Let bij certificeringen ook op wat de auditor gecertificeerd heeft

Telkens meer hostingbedrijven kiezen ervoor om zich te laten certificeren op basis van industrie normen. ISO 27001 voor informatiebeveiliging is waarschijnlijk het meest populair én belangrijk voor hostingbedrijven. Voor hostingbedrijven die leverancier zijn van bedrijven in de zorg is werken conform NEN 7510 zelfs een voorwaarde om te mogen leveren.

Een certificering is van toepassing op een bepaalde organisatie. Dat wil echter niet zeggen dat de certificering op alles dat de organisatie doet van toepassing is. Waar de certificering op van toepassing is blijkt uit de zogeheten scope die op het certificaat dat door de auditor is verstrekt terug te vinden is.

Stel dat een hostingbedrijf zowel shared webhosting, colocatie en dedicated servers aanbiedt dan kan het zo zijn dat alleen de levering van shared webhosting gecertificeerd is conform ISO 27001. Het is dan leuk dat het bedrijf gecertificeerd is. Echter wanneer je colocatie of een dedicated server afneemt dan is er geen enkele garantie dat er ook bij de levering van die diensten conform ISO 27001 wordt gewerkt.

Het zou zomaar kunnen zijn dat het verschillende afdelingen zijn die volledig los van elkaar opereren en allemaal een compleet eigen werkwijze hebben. Het bedrijf kan dat trots melden ISO 27001 gecertificeerd te zijn. Echter slaat dat met betrekking tot de afdelingen die niet conform ISO 27001 werken dan helemaal nergens op. Daarom is het belangrijk om te kijken of dat de scope op het ISO-certificaat alle aangeboden diensten dekt.

CYSO is één van de hostingbedrijven die voorop loopt in de markt door het hebben van een ISO 27001 certificering. De scope die op het certificaat van het bedrijf staat is: “Management of processes, infrastructure and information systems for the delivery and support of managed hosting services”. Die scope komt precies overeen met wat het bedrijf doet.

Daarnaast heeft CYSO ook twee zusterbedrijven SQR en Fuga Cloud die respectievelijk shared webhosting en IaaS clouddiensten aanbieden. Ook die twee bedrijven zijn ISO 27001 gecertificeerd. Ook voor die twee bedrijven is de scope: “Management of processes, infrastructure and information systems for the delivery and support of managed hosting services”. Dat is wel opvallend want zijn IaaS en shared hosting aan te merken als managed hosting services?

Aan Sven Visser, commercial director van CYSO, SQR en Fuga Cloud, heb ik gevraagd hoe hij daar tegenaan kijkt. Hij liet mij het volgende weten:

Onze redenatie voor deze scope en waar de auditor ons in is gevolgd is dat de laag waarop een klant zijn spulletjes laat landen altijd een beheerde (managed) dienst is. Zet je een website neer bij SQR, dan is de webserver opgenomen in het ISMS, wordt support afgehandeld volgens een genormeerd proces en slingert je wachtwoord niet in het rond. Neem je Iaas af bij Fuga.cloud dan vinden changes op de nodes gecontroleerd en volgens 4 ogen principe plaats etc.

Visser stelt wel dat de huidige formulering van de scope op zijn ISO-certificaat ten aanzien van SQR en Fuga Cloud wel vraagtekens bij klanten kan oproepen. Bij de hercertificering in 2019 zal daarom ook kritisch naar de formulering van de scope worden gekeken. Hoe meer relatie er is tussen de dienstverlening en de scope. Hoe makkelijker het voor klanten te begrijpen is. Daar gaat het volgens Visser om!

Voor SQR en Fuga Cloud zijn er zoveel mogelijk zaken gecombineerd zoals gelijke doorlooptijden, omdat dat makkelijker is voor de medewerkers en er voor beide zusterbedrijven wel eigen continuïteitsplannen en eigen capaciteitsplanningen zijn.

