Presentasjon avtale om løpende tjenestekjøp (SSA-L) Charlotte Lindberg, seniorrådgiver Difi
Hva skal vi snakke om i dag? Overordnet gjennomgang av SSA-L Utvalgte temaer
Overordnet om SSA-L 2018
Hva kjennetegner SSA-L? Avtalen ble lagd med henblikk på standardiserte skytjenester Plug and play løsninger Minimum av tilvirkning, utvikling og tilpasning Enkelte integrasjoner Leveranser i høy grad basert på underleverandørens standard vilkår tredjepartsvilkår Spesifisering av tjenesten ligger i høy grad på bilagene Etablering regulert i bilag 3. partsvilkår i bilag Avtalen ble sist revidert i 2017/18 Avtalen skal revideres på nytt i 2019/2020 MERK: SSA-L er ikke neste avtale som kan/skal brukes ved skytjenester generelt avhenger av leveransens art og omfang Begrunnelsen for å lage avtalen var et stort behov for standardreguleringer på dette området
Når passer SSA-L? Enkel implementering og etablering av tjenesten Ved enkelte løpende drifts- og vedlikeholdstjenester knyttet til standardiserte systemer og/eller enkle applikasjoner Microsoft 365
Når passer SSA-L ikke? Ved kompliserte driftstjenester knyttet til systemer og/eller flere applikasjoner vil SSA-D være bedre egnet Utviklingsprosjekter eller større tilpasninger vil SSA- T eller konsulentavtaler være mer egnet Der Kunden har behov for en samarbeidspartner til IT-portefølje-/applikasjonsforvaltning og/eller optimalisering av de skytjenester Kunden allerede har tilgang til, vil en konsulentavtale være bedre egnet Integratortjenester
Tidslinje avtalens faser Etableringsfase Leveringsdag Drifts- og vedlikeholdsfase
Utvalgte temaer
Partenes overordnede ansvar Etablering og gjennomføring av tjenesten Vederlagsbestemmelser Varighet og avbestilling Personopplysninger Rekonstruksjon av data Mislighold og sanksjoner
Partenes overordnede ansvar Leverandøren har ansvar for at tjenesten som leveres er i henhold til avtalen Plikt til å påpeke åpenbare feil og uklarheter i bilag 1 Funksjoner (bilag 1 og 2) Frister (bilag 3) Tjenestenivå (bilag 4) Drift og vedlikehold av tjenesten er også inkludert i vederlaget Tredjepartsleveranser Mer spennende info på neste slide Kunden skal bidra til å legge forholdene til rette for at Leverandøren skal oppfylle sine forpliktelser
Tredjepartsleveranser Hva er tredjepartsleveranser? Leverandøren leverer hele eller deler av tjenesten via en underleverandør. Kunde Leverandør Underleverandør Leverandøren er bundet Vi kommer nærmere inn på av de vilkår som de har dette under tredjepartsvilkår med underleverandøren og som legges til grunn senere.. for kundens bruk av tjenesten. Integrator - Leverandøren Utfordringen: Tjenesten Applikasjonslag kan være - satt sammen Leverandør av ytelser fra tredjeparter Hvilket ansvar skal Leverandøren tredjepart ha for tredjepartsytelsene? Standard driftsplattform - Standardapplikasjon - tredjepart Standardapplikasjon - tredjepart Standardapplikasjon - tredjepart
Tredjepartsleveranser Etableringsfase Leveringsdag Drifts- og vedlikeholdsfase Hva er leverandøren ansvarlig for? Skal legge ved kopi av vilkårene for kundens tilgang og bruk av 3.partsleveransen Beskrive hvilke forpliktelser vilkårene pålegger kunden og hvilke ansvarsbegrensninger tredjepart forbeholder seg Hva er leverandøren ikke ansvarlig for? Feil i tredjepartsleveransen som oppstår etter leveringsdag. Det betyr: Kunden ikke kan påberope seg manglende oppfyllelse av kvalitetskrav. For eksempel. Tjenestenivå, tap eller ødeleggelse av data
