Dataforeningen har nylig lansert en standardavtale for kjøp av skytjenester. Dette er nok i utgangspunktet en etterlengtet standardavtale som mange håper kan forenkle innkjøpsprosessen av skytjenester.
På sin hjemmeside sier Dataforeningen følgende:
«Skytjenesteavtalen skal dekke behovet for kunder som ønsker at en leverandør skal tilpasse, utvikle og integrere en eller flere standard skytjenester, både egne og fra en eller flere underleverandører».
På bakgrunn av omtalen fra Dataforeningen (og selvsagt også på grunn av navnet på avtalen) får en således inntrykk av at dette er en standardavtale som passer for kjøp av alle typer skytjenester, uansett om tjenestene dekker SaaS, IaaS eller PaaS, eller for en kombinasjon av kundetilpassede løsninger og standardiserte skytjenester.
Dette stemmer imidlertid ikke. Avtalen passer kun i tilfellet hvor en anskaffer en kundetilpasset programvare som en tjeneste (Software as a Service), og da fra en leverandør som både har utviklet programvareløsningen og som gjør denne tilgjengelig som en tjeneste for kunden fra leverandørens egen driftsplattform. Da er man imidlertid utenfor området for standardiserte skyløsninger, og fordeler som for eksempel lav pris og fleksibilitet. Avtalen passer ikke for kunder som ønsker å anskaffe standardiserte skytjenester som Office 365, G Suite, Salesforce, Amazon Web Services, Azure og lignende gjennom norske leverandører/systemintegratorer, eller for eksempel om kunden ønsker at leverandøren stiller til rådighet sin egenutviklede programvare/tredjeparts standardprogramvare som tjeneste via for eksempel Azure eller lignende.
Les Dataforeningens tilsvar her: – Kronikkforfatterne har misforstått
Avtale med snevert virkeområde
Avtalen har dermed etter vår mening et svært snevert virkeområde. Gjennom navnet «Skytjenesteavtale» så pretenderer den å dekke et behov den faktisk ikke gjør. Avtalen burde hete «Software as a service-avtale – kundetilpasset løsning».
Og hvorfor passer den ikke? Det er mange grunner til det, og de to viktigste er:
1) Dataforeningens skytjenesteavtale åpner opp for at standardbetingelser for standard skytjenester fra tredjepartsleverandør (Office 365, Salesforce, Amazon, og så videre) kan legges inn i bilag 2 til avtale. Videre følger det av avtalens ordlyd i punkt 2.2.2 at kun betingelsene om disposisjonsrett og bestemmelse om rettsmangler i tredjepartsleverandørens skytjenestevilkår går foran betingelsene i Dataforeningens skytjenesteavtale.
Dette betyr nødvendigvis at alle andre vilkår i Dataforeningens standardavtale, inkludert utfylte bilag, går foran skytjenestevilkårene fra tredjepartsleverandør som er vedlagt.
Dette innebærer en ukontrollerbar risiko for leverandør/ system-integrator, som vil være ansvarlig overfor sluttkunden for gapet mellom vilkårene.
Dette innebærer en ukontrollerbar risiko for leverandør/systemintegrator, som vil være ansvarlig overfor sluttkunden for gapet mellom vilkårene.
Det kan nevnes mange eksempler på avvikende bestemmelser, for eksempel klausuler om oppsigelse, overdragelse, lovvalg, verneting, erstatning ved tap av data, skadesløsholdelse av skyleverandør som følge av ulovlige kundedata, den inkluderte databehandleravtalens betingelser og så videre. Merk også at Dataforeningens skytjenesteavtale klart og tydelig sier at feil i tredjeparts skytjenester også vil telle med i vurderingen av om den helhetlige tjenesten skal godkjennes.
Det nevnes også at det slett ikke er sikkert at tredjeparts skytjenestevilkår har bestemmelser om disposisjonsrett, da skytjenester ikke dreier seg om lisens til å installere og bruke programvare, men om vilkår for tilgang til en standardisert tjeneste. Så med skrivemåten i avtalen er det ikke gitt at tredjeparts skyleverandørs bestemmelser om vilkår for tilgang til tjenesten får anvendelse i det hele tatt.
