Anskaffelsesprosesser for IT- og konsulenttjenester: Hva betyr de nye oppdateringene i Statens standardavtaler?

TOPICS::
Anbud365: Anskaffelsesprosesser for IT- og konsulenttjenester: Hva betyr de nye oppdateringene i Statens standardavtaler?Thommessen-advokatene – fra venstre - Sædal, Lovén og Rikardsen gjennomgår her oppdaterte versjoner av flere av Statens standardavtaler (SSA).

Innlegg av: Lennart Hovland 11. november 2024

Skriv ut artikkelen

Av Wenche Sædal, Nora Elisabet Lovén og Kjetil Rikardsen – alle advokater i Thommessen

Direktoratet for forvaltning og økonomistyring (DFØ) har publisert oppdaterte versjoner av flere av Statens standardavtaler (SSA). De nye versjonene inneholder flere viktige justeringer som kan påvirke offentlige og private aktører i anskaffelsesprosesser for IT- og konsulenttjenester.

Oppdragsgivere skal som hovedregel benytte fremforhandlede og balanserte kontraktstandarder, der slike standarder finnes, jf. FOA § 19-1. SSAene benyttes derfor i stor grad som kontraktstandard ved offentlige IT- og konsulentanskaffelser.

Oppdateringene i Statens standardavtaler ble publisert før sommeren som en del av en planlagt prosess i forbindelse med DFØs overtakelse av forvaltningen av SSA i september 2020. Seks standardavtaler har blitt oppdatert:

  • Bistands- og oppdragsavtalen: SSA-B og SSA-B-enkel
  • Driftsavtalen: SSA-D
  • Kjøpsavtalen: SSA-K
  • Oppdragsavtalen: SSA-O
  • Utviklings- og tilpasningsavtalen: SSA-T
  • Vedlikeholdsavtalen: SSA-V

Ifølge DFØ har formålet med oppdateringen vært å gjennomføre mindre språklige og tekniske endringer for å gjøre avtalene mer brukervennlige, harmoniserte, oversiktlige og i tråd med gjeldende regelverk.

Vi oppsummerer de mest sentrale endringene som kan ha en betydning for anskaffelsesprosesser for IT- og konsulenttjenester.

Endringsreglene i SSA-T og SSA-D

Innskrenket “hoppeplikt” – kundens rett til å kreve endringer gjennomført

De nye utgavene av SSA innskrenker “hoppeplikten”, dvs. leverandørens plikt til å levere på kundens pålegg om endring av tjenesten som bl.a. finnes i SSA-T og SSA-D kapittel 3.

Endringen forhindrer kunden fra å kreve endringer som av “tekniske grunner” ikke kan gjennomføres uten at leverandøren også endrer sin “standard plattform” eller “standard tjenester” som “også leveres til andre kunder“. Innskrenkingen ble innført allerede ved publikasjonen av SSA-SKY i 2021 og er følgelig ikke ny i SSA-serien, men har nå blitt inkorporert i SSA-D og SSA-T.

Ordlyden er imidlertid vid, og vi ser en risiko for at bestemmelsen vil kunne påberopes i utilsiktede situasjoner, for eksempel i såkalte “fake SaaS”-leveranser. Dette er tilfeller hvor en programvareleverandør tilbyr en applikasjon (typisk) driftet via skyinfrastruktur til kunder som en “single tenant” løsning. I slike tilfeller blir applikasjonen levert som en spesifikk kundeinstallasjon og ikke til flere kunder som bruker samme installasjon.

I “fake SaaS”-tilfeller vil kundens endringsforespørsel potensielt påvirke standardprogramvaren i applikasjonen eller plattformen som også benyttes av andre kunder. Selv om standardprogramvaren forvaltes på en konkret kundeinstallasjon, vil ikke endringen, til forskjell fra SaaS-leveranser, automatisk bli implementert på leverandørens øvrige kundeinstallasjoner. Med andre ord vil leverandøren av “fake SaaS” også kunne motsette seg endringsordren fra kunden med henvisning til den nye ordlyden i SSA-D og SSA-T. På denne måten risikerer kunden å måtte forhandle fritt om implementering av potensielt forretningskritisk funksjonalitet uten beskyttelse av en håndhevbar og ensidig endringsrett.

