SAP indirect access is een van de meest complexe en kostbare compliance-uitdagingen waarmee organisaties te maken krijgen. Deze vorm van licentiegebruik ontstaat vaak onopgemerkt, maar kan leiden tot aanzienlijke financiële claims tijdens SAP-audits. Voor organisaties die hun softwarelicentie-optimalisatie serieus nemen, is het herkennen van risicosignalen cruciaal om dure verrassingen te voorkomen.
Het tijdig identificeren van potentiële SAP indirect access-problemen kan organisaties honderdduizenden euro’s besparen en zorgen voor betere controle over hun IT-investeringen. In deze gids bespreken we hoe je de waarschuwingssignalen herkent en welke stappen je kunt nemen om compliant te blijven.
Wat is SAP indirect access en waarom vormt het een risico?
SAP indirect access treedt op wanneer gebruikers toegang krijgen tot SAP-data via systemen van derden, zonder direct in te loggen op SAP-applicaties. Dit gebeurt bijvoorbeeld via webportals, mobiele apps of geïntegreerde systemen die SAP-gegevens opvragen of wijzigen.
Het risico ontstaat omdat SAP stelt dat elke vorm van toegang tot zijn systemen, direct of indirect, een geldige licentie vereist. Veel organisaties realiseren zich niet dat hun integraties, API-koppelingen of applicaties van derden indirect access veroorzaken. SAP hanteert een brede interpretatie van wat als ‘gebruik’ geldt, waardoor zelfs geautomatiseerde processen die SAP-data raadplegen kunnen leiden tot licentievereisten.
De financiële impact kan enorm zijn. SAP rekent vaak retroactief kosten door voor alle niet-gelicentieerde toegang, soms jaren terug. Bovendien kunnen de tarieven voor indirect access aanzienlijk hoger zijn dan reguliere gebruikerslicenties, vooral bij het gebruik van Digital Access-licenties.
Welke signalen wijzen op mogelijke SAP indirect access-problemen?
Organisaties met API-koppelingen naar SAP, applicaties van derden die SAP-data gebruiken of geautomatiseerde processen die SAP-systemen raadplegen, lopen een verhoogd risico op indirect access-claims. Ook het gebruik van webportals voor klanten of leveranciers die SAP-informatie tonen, vormt een potentieel risicosignaal.
Andere waarschuwingssignalen zijn:
- Mobiele applicaties die SAP-gegevens synchroniseren
- Business Intelligence-tools die direct SAP-databases bevragen
- E-commerceplatforms gekoppeld aan SAP voor voorraad- of prijsinformatie
- Workflow-systemen die SAP-data gebruiken voor goedkeuringsprocessen
- IoT-devices die data naar SAP-systemen sturen
Technische indicatoren zijn RFC-calls, webservices of databasequeries vanuit externe systemen. Als je IT-afdeling rapporteert over integraties die ‘slechts data ophalen’ of ‘alleen lezen’, is extra aandacht geboden. SAP maakt namelijk geen onderscheid tussen lezen en schrijven voor licentiedoeleinden.
Hoe controleer je of je organisatie SAP indirect access gebruikt?
Begin met een inventarisatie van alle systemen die verbinding maken met SAP-omgevingen. Dit omvat het in kaart brengen van API-koppelingen, databaseconnecties, webservices en alle applicaties van derden die SAP-data gebruiken of wijzigen.
Voer een technische analyse uit van:
- RFC-verbindingen en hun gebruikspatronen
- Databasequeries vanuit externe applicaties
- Webservice-calls naar SAP-systemen
- Batchprocessen die SAP-data verwerken
- Integratiemiddleware en de bijbehorende SAP-connecties
Documenteer voor elke verbinding het type toegang, de frequentie, het aantal betrokken records en de businessfunctie. Let vooral op processen die automatisch draaien zonder directe gebruikersinteractie, want deze worden vaak over het hoofd gezien bij licentie-inventarisaties.
