*** Local Caption *** Standard IT-avtaler

Standard IT-avtale: En jungel uten LAN-kabler

Standard IT-avtale: En jungel uten LAN-kabler

Publisert: 19/05/2020

Standardavtaler skal spare deg penger, men er de gode nok til å holde deg utenfor konflikter? Her er 3 typiske IT-avtaler og fallgruver du kan unngå. 

av John E. Nilsen, avokatfullmektig i Arktis Law

 

Hvis du jobber i IT-bransjen eller kjøper tjenester av den, har du sannsynligvis kommet i kontakt med en standard IT-avtale. Enten fordi du selv har funnet en avtale som passer noenlunde for det du skal levere, eller fordi en kunde har bedt deg om å signere. Dette er avtaler som fremstår like og som er bygget opp rundt samme form. Din utfordring er å vite om det er riktig avtale for deg og din kunde, og hva som egentlig bør være med i en slik avtale. Er en standard IT-avtale egentlig gode nok? Vi skal gå gjennom tre forskjellige avtaletyper. Hva inngår typisk i disse, hvilke klausuler bør man passe på å få med i kontraktsforhandlinger og hvordan kan man gjøre standardavtalen bedre. 

Hva er en standard IT-avtale? 

Standardavtaler for IT er ment å passe for mange forskjellige typer leveranser og tjenester, uten at de som trenger dem må finne opp hjulet på nytt hver gang. Intensjonen er god. IT-leverandører og deres kunder kan komme i gang med det de skal produsere eller levere, uten å bruke tid på å lage nye avtaler om det som har blitt avtalt mellom parter så mange ganger før. Allikevel er det tre viktige utfordringer med standardavtaler:

  • De dekker ikke nødvendigvis tjenestene godt nok.
  • Standardavtalene klarer ikke holde følge med teknologisk utvikling. 
  • Avtaleverket er under konstant press om oppdatering. Det som i utgangspunktet var en besparelse ved å velge “standard”, kan i realiteten skape et kontinuerlig behov for revisjon av et langt avtaleverk. 

Vi skal ta for oss de tre viktigste standardavtalene, nemlig IT-driftsavtaler, vedlikeholdsavtaler og tjenesteavtaler. Det finnes mange flere, men dette representerer “de tre store”. Fordelene og ulempene som vi redegjør for her, er ikke uttømmende og belyser bare enkelte problemområder. 

John E. Nilsen

John E. Nilsen er advokatfullmektig i Arktis Law

IT-avtale for drift: Når andre er ansvarlig for oppetid og sikkerhet

Driftsavtalen benyttes når en leverandør skal drifte hele eller deler av en kundes IT-system. Driftsavtalen kan for eksempel omfatte drift av maskinvare, operativsystem og driftsrelatert programvare, men den kan også omfatte drift av informasjonssikkerhet, inkludert nødvendige sikkerhetsoppdateringer, feilsøking, håndtering av uønskede hendelser og brukerstøtte. Det er flere leverandører av standardavtaler tilknyttet drift av IT-tjenester i Norge, blant annet IKT-Norge, Den Norske Dataforeningen og Difi (Direktoratet for IKT og forvaltning) nå omdøpt Direktoratet for digitalisering. Av hensyn til å ikke krenke noens arbeid skal vi ikke omtale standardene eksplisitt ved navn, men heller konsentrere oss om fellesnevnere som er problematiske og som man bør være særlig oppmerksom på.

 

Fordelene med standardavtale for IT-drift

Tjenestenivået bestemmes i tilleggsbilag

Den største fordelen med driftsavtalene er at disse kan bygges ut i bilagene som er lagt ved standardavtalene. Dette vil i utgangspunktet resultere i at man avtaler seg vekk fra ordlyden i de enkelte klausulene, og får en mer tilpasset avtale til den tjenesten man faktisk påtar seg å levere. Veldig mange av disse standardene er styrt av en SLA (Service Level Agreement).  Dette innebærer at en tilleggsavtale inngås i form av at bilag som styrer tjenestenivået for den tjenesten som leveres. Eksempelvis klausuler som omhandler responstid ved feil og oppetid. 