Innholds- og prosessregler

DFØ har videre flyttet innholds- og prosessregler knyttet til endringshåndtering i kapittel 3 ut fra avtaleteksten og inn i bilagene. Frister for endringsutredning/overslag er dermed ikke lenger å finne i den generelle avtaleteksten, og også innholdskravene til endringsestimat er nå inntatt i standardbilagene istedenfor hovedavtalen.

Vi antar at endringene er en respons på at det har vist seg å være uhensiktsmessig at standardavtalene tidligere har vært preskriptive for operasjonelle prosesser, som i praksis kan variere fra leverandør til leverandør. Markedet har som en følge av dette i stor grad uansett fraveket de gamle reglene om innhold og frister for endringsordre i bilagene.

Trepartskonstellasjon – ansvarsforholdet mellom kunde, leverandør og tredjepartsleverandør i SSA-T

Ved lisensvilkår inngått mellom kunde/tredjepartsleverandør som angår løpende abonnementstjenester (“as-a-service”) i SSA-T, skal abonnementets varighet og oppsigelsesbestemmelser nå avtales i bilag 4, og prisen i bilag 7. Endringen reflekterer økt bruk av tredjepartsleveranser i form av skytjenester istedenfor mer tradisjonell programvare installert hos kunden eller kundens driftsleverandør i forbindelse med gjennomføring av implementeringsprosjekter.

Tredjepartsavtaler er regulert som selvstendige avtaler mellom kunden og leverandør av standardprogramvare eller tjenester, og skal eksempelvis inntas i bilag 10 av SSA-T. Kundens avtalemotpart i slike avtaler anses ikke som underleverandør, og hovedleverandøren etter SSA-T er i utgangspunktet ikke forpliktet etter tredjepartsavtalen som vedlegges bilag 10. Ved å plassere tredjepartsavtalen utenfor leverandørens ansvar, skal leverandøren slippe å bære risiko for realytelser som leverandøren i utgangspunktet ikke råder over.

Til sammenligning er leverandøren fullt ut ansvarlig for ytelser fra en underleverandør etter SSA-T. Leverandøren må følgelig kontrollere risiko for underleverandørens mislighold ved å inngå en egen avtale med underleverandøren (typisk såkalt “back-to-back”-avtale), samt eventuelt beregne inn risikomargin og kostnader knyttet til håndtering av underleverandørrisiko i prisingen rettet mot kunden etter avtalen.

Konseptet med tredjepartsavtaler ble relativt nylig innført i SSA (se 2015 versjonene av avtalene). Innføringen ga kunden mulighet til å gå ut i markedet med en konsolidert kravspesifikasjon som leverandøren i sin løsningsbeskrivelse bærer risiko for å spalte opp mellom hhv. standardløsning/tredjepartsleveranse og egen leveranse/ansvar i bilagene.

Systematikken er fornuftig i mange tilfeller, men leverandørsiden løper risiko dersom leverandøren upresist definerer grensen mellom egen ytelse og tredjepartsytelse i bilagene til SSA-T. Selv om leverandøren ofte er nærmere til å foreta denne grensedragningen, kan opplysningsplikten slå feil ut. Et eksempel er når tredjepartsleveransen på forhånd er lagt inn som en forutsetning i avtalen fra kunden, uten at krav som er rettet mot tredjepartsleveransen er tatt ut av kravspesifikasjonen.

I tillegg fastslår SSA-T at tredjepartsavtalen er bindende “ovenfor Kunden når det gjelder krav til levering av standardprogramvare“. Ordlyden kan (satt på spissen) reise spørsmålet: Hva med øvrige krav som følger av tredjepartsavtalen?

En antitetisk tolkning kan eksempelvis tilsi at restforpliktelsen i bilag 10 absorberes av hovedleverandøren, slik at hovedleverandøren blir ansvarlig for å levere eventuelle restforpliktelser overfor kunden. Etter vår vurdering bør grensedragningen mellom hovedleverandør og kunde og tredjepartsavtaler være klarere. Uklarheter i denne grensedragningen vil ofte skape friksjon i anskaffelsesprosesser og kan få en konsekvens for både leverandørmarkedets interesser i å inngi tilbud, samt prisene som blir tilbudt.

Kundemedvirkning

Krav til kundens medvirkning er presisert i de nye utgavene av SSA. Manglende kundemedvirkning er en nøkkelrisiko i implementeringsprosjekter som SSA-T typisk regulerer.

