SKYTJENESTER

Standardavtaler for skytjenester: Hva er forskjellen på PS2021Cloud og SSA-Sky?

Advokatene forklarer.

Espen Bakjord, Partner i Vaar Advokat og Trine Vabog, Assosiert partner i Simonsen Vogt Wiig skriver om standardavtaler for sky.
Espen Bakjord, Partner i Vaar Advokat og Trine Vabog, Assosiert partner i Simonsen Vogt Wiig skriver om standardavtaler for sky. Foto: Vaar advokat/Simonsen Vogt Wiig
Espen Bakjord, Partner i Vaar Advokat og Trine Vabog, Assosiert partner i Simonsen Vogt Wiig
7. mai 2021 - 18:00

Hva passer egentlig PS2021 Cloud til og tar den hensyn til de typiske utfordringene ved   skytjenesteavtalene som har vært i markedet frem til nå? Det får du svar på i denne artikkelen. Samtidig peker vi på enkelte sentrale forskjeller mellom PS2021 Cloud og SSA-Sky, heretter omtalt som Cloud og Sky.

Formål

Cloud er utviklet som et verktøy for kundens anskaffelse og leverandørens leveranse av skytjenester med tilhørende konfigurasjoner og integrasjoner. Avtalen er utviklet for å kunne brukes av både private og offentlige aktører.

Avtalen er nærmere bestemt tilrettelagt for anskaffelse av skytjenester i kombinasjon med utvikling av skreddersydde komponenter og videreutvikling av løsningen innenfor et angitt målbilde. Videre er det lagt opp til at leverandøren leverer såkalte verdiøkende tjenester for å sikre tilgjengeligheten for løsningen. Løsningen er en samlebetegnelse for leverandørens til enhver tid utførte konfigurasjoner og produsentens standard skytjenester.

Et sentralt moment i Cloud er at leverandøren ikke har ansvar for standard skytjenester og at Kunden i stedet inngår direkte avtaler med produsent hva gjelder skytjenestene. I all hovedsak er leverandørens ansvar for standard skytjenester begrenset til en rolle som kontaktpunkt og rådgiver i oppfølgingen av skytjenester og standardbetingelsene.

I denne sammenheng er Cloud og Sky på overflaten nokså like, ved at Kunden i begge avtaler må akseptere standardvilkårene slik de foreligger fra skytjenesteleverandøren, altså produsenten. En nærmere sammenligning avslører likevel noen sentrale forskjeller, både hva gjelder avtalenes naturlige bruksområde og avtalenes håndtering av standardbetingelser.

NSM-sjef Sofie Nystrøm har fått i oppdrag å utrede en kommersiell sky. En statlig sky til 6,4 milliard vil regjeringen ikke ha. Her fra overleveringen av NSMs sikkerhetsråd
Les også

Nei til statlig sky

Standardvilkår for standard skytjenester i Cloud

I Cloud er flere av utfordringene knyttet til anskaffelse av skytjenester løst ved bruk av såkalte direkteavtaler. Aktørbildet i et typisk skytjenestekjøp er kunde, leverandør, distributør, produsent og underleverandør. Produsent er definert som «En Leverandør av Standard skytjenester som benyttes av Leverandøren for å oppfylle hele eller deler av Kundens krav […], og som Kunden har inngått Direkteavtale med.»

I Cloud finnes to varianter av direkteavtaler: (1) Avtaler som kunden signerer direkte med produsent, eller der kunden «på annen måte er forpliktet til å akseptere vilkår» fra produsent, og (2) Avtaler om tilgang til standard skytjenester som kunden har angitt.

Den første varianten av direkteavtale favner begge avtalemodellene som produsentene benytter for salg av sine skytjenester. Det vil si det direkte salget med signering av avtale mellom kunden og produsenten, og det indirekte salget via en annen leverandør (oftest kalt distributør) hvor det inngås avtaler i flere ledd fra produsent og leverandør til kunde. I det siste tilfellet er det ofte slik at selv om kunden ikke skal signere standardvilkårene, så krever produsent at vilkårene skal gjelde fullt ut som de er overfor kunden. Kunden må dermed forholde seg til disse vilkårene som om det var en signert direkteavtale.

Med dette grepet unngår man at det blir et rangforhold mellom avtalen inngått mellom kunden og leverandøren og standardvilkårene. Man unngår også den typiske situasjonen hvor leverandøren må ta forbehold mot kundens vilkår med påfølgende avvisning av tilbudet hvis forbeholdene er vesentlige.

