Presentasjon avtale om løpende tjenestekjøp (SSA-L) Charlotte Lindberg, seniorrådgiver Difi Stian Oddbjørnsen, assosiert partner/advokat Kluge Advokatfirma
Tema for innlegget Overordnet gjennomgang av SSA-L Utvalgte dypdykk
Overordnet om SSA-L 2018
Hvorfor SSA-L? SSA-porteføljen revideres stadig for å holde tritt med markedsutviklingen Siste versjoner fra 2015 Økningen av leveranser gjennom standardiserte «skytjenester» har vært en tydelig utvikling i markedet Ingen av avtalene i SSA-porteføljen passet direkte (alene) for denne leveranse av standardiserte tjenester MERK: SSA-L er ikke neste avtale som kan/skal brukes ved skytjenester generelt avhenger av leveransens art og omfang Meldt om stort behov for standardreguleringer på dette området
Arbeidet med ny avtale Første SSA-L publisert januar 2017 «Prøveklut» Innspill, høringsrunde, referansegruppe Ferdigstillelse Veiledningsarbeid oppdatering bilag
Rammene for revisjonen Hensynta innspill og erfaringer Oppdatering og klargjøring av reguleringer Fortsatt sørge for reguleringer som harmonerer med resten av SSA-porteføljen
Anvendelsesområde Ambisjon: Egnet til de fleste standardiserte «as-a-service»- leveranser Men det åpnes for å innta installasjon, konfigurering, tilpasning og/eller integrasjoner i tjenesten. Bør begrenses til enkle slike oppdrag Tjenesten spesifiseres i bilag SaaS PaaS IaaS
Når passer den ikke? Ved kompliserte driftstjenester knyttet til systemer og/eller flere applikasjoner vil SSA-D være bedre egnet Utviklingsprosjekter eller større tilpasninger vil SSA-T eller konsulentavtaler være mer egnet Der Kunden har behov for en samarbeidspartner til IT-portefølje-/applikasjonsforvaltning og/eller optimalisering av de skytjenester Kunden allerede har tilgang til, vil en konsulentavtale være bedre egnet
Hva reguleres? 1. Alminnelige bestemmelser 2. Partenes overordnede ansvar 3. Etablering og gjennomføring av tjenesten 4. Vederlag og betalingsbetingelser 5. Varighet, avbestilling og avslutning 6. Informasjonssikkerhets- og personopplysningsvern 7. Eiendoms- og disposisjonsrett 8. Rekonstruksjon av data 9. Mislighold og sanksjoner 10. Force Majeure 11. Øvrige bestemmelser 12. Tvister
Tidslinje avtalens faser Etableringsfase Drift ogvedlikeholdsfase Leveringsdag
Utvalgte dypdykk
Utvalgte emner Partenes overordnede ansvar Etablering og gjennomføring av tjenesten Vederlagsbestemmelser Varighet og avbestilling Personopplysninger Rekonstruksjon av data Mislighold og sanksjoner
Partenes overordnede ansvar
Partenes overordnede ansvar Leverandøren har ansvar for at tjenesten som leveres er i henhold til avtalen Funksjoner, frister, tjenestenivå mv. Drift og vedlikehold av tjenesten er også inkludert Kunden skal bidra til å legge forholdene til rette for at Leverandøren skal oppfylle sine forpliktelser. Og betale
Ansvar for tredjepartsleveranser Problemstillingen: Tjenesten kan være satt sammen av ytelser fra tredjeparter Hvilket ansvar skal Leverandøren ha for tredjepartsytelsene? Standardapplikasjon - tredjepart Standardapplikasjon - tredjepart Standardapplikasjon - tredjepart Applikasjonslag - Leverandør Integrator - Leverandøren Standard driftsplattform - tredjepart