Leverandøren bestemmer når det skal oppgraderes

De fleste driftsavtaler gir leverandøren rett til å bestemme når oppgraderinger skal forekomme. Dette kan anses som både en fordel og ulempe, avhengig av hvilken side av bordet en sitter på. For kunden kan dette være uheldig hvis oppdateringen medfører at enkelte funksjoner forsvinner fra tjenesten og skaper derfor ikke forutsigbarhet. For leverandøren derimot vil dette være positivt, særlig av hensyn til tilfeller hvor leverandøren også bruker leveranser fra tredjepart, eksempelvis skytjenester. Hvis leverandør har rett til å gjøre oppdateringer ved behov, medfører det at tredjepart også kan gjøre dette, uten at kunden kan protestere. 

Begrenser kundens mulighet for endring

Flere av standardene begrenser muligheter for endringer fra kundens side. Dette er også å regne som både en fordel og en ulempe avhengig av om du er leverandør eller kunde. For kunden vil dette kunne ansees for å være uheldig ettersom kunden ikke nødvendigvis har anledning til å instruere leverandøren til å gjøre endringer. For leverandøren vil dette være å regne som en fordel fordi en endring kan medføre at leverandørens tjeneste må endres omfattende, og leverandørens øvrige kunder vil også få sin tjenesteleveranse endret. I tillegg vil dette kunne medføre at leverandøren må utvikle N-antall versjoner av den samme plattformen for alle sine kunder. Dette vil falle på sin egen urimelighet dersom ikke dette ble regulert.

Problemene med standard IT-avtale for drift

Hva som er fordel og ulempe, avhenger som regel av hvilken side av bordet du sitter på. Og det kan sies med sikkerhet at en helt rettferdig avtale er sjelden vare. Her er de tre viktigste problemene med standardavtaler for IT-drift.

Manglende regulering av ansvar i forbindelse med tredjepart, kan skape konflikt

Det er gjennomgående mangel på regulering av tredjepartsleveranser i standardavtaler for IT-drift. Særlig av skytjenester som del av driftsleveransen. Dette innebærer eksempelvis at leverandøren bruker skytjenester sammen med egenutviklede driftstjenester. Så lenge alt fungerer som det skal er ikke dette problematisk. Problemet oppstår, såklart, når det går galt. Eksempelvis når skytjenesteleverandøren oppdaterer og dette medfører enten nedetid eller manglende tilgang for kunden. uten at avtalen sier noe om ansvarsforholdet mellom kunde og leverandør. når en skytjeneste er involvert i tillegg. Hvis dette ikke reguleres i avtalen, innebærer det i realiteten en ansvarsfraskrivelse. For hvem har skylda for mangler eller nedetid overfor kunden når det er en tredjepart som utløser problemet?

 

At denne definisjonen utelates vil kunne skape unødvendig konflikt og problemer mellom deg som leverandør og din kunde. En slik klausul må være presis. Det er eksempelvis ikke tilstrekkelig å skrive at “leverandørens ansvar begrenses til å følge opp avtalen med tredjepartsleverandøren, herunder informasjonssikkerhet”. Ei heller:  “kunden aksepterer avgrensning av leverandørens ansvar for standard tredjepartsleveranser som inngår som del av driftstjenesten, men som Leverandøren har inngått avtalen med”. Årsaken til dette er at også kunden er bundet til den eventuelle skytjenesteleverandøren, og således kan dette tolkes dithen at det ikke behøves et samtykke fra kunden for at en slik avgrensning av leverandørens ansvar skal være tilstede allerede. Av samme årsak kan det oppstå spørsmål hvorvidt tjenesteleverandøren har inngått avtale med tredjepartsleverandøren (skytjenesten) når også kunden i mange tilfeller inngår denne avtalen, og derfor blir ansvarlig . Det kan for øvrig oppstå uklarheter, også tilknyttet informasjonssikkerhet, angående hvem som har skylden for et eventuelt kontraktsbrudd. Det som kan være fornuftig er å ta inn en klar avgrensning av leverandørens ansvar, som grenser mot forhold som skyldes kunden og resulterer i en manglende tjenesteleveranse.

