Arktis - Cloud avtale bilde

Skal du ta ansvaret for skytjenesters nedetid?

Skal du ta ansvaret for skytjenesters nedetid?

Publisert: 19/12/2019

Å ikke kjenne til spillereglene for skybaserte tjenester, kan bli en dyr affære for tjenesteleverandører. Last ned vår sjekkliste for å sikre deg mot fallgruver når du tilbyr skytjenester

Av John E. Nilsen

 

I sommer hadde en av de største cloud leverandørene, Google Cloud, nedetid. Det varte bare i noen timer, men resulterte i at flere av de kjente applikasjonene som Snapchat, Discord og liknende var nede. Dette resulterte i at millioner av brukere ikke fikk benyttet seg av tjenestene. Vi vet ikke hvorvidt noen fremmet krav på bakgrunn av dette, men nedetid kan, generelt, innebære at noen er ansvarlig. Spørsmålet er hvem.

 

Hva er egentlig skytjenester?

Eldre praksis innebar at data var lagret på servere “i kjelleren” til bedriften. Nyere praksis innebærer at tjenester som regel utsettes til andre aktører. Kunden krever i dag større smidighet og stiller klarere krav til hva tjenesten skal innebære. Med disse kravene er det også vanlig at kunder og leverandører ser til cloud-baserte tjenester .

 

Cloud-baserte tjenester, eller skytjenester på norsk, innebærer at data tilbys fra desentraliserte servere og som regel fra flere forskjellige servere, i forskjellige land, og lagrer data for flere kunder.

 

Du kan leie din egen skytjeneste, eller dele med andre. 

Det finnes to forskjellige typer cloud-baserte tjenester. «private cloud» og «public cloud». «private cloud» innebærer at det er en avgrenset server leid inn av kunden og data på slike servere er kun tilgjengelig for et begrenset antall kunder. «public cloud» innebærer desentraliserte servere og data hentes fra forskjellige servere som regel også fra flere steder. Noen av de største leverandørene av «public cloud»-tjeneste er Microsoft, Google, Amazon og IBM.

 

Din kunde er også underlagt avtalen med skytjenesten.

En tjenesteleverandør av eksempelvis en applikasjon eller en plattform på internett, har som regel en avtale med en cloud-tjeneste om at tjenesteleverandørens denne leveres via en cloud-server til tjenesteleverandørens kunde. Når en kunde kjøper en tjeneste fra tjenesteleverandøren, inngås en avtale mellom partene. Denne tjenesten vil som regel innebære at tjenesteleverandøren garanterer for at filer, applikasjoner og liknende som kunden benytter seg av, er tilgjengelige. Med andre ord “oppetid”. Imidlertid inngår kunden i utgangspunktet også et avtaleforhold til skytjeneste-leverandøren. Om ikke direkte så blir kunden underlagt skytjeneste-leverandørens avtaler gjennom å inngå en avtale med tjenesteleverandøren.

 

Partskonstellasjonen

Arktis Law Skytjenester

Standardavtaler er ofte ikke gode nok til å regulere ansvarsforholdet mellom alle leddene i kjeden fra skytjeneste til sluttbruker, via din tjeneste.

Hva skjer når noe går galt med skytjenesten?

I utgangspunktet skal ikke ovennevnte medføre noen problematikk, så lenge tjenesten leveres i henhold til avtale. Problemet oppstår først når kunden ikke får tilgang til filene, applikasjonene sine og liknende.

 

En av avtalene som kunden er bundet av med skytjeneste-leverandøren er en “acceptable use policy” (“AUP”). Denne type avtale har som regel alle Cloud-leverandører og stipulerer nærmere retningslinjer for både tjenesteleverandøren og dens kunder. Eksempel på betingelser fra disse er at hverken tjenesteleverandøren eller dens kunder kan forsøke å hacke seg inn på serverne til skytjeneste-leverandøren. Et annet eksempel er at ingen ulovlig innhold må lastes opp på serverne til skytjeneste-leverandøren.

 

Virkningen av å ikke opptre i tråd med disse reglene vil være utestengelse fra skytjeneste-leverandørens servere.