Verder wijst Visser op het feit dat het bij ISO-certificeringen verstandig is om nóg verder te kijken dan alleen naar de scope op het certificaat. Daarbij wijst hij op de Verklaring van Toepasselijkheid waaruit blijkt welke controls door bedrijven zijn uitgesloten en niet van toepassingen vinden. Op die manier wordt een nog beter beeld verkregen of wat door de auditor gecertificeerd heeft ook is wat het bedrijf levert.

mr. Arnout Veenman
Journalist ISPx.nl

De mogelijkheden voor SIDN om haar winstreserve aan registrars uit te keren

Al jaren is er een felle strijd tussen SIDN en haar registrars over telkens verder toenemende winstreserve van de stichting. Tijdens de Dag van de domeinnaam vorig jaar stelde de Margreth Verhulst, directeur van de Vereniging van Registrars zelfs met zoveel woorden dat de winstreserve van SIDN zou moeten terugvloeien omdat het “hun geld is”. SIDN directeur Roelof Meijer stelde juist dat het geld door de registrants van .nl-domeinnamen is opgebracht.

SIDN mag dan wel een stichting zijn. De stichting exploiteert gewoon een onderneming. Net als een natuurlijk persoon of een besloten vennootschap een onderneming kan exploiteren. De begunstigde van de winst die een onderneming maakt is de persoon die de onderneming exploiteert. Winst kan in dat opzicht ook negatief zijn. Of te wel ook verlies komt ten laste het vermogen van die persoon.

Het geld, de winst, die gemaakt is gemaakt door een onderneming is van de persoon die deze exploiteert. Dat is in dit geval SIDN. Het maakt niet uit dat SIDN een stichting is. Juridisch gezien is een stichting een persoon (artikel 2:3 BW). Het geld is dus van één iemand en dat is SIDN zelf.

Registrars stellen dat zij dat geld aan SIDN hebben overgemaakt. Daar is geen speld tussen te krijgen. Alleen hoe zit het dan met de ondernemingen die de registrars zelf exploiteren. Zou de winst die de registrars zelf maken ook moeten terugvloeien naar hun klanten? Dat zou natuurlijk absurd zijn. Uiteraard tenzij je afspraken met je klanten hebt gemaakt over het terugvloeien van overwinst zoals bij coöperaties wel gebruikelijk is.

Juridisch gezien is de winst ongeacht hoe hoog die is van SIDN. Die winst behoort tot het vermogen van de stichting. Dat vermogen mag alleen worden aangewend voor doelen van de stichting. Dat vermogen mag alleen worden aangewend voor de doelen die de stichting nastreeft. (artikel 2:285 lid 1 BW)

Een slimme registrar zal zeggen, dat die nog wel een goed doel kent om de winst aan uit te keren: de registrars. Helaas voor die slimme registrar is het stichting expliciet verboden om winst uit te keren aan haar oprichters, leden van haar organen of andere derden, tenzij de uitkering een ideële of sociale strekking heeft (artikel 2:285 lid 3 BW).

Nu zijn veel registrars een klein beetje een boefje want veel van hen vermelden hun prijzen wanneer ze ook aan particulieren ook exclusief btw. Niemand die er last van heeft en de registrars hebben immers die pot met geld van SIDN gevuld. Dus waarom zouden we ons door de wet laten tegenhouden?

Het vervelende is dat wanneer een rechtspersoon zijn doel overschrijdt door dit soort dingen te doen, dat de rechtspersoon de rechtshandeling later weer kan vernietigen. Althans wanneer de partij die daarvan profiteerde dat kon weten of zonder eigen onderzoek te doen kon weten. (art. 2:7 BW). Nou, dank je wel dat je het ons vertelt. Dus omdat jij het nu uitlegt, hebben registrars geen recht meer op de winst van SIDN. Als in de wet staat dat een winstuitkering doen niet mag, dan wordt je geacht te weten dat het niet mag.

Dat risico dat we de winstuitkering die we van SIDN krijgen terug moeten betalen, dat is een acceptabel risico. Het is ook alleen SIDN die daar zelf een beroep op kan doen. Dat doen we in stilte. Niemand die het doorheeft. Iedereen gelukkig.