 

Skal du ta ansvar for skytjenesters nedetid? Les mer her!

Det er avtalt at man ikke kan endre IT-avtalen

Det er et gjenvendende problem at flere av standardavtalene i sin opprinnelige form ikke kan endres, enten uten at det kan medføre immaterialrettslige virkninger eller at organisasjonene pålegger kunden en plikt til å ikke gjøre endringer i kontraktsrettslig forstand. I praksis innebærer dette at:

  • Avtalen kan bli urettferdig overfor den ene parten.
  • At avtalen ikke er tilstrekkelig dekkende for tjenesten
  • At avtalen ikke regulerer nødvendige rettigheter og plikter. 

Flere av IT-avtalene har inntatt standardbilag som tillater å gjøre endringer til den generelle ordlyden. Men disse endringene kan ikke gjøres i hovedavtalens ordlyd og må inntas i et slikt bilag som nevnt. Dette kan være nokså upraktisk, særlig hvis det er mange endringer som må gjøres og du ender opp med å omskrive hele avtalen i ett bilag. Da forsvinner nytteverdien av avtalen.

 

IT-avtale for vedlikehold: Når serveren ikke lenger står i kjelleren

Vedlikeholdsavtalen skal benyttes ved kjøp av vedlikeholdstjenester. Avtalene regulerer som regel vanlig vedlikehold og feilretting av kundens IT-system. I tillegg omfatter den ofte også forebyggende vedlikehold, utskifting av deler, programrettelser og installering av nye versjoner, samt opplæring/brukerstøtte og dokumentasjon. Avtalene regulerer også løpende vedlikehold, overvåking av IT-systemene, utvidelse av lisenser m.m.

Hva er fordelen med å velge standard vedlikeholdsavtaler?

Fordelene ved bruk av standard IT-avtale for vedlikehold, er de samme som for drift. Du får en avtale som dekker mye og kan bygges ut med tilleggsbilag. Dette vil medføre at det defineres klarere krav til leveransen og partene får forutsigbare rettigheter og plikter ifølge avtalen.  

Er det i dag behov for vedlikeholdsavtaler?

Det korte svaret er ja. Men med et nokså stort forbehold og i en noe annerledes form. Den tradisjonelle vedlikeholdsavtalen forutsatte i hovedsak “on-premise” løsninger for kunden, folkelig omtalt som “servere i kjelleren”. 

I dagens marked har flere og flere kunder gått over til skybaserteløsninger og dette betyr at den tradisjonelle vedlikeholdsavtalen byttes ut med en SLA. En SLA vil i all hovedsak regulere de samme forholdene som en vedlikeholdsavtale ville gjort og i et større omfang.

I tillegg vil skybaserteløsninger innebære at behovet for en vedlikeholdsavtale blir mindre relevant ettersom skytjenestene allerede har implementert vedlikehold ved sin leveranse. Tredjeparten har mao. allerede lovet å holde lysene på. Dette kan innebære et “dobbelt vedlikehold” og potensielt sett skape konflikt. Enten fordi tjenesten er helt unødvendig eller fordi vedlikeholdsavtalene har motstridende premisser. 

 

IT-avtale for tjenester: Tjenesteavtaler som tjeneste

Kategorien “tjenesteavtaler” kan være nokså omfattende og inneholde både kjøp av løpende tjenester, utvikling- og tilpasningsavtaler, Agile-avtaler (smidigavtaler), kjøpsavtaler og bestillingssystem. Kjøp av løpende tjenester tilbys som regel i veldig stort omfang av kunder. For å kunne tilby tjenester i slikt omfang tilknyttes det som regel skytjenester. 

