Continuïteitsregeling software applicatie

Klein, middelgroot whatever. Sommige grote klanten willen dit. Escrow is de meest gangbare oplossing imho.

Je stelt dat er twijfel is omdat jullie klein zijn, maar waar zit die twijfel dan in? Als je dat kan achterhalen kan je een oplossing zoeken.

Twijfels die ik voorbij heb zien komen:

• geen doorontwikkeling want geen resources
• niet genoeg expertise (tech of business wise) waardoor de boel boven het hoofd groeit
• teveel support nodig/ geen mankracht voor
• risico op claims die direct de tent omtrekken

En soms idd data of code, maar vaker data dan code. Een grote organisatie gaat geen tijd stoppen om jouw app zelf te draaien, dan hadden ze het in eerste instantie wel zelf ontwikkeld.
Data ontsluiten kan b.v. met een API en dan de verantwoordelijkheid voor periodieke exports bij de klant leggen.

Geen zin/ stoppen omdat jullie dat willen kan je regelen door een meerjarenovereenkomst te maken natuurlijk. Dat is commitment van hen en van jullie.


Onvrijwillig stoppen is inderdaad lastiger. Je kan er een continuiteits-stichting tussen zetten, evt. met regeling dat code en data beschikbaar wordt gesteld bij faillisement/ overlijden van beide eigenaren ofzo.

Ik heb ook een klant, waar ik verschillende stukken software voor gemaakt hebt. Zij hadden dezelfde 'twijfels'. Ik heb voorgesteld om een jaarlijks 'contract' af te sluiten, waarbij zij (op hun verzoek) toegang tot de broncode krijgen van de laatst opgeleverde versie.

Uiteraard met de nodige uitsluitsels erin, zoals 'niet zomaar naar andere partij mogen' of 'alleen als ontwikkelaar langer dan 60 dagen niet reageert' of 'indien ontwikkelaar komt te overleg of failliet verklaard wordt'. Dat soort zaken. Daarnaast is de broncode NOOIT van hen, maar mogen ze het gebruiken voor continuïteit.

Ik ben een éénpitter, dus ik snap de zorgen wel. En hoop ze met zo'n contract als deze te overtuigen.

Er schijnen bedrijven te bestaan die een escrow dienst aanbieden. Verder geen ervaring mee, maar kan interessant zijn voor jullie. Hoef je zelf niets op te tuigen.
https://www.escrow4all.com/kosten-escrow-regeling/#Escrowlator

https://duckduckgo.com/?t=ftsa&q=software+escrow+vereniging+tussenpersoon&ia=web

Zou je eventueel als extra dienst/optie aan klanten kunnen aanbieden tegen meerprijs....ofzo...

[ Voor 18% gewijzigd door eheijnen op 19-02-2026 15:30 ]

Hier heb ik een beetje hetzelfde probleem.
Heb een eenmanszaak en een heel mooi software pakket voor netwerk en radius beheer.
Maar ja, "je bent maar in je eentje".

Ik loop ook een beetje tegen het probleem aan dat het project eigen te groot aan het worden is maar zonder grote klanten die de applicatie willen afnemen kan ik er natuurlijk geen team omheen bouwen.

Heb eigenlijk voor mezelf maar besloten om er mee te gaan stoppen, want de CBW / NIS2 en mogelijk ISO27001 komt er ook nog bij en dat gaat teveel tijd kosten als je dat er ook nog bij moet doen.

Furion2000 schreef op maandag 16 maart 2026 @ 21:29:
[...]

ISO hoeft geen probleem te zijn heb ik later nog gevonden. Misschien nu vloeken in de kerk, maar zet je spullenboel op azure/aws en je krijgt ISO 27001 er (gratis) bij. Dan nog wat standaard security toevoegen en je hebt een enterprise product.

Offtopic, maar mensen met beetje kennis van ISO 27001 trappen niet in dit argument.

Ik lees het vaak bij aanbestedingen en in offertes: "Onze data wordt gehost in een ISO 27001-compliant datacenter". Ja, leuk. Ook belangrijk. Maar het gaat me over de certificering van het bedrijf waarmee ik zaken doe. En zelfs dan is de scope nog belangrijk (en vraag ik dus om een verklaring van toepasselijkheid).