 

Dagens avtaler er ikke gode nok uten modifikasjon

Det er få standardiserte avtaler for skytjenester på det norske markedet i dag. De to avtalene som benyttes i størst grad er fra Direktoratet for Forvaltning og IKTs (“DIFI”) avtale om løpende tjenestekjøp (“SSA-L”) og Dataforeningens Skytjenesteavtale. I utgangspunktet er avtalene helt i orden hvis du skal levere statiske tjenester via en «private cloud». Problematikken med å benytte seg av slike avtaler oppstår først når tjenesten er dynamisk og leveres via en offentlig sky («public cloud»). 

 

For å forklare dette nærmere så må en se tilbake til infogrammet og huske at tjenesten til tjenesteleverandøren sannsynligvis er drevet på en «public cloud». Clouden vil være gjenstand for oppdateringer og lignende. Dermed må også tjenesten til tjenesteleverandøren være gjenstand for oppdateringer i tillegg til at den må tilpasses for å fortsatt kunne drives av clouden. Tjenesten levert av tjenesteleverandøren er derfor konstant gjenstand for tilpasninger på bakgrunn av clouden og således er den å regne som dynamisk.

 

Avtalene er videre utformet slik at tjenesteleverandøren i hovedsak er ansvarlig for all nedetid med mindre tjenesteleverandøren kunne forhindret dette.

 

Dette vil bli problematisk særlig for de tilfellene hvor eksempelvis kunden selv eller dens sluttkunder har opptrådt i strid med skytjenesteleverandørens AUP. I avtaleforholdet mellom kunden og tjenesteleverandøren vil tjenesteleverandøren som utgangspunkt være i kontraktsbrudd, ettersom en potensiell utestengelse vil oppfattes som “nedetid”, men tjenesteleverandøren har ikke nødvendigvis kontroll over disse forholdene. Da er det viktig å begrense sitt ansvar for forhold en ikke har kontroll over.

 

Du trenger egentlig bedre beskyttelse 

Vanlig praksis er å benytte standardkontrakter for IT-bransjen. Det som imidlertid er av avgjørende betydning er at det tas forbehold om punkter som omhandler forholdet mellom leverandør og cloud-leverandør. Nettopp for at partene skal få justert sine forventninger men også for at du som leverandør ikke skal stå i et unødig mislighold overfor din kunde. Det er også avgjørende i valg av cloud-tjeneste å se til brukervilkårene til disse tjenestene.

 

 

Hvis din tjeneste er avhengig av en skyleverandør for å fungere, må du ta nødvendige forholdsregler. Last ned vår sjekkliste for «cloud avtaler» her!

Vil du lære mer om juridiske og forretningsmessige spørsmål knyttet til digitalisering og teknologi?

Skriv inn din e-post for å få den nyeste innsikten og læringsmulighetene fra Arktis Law.
dots-primary

Recent posts

Verdipapirhandelloven

Verdipapirhandel-loven: Strengere krav til kapitalforvaltere

Endringer i verdipapirhandel-loven krever mer informasjon av kapitalforvaltere. Mens endring i aksjeloven gjør det enklere for startups….

Les mer

Synes du det er vanskelig å komme i gang med GDPR?

Vi har en sjekkliste som kan hjelpe deg. Av Arktis Law Det er ikke lett å vite…

Les mer
Twentyfist Board

Endelig et verktøy for moderne styrearbeid

Twentyfirst Board hjelper styret ditt med formalitetene. Og gir dem krutt til å løfte selskapet ditt videre…

Les mer

Slik fikser du finansieringen

Finn balansen mellom å hente penger og bevare kontrollen i oppstartsselskapet ditt? Last ned vår guide!

Les mer
Varemerker og Brexit

Dette betyr Brexit for varemerket ditt

Må du skynde deg å stille deg i køen, eller kan du ta varemerkeregistreringen med ro når…

Les mer

Ryktene om internetts død er sterkt overdrevne. Iallfall for startups

Du frykter kanskje at EUs nye, skjerpede opphavsrettsdirektiv vil bety kroken på døra for startup-en din? Slapp…

Les mer

Personvern er ikke en engangsjobb

Som tech-selskap har du hovedansvaret for personvernet til kundene dine. Det er et stort ansvar å ha….

Les mer

Mathias Tadesse Gebremichael har fått advokatbevilling!

Mathias Tadesse Gebremichael startet å jobbe hos oss som fullmektig i juli 2016. Nå har han fått...

Les mer