For tilfeller der leverandøren er produsent, er det presisert at leverandøren også kan opptre som produsent. Leverandøren får dermed to roller og kan benytte standardvilkårene som direkteavtale på samme måte som en leverandør som ikke er produsent kan det. En distributør som videreformidler standard skytjenester vil regnes som underleverandør til leverandøren og eventuelle standardvilkår distributøren har vil ikke omfattes av direkteavtaledefinisjonen. Det er presisert at partene kan avtale at vederlaget for standard skytjenester kan betales til leverandøren selv om det inngås direkteavtale.

Den andre varianten av direkteavtale favner de tilfellene hvor kunden har inngått eller har avtale på plass hvor avtale/avrop kan inngås om kjøp av én eller flere navngitte standard skytjenester før leverandørens tilbud innhentes. Leverandører kan da vurdere om de ønsker å levere tilbud basert på kundens utgangspunkt for å levere sine tjenester for å få løsningen på plass.

Partene i en direkteavtale er kunden og produsenten. Avtalens system er slik at leverandøren ikke har ansvaret for standard skytjenester, med mindre det er regulert særskilt. Leverandørens ansvar for standard skytjenester følger av kontraktens Del II pkt. 6. Leverandøren skal være kontaktpunkt mot produsenten i den utstrekning som fremkommer av bilag 1. Leverandøren skal videre følge med på endringer i vilkårene for standard skytjenester og forklare kunden hva endringene innebærer i rimelig tid før endringene trer i kraft.

I Cloud skilles det på leverandørens ansvar for feil og endringer i skytjenesten før og etter godkjenningsdag. Godkjenningsdag inntreffer kun én gang da det kun er én etablering i Cloud. Feil i standard skytjeneste inngår i beregningen av antall feil som aksepteres ved godkjenning. I realiteten får leverandøren ansvaret for en eventuell A-feil i standard skytjeneste. Leverandøren kontrollerer i stor grad antall B-feil i løsningen (dersom antall feil ikke er satt svært lavt) ved at feilene i kundetilpasningene hvor leverandøren selv har kontroll på kildekoden rettes før godkjenningsdag. Leverandøren har ikke kontroll med selve skytjenesten og Cloud er derfor utformet slik at det ikke påløper dagbøter der forsinket godkjenning skyldes feil i standard skytjeneste. Dersom godkjenningsdag blir vesentlig forsinket, har kunden rett til å heve kontrakten etter skriftlig varsel og rimelig frist til å bringe forholdet i orden, samt kreve erstatning. Det må gjøres en konkret vurdering av om forsinkelsen er vesentlig.

Etter godkjenningsdag har leverandøren plikt til å melde feil og bidra til å sikre prioritet for rettingen. Kunden kan anmode om at leverandøren leverer en midlertidig løsning. Dette skal gjennomføres som betalbart arbeid etter konsekvensutredning og endringsordre. Ved endringer i standard skytjenester skal leverandøren informere kunden om endringene og foreslå endringer i kundetilpasningene i tilstrekkelig tid før endringen skjer. Dersom kunden ønsker å bøte på en endring av standard skytjenester ved å gjøre endring i kundetilpasninger, plikter Leverandøren å levere konsekvensutredning som kunden betaler for. Denne plikten er med på å demme opp for en av utfordringene med standard skytjenester, nemlig at de endrer seg uten at kunden kan stoppe det. 

Standardvilkår for standard skytjenester i Sky

I Sky benyttes ikke begrepet direkteavtale. Her omtales produsenten som skytjenesteleverandøren og skytjenestene er definert som skytjenester levert på standardvilkår. Av kontraktsteksten fremkommer det at skytjenester kan være (I) anskaffet av kunden, (II) anbefalt eller tilbudt av leverandøren, eller (III) fremgå av leverandørens tjenestekatalog, slik at kunden kan kjøpe tilgang fra eller via leverandøren.

Det første tilfellet tilsvarer variant to av direkteavtale i Cloud. Etter vår mening er det ikke tydelig hvilket ansvar leverandøren har for slike skytjenester. Vi antar at definisjonen av skytjenester bør tolkes slik at leverandøren har samme ansvar for alle skytjenester på standardvilkår uavhengig av om de faller i kategori I, II eller III. I punktet som regulerer leverandørens ansvar for viktig funksjonalitet som er fjernet fra skytjenestene, er det presisert at ansvaret kun gjelder de skytjenestene som leverandøren har anbefalt eller levert tilbud på. Vi kan ikke se at det er benyttet tilsvarende avgrensninger ellers i avtalen.

