Nye skytjenesteavtaler: SSA-Sky og PS2021 Cloud - Hjort
Hva leter du etter?

Nye skytjenesteavtaler: SSA-Sky og PS2021 Cloud

Skytjenester benyttes i stadig større omfang, men tidligere standardavtaler for skytjenester har blitt kritisert for å ha uegnede mekanismer for fordeling av risiko mellom kunde og leverandør, og at de har pålagt leverandører en ukontrollerbar risiko. Etter flere høringsrunder har nå både Direktoratet for forvaltning og økonomistyring (DFØ) og Dataforeningen lansert nye skytjenesteavtaler. SSA-Sky og PS2021 Cloud er nye tilskudd i henholdsvis SSA-og PS-familiene for IT-kontrakter. Avtalene innebærer etter vårt syn en forbedring sammenlignet med tidligere standardavtaler for skytjenesteleveranser, og bør være gode utgangspunkter for avtaler om anskaffelse og gjennomføring av komplekse skytjenesteprosjekter.

Utfordringen med avtaleregulering av skytjenester

Begrepet skytjenester omfatter en rekke ulike tjenester som komme i en rekke «farger og fasonger». Skytjenester kjennetegnes blant annet ved at de leveres over internett, er skalerbare og kostnadseffektive, at kunden bare betaler for faktisk bruk, samt at tjenestene oppdateres løpende med virkning for alle kunder. Dessuten leveres de ofte fra store, profesjonelle datasentre med høyt sikkerhetsnivå og stor tilgjengelighet.

Et hovedskille går gjerne mellom offentlige og private skyløsninger (hhv «private cloud» og «public cloud»), og på om brukerne benytter dedikerte dataressurser eller deler disse med andre (hhv «single tenancy» og «multitenancy). Bruken av «public cloud» skytjenester, der mange brukere deler et udefinert sett med dataressurser, har særlig blitt populær grunnet de økonomiske fordelene og den driftssikkerhet disse løsningene tilbyr. Samtidig setter slike løsninger i praksis svært høye krav til standardisering av både vilkår og funksjonalitet.

Kompleksiteten i skyløsninger kan være betydelig, og man er som kunde ofte avhengig av at både egne systemer og andre tredjepartssystemer samhandler med skyløsningen. De ulike skyløsningene kan tilby ulik grad av samhandling med andre systemer gjennom standardiserte grensesnitt, men man tilpasser gjerne kundens systemer til skyløsningen og ikke omvendt. Ofte vil man engasjere en leverandør (integrator) som påtar seg etablere, implementere og forvalte skyløsningen, samtidig som selve skytjenestene ofte er svært standardiserte og leveres fra en skytjenesteleverandør som for integratoren er en tredjepart.

For skytjenesteleverandøren ligger mye av forretnings- og driftsmodellen nettopp i de stordriftsfordeler som følger med høy grad av standardisering. Dette har også medført at det for mange skytjenester, og særlig «public cloud» tjenestene, i praksis ikke vil være mulig å verken endre tjenesten utover den fleksibilitet og skalerbarhet som ligger innebygget i standardtilbudet, eller å forhandle særskilte vilkår for den enkelte kunde eller systemintegrator. For «private cloud» løsninger er det rom for noe mer individuell tilpasning, men da mister man ofte også noen av de egenskapene som gjør «public cloud» løsninger attraktive for kundene.

De tidligere avtalene

Mange vil hevde at de tidligere avtalene, hhv SSA-L fra 2018 og Dataforeningens skytjenesteavtale fra 2017, ikke i tilstrekkelig grad har tatt inn over seg skytjenestenes standardiserte natur, både når det gjelder juridiske vilkår og tjenestens funksjonalitet.

For det første har dette medført at leverandører av skytjenesteløsninger (typisk integratorer) har blitt sittende med forpliktelser overfor kunden som leverandøren ikke har hatt mulighet for å videreføre mot sin underleverandør (skytjenesteleverandøren). Særlig ved bruk av «public cloud» skytjenester har leverandørene ikke sjeldent måttet ta en «forsikringsrolle» mot skytjenesteleverandørens ofte ubalanserte og ensidige tilnærming til vilkår og endringer i tjenestene, med begrensede reelle muligheter for å ta betalt for denne risikoen fra kunden.

For det annet har den tidligere tilnærmingen skapt anskaffelsesrettslige utfordringer for kunder underlagt anskaffelsesregelverket, idet skytjenesteleverandørenes vilkår fort vil anses som vesentlige avvik under anskaffelsesregelverket (med mindre konkurransen legges opp slik at man unngår dette).