Ansvar for tredjepartsleveranser Tidligere regulering SSA-L 2017: Omtalte kun «standard lisensbetingelser» Medførte et betydelig «restansvar» for Leverandøren Problematisk for Leverandørene, som ofte er forpliktet til å «speile» vilkår fra tredjeparter ut mot Kunden Tilbakemelding: komplisert å forstå I den utstrekning standardprogramvare som er omfattet av tjenesten må leveres under standard lisensbetingelser og avtalevilkår (lisensbetingelser), skal dette være uttrykkelig angitt i et eget kapittel i bilag 2, og kopier av lisensbetingelsene skal være vedlagt som bilag 9. Lisensbetingelsenes bestemmelser om disposisjonsrett går foran denne avtalens betingelser om disposisjonsrett, med mindre annet eksplisitt fremgår av bilag 7. Leverandøren skal sikre at standardprogramvare tilbys under lisensbetingelser som er dekkende for de krav som Kunden i bilag 1 har stilt til tjenesten og dennes bruksområde, og denne avtalens bestemmelser om disposisjonsrett. I den utstrekning det er avvik mellom lisensbetingelsenes bestemmelser om disposisjonsrett og denne avtalens bestemmelser om disposisjonsrett, skal Leverandøren beskrive dette tydelig i bilag 2. Ved eventuelle rettsmangler er Leverandøren ikke erstatningsansvarlig for rettsmangler knyttet til standardprogramvare ut over 1) det som følger av lisensbetingelsene inntatt i bilag 9, og 2) for dekning av idømt erstatningsansvar overfor tredjepart (rettighetshaveren(e)). Tjenesten skal testes og godkjennes i henhold til denne avtalens bestemmelser om test og godkjenning (se punkt 2.2.2) uavhengig av hva som følger av programvarens lisensbetingelser. Leverandøren har ansvar for at Leverandørens ytelser oppfyller avtalte krav og beskrivelser i avtalen, uavhengig av hva som måtte følge av de enkelte lisensbetingelsene. Hvis feil i standardprogramvaren medfører at tjenesten avviker fra det som er avtalt i henhold til denne avtalen, herunder avtalte tjenestekrav, er det Leverandørens ansvar å avhjelpe feilen på en slik måte at tjenesten bringes i overensstemmelse med det som er avtalt, selv om slik standardprogramvare er underlagt lisensbetingelser med avvikende betingelser for feilretting. Avhjelp av feil i, eller feil som skyldes, standardprogramvare kan skje på enhver måte som bringer tjenesten i overensstemmelse med avtalens krav. Hvis Leverandøren dokumenterer at avvikene i tjenesten som nevnt i avsnittet over skyldes at standardprogramvare ikke opptrer i samsvar med programvareprodusentens spesifikasjoner, og at feilen krever tilgang til standardprogramvarens kildekode for å kunne rettes, er Leverandørens feilrettingsplikter begrenset til å melde feilen til programvareprodusenten, etter beste evne søke å få prioritet for retting av feilen, holde Kunden orientert om status for feilrettingen og gjøre rettet versjon tilgjengelig for Kunden når feilen i standardprogramvaren er rettet av programvareprodusenten. Slike feil i standardprogramvaren som nevnt i nest siste avsnitt regnes ikke med ved vurderingen av om godkjenningskriterier er oppfylt eller om tjenesten oppfyller tjenestenivået i bilag 4, med mindre Leverandøren har misligholdt sin plikt til å følge opp feilrettingen og gjøre feilrettingen tilgjengelig for Kunden.
Ansvar for tredjepartsleveranser ny regulering Vilkår for Kundens bruk av tredjepartsleveranser skal legges ved Vilkårene er bindende for Kunden Leverandøren skal overordnet beskrive hvilke forpliktelser vilkårene pålegger Kunden og hvilke ansvarsbegrensninger tredjepart forbeholder seg Leverandøren er ikke ansvarlig overfor Kunden for feil i tredjepartsleveranser som oppstår etter leveringsdag gjelder ikke dersom Leverandøren kunne eller burde ha begrenset omfanget og/eller konsekvensene av slike feil (kontrollansvar)
Ansvar for tredjepartsleveranser ny regulering Ved feil i tredjepartsleveranser plikter Leverandøren: å melde feilen til tredjepart, begrunne overfor Kunden hvorfor han ikke kunne eller burde ha begrenset omfanget og/eller konsekvensene av slike feil holde Kunden orientert om status for feilrettingen. Dersom avtalt funksjonalitet fjernes i tredjepartsleveranser, vil slikt tap av funksjonalitet kunne gi Kunden krav på prisavslag og/eller heving.
