In dit artikel zet ik de tien meest voorkomende compliance issues met Oracle Database op een rij.

Oracle's beleid is dat zijn Database-software altijd direct te gebruiken moet zijn - 24 uur per dag, zeven dagen per week. Iedereen kan de software zelf downloaden via de website en zonder technische restricties gaan gebruiken. Dat gebeurt in veel organisaties dan ook. Qua snelheid en gebruiksvriendelijkheid zijn de voordelen daarvan evident, maar veel eindgebruikers beseffen niet dat hun organisatie daarbij zelf verantwoordelijk is voor het voldoen aan de voorwaarden die Oracle stelt. Voor de IT-afdeling is het dan lastig om het overzicht bewaren en ervoor te zorgen dat praktijk en afspraak elkaar niet uit het oog verliezen.

Maar aangezien een compliance-probleem grote financiële gevolgen kan hebben, is het beheren en begrijpen van die contracten wel absoluut noodzakelijk. De twee bekendste contractuele documenten waar organisaties mee te maken hebben zijn het besteldocument, waar het aantal gekochte licenties en de licentiemetric in staan, en de licentieovereenkomst, waarin staat onder welke voorwaarden de software gebruikt kan worden. Daarnaast is er nog sprake van programmadocumentatie, support renewals, technical support policies, online licentiedocumenten en online guidelines.

Om precies te weten wat je contractueel gezien met je Oracle Database-software mag, moet je elke komma in deze documenten kennen. Dat is voor veel organisaties logischerwijs een uitdaging en compliance issues zijn dan ook aan de orde van de dag. Een gebrek aan kennis over hoe software gelicentieerd moet worden binnen een bepaalde hardware-infrastructuur zorgt het vaakst voor problemen, maar ook bij de installatie of configuratie van software gaat het mis. Onderstaande compliance-issues met Oracle Database komen wij het vaakst tegen bij grote organisaties.

1. Verkeerd interpreteren minimum aantal licenties

Voor elke persoon die toegang krijgt tot de Oracle Database-software is een zogeheten Named User Plus-licentie vereist. Oracle hanteert daarbij een minimum vereist aantal. Dit aantal verschilt per versie, verandert regelmatig én wordt ook nog eens op een andere manier berekend: bij Standard Edition Two gaat het om tien 'Named User Plus'-licenties per server, bij Enterprise Edition om 25 Named User Plus-licenties per processor. Veel organisaties gaan in de fout bij het tellen van het aantal licenties dat ze minimaal nodig hebben, waardoor er een compliance-issue ontstaat. Let wel: als er meer personen dan het minimum vereist aantal toegang hebben tot de software, moeten hier natuurlijk ook licenties voor worden aangeschaft.

2. Verkeerd tellen aantal processors

Processors tellen, zoals nodig is bij Oracle Database Enterprise Edition, klinkt makkelijk, maar ook hier maken veel organisaties fouten. Oracle heeft daarvoor een methode opgesteld, waarbij je bij het tellen met meerdere factoren rekening moet houden. Niet alleen het aantal CPU's, maar ook het aantal cores en het type. Een kleine miscalculatie kan zo snel leiden tot een tekort van bijvoorbeeld 25 licenties, wat in het geval van Enterprise Edition gelijk staat aan zo'n 1 miljoen dollar.

3. Servervirtualisatie met VMware

Dat Oracle geen fan is van VMware weten veel IT'ers wel - de grote rechtszaak met Mars uit 2016 is daar een goed voorbeeld van. Oracle accepteert VMware niet als technologie om het aantal benodigde licenties te verminderen: alle fysieke cores en processors waarop de virtuele server kán worden gehost moeten gelicentieerd worden. Hoe discutabel dit wellicht ook klinkt, het is al jaren de standaard positie van Oracle in de licentiediscussie. Toch komt het voor veel organisaties nog als een verrassing wanneer blijkt dat er een compliance-probleem van ettelijke miljoenen is ontstaan. Zeker omdat er verschillende regels van toepassing zijn voor het licentiëren van VMware versie 5.0, 5.1 - 5.5 en 6.0 of hoger.

4. Servervirtualisatie met Oracle VM

Als niet-fan van VMware vindt Oracle het natuurlijk fijn als je in de plaats daarvan Oracle VM gebruikt, zijn eigen virtualisatiesoftware. Vanuit licentieperspectief omvat deze technologie de mogelijkheid om het aantal te licentiëren 'cores' te beperken. Echter, in de praktijk gebeurt dit vaak niet en vergeet men dat het 'piek-gebruik' (high-watermark) gelicentieerd dient te worden. Daarnaast geldt overigens ook dat men met andere virtualisatiesoftware vaak niet in de gaten heeft dat iedere technologie zijn eigen regels heeft (zoals IBM Logical Partitions).