Helaas valt dat tegen. De bestuurder van de stichting is namelijk gehouden tot een behoorlijke vervulling van zijn taak. Wanneer hij doelbewust een winstuitkering aan zijn registrars zou doen, dan vervult hij zijn taak niet behoorlijk. Dat heeft tot gevolg dat hij voor het volledige bedrag dat er (ten onrechte) aan winstuitkering is uitbetaald aansprakelijk is. (art. 2:9 BW).

Dat is vervelend voor de bestuurder. Hij zit er echter al zo lang. Als we de Raad van Toezicht vragen om hem te vervangen met een katvanger die de winstuitkering voor registrars kan regelen, dan is iedereen gelukkig. Ook daar zit een nadeel aan voor de RvT. Dit is namelijk niet zoals het hoort en die zullen waarschijnlijk ook aansprakelijk zijn voor de schade die de katvanger aanricht. Mocht de stichting zelfs failliet gaan, dan zijn de RvT-leden hoe dan ook aansprakelijk (art. 2:300a jo. 2:149 BW).

Als je als registrars de RvT en de bestuurder, ongeacht of dat de man die de stichting al jarenlang voortreffelijk leidt of een katvanger is die je voor de gelegenheid aantrekt is, dan is er ook een probleempje voor de registrars. Huh, wat? Registars zijn alleen klanten van SIDN. Registrars nemen gewoon een dienst af en betalen daarvoor. Verder hebben registrars in principe niks te maken met SIDN. Hoezo dan?

Het is zo dat organen en partijen die krachtens de wet of de statuten van een stichting zich op een fatsoenlijke manier tegenover elkaar moeten gedragen (art. 2:8 BW). Registars zijn toch alleen klanten van SIDN? Daar hebben wij niks mee te maken. Toch?

In de statuten van SIDN is een heel sterke binding met de registrars opgenomen. In artikel 24 lid 1 staat: “De registrars staan de directie gevraagd en ongevraagd met raad ter zijde. Deze statutaire adviesbevoegdheid kan niet zonder instemming van de registrars worden gewijzigd.“

Dat recht brengt dus ook een verplichting met zich mee. Als registrar roepen dat je alleen klant bent en dat je daarom kan doen en laten wat je wilt, gaat niet op. Het is een kwestie van de lusten en de lasten. SIDN onder druk zetten om dingen te doen die niet mogen, of je nou dat nou speelt via de bestuurder, RvT, medewerkers of wie dan ook mag niet.

SIDN onder druk zetten om een winstuitkering aan de registrars te doen is niet zo fatsoenlijk. Openlijk roepen dat SIDN de winstreserve naar de registars moeten laten terugvloeien met als feitelijke argumenten dat de registrars een soort leden van SIDN zijn. Dat kan ook niet want een stichting heeft ook nog eens een ledenverbod (art. 2:285 lid 1 BW).

Oké, nou lekker dan. SIDN heeft ons geld en wij mogen er niet eens om vragen. Dit is niet eerlijk zal de slimme registrar dan zeggen. Dit is onacceptabel. Wij hebben recht op dat geld. Dus er moet een andere manier zijn. Dan noemen we het toch geen winstuitkering. Er moet een andere manier zijn om het geld waar de registrars recht op hebben terug te krijgen.

Als SIDN nou eens de prijzen verlaagd, dan maken de registrars automatisch meer winst. Wanneer SIDN de prijzen van .nl-domeinnamen tot onder de kostprijs verlaagd of bijvoorbeeld de registrarbijdrage tijdelijk schrapt, dan maakt SIDN tijdelijk verlies en vloeit de overtollige winst met een kleine omweg terug naar de registrars.

Dat klinkt inderdaad als een sympathiek idee. Heel slim bedacht ook. Alleen wat is het feitelijke doel dat er wordt geprobeerd te bereiken met de prijsverlaging? Een slimme registrar zegt dan, nou rechtvaardigheid. Dat de winstreserve van SIDN omlaag gaat. Dat is helemaal waar. Helaas is het ook zo dat je feitelijk de winstreserve van SIDN aan het uitkeren bent aan de registrars. Dat mag dus niet.