Etablering og gjennomføring av tjenesten
Etablering av tjenesten Normalt ikke behov for en etableringsfase (Bilag 3, Plan for etableringsfasen, trenger da ikke legges ved avtalen) Hovedsakelig nødvendig dersom Leverandøren skal foreta installasjoner, konfigurering, tilpasning og/eller integrasjoner Kunden mottar normalt kun en «leveransemelding» som inneholder innloggingsdetaljer
Etablering av tjeneste Godkjenningsprøve: ti virkedager Kunden kan som hovedregel underkjenne tjenesten dersom feilen er alvorlig eller kritisk for Kunden Feil i tredjepartsleveranser gir tilsvarende adgang til å underkjenne tjenesten som øvrige feil. Kunden kan alternativt godkjenne tjenesten med feil i tredjepartsleveranser. Kunden vil i et slikt tilfelle kunne ha krav på prisavslag.
Gjennomføring av leveransen Standardoppgraderinger og alminnelig vedlikehold av tjenesten inngår i vederlaget Ytterligere utvikling etter leveringsdag: innenfor rammene som beskrevet i bilag 1 og/eller 2 Partene skal bli enige om godkjenningskriterier og fremdriftsplan for slik utvikling Eventuelle særskilte krav til godkjenningsprøve for slik videreutvikling samt fremdriftsplanen for den denne, skal fremgå av bilag 1 og/eller 3 (med mindre partene velger å benytte egen avtale for gjennomføring av slik utvikling)
Vederlag
Vederlagsbestemmelser Avtaleteksten legger få føringer mtp. vederlag Vederlag og særreguleringer inntas i bilag 6 Skalerbarhet i uttak og tilknyttet betaling er et kjennetegn ved denne type tjenesteleveranser som er viktig å speile i prisbestemmelsene Kunden må i en anskaffelsesprosess sørge for at prisene oppgis i sammenliknbare formater i alle fall for evalueringsformål Leverandøren har prisrisikoen for tredjepartsleveranser
Varighet og avbestilling
Varighet og oppsigelse Dersom ikke annen varighet er avtalt, gjelder avtalen i tre år Avtalen fornyes deretter automatisk for ett år om gangen Avtalen kan sies opp Kunden med tre måneders varsel før fornyelsestidspunktet Leverandøren kan si opp avtalen med tolv måneders varsel før fornyelsestidspunktet
Avbestilling Kunden kan helt eller delvis avbestille tjenesten med 3 (tre) måneders skriftlig varsel mot et avbestillingsgebyr Leverandøren har ingen avbestillingsrett
Personopplysninger
Personopplysninger Leverandøren skal beskrive hvordan tilfredsstillende behandling i tråd med personopplysningsregelverket skal oppnås og gjennomføres Leverandøren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av personopplysninger Leverandøren skal dokumentere at informasjonssystemet og sikkerhetstiltakene er tilfredsstillende. Dersom Kunden ber om informasjon for å gjennomføre vurdering av personvernkonsekvenser («DPIA»), skal Leverandøren bistå med å fremskaffe slik informasjon.
Personopplysninger Dersom oppdraget går ut på å behandle personopplysninger på vegne av Kunden, skal partene inngå en databehandleravtale Dersom Kunden ikke har utarbeidet et utkast til databehandleravtale, skal Leverandøren legge ved et utkast som vedlegg til bilag 2 Databehandleravtalen har forrang ved eventuell motstrid med avtalens bestemmelser knyttet til behandling av personopplysninger
Rekonstruksjon av data
Rekonstruksjon av data I tilfelle av tap eller ødeleggelse av data, skal Leverandøren uten ugrunnet opphold gjenopprette disse og om nødvendig rekonstruere data. Dette gjelder ikke dersom tap av data skyldes feil i tredjepartsleveranser, med mindre Leverandøren kunne eller burde ha begrenset omfanget og/eller konsekvensene av slike feil. I den utstrekning tap eller ødeleggelse av data skyldes forhold som Leverandøren har ansvaret for, skal gjenoppretting og rekonstruering skje uten ytterligere vederlag.
