een jaarlijkse gedeeltelijke omkeerbaarheidsoefening, wat het mogelijk maakt om de technische haalbaarheid te valideren zonder te wachten op een daadwerkelijke breuk.
Aanvullende lectuur : Hoe te reageren op een probleem met het dashboard van uw Peugeot 5008?
Bedrijven die deze aanpak willen structureren, kunnen de website Info Manager bezoeken om de uitbestedingsdiensten te evalueren die passen bij hun technische context.
Naleving NIS2 en DORA: wat de regelgeving verandert voor IT-uitbesteding
De Europese richtlijn NIS2 breidt de verplichtingen op het gebied van cybersecurity uit naar een veel breder scala aan bedrijven, inclusief middelgrote ondernemingen en dienstverleners die voorheen niet betroffen waren. Het vereist een versterkte controle van kritieke leveranciers, meldingsverplichtingen voor incidenten en een directe verantwoordelijkheid van leidinggevenden in de IT-uitbestedingsketen.
Voor de financiële sector gaat de verordening DORA nog verder. Het vereist een mapping van de afhankelijkheden van IT-leveranciers, regelmatige veerkracht-tests en specifieke contractuele clausules die de cloud- en uitbestedingsdiensten kaderen.
In de praktijk betekent dit dat het uitbesteden van IT-beheer zonder deze vereisten in het bestek het bedrijf blootstelt aan sancties, maar ook aan operationele tekortkomingen tijdens een incident. De leverancier moet zijn naleving aantonen, en het klantbedrijf moet in staat zijn om dit te auditen.
Controlepunten vóór ondertekening
Naleving kan niet worden gecontroleerd met een eenvoudige verklaring van de leverancier. Wij zien dat de best beschermde bedrijven drie concrete bewijzen eisen: een recent beveiligingsauditrapport, een gedocumenteerd incidentbeheerbeleid met SLA’s voor meldingen, en een bewijs van gegevensversleuteling in rust en tijdens verzending.
De verantwoordelijkheid van de leidinggevende kan niet worden gedelegeerd met het uitbestedingscontract. Zelfs bij totale uitbesteding blijft de governance van de naleving binnen de scope van het bedrijf.
Co-sourcing IT: de governance behouden terwijl de exploitatie wordt uitbesteed
De totale uitbesteding van het informatiesysteem heeft zijn grenzen getoond. Het verlies van interne vaardigheden, de kloof tussen de bedrijfsprioriteiten en die van de leverancier, en de moeilijkheid om transversale projecten te sturen, hebben veel bedrijven naar een hybride model gedreven.
Co-sourcing houdt in dat de functies van governance, architectuur en beveiliging intern worden behouden, terwijl de dagelijkse exploitatie, gebruikersondersteuning en bepaalde infrastructuurprojecten aan een externe leverancier worden toevertrouwd. Deze opsplitsing maakt het mogelijk om de strategische controle over het informatiesysteem te behouden zonder de volledige operationele last te dragen.
Typische verdeling van verantwoordelijkheden
| Functie | Intern | Leverancier |
|---|---|---|
| Architectuur en urbanisatie van het SI | Ja | Nee |
| Beveiligings- en nalevingsbeleid | Ja | Advies |
| Gebruikersondersteuning N1/N2 | Nee | Ja |
| Server- en netwerkbeheer | Nee | Ja |
| Sturing van bedrijfsprojecten | Ja | Gelegenheidssteun |
Dit model werkt op voorwaarde dat de interfaces tussen de teams nauwkeurig worden gedefinieerd. Een maandelijkse stuurgroep met gedeelde indicatoren blijft het meest betrouwbare mechanisme om grijze gebieden te vermijden. De leverancier rapporteert over technische metrics (beschikbaarheidspercentage, oplostijd), de interne partij bepaalt de prioriteiten en valideert de evoluties.
Selectiecriteria voor een uitbestedingsleverancier: verder dan de prijs
De maandelijkse prijs per werkplek is niet voldoende om twee uitbestedingsaanbiedingen te vergelijken. Twee leveranciers met dezelfde prijs kunnen radicaal verschillende serviceniveaus bieden op de punten die er toe doen in geval van een incident.
De discriminatoire criteria hebben betrekking op de reactietijd buiten kantooruren, de locatie van de gehoste gegevens (Frankrijk, EU of buiten de EU), en de aanwezigheid van een toegewijde technische contactpersoon in plaats van een simpel gedeeld callcenter. Een leverancier die zijn teams over te veel klanten verdeelt, degradeert mechanisch zijn reactietijden.
Geografische nabijheid blijft een onderschatte factor. Voor on-site interventies (hardwarestoringen, bekabeling, implementatie van werkplekken) verkort een lokale leverancier de interventietijden aanzienlijk in vergelijking met een gecentraliseerde nationale speler.
De uitbesteding van IT-beheer werkt wanneer het contract de operationele realiteit weerspiegelt en niet alleen een commerciële belofte is. De omkeerbaarheid testen, de naleving van regelgeving verifiëren, het juiste bestuursmodel kiezen: deze drie beslissingen die vooraf worden genomen, bepalen de kwaliteit van de relatie gedurende de gehele contractduur.