ICT Risk Management: Jammer dat Yammer SaaS is
Publicatiedatum: 2 april 2009
Auteur: Edgar Johannsmann

jammer-voor-yammer_120br.gifYammer (yammer.com) is relatief nieuwe software die vergelijkbaar is met het bekende Twitter. Yammer wordt aangeboden conform het model Software as a Service (SaaS) en is in tegenstelling tot Twitter bedoeld voor bedrijfsintern zakelijk gebruik. De functionaliteit die Yammer biedt voor samenwerking op afstand vervult wellicht een vraag in de markt, maar aan dit concept kleven nogal wat nadelen en serieuze risico’s.
Yammer faciliteert het op afstand samenwerken van groepen mensen. Het gaat hier om de ongestructureerde, communicatieve kant van samenwerking. Het valt te schikken onder de categorie ongestructureerde e-collaboration tools. Dit in tegenstelling tot de categorie van gestructureerde e-collaboration tools zoals Workflow Management en Projectadministratiesoftware.

De beschikbaarheid van dergelijke functionaliteit op zich is een goede zaak en mogelijk vervult Yammer een marktvraag. Hierover en over de geboden functionaliteiten wordt hier geen oordeel gegeven. Dit artikel richt zicht slechts op enkele belangrijke zakelijke risico’s die kleven aan het gebruik van Yammer. Het gaat hierbij zowel om algemene risico’s ten aanzien van SaaS, als om specifieke risico’s van Yammer.

Nadelen en risico’s Yammer

Software as a Service is een ware hype. Of dit een serieuze trend wordt, valt nog te bezien. Hiervoor kent het in onze optiek (te) veel nadelen. Het grote nadeel van SaaS is dat uw gegevens zijn ondergebracht bij een derde partij. Dit heeft onder andere als risico’s:

  • er kan ongeoorloofd gebruik worden gemaakt van uw gegevens
  • uw gegevens kunnen verminkt of verloren raken
  • de service provider kan failliet gaan of de service beëindigen, waarbij uw gegevens mogelijk niet meer beschikbaar zijn
  • er kunnen technische storingen optreden waardoor u niet meer bij uw gegevens kunt en u kunt de hersteltijd niet rechtens afdwingen

Specifieke Yammerrisico’s zijn gelegen in de Algemene Voorwaarden (zie onderstaande bijlage). De Algemene Voorwaarden (Terms of Agreement) kennen twee hoofdbezwaren; Yammer: 

1. sluit haar aansprakelijkheid uit inzake ongeautoriseerd gebruik en gegevensverlies;
2. geeft geen enkele garantie op de beschikbaarheid van de service en uw gegevens.

Ten aanzien van ongeautoriseerd gebruik van uw gegevens is de enige uitspraak die Yammer in haar privacypolicy doet dat haar employees uw berichten niet kunnen lezen. Dit zegt echter nog niets over informatie die niet in de vorm van een bericht is opgeslagen en daarnaast is in bepaalde gevallen het kunnen lezen van berichtkoppen op zich reeds ongewenst. De enige manier waarbij men volgens Yammer bij uw gegevens zou kunnen is bij incidentele trouble shooting in de database of naar aanleiding van wettelijke verplichting. Deze activiteiten worden gelogd, opdat valt vast te stellen wie wanneer bij welke gegevens is geweest1.

Daarnaast kan Yammer niet worden geïntegreerd met uw overige informatiesystemen. Dit betekent een architectureel probleem, waardoor gegevens niet kunnen worden uitgewisseld, met als gevolg mogelijk dubbel beheer en opslag van gegevens. Dit is inefficiënt, maar bovenal vergroot het de kans op fouten en inconsistenties tussen gegevens in uw eigen informatiesystemen en uw gegevens in Yammer. Een voorbeeld is het verwijderen van een ex-employee. U dient deze eerst uit uw personeelssysteem te verwijderen en vervolgens dient deze ook nog handmatig uit Yammer te worden verwijderd, om te voorkomen dat deze ex-employee nog langer toegang tot uw vertrouwelijke gegevens in Yammer heeft.

Yammer zegt een SaaS te leveren, maar het lijkt veel meer op het oude Application Service Provider model, waarbij slechts een standaardapplicatie wordt geleverd. Van mogelijkheden tot cliëntspecifieke aanpassingen of –instellingen is geen sprake.

Conclusie

Wij adviseren geen gebruik te maken van de huidige Yammerversie conform het SaaS-model, waarbij de software en uw bedrijfsgegevens bij Yammer in de Verenigde Staten zijn ondergebracht, indien het gaat om bedrijfskritische services en gegevens.

