Kan bruk av skytjenester «legge ned» NAV? Kontraktsfellene i skyen

Kan de store leverandørene av skytjenester stoppe Norge om de anser avtalevilkårene som brutt? Svaret er i verste fall ja, selv om det er lite sannsynlig.

Knut Fiane (Foto: Føyen Thorkildsen)
Knut Fiane (Foto: Føyen Thorkildsen)

«Jo høyere og mørkere leverandøren er, jo vanskeligere blir det å få forhandlet endringer til standardvilkårene», advarer Knut Olav Fiane og Lars Folkvard Giske, begge advokater og partnere i Adv. firma Føyen Torkildsen. 

Selv de største norske kundene blir små mot de store, internasjonale sky-leverandørene, og må i stor grad inngå kontrakter på leverandørens premisser. To advokater forteller hva du risikerer og hvordan du kan unngå problemer når du går i den offentlige skyen. 

Lars Folkvard Giske (Foto: Føyen Torkildsen)
Lars Folkvard Giske (Foto: Føyen Torkildsen)

Knut Fiane (KF) og Lars Giske (LG) er advokater og partnere i Adv. firma Føyen Torkildsen. På IT-kontraktsdagen skal de gå gjennom de viktigste svakhetene du påfører deg selv når du tegner kontrakt med en skyleverandør, — og hvordan du minimaliserer risiko. 

— Hvilke utfordringer er det ved å gå i skyen?

KF: — For eksempel suspensjon. Ta den tjenesten vi bruker nå. (Intervjuet foregår på Zoom, red. anm.) Du kan suspenderes når som helst. Det er kanskje ikke så kritisk med en tjeneste som Zoom, men bruker du Gmail kan det være mye verre. I teorien kan  de større skyleverandørene basert på sine standardvilkår «legge ned» NAV for en periode dersom de finner at NAV ikke har fulgt deres «acceptable use policy».

One size fits all

— Men NAV er jo en stor kunde, de må vel kunne forhandle?

KF: — Skyløsninger er i all hovedsak «one size fits all». Det er en standardisert tjeneste, og da må også tjenestevilkårene være standardisert. Du kan ikke , og bør ikke ønske å, prøve å tvinge en større skyleverandør til å endre tjenesten, og sammenlignet med de internasjonale gigantene blir selv de største norske virksomhetene små.

— Så vi er helt overlatt til vilkårene leverandøren dikterer?

KF: — Ikke helt. Det er noen ting du kan gjøre noe med, og det er viktig å vite hva dette er. Hva gjelder suspensjon er for eksempel de fleste villige til å ta inn en klausul om at du skal få et forvarsel og muligheten til å rette opp. Og hvis du har brukere som bryter policyen til leverandøren, kan brukeren suspenderes, ikke hele organisasjonen.

«Det er jo ikke bra om en stor statlig virksomhet stenges ned fordi en av de ansatte har lastet opp ulovlig innhold.»

Knut Fiane

Det er jo ikke bra om en stor statlig virksomhet stenges ned fordi en av de ansatte har lastet opp ulovlig innhold. Det er også mye enklere å forhandle endringer i tjenestevilkårene til mindre og mellomstore SaaS-leverandører til eksempel, enn de aller største internasjonale leverandørene.

Standardavtalene

— Er dette spesielt en barriere for virksomheter i offentlig sektor?

KF: — Ja, og det henger sammen med at de norske standardavtalene, inkludert Dataforeningens skytjenesteavtale og langt på vei SSA-L, ikke er tilpasset en standardisert dynamisk virkelighet.

LG: — Mange konkurransegrunnlag baserer seg at avtaleparten må garantere for at skytjenesten skal oppfylle kundens krav i hele avtaleperioden. Men poenget med å kjøpe standardiserte skytjenester er jo å få en standardisert innovativ og dynamisk tjeneste som hele tiden er i utvikling. Da må også konkurransegrunnlaget inkludert valgt standardkontrakt hensynta at tjenestene kommer til å endre seg. Ellers ender en opp med få tilbud eller tilbud med vesentlige avvik.

«… poenget med å kjøpe standardiserte skytjenester er jo å få en standardisert innovativ og dynamisk tjeneste som hele tiden er i utvikling»

Lars Giske

KF: — Markedet er på mange måter todelt. Satt på spissen så har vi den ene halvparten som ikke ønsker å forholde seg til skyleverandørenes standardvilkår men ønsker heller å bruke en kjent norsk standardkontrakt som helst medfører at kunden ikke blir bundet av tjenestevilkår fra skyleverandør, mens den andre halvparten aksepterer tjenestevilkårene som de er uten å lese dem, og lar dermed være å identifisere risiko og muligheter for forhandling. 

— Så verken DNDs eller statens standardavtaler holder mål?

KF: — Jo da, om en skal anskaffe en single-tennant løsning. Men om en skal anskaffe en standardisert dynamisk skytjeneste eller en multi-tennant løsning må det  foretas litt justeringer. Vi har selv nylig vært inne i ulike anskaffelse hvor vi har tilpasset Dataforeningens og Statens Standardavtaler. 