De Vereniging van Registrars heeft zelf onder haar leden (registrars) een enquête bestedingsoverschot SIDN gehouden met daarin 12 mogelijkheden waarbij elke registrar op een schaal van 1 (geen goede bestemming) tot en met 5 (zeer goede bestemming) kon aangeven voor de winstreserve. Op mijn beurt heb ik de bestemmingen een score van A (bestemming sluit naadloos aan bij de doelstellingen van SIDN) tot E (bestemming is wettelijk verboden gegeven).

  1. Prijsverlaging van de domein registratiekosten. 3,77
    E. Deze bestemming is wettelijk verboden (art. 2:285 lid 3 BW).
  2. Prijsverlaging van de registrar bijdrage. 3,55
    E. Deze bestemming is wettelijk verboden (art. 2:285 lid 3 BW).
  3. Investeren in betere tooling & dienstverlening voor registrars vanuit SIDN. 3,05
    A. Deze bestemming draagt rechtstreeks bij aan de doelstellingen van SIDN.
  4. Verkorten van de doorlooptijden bij SIDN bij de ontwikkeling van (IT-)projecten. 3,03
    A. Deze bestemming draagt rechtstreeks bij aan de doelstellingen van SIDN.
  5. Uitbreiding van de Registrar Score Card (RSC) meetpunten en verhoging van het budget van de RSC. 2,97
    B. Deze bestemming draagt rechtstreeks bij aan de doelstellingen van SIDN alleen heeft wel wat trekjes van een (verkapte) winstuitkering.
  6. Funding van open source projecten in belang van registrars (o.a. NTP werd genoemd). 2,86
    B. Deze bestemming draagt zijdelings bij aan de doelstellingen van SIDN en heeft in belangrijke mate een ideële strekking (in het algemeen belang).
  7. Investeren in het verbeteren van kennis bij registrars over onderwerpen als IPv6. 2,83
    B. Deze bestemming draagt zijdelings bij aan de doelstellingen van SIDN alleen heeft ook wel trekjes van een (verkapte) winstuitkering alleen heeft ook een ideële/sociale strekking waardoor dat geen probleem is.
  8. Een door registrars beheerd fonds, waarmee registrars gezamenlijk kunnen investeren in bijvoorbeeld DDoS-protectie of abuse-preventie. 2,81
    B. Deze bestemming draagt zijdelings bij aan de doelstellingen van SIDN en heeft in belangrijke mate een ideële strekking (in het algemeen belang).
  9. Branchecontract voor alle registrars met een partij als Power DNS of DataProvider 2,41
    D. Deze bestemming draagt zijdelings bij aan de doelstellingen van SIDN en sterke trekken van een (verkapte) winstuitkering.
  10. Extra funding voor SIDN-labs voor onderzoek naar kansen en risico’s voor registrars. 2,40
    A. Deze bestemming draagt rechtstreeks bij aan de doelstellingen van SIDN.
  11. Marketing met als doeleinde om meer .NL-registraties via registrars te krijgen. 2,37
    A. Deze bestemming draagt rechtstreeks bij aan de doelstellingen van SIDN.
  12. Overnames van partijen die niet concurreren met registrars en passen binnen de missie van SIDN. Wij verbinden mensen en organisaties voor een onbezorgd digitaal bestaan. 1,82
    A. Deze bestemming draagt rechtstreeks bij aan de doelstellingen van SIDN.

In de openbare notulen van de Raad van Toezicht van SIDN staan de uitgangspunten die SIDN zelf heeft geformuleerd naar aanleiding van de uitkomsten van de enquête en het gesprek dat de Raad van Toezicht met de Vereniging van Registrars daarover zal voeren.