[ Voor 3% gewijzigd door sOid op 16-03-2026 21:46 ]

Furion2000 schreef op maandag 16 maart 2026 @ 21:29:
[...]
ISO hoeft geen probleem te zijn heb ik later nog gevonden. Misschien nu vloeken in de kerk, maar zet je spullenboel op azure/aws en je krijgt ISO 27001 er (gratis) bij. Dan nog wat standaard security toevoegen en je hebt een enterprise product.

ISO gaat over jouw bedrijf he. Dat een AWS of Azure of True een ISO certificering heeft geloof ik meteen. Maar 27001 gaat over jouw bedrijfsprocessen, van basale "wij locken onze computer als we er niet zijn", tot procedures over datalekken tot nog heel, heel veel meer. Ik wil zeggen ask me how I know, maar 27001 is een lachtertje vergeleken met (het idee van) 18308 waar ik mee heb moeten dealen.

kan je de twijfels niet vertalen naar extra klantspecifieke clausule in de SLA? Een oplossing in de richting van @Massiefje als dat werkt.

Furion2000 schreef op maandag 16 maart 2026 @ 22:23:
@MueR & @sOid
VvT kan dan toch nog steeds waarin je beschrijft dat het platform 27001 heeft en jij je product en security verder beschrijft? Platform is op technisch vlak al een erg groot component.

Daarnaast denk ik dat je binnen MKB best vaak te maken hebt met mensen die weinig kennis hebben van 27001 of security. Als ze dat wel hebben en je kunt het in een VvT uitgebreid beschrijven is het dan een probleem?

Maar jullie hebben een terecht punt. Ik heb alleen ook bij bedrijven gelopen waar security een lachertje was maar telkens ISO 27001 binnenharkten. Misschien dat jullie mee willen denken hoe je die kosten kunt omzeilen (10k?) ?

Mijn lokale kroeg heeft een alcoholwetvergunning en een verklaring sociale hygiene, dus ze mogen mij biertjes tappen. Dat ik die biertjes bij ze afneem, maakt niet dat ik ineens beschik over die papieren.

Basically, als jij een ISO 27001 certificering wil, zul je eenmalig die pijn moeten nemen. Vanaf dat moment is het relatief makkelijk updaten, bijna met je ogen dicht, voor een paar honderd euro per jaar aan consultants die je even helpen met de plooien gladstrijken voor een audit. Nu kan je soms een auditor treffen die dat jaar permanent met het verkeerde been uit bed is gestapt en dan kost het je meer. Dat is de "cost of doing business". Als jij met bedrijven moet/wil werken die dergelijke eisen opleggen, dan zul je daar in mee moeten.

[ Voor 21% gewijzigd door MueR op 17-03-2026 00:37 ]

Furion2000 schreef op maandag 16 maart 2026 @ 22:23:
@MueR & @sOid
VvT kan dan toch nog steeds waarin je beschrijft dat het platform 27001 heeft en jij je product en security verder beschrijft? Platform is op technisch vlak al een erg groot component.

Daarnaast denk ik dat je binnen MKB best vaak te maken hebt met mensen die weinig kennis hebben van 27001 of security. Als ze dat wel hebben en je kunt het in een VvT uitgebreid beschrijven is het dan een probleem?

Maar jullie hebben een terecht punt. Ik heb alleen ook bij bedrijven gelopen waar security een lachertje was maar telkens ISO 27001 binnenharkten. Misschien dat jullie mee willen denken hoe je die kosten kunt omzeilen (10k?) ?

Het hele punt van ISO certificering is dat je al je processen expliciet hebt gemaakt. Geen impliciete 'we doen ons best', maar een expliciete 'wanneer X, dan Y, daarna pas Z'. En dat gaat best ver, van kleine dingen zoals dat je niet zomaar root toegang geeft en je persoonsgebonden private key met niemand deelt, tot dingen als change management op je infrastructuur. Dat laatste hoort dan ook weer bij ISO 9001 en is een reden dat die vaak tegelijk worden gedaan, want zéker als leverancier is kwaliteit vaak sterk verbonden met security.
Het stukje dat je hebt ingedekt is hoe je data is opgeslagen, maar een ISO auditor zou jou alsnog vragen om te laten zien wie er toegang heeft tot die data in Azure/AWS en waar je bijvoorbeeld de backups laat.

Security kan dan nog vrij slecht zijn, zeker als er vaak om de processen heen gewerkt wordt, maar in de basis heb je het dan wel omschreven en dat is heel belangrijk.