I variant II skilles det på om skytjenestene er «anbefalt eller tilbudt av» leverandøren. For variant III brukes begrepene «fra eller via» leverandøren. I teksten under variantene av skytjenester er det skilt på om kunden eller leverandøren er part i avtalen med skytjenesteleverandøren. Vi tolker det slik at med «anbefalt» og «via» menes tilfeller hvor kunden er part i avtalen med skytjenesteleverandøren og «tilbudt» og «fra» er ment tilfellene hvor leverandøren er part i avtalen med skytjenesteleverandøren. Etter vår mening bør begrepene klargjøres før man benytter avtalen.  

Vi mener også det er et behov for å se på rangordningen mellom Sky og standardvilkårene. Det står at standardvilkårene er bindende for kunden når det gjelder levering av skytjenestene og at dette også gjelder om leverandøren er part i avtalen med skytjenesteleverandøren. Videre står det at kunden ikke kan gjøre andre krav gjeldende overfor leverandøren enn det som fremkommer av krav til leverandørens ytelse. For det første kan man stille spørsmål ved hva som er ment med at vilkårene er bindende når det gjelder «krav til levering» av skytjenesten. Er det tilfeller hvor standardvilkårene ikke er bindende? For det andre vil det kunne oppstå utfordringer der kunden i realiteten har stilt krav til skytjenestene der kravene til ytelsen skal legges inn i bilag 1. Slike krav kan man fremme mot leverandøren. Rangordningsbestemmelsen i Sky løser heller ikke spørsmålet slik vi ser det.

Feil i skytjenestene hindrer ikke godkjenning i godkjenningsprøven slik det gjør i Cloud, og godkjenningsmekanismen i Sky er slik sett noe lempeligere enn i Cloud. Men i visse tilfeller hvor avtalt funksjonalitet fjernes fra skytjenestene før leveringsdag (som er dagen etter godkjenningsprøven), har leverandøren plikt å avhjelpe. Merk at denne plikten kun gjelder de skytjenestene som leverandøren har anbefalt eller levert tilbud på. Dette innebærer at leverandøren ikke har tilsvarende ansvar for variantene I og III. Slik vi ser det, er ikke klart at Sky legger opp til at godkjenning skal utsettes dersom et slikt tilfelle inntreffer, men vi mener det er den naturlige tolkningen.

Det tredje i rekken av EUs store personverntilsyn tar for seg paragraf 15 i GDPR, retten til innsyn.
Les også

Du har rett på mappa di: Nå vil 30 tilsyn sjekke om retten innfris

Etableringsprosjektet

I Cloud er det lagt opp til at etableringsprosjektet kan omfatte en minimumsversjon av løsningen som kunden kan ta i bruk. Løsningen består av standard skytjenester samt leverandørens kundetilpasninger, og i praksis er det altså kundetilpasningene dette dreier seg om. Leverandøren tar ansvaret for arbeidet med å etablere løsningen innenfor avtalte forutsetninger. I denne forbindelse veiledes kunden til å velge en fastprismodell.

Dersom kunden forventer at selv en minimumsversjon av løsningen blir omfattende, eller kunden ønsker en i størst mulig grad komplett løsning på godkjenningsdag, anbefales det at kunden velger en målprismodell for etableringen. Dette er en alternativ ansvars- og prismodell for arbeidet med kundetilpasninger som baseres på delt ansvar mellom partene. I slike tilfeller må kunden beskrive nærmere modell for hvordan etableringsprosjektet skal gjennomføres. Målprismodellen bør detaljeres med andel av timepris som skal betales ved underskridelse av estimat og fratrekk ved overskridelse av estimat.

Målbilde

Cloud skal hensynta at skytjenester er i kontinuerlig endring, f.eks. ved etablering av en minimumsløsning som deretter videreutvikles og tilpasses. Vi erfarer at det ofte er hensiktsmessig for både kunde og leverandør at etableringsprosjektet ikke blir for stort. Ettersom skytjenester i sin natur er i endring, kan det også argumenteres for at en standardavtale på dette området må ta høyde for fortløpende utvikling. Særlig i offentlig sammenheng, men også mellom private virksomheter, mener vi det samtidig er viktig at kunden har angitt hvilke behov løsningen på sikt skal oppfylle.

I avtalen håndteres dette ved at kunden angir et «Målbilde». Målbildet oppnås gradvis ved at kunden bestiller videreutvikling og at leverandøren videreutvikler kundetilpasningene i henhold til bestillingene. Nye skytjenester kan også tas i bruk på denne måten, så fremt disse skytjenestene er angitt i avtalen.