SSA-T tilføyer blant annet at kunden skal gi “nødvendige tilganger“, samt sørge for at kundens “øvrige leverandører gir nødvendig informasjon og tilgang” til leverandøren. I tillegg angir de nye versjonene et krav om at kunden skal påse at egne ressurser har “nødvendig kompetanse“. Disse presiseringene kommer i tillegg til avtalens generelle krav til at kunden skal “legge forholdene til rette for at Leverandøren skal få utført sine plikter etter denne avtalen“, som er videreført fra tidligere versjoner.

Endringen er isolert sett ukontroversiell og godt begrunnet. Vår vurdering er imidlertid at SSA, ved å angi en vid og diskresjonær medvirkningsplikt, øker begge parters risiko for manglende reell medvirkning fra kundesiden. Vide medvirkningskrav gir leverandøren omfattende adgang til å påberope seg manglende medvirkning som ansvarsfraskrivelse ved eget mislighold. Dette fremprovoserer i mindre grad proaktiv atferd fra leverandøren gjennom varsling og presis kravstilling til kundens medvirkning både før avtaleinngåelse og når prosjekter møter utfordringer. Følgelig øker risikoen for at begge parter går inn i prosjektet med uavklarte forventninger til begge parters roller og ansvar.

Informasjonssikkerhet

I de nye utgavene av SSA er kravet om å atskille kundedata fra tredjeparters data fjernet. Endringen reflekterer sannsynligvis en oppfatning om at det ikke er hensiktsmessig å stille preskriptive krav til informasjonssikkerhet i de generelle avtalemalene. Istedenfor forholder SSA seg nå til generelle informasjonssikkerhetsnormer og krav om implementering av forholdsmessige tiltak. Dette innebærer at kunder som har krav til atskillelse av data i større utstrekning må formulere slike krav i bilag 1.

Databehandleravtale

I 2024 versjonene av SSA har databehandleravtaler fått en egen posisjon som bilag til SSA. Bilagsmalene inneholder en mal til databehandleravtale og hovedavtalens regulering omkring behandling av personopplysninger har blitt tilsvarende forenklet.

Rettigheter til data

Ved oppdateringene i 2024 er det innført en egen bestemmelse om rettigheter til data. Rettighetsbestemmelsen fastslår kundens rettigheter til all data som samles inn, overføres, bearbeides, lagres eller på annen måte behandles etter SSA.

Leverandøren gis en begrenset rett til behandling av data for å oppfylle forpliktelser etter avtalen. SSA presiserer at leverandøren ikke under noen omstendighet har rett til å utøve tilbakeholdsrett i kundens data. Rettighetsbestemmelsene er i tråd med kjent kontraktpraksis i markedet og framstår som fornuftige presiseringer.

Leverandøren gis videre rett til bruk av aggregert, anonymisert data til å forbedre egne tjenester. Dette kan erfaringsmessig reise problemstillinger ved behandling av industriell-/produksjonsdata. Slik data vil ofte være anonym og kan avsløre sensitive tema om en kunde i aggregert form. Kunder vil kunne ha en berettiget interesse i å underlegge slik data strengere konfidensialitet av både konkurransehensyn og andre kommersielle hensyn. Etter endringen må kunder ta uttrykkelig forbehold i bilag 1 eller endringskatalogen for å frata leverandører rett til bruk av aggregert, anonymisert data til å forbedre egne tjenester.

Lønns- og arbeidsvilkår

Kravene til lønns- og arbeidsvilkår under offentlige kontakter har blitt utvidet, og det er lagt til klare sanksjoner ved leverandørens brudd på kravene. Dersom leverandøren eksempelvis ikke overholder den tilhørende dokumentasjonsplikten, løper en dagbot på minimum NOK 1500 per dag.

Utarbeidelse av konkurransegrunnlag

For å unngå uklarheter og eventuelle unødvendige forbehold, bør oppdragsgiver benytte de nye, og ikke gamle versjoner av SSAene når nye konkurransegrunnlag utarbeides.

Vi minner videre om at oppdragsgiver kan gjøre endringer i SSAene, hvis ønskelig. For å unngå uklarheter er det viktig at alle eventuelle endringer inntas i endringsbilagene, og ikke direkte i standardteksten. Endringene bør videre være balanserte.

DEL TWEET PIN DEL

Relaterte innlegg

Bli den første til å kommentere på "Anskaffelsesprosesser for IT- og konsulenttjenester: Hva betyr de nye oppdateringene i Statens standardavtaler?"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.