Furion2000 schreef op maandag 16 maart 2026 @ 21:29:
[...]
ISO hoeft geen probleem te zijn heb ik later nog gevonden. Misschien nu vloeken in de kerk, maar zet je spullenboel op azure/aws en je krijgt ISO 27001 er (gratis) bij.

Het is niet alleen vloeken, het is verstrekking van onjuiste informatie.

ISO27001 gaat niet over een product, maar over een bedrijfsproces en de management processen daaromheen. Geen enkel technisch product kan jou ISO27001 certificering garanderen, net zo min als dat een Lamborghini op de oprit jou de nummer één op Assen garandeert.

Als de klant eist dat de leverancier een ISO27001 certificering heeft dan is dat vaak voor een bepaalde scope van diensten die men levert. De certificering betreft alle security processen die daaromheen zijn opgebouwd. En dan heb ik het niet over techniek.

EDIT: ai, dat zal me leren om meteen te reageren en niet eeest verder te lezen

[ Voor 21% gewijzigd door Liegebeest op 17-03-2026 05:36 ]

Furion2000 schreef op maandag 16 maart 2026 @ 21:29:

ISO hoeft geen probleem te zijn heb ik later nog gevonden. Misschien nu vloeken in de kerk, maar zet je spullenboel op azure/aws en je krijgt ISO 27001 er (gratis) bij. Dan nog wat standaard security toevoegen en je hebt een enterprise product.

Hoop dat het je helpt.

Het hoeft idd geen probleem te zijn. Sommige bedrijven verwachten dan als alternatief dat je een vragenlijst invult, al dan niet met toelichting of bewijs, waarbij ze (een aantal) belangrijke aspecten van ISO al coveren. Die vragenlijst zal je dan per bedrijf moeten invullen, en niet alle bedrijven zullen tijd willen besteden aan die vragenlijst. Het zal ook deels afhangen van het belang van de applicatie en de bijbehorende risico's.

ISO maakt het proces wat eenduidiger en voor de klant eenvoudiger, maar het is een wat groter circus aan je eigen kant.

ICT Waarborg had laatst nog een webinar samen met de lui van t CCV, over een keurmerk voor MKB dienstverlening, dat je in kan zetten als ISO27001 te zwaar en onnodig is.

Professionaliseer - begin een BV, huur wat externen in zodat de toko ook in de vakantie doorloopt en pak bijvoorbeeld een iso27001 op van instant27001 oid. Een iso27001 zonder personeel en zonder pand is best te behappen voor 2 personen.

Klanten vragen dit alleen als ze echt serieuze twijfel hebben of je bedrijf er over 2 jaar nog wel is.

Escrow is complex en duur en voegt voor jezelf niets toe dus ik zou m’n geld anders inzetten.

[ Voor 25% gewijzigd door BCC op 17-03-2026 08:58 ]

Furion2000 schreef op maandag 16 maart 2026 @ 21:29:
[...]


Ik heb wat mensen uit mijn netwerk gesproken en het is vooral fake it till you make it wat ik hoor. Je niet voordoen als een eenpitter en opschalen wanneer het kan. Dus je bent bedrijf x wat mensen inhuurt voor het opschalen. Niks aan gelogen als je dat ook kunt waarmaken.

Elke inkoopafdeling van een groter bedrijf prikt hier dwars doorheen. Als je groot genoeg bent om hen te bedienen zijn je gegevens (jaaromzet, aantal FTE e.d.) bekend. Een simpel KVK-verzoekje en je weet waarmee je praat.

Furion2000 schreef op dinsdag 17 maart 2026 @ 10:51:
[...]


Prima toch? Dan mik je op bedrijven dat hier niet doorheen prikt. Het fake it till you make it kwam ook van iemand die een product bij gemeenten verkocht. Dat lijkt mij groot genoeg.

(vanuit andere forumposts weet ik dat jij bij gigantische bedrijven werkzaam bent (geweest). Ik noem een bedrijf van 500 personen al groot )

Ik vind die insteek wel gevaarlijk. Denk dat je voor jezelf moet bedenken wat je wil; wil je bij de vlugge kleine start-ups met vibe-coded apps met datalekken als core business horen, of wil je een echte softwareleverancier voor de zakelijke markt zijn?