Uitgangspunten voor de bespreking VvR/rvt op 20 september a.s. zijn:

  • SIDN onderschrijft dat zij een reserve heeft die hoger is dan nodig;
    Daar is geen speld tussen te krijgen.
  • Het is de bedoeling dat een deel van dit surplus wordt besteed op een manier die direct ten nutte van de registrars komt. De registrars komen zelf met projecten. Hierbij worden, als dat nodig is, tijdelijk experts aangenomen die de projecten kunnen uitwerken.
    Afhankelijk van de exacte aanwending van de middelen kunnen dit soort projecten in de categorie A t/m D zitten. SIDN moet oppassen geen (bovenmatige) cadeautjes uit te gaan delen aan registrars via dergelijke projecten. Indien dat wel gebeurd, bestaat het risico van doeloverschrijding en daarmee aansprakelijkheid voor de bestuurders en mogelijk ook leden van de Raad van Toezicht (art. 2:7 jo. 2:9 BW).
  • In overleg met registrars wordt besproken welke punten uit de enquête opgepakt gaan worden.
    Dat is natuurlijk ook een goede zaak. Daarmee beantwoordt de Raad van Toezicht aan haar statutaire verplichting om de registrars samen te werken (art. 24 Statuten) en fatsoenlijk met elkaar om te gaan (art. 2:8 BW).
  • Prijsverlaging is geen optie, maar we geven wel aan dat er mogelijkheden zijn via de Registrar Scorecard.
    Een prijsverlaging zou in categorie E vallen (art. 2:285 lid 3 BW), vernietigbaar zijn vanwege doeloverschrijding (art. 2:7 BW) en aansprakelijkheid voor de bestuurder en mogelijk ook leden van de Raad van Toezicht opleveren (art. 2:9 BW). Daar hebben registrars ook niks aan gezien een dergelijk besluit later dus terug te draaien is.
  • Investeren op het gebied van bijvoorbeeld scholing. De registrars geven ook aan dat er een gebrek aan kennis is in Nederland op hun vakgebied.
    Scholing valt in categorie B omdat het door zijn aard ook een ideële en/of sociale strekking waardoor het niet uitmaakt of het specifiek voor (medewerkers van) registrars is of breder. Daarnaast draagt scholing op het gebied van de kennis van registrars ook zijdelings bij aan de doelstellingen van SIDN.
  • SIDN continueert de geldverstrekkingen aan het SIDN fonds.
    Het SIDN Fonds valt in categorie B omdat door het soort projecten zijdelings wordt bijgedragen aan de doelstellingen van SIDN.
  • Het fonds dient juist de brede Nederlandse samenleving en niet alleen de registrars. Wel moet worden nagegaan hoe registrars maximaal kunnen worden ondersteund om succesvol projecten in te dienen.
    Door de ideële en/of sociale strekking van de projecten en gelet op het feit dat in de doelstelling van SIDN “ten behoeve van en vanuit Nederland toegevoegde waarde te leveren voor de internetgemeenschap” komt het SIDN Fonds heel dicht in de buurt van categorie A.

In de discussie tussen SIDN en de Vereniging van Registrars lijkt het spanningsveld vooral te zijn of en in welke mate de winstreserve van SIDN ten goede zullen komen aan de registrars. Één vraag blijft daarom in dit artikel onbeantwoord. Waarom zouden klanten van een onderneming recht op de winst die de persoon achter de onderneming (SIDN) gemaakt hebben?

Het dividend dat een rechtspersoon uitkeert aan een aandeelhouder is een vergoeding en beloning voor het beschikbaar stellen van kapitaal aan de vennootschap. De aandeelhouder heeft ook het risico gelopen om het ingelegde kapitaal te verliezen.

Stel dat winstreserve als dividend wél aan de registrars zou worden uitgekeerd, waar is het dividend dan een vergoeding en beloning voor, welk risico hebben registrars dan gelopen waardoor zij meer recht op het dividend hebben dan een willekeurige ander?

Zelfs al weten registrars om het winstuitkeringsverbod heen te komen, dan zal er ook een juridisch houdbaar antwoord op deze vraag moeten komen want anders lopen registrars alsnog tegen het verbod op doeloverschrijding aan (art. 2:7 BW) met de mogelijkheid van vernietiging van die rechtshandeling tot gevolg (art. 2:15 BW) en de verplichting om het dividend later weer aan SIDN terug te moeten betalen. (art. 6:203 BW).

mr. Arnout Veenman
Journalist ISPx.nl