Tredjepartsleveranser - Feil Leverandørens plikter Konsekvenser ved feil eller mangler Melde feilen til 3.part Begrunne hvorfor han ikke kunne eller burde ha begrenset omfanget og/eller konsekvensene av feilene Kan eller burde leverandøren ha begrenset omfang eller konsekvenser av feilene kan han ikke påberope seg ansvarsfrihet Holde kunden orientert om status for feilretting Er leverandøren ansvarlig for installasjon av 3.parts leveranser, skal leverandøren teste at de fungerer etter feilretting Kunden har krav på prisavslag Eller heving Du kan risikere å stå enten uten tjeneste eller i beste fall en mangelfull tjeneste som kun delvis oppfyller dine krav til funksjonalitet
Etablering og gjennomføring Kap. 3 En etableringsfase er behovsdefinert og ellers ikke regulert.så hva står egentlig i SSA-L? Der det er behov for en etableringsfase, skal Leverandøren i samarbeid med kunden, utarbeide en plan for denne. Planen skal omfatte beskrivelse av roller og ansvar, samt fremdriftsplan. I den grad det er avtalt installasjon, konfigurering, tilpasning og/eller integrasjoner skal fremdriftsplan og rollefordeling for dette også inngå i planen. Normalt ikke behov for en etableringsfase (Bilag 3, Plan for etableringsfasen, trenger da ikke legges ved avtalen) Kunden mottar normalt kun en «leveransemelding» som inneholder innloggingsdetaljer Nødvendig dersom Leverandøren skal foreta installasjoner, konfigurering, tilpasning og/eller integrasjoner
Etablering og gjennomføring Kap. 3 fortsatt Men ofte vet kunden ikke helt omfanget av en eventuell etablering, derfor: Sørg for at alle systemer som tjenesten skal integreres med er godt beskrevet så ingen går på ubehagelige overraskelser Sørg for at det tydelig fremgår hvilken type opplysninger som skal behandles og hvilke krav du stiller til informasjonssikkerhet og behandling av personopplysninger Still krav om at leverandøren skal beskrive en plan for etableringsfasen med roller, ansvar og fremdrift dersom det er nødvendig Og ikke minst. Leverandøren må prise dette i prisbilaget!!!!!
Etablering av tjeneste Etablering og gjennomføring Kap. 3 fortsatt Godkjenningsprøve: ti virkedager fra leveringsmelding Kunden kan som hovedregel underkjenne tjenesten dersom feilen er alvorlig eller kritisk for Kunden Feil i tredjepartsleveranser gir tilsvarende adgang til å underkjenne tjenesten som øvrige feil. Kunden kan alternativt godkjenne tjenesten med feil i tredjepartsleveranser. Kunden vil i et slikt tilfelle kunne ha krav på prisavslag. Det står ingenting om utbedring av de feil som ligger igjen, selv etter godkjenning
Oppgradering/vedlikehold av tjenesten etter leveringsdag Standardoppgraderinger og alminnelig vedlikehold av tjenesten inngår i vederlaget. Bilag 6 er prisbilaget. Sett opp en modell som synliggjøre alle kostnader, også ved opp- og nedskalering Leverandøren er ansvarlig for å teste og foreta standard oppgraderinger i tjenesten som er nødvendig for å oppfylle avtale krav. Avtalen regulerer ikke slik testing, så eventuelle krav må stilles i bilag 1. Leverandøren er også ansvarlig for å teste tjenesten dersom leverandøren må gjøre endringer i konfigurasjoner og tilpasninger/integrasjoner som følge av standardoppgraderinger som skjer i tredjepartsleveranser Slik testing er heller ikke regulert.