Dat eerste is waar je nu naar neigt; geen ISO certificering, er maar vanuit gaan dat alles van onder naar boven bubbelt, en je bij voorbaat focussen op doen alsof je betrouwbaarder bent dan de realiteit onderbouwt.

Als je hier echt een toekomst in wil zou ik je aanraden om meteen nu de basis goed op orde te hebben. Je hoeft dan niet ISO-gecertificeerd te zijn (dure grap waar heel veel manuren in gaan zitten), maar je kunt wél zorgen dat je een interne Sharepoint of Dropbox hebt met al je processen uitgeschreven. Expliciet maken van alle keuzes, zorgen dat je eigenlijk een ISO-audit al met een 'net niet genoeg' doorkomt in plaats van dat zo'n auditor na 5 minuten weggaat omdat er niks te controleren valt. Zelfde voor je sales strategie; in plaats van als ZZPer mensen voorliegen kun je ook een BV opstarten, zorgen dat je de nodige connecties hebt om op te schalen (genoeg partijen die binnen een paar dagen 10 FTE kunnen leveren voor onbepaalde tijd, zeker als je gaat nearshoren en al helemaal als je verder gaat zoeken in bijv het verre Oosten).

Als je dan alles daadwerkelijk op orde hebt hoef je niet te 'faken', dan kun je gewoon alles daadwerkelijk onderbouwen. Kost je een paar weken tijd om te regelen, maar dan sta je wel veel steviger in het sales proces, en al helemáál als het dan daadwerkelijk een keer fout gaat.

De rest is dan gewoon het hebben van een goed product waar veel vraag naar is, en het aanbieden hiervan bij bedrijven. Als je echt moet gaan verkopen dan is het al niet interessant, het product zou zichzelf moeten verkopen en jij zou alleen moeten hoeven zorgen dat er geen frictie is tussen eerste contact en ingebruikname.

[ Voor 7% gewijzigd door Oon op 17-03-2026 11:17 ]

pagani schreef op dinsdag 17 maart 2026 @ 10:41:
[...]

Elke inkoopafdeling van een groter bedrijf prikt hier dwars doorheen. Als je groot genoeg bent om hen te bedienen zijn je gegevens (jaaromzet, aantal FTE e.d.) bekend. Een simpel KVK-verzoekje en je weet waarmee je praat.

Dat is zeer afhankelijk van wat je koopt en wat voor bedrijf je bent. Kan me inbeelden dat vele bedrijven dat niet nakijken wanneer je een aanbieder van een specifiek product zoekt waar er niet veel van zijn. Bijkomend kan ik uit ervaring zeggen dat schaalvoordeel ook niet alles. Zelf al meegemaakt dat je een ZZPer inwisselt voor een grotere firma maar de kwaliteit en dienstverlening net achteruit gaat.

Furion2000 schreef op dinsdag 17 maart 2026 @ 11:32:
@Oon het probleem hier lijkt een beetje te worden dat er vanuit gegaan word dat het houtje touwtje (vibe coding komt nu om de hoek kijken) software is. Wellicht doordat ik developer ben en nog niet heel veel kaas heb gegeten van het stukje sales en certificeringen. Who knows wat zo triggert.

Ik heb vibe coding alleen genoemd omdat je veel startups ziet tegenwoordig die even vlug wat gebouwd hebben maar hun processen niet op orde hebben. Ik zeg niet dat jij even vlug wat gebouwd hebt of AI hebt gebruikt, maar je processen zijn niet op orde, en dat is wél wat heel belangrijk is om je af te zetten van die groep.

Enige wat ik hierop kan zeggen is dat ik mij niet zo aangesproken voel. Ik denk dat een ondernemer die met nearshoring wat gaat bouwen eerder tegen de lamp aan gaat lopen zoals jij het omschrijft. Althans dat is mijn ervaring met dev teams uit Polen en Roemenie. Gelijk leveren van mensen? Ja. gelijk leveren van waarde?Absoluut niet.

Mwah, ik heb met veel teams uit Pakistan gewerkt en ook veel developers uit Roemenië en daar is vaak niks mis mee. Ik zou ze niet zonder enige controle een product laten bouwen, maar een beetje de boel draaiende houden en meewerken aan goed uitgeschreven nieuwe features kunnen ze wel. Kwaliteit kun je managen met goede processen (code reviews, gebruik maken van pull requests, etc). Als het puur om continuïteit gaat is zo'n partij in je achterzak hebben geen slecht idee.