Christian Rosenvinge er enhetsleder i en statlig virksomhet, men skriver her som privatperson. Han mener offentlig sektor i Norge nå har en god mulighet til å starte en løsrivelsesprosess fra de amerikanske skytjenestene.
Les også

IKT-politikk er også nærings- og sikkerhetspolitikk!

Personvern og erstatningsansvar

Cloud legger opp til en noe annerledes regulering av Leverandørens erstatningsansvar ved brudd på personvernforordningen enn det vi finner i Sky. Partenes ansvar for skade som rammer den registrerte er regulert av personvernforordningen artikkel 82. I Cloud er det lagt til grunn at det ikke strider med forordningen å avtale et begrenset erstatningsansvar for regress etter artikkel 82. En slik ansvarsbegrensning er ikke ment å begrense partenes erstatningsansvar overfor den registrerte.

Regressansvaret i Cloud er begrenset til 200 prosent av etableringsvederlaget eller 200 prosent av siste 12 måneders forfalt løpende vederlag avhengig av hvor man er i gjennomføringen av avtalen. Erstatningsbegrensningen gjelder kun Leverandørens ansvar.

Hva gjelder ansvar for ilagt overtredelsesgebyr etter forordningen artikkel 83, fastlegger Cloud at det ikke er adgang til å søke regress hos den annen part.

Databehandleravtaler

En kunde som ved bruk av Cloud skal behandle personopplysninger i løsningen, vil ofte måtte inngå en databehandleravtale med leverandøren og en annen med produsent. Databehandleravtalen som inngås med leverandør kan i stor grad defineres av kunden. Databehandleravtalen som gjelder for behandlingen i selve skytjenestene er en annen sak. Her legger Cloud opp til at slik databehandleravtale er en del av standardvilkårene fra produsent. Vi går ut fra at kunden ofte ikke kan avgjøre hvilke deler av behandlingen som skal foregå hos leverandør og produsent. Vi anbefaler derfor at kunden angir hva som skal behandles og at leverandøren beskriver nærmere hvordan dette håndteres av leverandøren og av produsent.

I Sky er det lagt opp til at databehandleravtalen går foran den generelle avtaleteksten og at den skal inkluderes i Bilag 11, uansett om avtalen inngås med leverandøren eller skytjenesteleverandøren. I Sky pkt. 7.3.2 heter det at leverandøren og kunden «kan bli enige om» at databehandleravtalen skal inngås direkte mellom skytjenesteleverandøren og kunden. Vi mener det er vanskelig å se for seg en annen løsning enn at kunden aksepterer skytjenesteleverandørens standard databehandleravtale der skytjenesteleverandøren er kundens databehandler. Etter vår oppfatning er det mest naturlig at en slik databehandleravtale håndteres tilsvarende skytjenesteleverandørens øvrige standardbetingelser.

Avtalens bruksområde sammenlignet med Sky

Etter vår vurdering er Sky en avtale som kan brukes i en mengde forskjellige skytjenesteanskaffelser og som etter vår vurdering i all hovedsak har gode reguleringer. Sky er likevel en omfattende avtale som med sine 40 siders standardtekst ser ut til å passe best i store og komplekse anskaffelser. Vi vurderer også at det kan være en stor jobb å tilpasse Sky til det konkrete prosjekt kunden skal gjennomføre, ettersom Sky innbefatter et stort spenn av mulige konfigurasjoner og løsninger, herunder f.eks. overgang fra drift og transformering til sky. Vi opplever også at det anskaffelsesrettslig sett kan være krevende å benytte Sky uten etter en nærmere vurdering av hva som er «tilbudte» og «anbefalte» skytjenester. Etter vår mening er Cloud i større grad enn Sky ferdig tilpasset sitasjonen der en kunde ønsker en konfigurert løsning basert på en eller flere standard skytjenester.

Uansett hvilken av avtalene man tar utgangspunkt i, understreker vi at avtaletekst og bilag må tilpasses den konkrete situasjonen. Ikke minst vil det være mye arbeid med bilagene for å få avtalen så god som mulig og sikre at den er innenfor anskaffelsesregelverket for de kundene som er avhengig av det.

Hvis vedtaket fra Datatilsynet blir stående, blir det vanskeligere for selskaper som Grindr å konkurrere mot andre tilbydere av sammenlignbare tjenester som ikke assosieres med LGBTQ+-fellesskapet, mener Kelly Peterson Miranda i Grindr.
Les også

Grindr går til sak for å forsvare brukernes rettigheter

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.