Av Andreas G. Meyer, Mikkel S. Hach og Stian H. Oddbjørnsen, Advokatfirmaet Haavind
Direktoratet for forvaltning og økonomistyring publiserte i 2021 to standardavtaler for skytjenester – SSA-Sky og SSA-Lille sky. Haavind erfarer at flere offentlige og private innkjøpere bruker avtalemalene på feil scenarioer. Uriktig bruk av avtalene kan begrense kundens mulighet til å håndheve feil og mangler i skytjenesten i større omfang enn det som var tiltenkt, eller at sentrale kommersielle forhold står uten kontraktsregulering i det hele tatt.
SSA-Sky regulerer etablering og forvaltning av komplekse skyløsninger, med utgangspunktet at selve skytjenesten anskaffes separat eller i henhold til egne vilkår. Lille-sky er ment brukt til kjøp av standard skytjenester, samt “enkle tilleggstjenester”, omtalt i avtalen som integrasjoner, tilpasninger og datakonverteringer.
En av grunntankene bak SSA-Sky og Lille-sky er å tilrettelegge for kjøp av standard skytjenester som leveres på standardvilkår. Avtalene bygger videre på en modell hvor et mellomledd (typisk en implementasjonspartner, tjenesteintegrator eller “managed services”-leverandør) leverer forvaltnings- og optimaliseringstjenester på toppen av skytjenestene. SSA-Sky omtaler tjenestene som legges oppå skytjenestene som “ytelser”, mens Lille-Sky bruker “tilleggstjenester” – vi bruker “tilleggstjenester” som felles begrep videre i artikkelen.
I både SSA-Sky og Lille-sky er det som utgangspunkt minst tre involverte aktører– kunden, leverandøren, og skytjenesteleverandøren(e). Leverandøren inngår kontrakten med kunden og er ansvarlig for tilleggstjenestene. Skytjenesteleverandøren er produsenten eller tilbyderen av skytjenestene som leverandøren implementerer, forvalter, og/eller leverer tilleggstjenester til.
Eksempler på hvilke ytelser som typisk ligger i “skytjenesten” kontra leverandørens tilleggstjenester er illustrert under.
Skytjenesteprodusenter har en interesse i å levere tjenestene på egne standardvilkår, bl.a. av hensyn til ansvarseksponering, effektivitet i kontraktsoppfølgingen, fleksibilitet til å videreutvikle produktet og beskyttelse av egne immaterielle rettigheter. De største skytjenesteleverandørene forhandler sjelden eller aldri på egne standardvilkår. SSA-Sky og Lille-Sky legger derfor opp til at skytjenestene håndheves i henhold til skytjenesteprodusentens standardvilkår, mens tilleggstjenestene underlegges SSA-avtalens vanlige kommersielle reguleringer.
Som forsøksvis illustrert under har leverandøren i begge avtalene et begrenset ansvar for skytjenestene (gult), hvor sanksjonsmuligheter ved mangler i tjenestene og andre kommersielle forhold følger skytjenesteleverandørens standardvilkår. Leverandøren har normalt større ansvar for tjenester som leveres i tillegg til skytjenestene (blått), hvor tjenestekrav og sanksjoner reguleres av den generelle kontraktsteksten i SSA-Sky eller Lille-sky.
I begge avtalene kan leverandøren også være skytjenesteleverandør. Rent avtaleteknisk oppstår da en litt merkelig konstruksjon hvor leverandøren leverer tjenester med to ulike hatter – én som leverandør av tilleggstjenester med alminnelig “SSA-ansvar”, og én som skytjenesteleverandør med begrenset ansvar. I utgangspunktet er dette heller ikke ulogisk, ettersom det ellers ville gitt en klar ulempe for leverandører som leverer både standardtjenester og tilleggstjenester, om de ikke kunne vedlagt sine egne standardvilkår. Vi erfarer imidlertid at det typisk er i disse scenarioene avtalene brukes uten at kundesiden er klar over konsekvensene.
For det første ser vi eksempler på at SSA-Sky og Lille-Sky benyttes som en form for drifts- og vedlikeholdsavtale etter et implementasjons- eller programvareutviklingsprosjekt hvor kunden egentlig ønsker at leverandøren tar et helhetlig ansvar for systemleveransen. Resultatet kan bli det motsatte, avhengig av standardvilkårene som vedlegges avtalen.