Ytterligere utvikling etter leveringsdag Kunden kan bestille videreutvikling av tjenesten innenfor rammene av bilag 1 og 2. Dvs. du må ha spesifisert dette i bilag Videreutvikling betales etter medgått tid Dvs. du betaler timepris med mindre du avtaler en annen betalingsmodell. Husk å be om timepriser i bilag 6!!! Partene skal bli enige om fremdriftsplan og godkjenningskriterier for slik utvikling Eventuelle særskilte krav til godkjenningsprøve for slik videreutvikling samt fremdriftsplanen for den denne, skal fremgå av bilag 1 og/eller 3 Dvs. du må ta stilling til godkjenningsprøve og fremdriftsplan eller i hvert fall ha en plan for hvordan dette skal gjøres allerede fra kontraktsinngåelse. (med mindre partene velger å benytte egen avtale for gjennomføring av slik utvikling)
Vederlagsbestemmelser Avtaleteksten legger få føringer mtp. vederlag Vederlag og særreguleringer inntas i bilag 6 Skalerbarhet i uttak og tilknyttet betaling er et kjennetegn ved denne type tjenesteleveranser som er viktig å speile i prisbestemmelsene Kunden må i en anskaffelsesprosess sørge for at prisene oppgis i sammenliknbare formater i alle fall for evalueringsformål Leverandøren har prisrisikoen for tredjepartsleveranser
Varighet og oppsigelse Dersom ikke annen varighet er avtalt, gjelder avtalen i tre år Avtalen fornyes deretter automatisk for ett år om gangen Avtalen kan sies opp Kunden med tre måneders varsel før fornyelsestidspunktet Leverandøren kan si opp avtalen med tolv måneders varsel før fornyelsestidspunktet
Avbestilling Kunden kan helt eller delvis avbestille tjenesten med 3 (tre) måneders skriftlig varsel mot et avbestillingsgebyr Leverandøren har ingen avbestillingsrett
Informasjonssikkerhet kap. 6 Leverandøren skal iverksette forholdsmessige tiltak for å ivareta krav til informasjonssikkerhet i forbindelse med tjenesten Sikre konfidensialitet av kundens data Sikre at kundens data ikke kommer på aveie Sikre tiltak mot utilsiktet endring, sletting, mot angrep av virus og annen skadevoldende programvare Plikter å holde kundens data adskilt fra tredjeparters data Påse at leverandører av tredjepartsleveranser foretar tilstrekkelig og nødvendig sikring av kundens data Kunden bør stille nærmere krav i bilag 1 basert på risikovurderingen
Personopplysninger Leverandøren skal beskrive hvordan tilfredsstillende behandling i tråd med personopplysningsregelverket skal oppnås og gjennomføres. Dette gjelder faktisk uansett om kunden har stilt krav om det. Leverandøren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av personopplysninger Leverandøren skal dokumentere at informasjonssystemet og sikkerhetstiltakene er tilfredsstillende. Dersom Kunden ber om informasjon for å gjennomføre vurdering av personvernkonsekvenser («DPIA»), skal Leverandøren bistå med å fremskaffe slik informasjon.
Personopplysninger Dersom oppdraget går ut på å behandle personopplysninger på vegne av Kunden, skal partene inngå en databehandleravtale Dersom Kunden ikke har utarbeidet et utkast til databehandleravtale, skal Leverandøren legge ved et utkast som vedlegg til bilag 2 Databehandleravtalen har forrang ved eventuell motstrid med avtalens bestemmelser knyttet til behandling av personopplysninger
Mislighold Det foreligger mislighold fra Leverandørens side dersom tjenesten ikke er i samsvar med de funksjoner, krav eller frister som er avtalt. Objektiv vurdering av avvik Det foreligger likevel ikke mislighold dersom situasjonen skyldes Kundens forhold eller force majeure, eller dersom forholdet omfattes av de ansvarsbegrensninger vedrørende tredjepartsleveranser
Sanksjoner Kunde Avhjelp Prisavslag Tilbakehold av betaling Dagbøter Økonomisk kompensasjon for brudd på tjenestenivå Leverandør Heving Erstatning
Rekonstruksjon av data I tilfelle av tap eller ødeleggelse av data, skal Leverandøren uten ugrunnet opphold gjenopprette disse og om nødvendig rekonstruere data. Dette gjelder ikke dersom tap av data skyldes feil i tredjepartsleveranser, med mindre Leverandøren kunne eller burde ha begrenset omfanget og/eller konsekvensene av slike feil. I den utstrekning tap eller ødeleggelse av data skyldes forhold som Leverandøren har ansvaret for, skal gjenoppretting og rekonstruering skje uten ytterligere vederlag.