– De fleste vil vurdere å avstå
Såfremt avtalen brukes utover sitt snevre virkeområde vil ingen rasjonelle leverandører/systemintegratorer kunne gi tilbud til kunder basert på denne skytjenestevtalen, uten å akseptere en ukontrollerbar risiko eller gjøre store endringer. Er for eksempel sluttkunden en offentlig kunde underlagt anskaffelsesregelverket, antar vi at de fleste leverandører vil vurdere å avstå fra å levere tilbud om original Dataforeningens skytjenesteavtale inngår i konkurransegrunnlaget. De store endringene som vil måtte gjøres for å unngå en ukontrollerbar risiko vil fort kunne medføre en medføre avvisningsplikt etter anskaffelsesregelverket.
Det nevnes at Dataforeningens avtale har et punkt 2.2.1 som åpner opp for at tilbyder kan spesifisere særskilte bestemmelser som vil overstyre bestemmelsene i Dataforeningens avtale, men dette fungerer for alle praktiske formål ikke dersom en som leverandør skal levere standardiserte skytjenester fra tredjepart. Da må en legge ved tredjeparts standardbetingelser i sin helhet, noe som ofte stilles som krav for videresalg av skytjenestene fra tredjepartsleverandør.
2) Under leverandørens ansvar for skytjenestene fremkommer det videre at «Leverandøren har ansvaret for at Skytjenestene dekker de samlede funksjoner, formål og krav som fremgår av Avtalen, gjennom hele Tjenesteperioden».
I den grad kundene klarer å la være å stille krav til egenskaper/funksjonalitet i standardiserte skytjenester fra tredjeparts leverandør (Office 365, Salesforce, Amazon og så videre), men kun stille krav til hva leverandøren skal sikre på toppen av den standardiserte skytjenesten, så er dette kanskje greit nok. All erfaring tilsier imidlertid at kundene vil stille funksjonelle, tekniske eller sikkerhetsmessige krav som må løses gjennom konfigurering/tilpasning av den standardiserte skytjenesten.
Videreutvikling og oppgraderinger ligger i skytjenestenes natur
Tar man seg imidlertid tid til å lese tredjepartsleverandørens skytjenestevilkår så vil en straks se at skytjenesten normalt kan endres når som helst av tredjepartsleverandørene. Det at de forskjellige komponentene kontinuerlig utvikles, forbedres og oppgraderes er jo skytjenestenes natur. Siden dette medfører at skytjenesten blir billigere for sluttkunden enn å kjøpe og forvalte enn en kundespesifikk løsning er jo dette selve hovedargumentet for å nettopp velge skytjenester. Det harmoniserer derfor dårlig at leverandør/integrator skal være ansvarlig for at skytjenesten dekker kundens «samlede funksjoner, formål og krav» i «hele Tjenesteperioden». Det kan rett og slett ingen leverandør som ikke kontrollerer hele verdikjeden innestå for.
Dataforeningen bør snarest endre avtalen til å faktisk favne de fleste skytjenester eller endre navnet på avtalen.
Den nye Skytjenesteavtalen til Dataforeningen som standardavtale har således et veldig snevert virkeområde. Den er et uhensiktsmessig instrument å bruke for å kjøpe de fleste typer skytjenester som i dag etterspørres og tilbys. Bruk av den vil fort redusere antall tilbydere og dermed konkurransemomentet en kunde ønsker å oppnå. Hele innkjøpsprosessen vil i beste fall bli mye mer tidkrevende fordi en må forhandle en rekke endringer med tilbyderne.
For å unngå misforståelser – budskapet vårt er ikke at en som kunde skal akseptere betingelsene til internasjonale skytjenestetilbydere uten videre. En bør absolutt sette seg inn i vilkårene, analysere konsekvensen for ens ønskede bruk av tjenestene, identifisere «showstoppere» og andre nødvendige endringer, pris, andre kommersielle betingelser samt legge en strategi for å få forhandlet et best mulig resultat. Instrumentet for å gjøre det er imidlertid ikke Dataforeningens skytjenesteavtale slik den er skrevet. Det er kun å stikke hodet i sanden.
Dataforeningen bør snarest endre avtalen til å faktisk favne de fleste skytjenester eller endre navnet på avtalen.
Les Dataforeningens tilsvar her: – Kronikkforfatterne har misforstått