5. Minder controle door cloud computing en outsourcing

Veel organisaties kiezen er tegenwoordig voor om hun hardware-infrastructuur te outsourcen bij externe partijen. Als organisatie blijf je echter wel zelf verantwoordelijk voor het correct licentiëren van Oracle Database, ook al staat het extern geïnstalleerd. Er is zo minder controle, terwijl er voor deze vorm van cloud computing meestal wel dezelfde ingewikkelde regels gelden als bij virtualisatie. Hoewel outsourcing duidelijke financiële voordelen biedt, ligt een out-of-compliance situatie hierdoor nog altijd op de loer. Het is daarom slim om vooraf met de outsourcer af te spreken wie verantwoordelijk is voor de juiste inkoop van licenties en je als eindgebruiker van te voren te laten informeren wat de implicaties zijn van het overgaan naar de (public) cloud.

6. Incompleet overzicht van installaties

Zoals eerder aangegeven moeten Oracle Database-producten worden gelicentieerd indien deze geïnstalleerd zijn, ongeacht het feit of ze wel of niet gebruikt worden. Veel organisaties ontberen echter een compleet installatie-overzicht, doordat zij bijvoorbeeld geen of de verkeerde SAM-tool gebruiken. Zo is het vrijwel onmogelijk om te weten hoeveel licenties je nodig hebt om compliant te zijn.

7. Verschillende opties bij softwareconfiguratie

Bij het installeren van Oracle Database heb je de optie om verschillende componenten en producten te installeren - van Database Options tot Management Packs. Afhankelijk van wat je selecteert, ontstaan er verschillende licentiescenario's. Dat maakt het lastig om als organisatie te weten welke en hoeveel licenties je nu precies nodig hebt. Zo'n optie of pack moet je ook licentiëren als je het gaat gebruiken, maar hoe bepaal je of je het echt gebruikt? En of dat dit gebruik geen 'out of the box'-systeemgebruik is?

8. Interne versus externe toegang

In elke licentieovereenkomst stelt Oracle dat de Database-software alleen voor 'internal business processes' gebruikt mogen worden. Wat die processen precies zijn is nergens gedefinieerd, maar het komt er op neer dat je niet zomaar Oracle-licenties mag gebruiken om commerciële applicaties voor derde partijen toegankelijk te maken. Daarvoor moeten speciale hosting-licenties worden aangeschaft.

9. Gebruik door andere juridische entiteit

Elke aangekochte licentie van Oracle Database mag alleen worden gebruikt voor doeleinden van een vooraf geregistreerde juridische entiteit (of een lijst van entiteiten). Vooral bij overnames levert dit compliance-problemen op: de software mag dan niet zomaar worden ingezet voor de bedrijfsdoeleinden van het nieuwe, aangekochte bedrijf. Overnamesituaties zijn dan ook bekende momenten waar Oracle zijn audits op richt.

10. Toegang tot Oracle Database

Last but not least: naast de manier waarop software geïnstalleerd is, kan ook de manier waarop het gebruikt wordt tot een compliance issue leiden. Dit heeft vooral te maken met de definitie van Named User Plus, die vaak verkeerd geïnterpreteerd wordt. Een Named User Plus gaat over elke specifieke individu die toegang heeft tot de software, niet over het totaal aantal medewerkers of het aantal FTE. Freelancers of externe dienstverleners die toegang hebben tellen dus ook mee. Daarbij gaat het om het aantal personen dat toegang heeft tot de software en 'geautoriseerd is' om data (direct of indirect) te creëren, lezen, updaten en deleten - het maakt niet uit of ze het daadwerkelijk gebruiken. Stel dat je voor duizend mensen een account hebt aangemaakt en slechts vijftig gebruiken het, dan moet je alsnog duizend licenties hebben. Het is belangrijk om regelmatig te kijken wie toegang nodig heeft en wie niet, zowel om risico's te beperken als kosten te besparen. Bovendien heb je soms niet alleen voor mensen, maar ook voor apparaten die direct of indirect toegang hebben tot de database een aparte licentie nodig.

Richard Spithoven is directeur bij b.lay, the license management company. Hij helpt grote organisaties met het managen van hun softwarelicenties, het voorkomen van financiële risico's en het besparen van softwarekosten. Ook verleent hij ondersteuning bij audits. Voorheen was Richard werkzaam als Regional Director van het License Management Services team van Oracle in Zuid-Europa.

Hoewel de concurrentie van nieuwe spelers al jaren toeneemt, vormt Oracle Database bij veel grote organisaties nog steeds de kern van de bedrijfsprocessen. Willen deze bedrijven geen miljoenen euro's weggooien aan compliance-issues, dan kunnen zij simpelweg niet om het continu beheren van hun licenties heen - hoe complex dat vaak ook is.