De nye avtalene SSA-Sky og PS2021 Cloud

Både SSA-Sky og PS2021 Cloud er tiltenkt større og komplekse skytjenesteleveranser, og kan benyttes der en leverandør skal tilrettelegge for, etablere, konfigurere, integrere og/eller forvalte en skytjenesteløsning. Selv om avtalene selv legger opp til å være «alt i ett» avtaler for sammensatte leveransemodeller av ulik kompleksitet synes det klart at avtalene først og fremst er skalert for større og komplekse skyanskaffelser. For den jevne bruker vil nok begge standardavtalene anses som både komplekse og omfattende, og for mindre komplekse leveranser vil man nok ofte kunne være tjent med å vurdere andre og mer begrensede avtalemodeller.

Selve skytjenestene trenger for så vidt ikke være del av leveransen under avtalene, og tilgang til selve skytjenesten kan også anskaffes uavhengig av leveransen. Slikt sett er det også noe upresist å omtale dette som avtaler om leveranser av skytjenester; det dreier seg egentlig om avtaler om leveranse av tjenester knyttet til skytjenester. Dersom skytjenestene inngår i leveransen aksepterer og tillater de nye avtalene i stor grad at dette må skje på de standardvilkår som gjelder for skytjenesten, og i praksis vil slike skyløsninger da leveres på skyleverandørens standardvilkår og ikke standardavtalens vilkår.

Den nye tilnærmingen innebærer etter vårt syn en mer hensiktsmessig balanse og risikofordeling mellom kunden, leverandøren og skytjenesteleverandøren enn tidligere, og er en klar forbedring. Selv om endringene isolert sett medfører en forskyvning av risiko fra leverandør til kunde tror vi at også kunden samlet sett vil være bedre tjent med denne tilnærmingen. Så må selvsagt også dette vurderes konkret for hver anskaffelse.

Samtidig som leverandørens ansvar for skytjenesten isolert sett reduseres, pålegges leverandøren et ansvar for å forstå og forvalte kundens behov. Eksempelvis må leverandøren følge med på endringer i skytjenestene og bistå med å håndtere kundens forhold til skytjenesteleverandøren. Man kan nok diskutere hvor hensiktsmessig det er å pålegge leverandøren en del av disse pliktene, og for mange kunder vil det nok være aktuelt å vurdere endringer her, men tilnærmingen i de nye avtalene gir i hvert fall en mer håndterbar risiko for leverandøren enn modellen i de tidligere avtalene.

Avtalene har generelt sett også større fokus på forvaltningsfasen enn tidligere avtaler, og legger opp til stor fleksibilitet med tanke på at leveransens innhold og skytjenestene skal kunne variere og tilpasses i løpet av kontraktsperioden. Det legges blant annet til rette for at skytjenester etableres og forvaltes helt eller delvis i parallell, og nye skytjenester kan etableres og settes i forvaltning i hele avtaleperioden. Tilsvarende gjelder for skalering og avslutning av ulike skytjenester.

Hva skal man velge?

De to standardavtalene har et sammenfallende bruksområde og fremstår i all hovedsak som alternative avtaler for den typen leveranser de er tiltenkt. De konkrete løsningene på ulike punkter varierer i detaljene, men i hovedsak synes hovedprinsippene i avtalene synes også å være forholdsvis like. Begge vil etter vårt syn utgjøre et godt utgangspunkt for den type anskaffelser de er ment å regulere, og hvilken avtale som passer best vil kunne variere med prosjektet og partene.

Erfaringsmessig har nok SSA-avtalene hatt betydelig høyere distribusjon enn Dataforeningens avtaler, og særlig hos offentlige kunder, men begge avtalene kan benyttes av både offentlige og private kunder (eventuelt med mindre tilpasninger). SSA-Sky er imidlertid gratis tilgjengelig fra DFØs nettsider, og dessuten er den «garantert» utbredelse gjennom det offentliges anskaffelser av skytjenester. Dette taler nok for at man i praksis vil se SSA-Sky oftere enn PS2021 Cloud. Hvilken avtale man skal benytte i det enkelte prosjekt bør uansett vurderes konkret, men at disse avtalen vil overta for de tidligere avtalene i mange nye skytjenesteprosjekter er nok helt sikkert.

Bruk av avtalene forutsetter uansett kjennskap til avtalenes individuelle mekanismer, og betydelig innsats med spesifikasjoner og øvrige bilag. Dessuten kreves profesjonelle og kompetente organisasjoner på både kunde- og leverandørsiden i gjennomføringen. Som med alle standardavtaler må man også vurdere om de mekanismer som standardavtalen legger opp til er hensiktsmessige for den konkrete anskaffelsen, og gjøre nødvendige tilpasninger for å oppnå ønsket resultat.