I Lille-Sky reguleres bl.a. forhold som avbestillingsrett, revisjon, bruk og utskiftning av underleverandører, disposisjonsrett til løsningen og bruk av kundens data av skytjenesteleverandørens standardvilkår som skal vedlegges avtalen. Det samme gjelder sanksjonering av avvik i skytjenestene, hvilket i betydelig grad kan svekke kundens evne til å håndheve mangler i løsningen. Sistnevnte gjelder særlig hvis standardvilkårene inneholder omfattende ansvarsfraskrivelser, “sole remedy”-klausuler o.l.
En slik konstruksjon er ikke nødvendigvis feil – poenget er at kunden ofte ikke har et bevisst forhold til at viktige kommersielle vilkår knyttet til kjerneleveransen, altså selve programvaren, ikke reguleres av SSA-avtalenes generelle vilkår. Selv om det ikke er rett frem, bør kunden alltid evaluere skytjenestenes standardvilkår – i alle fall på sentrale elementer for det aktuelle innkjøpet. Hvor leverandøren leverer både skytjenestene og implementasjon/tilleggstjenester bør det også vurderes om det er noen gode grunner til å oppstille et begrenset ansvar for skytjenestene.
Hvor kunden har reell forhandlingsmakt overfor skytjenesteleverandøren, vil SSA-L (Avtale om løpende tjenestekjøp) kunne være et bedre alternativ fra kundens perspektiv. Etter SSA-L er leverandøren som utgangspunkt ansvarlig for å levere tjenesten i henhold til avtale krav. Avtalen åpner dog for å fastsette vilkår for tredjepartsleveranser inkludert i tjenesten (f.eks. skyinfrastruktur fra Microsoft) med egne lisensreguleringer og hvor leverandørens ansvar for feil i tredjepartsleveransen er begrenset til et oppfølgingsansvar.
Vi ser også eksempler på at Lille-Sky brukes ukritisk ved kjøp av programvare som hostes på infrastruktur som leveres av de store skytjenesteleverandørene (f.eks. Microsoft Azure eller AWS). Her er det mer naturlig at infrastrukturen underlegges skytjenesteleverandørens standardvilkår. Det er ikke dermed gitt at det samme bør gjelde selve programvaren – levert av “leverandøren”. Dersom f.eks. Microsofts standardvilkår vedlegges Lille-sky oppstår spørsmålet hvilke vilkår som regulerer selve applikasjonsleveransen. For kunden vil “skytjenesten” være den helhetlige leveransen – både applikasjon og infrastrukturen den kjøres på, og det er også dette Lille-Sky legger opp til. Men tar man Lille-Sky på ordet vil kravene til programvaren, herunder ansvar for feil og mangler i denne, plutselig være underlagt Microsofts standardvilkår for drift i Azure i dette scenarioet.
Et tredje typetilfelle vi ofte ser er at Lille-Sky brukes uten at det vedlegges standardvilkår i det hele tatt. Eller at det kun leveres standardvilkår for enkelte av elementene i totalleveransen. Avtalen er ikke egnet for dette tilfellet, da den som nevnt over bygger på en forutsetning om at det er inntatt standardvilkår som bilag til avtalen. Resultatet blir et slags rettslig vakuum hvor det er uklart hvilke kommersielle reguleringer skytjenesteleveransen er underlagt. Og ved en eventuell tvist vil det bli krevende å vurdere hvilke krav og rettigheter som kan gjøres gjeldende.
På tross av avtalenes navn, er heller ikke SSA-Sky eller Lille-Sky svaret på alle anskaffelser som omfatter skytjenester. De har et bestemt kjernenedslagsfelt, men passer dårligere utenfor dette uten flere tilpasninger. En kunde må derfor alltid analysere nærmere om avtalene passer den konkrete anskaffelse. Kanskje svaret til og med er at ingen SSA passer? Det er nemlig ofte fornuftig å basere en kontrakt på et annet utgangspunkt.
Bli den første til å kommentere på "Bruk og misbruk av SSA-Sky"