Het wachten is op een Yammerversie of –equivalent dat in normale in house versie verkrijgbaar is, zodat u het op uw eigen servers kunt draaien en volledige beschikking over hard-, software en vooral uw belangrijke bedrijfsgegevens heeft!

Noot 1: Yammer's administrative tools do not allow our employees to view messages in a Network. Access to our database is granted only to our technicians on a case-by-case basis to troubleshoot specific technical issues, or as may be required by law. Each such instance is logged.

Bijlage: Voetangels en klemmen uit de Terms of Agreement

Uitsluiting aansprakelijkheid voor ongeautoriseerd gebruik en gegevensverlies

  • “YAMMER WILL NOT BE LIABLE FOR YOUR LOSSES CAUSED BY ANY UNAUTHORIZED USE OF YOUR ACCOUNT.”…“YOU UNDERSTAND AND AGREE THAT ANY LOSS OR DAMAGE OF ANY KIND THAT OCCURS AS A RESULT OF THE USE OF ANY USER CONTENT THAT YOU SEND, UPLOAD, DOWNLOAD, STREAM, POST, TRANSMIT, DISPLAY, OR OTHERWISE MAKE AVAILABLE OR ACCESS THROUGH YOUR USE OF THE SERVICE, IS SOLELY YOUR RESPONSIBILITY”.
  • “YAMMER IS NOT RESPONSIBLE FOR ANY PUBLIC DISPLAY OR MISUSE OF YOUR USER CONTENT.”
  • “BY USING THE SERVICE, YOU ARE CONSENTING TO HAVE YOUR PERSONAL DATA TRANSFERRED TO AND PROCESSED IN THE UNITED STATES”.
  • “WE CANNOT GUARANTEE THAT UNAUTHORIZED THIRD PARTIES WILL NEVER BE ABLE TO DEFEAT THOSE MEASURES OR USE YOUR PERSONAL INFORMATION AND USER CONTENT FOR IMPROPER PURPOSES. YOU ACKNOWLEDGE THAT YOU PROVIDE YOUR PERSONAL INFORMATION AT YOUR OWN RISK”.
  • "ANY CONTENT DOWNLOADED OR OTHERWISE OBTAINED THROUGH THE USE OF THE SERVICE IS DOWNLOADED AT YOUR OWN RISK AND YOU WILL BE SOLELY RESPONSIBLE FOR ANY DAMAGE TO YOUR COMPUTER SYSTEM OR LOSS OF DATA THAT RESULTS FROM SUCH DOWNLOAD.
  • “IN NO EVENT SHALL YAMMER…BE LIABLE FOR … DAMAGES, INCLUDING WITHOUT LIMITATION DAMAGES FOR LOSS OF PROFITS, GOODWILL, USE, DATA OR OTHER INTANGIBLE LOSSES, THAT RESULT FROM THE USE OF, OR INABILITY TO USE, THIS SERVICE. UNDER NO CIRCUMSTANCES WILL YAMMER BE RESPONSIBLE FOR ANY DAMAGE, LOSS OR INJURY RESULTING FROM HACKING, TAMPERING OR OTHER UNAUTHORIZED ACCESS OR USE OF THE SERVICE OR YOUR ACCOUNT OR THE INFORMATION CONTAINED THEREIN”.
  • “IN NO EVENT SHALL YAMMER, ITS AFFILIATES, DIRECTORS, EMPLOYEES, OR LICENSORS BE LIABLE TO YOU FOR ANY CLAIMS, PROCEEDINGS, LIABILITIES, OBLIGATIONS, DAMAGES, LOSSES OR COSTS IN AN AMOUNT EXCEEDING THE AMOUNT YOU PAID TO YAMMER HEREUNDER”.

Geen garantie op beschikbaarheid service

  • “YAMMER MAY TERMINATE THIS LICENSE AT ANY TIME FOR ANY REASON OR NO REASON”.
  • “THE SERVICE IS PROVIDED ON AN "AS IS" AND "AS AVAILABLE" BASIS. USE OF THE SERVICE IS AT YOUR OWN RISK”.
  • “THE SERVICE IS PROVIDED WITHOUT WARRANTIES OF ANY KIND”.
  • “YAMMER DOES NOT WARRANT THAT THE SERVICE WILL BE AVAILABLE AT ANY PARTICULAR TIME OR LOCATION, UNINTERRUPTED OR SECURE; THAT ANY DEFECTS OR ERRORS WILL BE CORRECTED; OR THAT THE SERVICE IS FREE OF VIRUSES OR OTHER HARMFUL COMPONENTS”.