Beperk risico op boete met norm

26-05-2015 Behalve een geweldig hulpmiddel, vormt software, en de ondoorzichtige licentiestructuur ervan, ook een risico. Een norm helpt dat risico te beperken. Nico Blokland schrijft mee aan NEN-ISO/IEC 19770 IT Software Asset Management, een verzameling van normen die er op zijn gericht om de administratie rond software goed in de hand te houden. Blokland vertelt ons de ontwikkelingen rond deze norm, en voor wie hij is bedoeld.

“De problematiek rond software is complex, en er zijn grote bedragen mee gemoeid. Gemiddeld wel dertig tot vijftig procent van het totale IT-budget. Die combinatie van complexiteit en grote bedragen maakt het tot een groot risico. Ik heb het wel meegemaakt dat een bedrijf voorzichtig begon met het gebruiken van een systeem, het langzaam uitbouwde, maar er nooit voor had betaald. Dat laatste kwam bij een audit aan het licht, waarna er een rekening van een paar miljoen volgde. Een ander voorbeeld dat veel mensen aanspreekt is Microsoft Office. De licentievoorwaarden daarvan zijn niet eenvoudig en daarom is het voor veel bedrijven niet duidelijk of ze wel hebben betaald voor wat ze gebruiken. Wanneer je bijvoorbeeld Office in een andere taal wilt gaan gebruiken, dan moet je die taal er bij kopen. Of neem AutoCAD, wanneer je dat in het ene land hebt gekocht, dan kan het gebeuren dat je het niet in een ander land mag gebruiken. Een inventarisatie heeft aangetoond dat er 42 verschillende licentiemodellen zijn, en dat daar 500 tot 700 varianten op zijn.”

Voordelen ISO 19770

“Daarom is het zo belangrijk om de administratieve processen rond software goed op orde te hebben en daar kan ISO 19770 een grote rol bij spelen. Deze norm helpt bij de hele administratieve levenscyclus van software; van de aankoop tot het beheer, het legaal gebruiken en het eventueel weer verkopen. Dat laatste is nog best lastig, want dan moet je aantonen dat je het zelf niet meer gebruikt.”

Verwachting

“ISO 19770 bestaat eigenlijk uit negen subnormen, waarvan 19770-1 de belangrijkste is, die bevat een procesbeschrijving waarmee bedrijven kunnen aantonen dat ze op een voldoende manier aan IT Asset Management doen. De huidige versie stamt uit 2012, en sindsdien is hij bijzonder geschikt om je eigen organisatie rond software, van de inkoop tot aan het stoppen van het gebruik, om die processen die daar een rol spelen, vorm te geven. Voor de versie van 2012 was het niet haalbaar om aan de norm te kunnen voldoen, maar nu is het goed te doen. Waarschijnlijk volgend jaar komt er een refresh van 19770-1. Dan volgt 19770-2, die bedoeld is om software te kunnen identificeren. Daarvan ligt er een nieuwe versie klaar om goedgekeurd te worden.”

Minimaliseren van risico's

“Norm ISO 19770 kan echt twee kanten op het risico minimaliseren; voor de klant en voor de leverancier. Het is bruikbaar voor de klant, maar wanneer die het gebruikt, dan kan hij naar de leverancier in vier niveau’s van volwassenheid aantonen dat hij het Software Asset Management goed op orde heeft, en dan hoeft de leverancier bij dat bedrijf geen audit te doen.”

Eerder door u bekeken

Meer informatie

Voor inhoudelijke informatie over deze norm of over het normalisatieproces: Ton van Bergeijk, consultant Informatietechnologie & Telecom.

(015) 2 690 126

ton.vanbergeijk@nen.nl

Ook interessant voor u