I skyen finnes alt som en tjeneste – PaaS, SaaS og laaS

Skytjenester deles inn i følgende tre modeller:

  1. Plattform som tjeneste (platform as a service – PaaS)

    Dette innebærer at kunden bruker applikasjoner utviklet for seg/kjøpt av kunden i leverandørens nettsky-infrastruktur gjennom å benytte programmeringsspråk og verktøy støttet av leverandøren. Kunden har kontroll over egne applikasjoner, men har ikke kontroll over nettverk, servere, operativsystemer eller lagringsmuligheter.

  2. Programvare som tjeneste (software as a service – SaaS)

    Dette er en modell for leveranse over et nettverk hvor kunden benytter leverandørens applikasjon(er) på en nettsky-infrastruktur. Kunden har i utgangspunktet ikke kontroll over verken applikasjoner, nettverk, servere, operativsystemer eller lagringsmuligheter.

  3. Infrastruktur som tjeneste (infrastructure as a service – IaaS)

    Her gjelder levering av datainfrastruktur som en tjeneste over et nettverk. Kunden har kontroll over relevante applikasjoner, servere, operativsystemer og lagringsmuligheter, samt i noen tilfeller visse elementer i nettverket (for eksempel på brannmursiden).

En nettsky er ikke bare en sky, men oppdelt

For å regulere forhold rundt en skytjeneste med en IT-avtale må man være klar over at det også her finnes inndelinger som gjør ting komplisert. Skytjenester deles inn i leveransemodeller som følger:

  • Allmenn tilgjengelig sky (public cloud) Her gjøres skytjenestene tilgjengelige av leverandøren for alle kunder.
  • Privat tilgjengelig sky (private cloud) Her gjøres skytjenestene kun tilgjengelige for de virksomheter som skytjenestene skal gjelde for. Miljøet/miljøene som skytjenesten leveres fra vil typisk dedikeres til den enkelte kunde eller en definert kundegruppe. Dette opplegget åpner for større grad av spesifikke kundetilpasninger enn tilfellet er med modellen for offentlig tilgjengelig sky.

Fordeler med å bruke skytjenester. 

Fra skyen kan man gjøre tilgjengelig sin tjenesteleveranse hvor som helst og er ikke begrenset av serverrom og liknende. Det vil defor være færre begrensninger når det gjelder fysiske begrensninger som plass og lokalisering. En annen viktig fordel er skalering. Dette innebærer i realiteten at man kun betaler for den bruk som man benytter seg av. I tillegg er det enklere å knytte til seg nye virksomheter og implementere nye IT-verktøy. Det er heller ikke behov for å investere i nytt IT-utstyr i form av serverrom og hardware tilknyttet data-computing.

 

Standard IT-avtaler for tjenester er statiske

I all hovedsak så er standardavtaler for løpende tjenester alt for statiske. Dette knytter seg i hovedsak til bruk av begreper som “gjennom hele perioden” og “dersom avtalt funksjonalitet ikke er tilstede”Hensikten med skytjenester er det dynamiske aspektet, som skalering etter bruk samt muligheten for konstant oppdatering. Ved å bruke begrep som ovennevnt vil IT-avtalen ikke bidra til en dynamisk tjeneste, men tvert i mot en statisk.I tillegg vil det faktisk være vanskelig for en leverandør å opprettholde samme “avtalt[e] funksjonalitet” “gjennom hele perioden”. Årsaken til dette vil være at leverandøren er avhengig av skytjenesten for å levere sin tjeneste. Dette vil i realiteten innebære at funksjonaliteten vil være styrende av skytjenesten i tillegg til leverandøren.

