Service Level Agreement (SLA) opstellen: 6 aandachtspunten

Geschreven door Edwin Jacobs - Dorien Surinx, Timelex, www.timelex.eu
Foto: David Lofink

Een Service Level Agreement (SLA) is een overeenkomst tussen een IT-leverancier en een klant. Deze wordt vaak afgesloten bij het verstrekken van IT-diensten, zoals cloudopslag, software (als dan niet “as a service” SaaS), hosting of infrastructuur. Een SLA voorziet in bepaalde niveaus van dienstverlening en kwaliteit die de leverancier dient te leveren. 

Een realistische SLA schept duidelijkheid en beschermt zowel de klant als de dienstverlener. De verplichtingen zijn namelijk nauw omschreven en dus makkelijk te controleren, hetgeen onenigheid vermijdt. De gevolgen van het niet-behalen van een service level of dienstenniveau kun je vrij onderhandelen. Daarenboven is een SLA van essentieel belang als de uitbestede IT-diensten van kritiek belang zijn voor de klant, bijvoorbeeld in de financiële of de gezondheidssector waar continuïteit van de dienstverlening een prioriteit is, ook in geval van outsourcing. 

SLA's zijn echter niet allemaal over dezelfde kam te scheren. Ze kunnen verschillen naargelang de diensten die worden geleverd, de grootte van de leverancier en klant, de frequentie waarmee de diensten worden verleend, de kostprijs, etc.

Een standaard-SLA bestaat dus niet. Toch zijn er bepaalde elementen die in elke SLA terugkomen en waaraan voldoende aandacht dient te worden besteed bij het opstellen ervan. We zetten ze hieronder beknopt uiteen. 

1. Diensten en Service Level Objectives

Een SLA is vaak gekoppeld aan een overeenkomst die de te leveren IT-diensten omschrijft, maar het kan ook voorvallen dat de diensten in de SLA zelf worden bepaald. De SLA zal voor de te leveren diensten Service Level Objectives bepalen: niveaus waaraan de dienstverlening dient te voldoen.

Deze niveaus, ook wel Key Performance Indicators of KPIs genoemd, dienen ondubbelzinnig gedefinieerd te worden en moeten concreet en meetbaar zijn opdat hun naleving gecontroleerd kan worden. Als dusdanig gaat het om een resultaatsverbintenis voor de leverancier, die al dan niet gehaald wordt, maar waarbij je de concrete gevolgen van het niet behalen kan moduleren. Het is daarenboven van belang dat het bindend karakter van de niveaus onbetwistbaar uit de SLA blijkt.

De meest voorkomende Service Level Objectives in SLAs zijn:  

I. Beschikbaarheid (availability)

De SLA zal het te halen niveau van beschikbaarheid, ook wel uptime genoemd, van elk van de te leveren IT-diensten bepalen, vaak in de vorm van een percentage. U doet er goed aan om te bepalen wat juist onder beschikbaarheid wordt verstaan en hoe dit percentage berekend wordt, eventueel door toevoeging van een formule, zodat het duidelijk is wat gezien wordt als uptime. Daarenboven dient te worden gespecificeerd over welke tijdspanne de beschikbaarheid gemeten zal worden, doorgaans gebeurt dit maandelijks. De mogelijkheid bestaat ook om verschillende niveaus van beschikbaarheid te hanteren tijdens en buiten de werkuren en voor weekends.

II. Performantie (performance)

Daarnaast kunnen criteria voor performantie worden afgesproken in de SLA. Bijvoorbeeld over de snelheid van bepaalde schermen of de snelheid van het weergeven van resultaten na opvraging uit een databank enz., als dit zinvol is om te meten. 

Het is beter iets relevant te meten en regelmatig op te volgen (bijvoorbeeld een output gebaseerd criterium) dan een louter technische beschikbaarheid van een server wat misschien op zich weinig zegt over de beschikbaarheid en performantie van de dienst voor de klant. Een en ander moet dus geval per geval onderhandeld worden tussen klant en ICT-leverancier.

​​​​​​​III. Ondersteuning (support)

Vaak bevatten SLA's ook bepalingen over de niveaus van ondersteuning die de leverancier dient te behalen. Het gaat hier om de antwoordtijd waarbinnen de leverancier dient te antwoorden op vragen om bijstand van de klant.

Concreet zal dit verschillen naargelang het medium dat gebruikt wordt om de helpdesk te opereren, gaande van fora en chatfuncties tot telefonische hulp en bijstand ter plaatse. De SLA dient te bepalen vanaf wanneer de antwoordtijd begint te lopen en waaraan een antwoord dient te voldoen opdat het tijdig is, wat vaak zal inhouden dat het om een niet-geautomatiseerd antwoord moet gaan.