Kostnadsfellen

En annen ofte oversett komponent i den nye skyvirkeligheten er kostnader. 

KF: — Lisens eller vederlagsmodellene er veldig kompliserte hos de store internasjonale leverandørene. Et enkelt eksempel er at du har en lisens for en SaaS-løsning som går opp til 100 brukere, men ikke har avtalt hva som skjer når du vipper over til 101. 

LG: — Eller du har en avtalt pris for to år, men har ikke lykkes å binde prisen for år 3, 4 og 5. Når du kjøpte programvare tradisjonelt betalte du lisens up-front og avtalte fastpris for årlig vedlikehold. Det var ganske innkapslet og trygt.

«… når du da har lagt virksomhetskritiske data og prosesser ut i skyen har du et svakt forhandlingsståsted»

Lars Giske

For skytjenester kan det være vanskelig å få mange år med prissikring. Du får en god pris i noen få år, så må du reforhandle, og når du da har lagt virksomhetskritiske data og prosesser ut i skyen har du et svakt forhandlingsståsted.

Fristfellen

KF: — Generelt har leverandøren mange flere rettigheter i skytjenesteavtaler enn i andre avtaler. Derfor er det viktig å vite hva som skjer hvis du skal si opp avtalen. Hvis billingsystemet til Telenor lå hos en skyleverandør og dataene ble slettet 30 dager etter oppsigelse ville Telenor hatt store utfordringer.

Du skal vite hva som er forretningskritisk, og kanskje la være å legge forretningskritiske systemer ut i skyen uten robuste mitigeringsplaner og exitplaner. 

LG: — Leverandøren har også definisjonsmakt. Hva skal for eksempel til for at noe skal være et «vesentlig avtalebrudd»? Ofte er dette definert veldig lavt i tjenestevilkårene. 

KF: — Det er viktig å skjønne hvilke funksjoner i skyen du er avhengig av, for det ligger i skyens dynamiske natur at den funksjonen kanskje ikke er lik om tre måneder. Det samme gjelder oppgraderinger. Hvis en viktig prosedyre plutselig oppgraderes for alle brukere kan det bli kaotisk. Dette går tilbake til det med å avtale frister slik at en kan planlegge. 

Konkurransegrunnlag bommer

— Slik dere beskriver det høres det ut som om virksomheter i offentlig sektor generelt sett har forbud mot å gå i skyen. Men mange er da vitterlig der oppe i det blå?

KF: — Absolutt ikke forbud. Det kan være noen regulatoriske krav som gjør det helt umulig å legge enkelte løsninger i skyen, men hovedregelen er at offentlig sektor kan bruke mye sky.

Utfordringen per i dag er først og fremt å treffe riktig med konkurransegrunnlaget, for å sikre gode tilbud og konkurranse. Vi ser mange eksempler på at konkurransegrunnlagene «bommer litt», og hvor det på grunn av anskaffelsesregelverket blir vanskelig å justere kursen, ref forbudet mot vesentlige endringer. Da blir det mange avvisninger og kanskje ikke optimalt resultat i anskaffelsen.

«Vi ser mange eksempler på at konkurransegrunnlagene ‘bommer litt’»

Knut Fiane

Knut Fiane og Lars Giske på IT-kontraktsdagen 2019

Hvilke standardavtaler passer ved kjøp av skytjenester, og hvordan forholder jeg meg til skyleverandørens standardvilkår? Mange offentlige kunder bommer på valg av standardavtale ved kjøp av skytjenester og ender opp med få tilbud eller tilbud som må avvises. Mange kunder strever også med hvordan standardvilkårene fra de store skytjenesteleverandørene skal innlemmes i avtalen og hvordan man som anskaffende enhet skal forholde seg til disse. Innlegget vil fokusere på fallgruver og mulige løsninger.

Knut Olav Fiane

Knut Olav Fiane er advokat/partner i advokatfirmaet Føyen Torkildsen AS. Han har lang erfaring med IT-baserte avtaler og skybaserte anskaffelser og har i denne forbindelse deltatt i en rekke større IT-baserte anskaffelser over en årrekke. Dette inkluderer bistand både til leverandør og kundesiden samt innen offentlig og privat sektor.

Lars Folkvard Giske

Lars Folkvard Giske er advokat/partner i advokatfirmaet Føyen Torkildsen AS og leder FTs IKT og mediateam. Han har lang erfaring med blant annet IT-baserte avtaler og skybaserte anskaffelser og har deltatt i mange av de største IKT-anskaffelsene de siste årene, både på leverandørsiden og kundesiden. Han har vært med i Difis referansegruppe vedminirevisjonen av SSA-avtalene i 2012/13, revisjonen av SSA-avtalene i 2015, ny SSA-L i 2017 og utforming av de nye GDPR erstatningsansvarsbestemmelsene i 2018.

Forsidefoto: Karen Rustad [CC BY-SA 2.0 (https://creativecommons.org/licenses/by-sa/2.0)]