Tredjepartsvilkår Charlotte Lindberg Difi
Tredjepartsleveranser Hva er tredjepartsleveranser? Leverandøren leverer hele eller deler av tjenesten via en underleverandør. Kunde Leverandør Underleverandør Leverandøren er bundet av de vilkår som de har med underleverandøren Utfordringen: Tjenesten Applikasjonslag kan være - satt sammen Leverandør av ytelser fra tredjeparter Hvilket ansvar skal Leverandøren tredjepart ha for tredjepartsytelsene? Standard driftsplattform - Standardapplikasjon - tredjepart og som legges til grunn for kundens bruk av tjenesten. Integrator - Leverandøren Standardapplikasjon - tredjepart Standardapplikasjon - tredjepart
Tredjepartsvilkår standardiserte vilkår Tredjepartsvilkår er ofte kjennetegnet ved at det er standardiserte vilkår som en kunde uten videre skal akseptere dersom man ønsker tjenesten De er bindende for kunden Leverandøren som du har avtale med har oftest et veldig begrenset ansvar i forhold til Vilkårene er gjerne på hundrevis av godt gjennomtygget juss, som tvetydig og uklar Men faktisk så må de leses. Og faktisk kan noen vilkår forhandles på
Utfordringer Fasiliteter og overføring I forbindelse med tjenesten kan leverandøren overføre, lagre og behandle kundedata i USA eller alle andre land der leverandøren eller dennes representanter har fasiliteter Ved å bruke tjenesten samtykker du til dette Kunden kan velge hvor visse data skal lagres, hvis det er en del de tjeneste spesifikke betingelser Når er det da en del av de tjeneste spesifikke betingelser? Risiko BRUDD PÅ GDPR
Utfordringer Underleverandørens leverandører Hvordan bruker leverandøren underleverandører og hvilke tjenester får de levert fra underleverandøren? F.eks. Datasentre, hvor ytes teknisk bistand fra, og hvem er egentlig programvareleverandøren? Tredjeparts komponenter kan være gjenstand for separate avtaler. Disse avtaler kan trumfe de vilkår du har inngått avtale på. Hvilke betingelser gjelder? Risiko: Brudd på GDPR, etiske krav og eventuelt manglende etterlevelse av kravene til ISO sertifisering Vemmelige bøter fra datatilsynet
Utfordringer 2. Underleverandørens rett til å gjøre endringer i tjenesten.her er det flere muligheter: Leverandøren kan gjøre kommersielt ansvarlige endringer i tjenesten. Ved vesentlige endringer varsles kunden Du bli varslet dersom du har meldt deg på å få tilsendt slike oppdateringer Leverandøren kan gjøre nye programmer, funksjonalitet eller funksjoner tilgjengelig. Det kan henne at kunden da må godta tilleggsvilkår Leverandøren kan endre eller stoppe tjenesten fra tid til annen. Du får 12 måneders varsel. Leverandøren kan gjøre endringer til avtalen fra tid til annen. Slike endringer blir satt i kraft 30 dager etter varsel med mindre det er tale om ny funksjonalitet. Da treder det i kraft umiddelbart. I noen tilfeller fremgår det av vilkårene at dette varsles med X antall ukers frist I andre tilfeller kan kunden slutte å bruke løsningen. (åpning for dette i SSA-L mht. hevning) Og så er det den hvor underleverandøren ensidig kan definere tjenesten når og hvordan det passer dem Risiko: Du plutselig står uten virksomhetskritiske systemer Tjenesten har endret så mye karakter og omdefineres slik at kostnaden plutselig øker
Utfordringer Sikkerhet og sertifiseringer Reasonable and appropriate security. Hva betyr det egentlig? Leverandøren må kunne dokumentere at både denne og eventuelle underleverandører har etterspurte sertifiseringer og overholder de krav til sikkerhet som du hat stilt
Utfordringer Skadesløsholdelse Ansvarsfraskrivelse Garantifraskrivelse Verneting og gjeldende lov DET ER MANGE TING Å TENKE PÅ HER
Du må vite hva du gjør
Spørsmål vi må stille oss når vi går i «skyen» Skyene kan være både norske og internasjonale Har vi nødvendig kompetanse for å forstå risikoen? Hvordan fordeles reelt sett ansvaret mellom kunde og leverandør? Hvordan reguleres tjenesten funksjonalitet og vilkår hva er konsekvensene? Har vi kontroll på leverandørkjeden? Finnes «back to back» av våre krav i avtalene med underleverandøren? Tar selskapene og deres underleverandører på seg å oppfylle relevant norske lovkrav? Eller i alle fall EU/EØS krav Hva sier egentlig avtalen om tredjepartenes tredjeparter? Hvilke ansvarsbegrensninger inneholder avtalen? Hva sier avtalen om lovvalg og verneting? Verdien av selve databehandleravtalen?