Daarentegen houdt deze ondersteuning (meestal) niet in dat het probleem van de klant ook daadwerkelijk verholpen wordt tijdens deze antwoordtermijn. De duur hiervan zal immers afhangen van de complexiteit en zal veeleer een inspanningsverbintenis zijn dan een resultaatsverbintenis. Vaak wordt een schematisch overzicht met urgentie (hoog, medium, laag) en impact (hoog, medium, laag) afgesproken. Hoe groter de urgentie en impact, des te sneller moet de leverancier actie ondernemen. 

​​​​​​​IV. Beveiliging (security)

Tot slot bevatten SLAs ook vaak niveaus van beveiliging waaraan de geleverde diensten moeten voldoen, hetgeen een belangrijke toevoeging is in het licht van cybersecurity maar ook privacy- en gegevensbescherming (denk aan de NIS wetgeving en GDPR/AVG) indien het gaat om persoonsgegevens die bijvoorbeeld zijn opgeslagen in een cloud. 

2. Sancties 

Haalt de leverancier een overeengekomen dienstniveau niet, dan kan in principe sprake zijn van een contractuele tekortkoming die aanleiding kan geven tot aansprakelijkheid van de leverancier. Dit is geen automatisme (denk aan overmacht, fout van de klant zelf, afhankelijkheid van derden enz.)

In de meeste SLAs wordt er echter al een remedie voorzien, de zogenaamde sancties.

Een sanctie kan bijvoorbeeld bestaan uit:

  • Een boete die bestaat uit een vastgesteld bedrag of een percentage van de SLA-kosten;
  • Een korting op de SLA-kosten voor de volgende periode of een terugvordering van betaalde SLA-kosten;
  • Het uitgeven van service credits.

Normaliter deelt een SLA de tekortkomingen op naar mate van ernst en koppelt ze aan elk van deze niveaus een aantal service credits waarop de klant recht zal hebben. Belangrijk is ook om te bepalen of de klant dit bedrag rechtstreeks zal verkrijgen of dit zal worden afgetrokken van de factuur van de volgende maand. 

De SLA zal ook bepalen of service credits de enige vergoeding is die de klant kan krijgen voor de tekortkoming, met name of dit een sole remedy is, dan wel of er nog een bijkomende schadevergoeding gevraagd kan worden. 

Goed om weten: de nieuwe B2B wetgeving geeft de mogelijkheid onevenwichtige bedingen te laten nietig verklaren.  

​​​​​​​3. Uitzonderingen 

Het is nuttig om in de SLA te bepalen wat gezien zal worden als een tekortkoming aan de dienstniveaus en welke gebeurtenissen geen aanleiding geven tot tekortkomingen. Uitgezonderde tekortkomingen zijn vaak degene die voortkomen uit overmacht, gepland onderhoud, het handelen of nalaten van de klant zelf of een derde of software of hardware op de systemen van de klant. Daarnaast zijn er ook de typische uitzonderingen voor aansprakelijkheid voor indirecte schade en nalatigheid. 

Voor elk van deze uitzonderingen dient te worden bepaald wat zij inhouden en wanneer zij kunnen worden ingeroepen. Nemen we bijvoorbeeld gepland onderhoud, doet men er goed aan een maximum aantal uren per maand te bepalen en te voorzien in een methode waarop het onderhoud aan de klant gecommuniceerd zal worden. 

​​​​​​​4. Controle op naleving en rapportering

Opdat de naleving van de dienstniveaus gecontroleerd kan worden, is een rapportering vanwege de leverancier essentieel. De SLA kan bepalen hoe dit gebeurt, wanneer dit gebeurt en via welke kanalen. In het merendeel van de gevallen zal de rapportering dus afhankelijk zijn van de leverancier. Om deze reden kan een SLA, dan vooral als de klant een essentiële dienstverlener is in de zin van de NIS-wet (Network Information Security) of in een gereguleerde sector actief is (bv. financiële of telecom sector), een auditclausule opnemen ten voordele van de klant. 

►Lees ook: Google en het recht om vergeten te worden - worden we dan toch niet vergeten?

​​​​​​​5. Wijzigingen 

Het is niet ondenkbaar dat de leverancier of de klant tijdens de duur van de samenwerking de geleverde dienstniveaus wil aanpassen. De modaliteiten en procedure om dit te doen worden afgesproken in de SLA. De SLA is in die zin een “levend document”.

​​​​​​​6. Geschillenregeling 

Ten slotte kan er, voor het geval de SLA toch nog aanleiding zou geven tot geschillen, een geschillenregeling worden voorzien. Bij complexe samenwerkingen kan er worden voorzien in een interne escalatieprocedure, en/of een bemiddeling en als deze geen soelaas biedt tenslotte de rechter. 

Advies nodig bij SLA opstellen?

Een goede SLA legt alle technische en organisatorische afspraken vast rondom een geleverd dienstenpakket. Een goede SLA opstellen is een kwestie van ervaring en deskundigheid, maar levert op lange termijn veel op.

Zoekt u juridisch advies over uw SLA? Timelex heeft uitgebreide ervaring in het bijstaan van klanten bij het onderhandelen en opstellen van SLA's. Contacteer ons vrijblijvend.