Betrek zowel IT- als businessteams bij deze analyse. Vaak weten businessgebruikers van applicaties die IT-teams niet direct associëren met SAP-gebruik, zoals customer portals of mobiele apps die SAP-data tonen.
Wat zijn de gevolgen van niet-conforme SAP indirect access?
Niet-conforme SAP indirect access kan leiden tot aanzienlijke financiële claims, vaak oplopend van honderdduizenden tot miljoenen euro’s, afhankelijk van de omvang en duur van het niet-gelicentieerde gebruik. SAP rekent meestal retroactief door voor alle ontdekte indirect access, soms tot vijf jaar terug.
De kosten bestaan uit verschillende componenten. Ten eerste de licentiekosten zelf, waarbij SAP vaak Digital Access-licenties voorschrijft die duurder zijn dan reguliere gebruikerslicenties. Ten tweede kunnen er boetes en rente worden berekend over de periode van non-compliance. Ten derde ontstaan er vaak hoge consultancykosten voor het oplossen van de complianceproblemen.
Naast financiële gevolgen kan non-compliance leiden tot juridische procedures en reputatieschade. SAP heeft het recht om toegang tot zijn systemen te beperken totdat compliance is hersteld, wat bedrijfsprocessen kan verstoren. Bovendien kunnen toekomstige contractonderhandelingen worden bemoeilijkt door een historie van complianceproblemen.
Hoe voorkom je SAP indirect access-claims en blijf je compliant?
Implementeer een proactief complianceprogramma dat regelmatige monitoring van alle SAP-connecties omvat, gecombineerd met duidelijke governanceprocessen voor nieuwe integraties en een actueel overzicht van alle licentievereisten per usecase.
Belangrijke preventiemaatregelen zijn:
- Opstellen van een SAP integration governance policy
- Implementeren van monitoringtools voor alle SAP-connecties
- Reguliere compliance-audits door interne teams
- Training van IT- en businessteams over indirect access-risico’s
- Documentatie van alle SAP-integraties en hun licentie-implicaties
Werk samen met SAP-specialisten om je licentieportfolio te optimaliseren. Soms kunnen alternatieve licentiemodellen kosteneffectiever zijn dan het achteraf oplossen van complianceproblemen. Overweeg bijvoorbeeld SAP Digital Access-licenties voor legitieme indirect access-scenario’s.
Wij helpen organisaties bij het identificeren en oplossen van SAP indirect access-risico’s door onafhankelijke analyses en strategische begeleiding. Voor een grondige evaluatie van uw SAP-compliancestatus en praktische oplossingsrichtingen, neem contact met ons op of plan een afspraak voor een vrijblijvend adviesgesprek.
Veelgestelde vragen
Wat kost het gemiddeld om SAP indirect access-problemen achteraf op te lossen?
De kosten variëren sterk per organisatie, maar lopen vaak van €100.000 tot meerdere miljoenen euro's. Dit hangt af van het aantal niet-gelicentieerde connecties, de duur van non-compliance en de gekozen licentieoplossing.
Hoe vaak moet je een SAP indirect access-audit uitvoeren?
We adviseren minimaal één keer per jaar een grondige audit, aangevuld met continue monitoring van nieuwe integraties. Bij grote IT-veranderingen of acquisities is een extra controle verstandig om risico's tijdig te identificeren.
Waarom zijn Digital Access-licenties duurder dan normale SAP-gebruikerslicenties?
Digital Access-licenties zijn ontworpen voor indirect access-scenario's en hebben een ander prijsmodel. Ze dekken onbeperkte indirecte toegang maar kosten vaak €15.000-€20.000 per jaar, vergeleken met €2.000-€5.000 voor standaard gebruikerslicenties.
Wat moet je doen als SAP een audit aankondigt en je vermoedt indirect access-problemen?
Neem direct contact op met een SAP-specialist en start een interne quick-scan van alle integraties. Documenteer alles zorgvuldig en vermijd ondertekening van SAP-documenten zonder juridische review en strategische voorbereiding.