On topic filter ik er nu uit wat je 2 voorgangers ook zeiden: grote enterprises verwachten een BV met medewerkers en alles (ook de ISO) op orde op een zeer professionele manier.

Kunnen we het ook on-topic houden? Toegespitst advies voor een bedrijf van 2 personen met beperkte middelen die MKB targeten. Opschalen gebeurt reactief (die middelen zijn er niet). Fake it till you make it kun je lezen als klein bedrijf dat enterprise software levert maar het doet met 2 mensen. Met alle beperkingen die daarbij horen.

Grote bedrijven verwachten zekerheid, tenzij je 100 werknemers gaat hebben ben je altijd een risico. Hoe je die risico's indekt en garanties geeft is wat uiteindelijk het verschil gaat maken.
Je wil advies over hoe je grote klanten kunt overtuigen dat jij het risico waard bent; je processen op orde hebben en zorgen dat je snel kunt opschalen wanneer nodig is daar een goede manier voor.

En uiteindelijk, als je de middelen niet hebt om continuïteit te garanderen en niet geïnteresseerd bent in het expliciet maken van je processen, dan zijn grote klanten niet jouw doelgroep. Ook prima, maar dan val je dus wel tussen de kleine startups die ik eerder noemde.

Ben zelf een zzp'er die voorheen met een companion de software verzorgde voor vrij essentiële processen binnen de overheid. We hebben daar altijd wel vragen over gehad zoals je ze nu ook krijgt. Voor ons lag de oplossing om samen te werken met een grote partij die onze software dan als het ware doorverkoopt. Maar goed, het had best wel wat voeten in de aarde om met zo'n grote partij aan tafel te komen, laat staan dat ze voor ons gingen gaan hollen. De basis is je product, inmiddels wel de ervaring dat klanten best wat dingen kunnen buigen intern als ze je software dolgraag willen. Projectleiders en inkopers willen hun risico's afdekken, als je daar een pasklaar antwoord op hebt dan is dat een non-issue geworden.

We hebben nu klanten waarbij wij zelf de meest stabiele factor zijn. Een klant waar ik al 20 jaar kom, is iedereen al meermaals vervangen. Ander team, andere directeur, andere projectleider. Al drie keer. En nog blijven ze vragen hoe wij onze continuïteit borgen. Vorig jaar zijn ze overgestapt naar een andere partij, want wij voldeden niet meer volgens hun. Helemaal prima, als de projectleider over een paar maanden weer is vervangen komen ze wel weer terug, deden ze de vorige keren ook, want uiteindelijk weten wij beter hoe hun processen draaien dan zei zelf.

Furion2000 schreef op dinsdag 17 maart 2026 @ 11:32:
Wellicht doordat ik developer ben en nog niet heel veel kaas heb gegeten van het stukje sales en certificeringen

Zou het kunnen dat jullie de klant ook deze indruk geven, en die daardoor aanvullende vragen stelt?

Furion2000 schreef op dinsdag 17 maart 2026 @ 14:06:
[...]


Integendeel, zeer veel vertrouwen en het enige wat ze noemen heb ik in de eerste reacties uitgelegd. Zelfde verhaal als @barbarbar eigenlijk. Ze kunnen kiezen voor een BV partij, maar wij weten precies wat er gedaan moet worden en hoe (zelf weten ze het ook niet). In dit geval faken we niets, het is een duidelijke keuze voor die partij en onze nadelen hebben we proberen te verzachten.

Als je met grote klanten werkt, waarom zou je dan niet werken met een BV? Het is vrij eenvoudig opgericht.
Je mist weliswaar een aantal voordelen als startersaftrek, maar die worden de komende jaren toch verder verminderd.

En met een BV kan je je persoonlijk risico verder verminderen

Met een BV is ook niet meer direct zichtbaar hoe groot of hoe klein je bent. Met de AI generatoren kan je ook vrij vlot een professioneel ogende website maken.

Hoe wordt de software qua risico en impact beoordeeld door de bedrijven? Dat speelt ook mee in de discussie.

Hier ook een BV, twee zelfs (holding en werkmaatschappij). Vanaf een bepaalde omzet heeft een BV zelfs belastingtechnische voordelen, en het verlaagt inderdaad het risico.