Rekonstruksjon av data Leverandørens ansvar for kostnader er begrenset til å gjenopprette data fra siste sikkerhetskopi samt ansvar for merkostnader som påløper dersom Leverandøren ikke har tatt sikkerhetskopi. Kostnader knyttet til rekonstruksjon av data etter siste sikkerhetskopi kan for øvrig bare belastes Leverandøren hvis årsaken til at data har gått tapt er at Leverandøren har opptrådt uaktsomt
Rekonstruksjon av data Dersom det er umulig for Leverandøren alene å rekonstruere data, skal data rekonstrueres i samarbeid mellom partene, eller ved hjelp av tredjepart Dersom Kundens personale helt eller delvis forestår rekonstruksjonen, skal Leverandøren dekke direkte lønnskostnader og andre direkte kostnader som påløper, samt Kundens utlegg og andre direkte kostnader som følge av eventuelle tredjeparter som benyttes til arbeidet.
Rekonstruksjon av data I tilfelle av tap eller ødeleggelse av data som skyldes forhold på Kundens side, skal Kunden dekke Leverandørens dokumenterte merkostnader som slike forhold måtte medføre. Dette gjelder likevel ikke dersom rekonstrueringen blir vanskeligere eller mer tidkrevende som følge av at Leverandøren ikke har fulgt de rutiner for sikkerhetskopiering som er avtalt.
Mislighold og sanksjoner
Mislighold Det foreligger mislighold fra Leverandørens side dersom tjenesten ikke er i samsvar med de funksjoner, krav eller frister som er avtalt. Objektiv vurdering av avvik Det foreligger likevel ikke mislighold dersom situasjonen skyldes Kundens forhold eller force majeure, eller dersom forholdet omfattes av de ansvarsbegrensninger vedrørende tredjepartsleveranser
Sanksjoner Kunde Avhjelp Prisavslag Tilbakehold av betaling Dagbøter Økonomisk kompensasjon for brudd på tjenestenivå Leverandør Heving Erstatning
Nærmere om erstatning Kunden kan ved mislighold fra Leverandørens side, kreve erstattet ethvert direkte tap. Direkte tap omfatter: merkostnader Kunden får ved dekningskjøp, erstatningsansvar Kunden blir idømt som følge av rettsmangler Leverandøren hefter også for, tap som skyldes merarbeid og andre direkte kostnader i forbindelse med Leverandørens mislighold. Dagbøter og standardiserte økonomiske kompensasjoner kommer til fradrag i eventuell erstatning for samme forsinkelse/feil.
Nærmere om erstatning Kunden kan ikke kreve erstatning for indirekte tap. Indirekte tap omfatter: tapt fortjeneste av enhver art, tapte besparelser eller krav fra tredjeparter, herunder krav fra tredjepartsleverandør som følge av Kundens brudd på tredjepartsvilkår. Samlet erstatning Kunden kan kreve i avtaleperioden er begrenset til et beløp som tilsvarer vederlaget Kunden er fakturert de siste 12 månedene før reklamasjonsdato. Erstatningsbegrensningen gjelder imidlertid ikke dersom Leverandøren eller noen denne svarer for, har utvist grov uaktsomhet eller forsett eller ved erstatning for rettsmangler
Bilagene
Bilag Alle rubrikker skal være krysset av (ja eller nei) Ja Nei Bilag 1: Kundens kravspesifikasjon Bilag 2: Leverandørens beskrivelse av tjenesten Bilag 3: Plan for etableringsfasen Bilag 4: Tjenestenivå med standardiserte kompensasjoner Bilag 5: Administrative bestemmelser Bilag 6: Samlet pris og prisbestemmelser Oppdatert veiledningstekst utarbeidet til bilagene Bilag 7: Endringer i den generelle avtaleteksten Bilag 8: Endringer av avtalen etter avtaleinngåelsen Bilag 9: Vilkår for Kundens tilgang og bruk av tredjepartsleveranser Andre bilag:
Spørsmål/kommentarer?
Takk for oppmerksomheten! Charlotte Lindberg: charlotte.lindberg@difi.no Stian Oddbjørnsen: stian.oddbjornsen@kluge.no