Leverandøren får skylden for det kunden har gjort

I tillegg forbeholder flere av skytjenestene seg retten til å også å binde leverandørens kunde og dens sluttbrukere. Dette innebærer blant annet at kunden må følge retningslinjene for bruk av skytjenesten. Dersom ikke disse følges forbeholder skytjenesten seg retten til å suspendere tilgangen til skytjenesten. I praksis vil dette innebære at leverandøren står i mislighold overfor kunden i avtalen med denne, mens i realiteten er det kunden selv som er ansvarlig for misligholdet. Standardavtalene regulerer ikke dette nærmere og således kan det oppstå problematikk vedrørende funksjonalitet. Videre kan det oppstå usikkerhet rundt både personvern og øvrig informasjonssikkerhet ved bruk av standardavtaler hvor skytjenesten er implementert. Dette fordi skytjenesten har egne poliser og retningslinjer for informasjonssikkerhet og personvern, samt at flere av skytjenestene lagrer data i tredjeland. Det er således viktig at ens egen sikkerhetspolise og databehandleravtale gjenspeiler disse og en tar de nødvendige forbehold.

Hva er problemet med standardavtaler?

Som nevnt innledningsvis så ligger det største problemet i at vi står overfor en standarisert avtale som skal fange opp flest mulig tjenester. Dette er problematisk av hensyn til at teknologisk utvikling skjer i høyt omfang og avtalene vil etter sin egen natur ikke klare å “henge med” på utviklingen.

Mange av standardavtalene er tiplasset teknologi fra 90-tallet, hvor bedrifter hadde et serverrom i kjelleren.

Standardavtaler henger igjen i serverrommet i kjelleren

Veldig mange av standardavtalene er gjerne forbeholdt en teknologi som var relevant på 90-tallet, hvor bedrifter hadde et serverrom i kjelleren. Slik er det stadig mindre av og derfor oppstår det flere og flere spørsmål vedrørende relevansen av slike avtaler. Av hensyn til strengere krav til informasjonssikkerhet og personvern så oppstår det problemer om disse avtalen er i tråd med dagens regelverk. Selv om både skreddersydde avtaler og standardavtaler koster penger, så vil hver og en være mer tjent med å ha skreddersydde avtaler som kan regulere partenes rettigheter og plikter.

 

Vil du lære mer om juridiske og forretningsmessige spørsmål knyttet til digitalisering og teknologi?

Skriv inn din e-post for å få den nyeste innsikten og læringsmulighetene fra Arktis Law.
dots-primary

Recent posts

Verdipapirhandelloven

Verdipapirhandel-loven: Strengere krav til kapitalforvaltere

Endringer i verdipapirhandel-loven krever mer informasjon av kapitalforvaltere. Mens endring i aksjeloven gjør det enklere for startups….

Les mer

Skal du ta ansvaret for skytjenesters nedetid?

Å ikke kjenne til spillereglene for skybaserte tjenester, kan bli en dyr affære for tjenesteleverandører. Last ned…

Les mer

Synes du det er vanskelig å komme i gang med GDPR?

Vi har en sjekkliste som kan hjelpe deg. Av Arktis Law Det er ikke lett å vite…

Les mer
Twentyfist Board

Endelig et verktøy for moderne styrearbeid

Twentyfirst Board hjelper styret ditt med formalitetene. Og gir dem krutt til å løfte selskapet ditt videre…

Les mer

Slik fikser du finansieringen

Finn balansen mellom å hente penger og bevare kontrollen i oppstartsselskapet ditt? Last ned vår guide!

Les mer
Varemerker og Brexit

Dette betyr Brexit for varemerket ditt

Må du skynde deg å stille deg i køen, eller kan du ta varemerkeregistreringen med ro når…

Les mer

Ryktene om internetts død er sterkt overdrevne. Iallfall for startups

Du frykter kanskje at EUs nye, skjerpede opphavsrettsdirektiv vil bety kroken på døra for startup-en din? Slapp…

Les mer

Personvern er ikke en engangsjobb

Som tech-selskap har du hovedansvaret for personvernet til kundene dine. Det er et stort ansvar å ha….

Les mer

Mathias Tadesse Gebremichael har fått advokatbevilling!

Mathias Tadesse Gebremichael startet å jobbe hos oss som fullmektig i juli 2016. Nå har han fått...

Les mer