Hva må være med i kontrakter for skytjenester?

Skytjenester, dvs. tjenester levert over internett, har nådd et modningsnivå som gjør tjenestene stadig mer aktuelle for flere virksomheter. Men kontraktsvilkårene for skytjenester er ikke like fleksible som tjenestene de regulerer. Vilkårene er som regel komplekse, omfattende og kundenes behov er i liten grad hensyntatt. Kundene kan også i liten grad endre vilkårene, siden de skal gjelde for et stort antall kunder. Vilkårene kan derfor medføre høy risiko for kunder som anskaffer skytjenester, og kan i enkelte tilfelle kan være så urimelige at kundene bør avstå fra å anskaffe skytjenesten. Før man kjøper skytjenester, må derfor vilkårene vurderes nøye. Her er noen av det man må spesielt være påpasselig med når man inngår avtale med leverandør av skytjenester.

Skytjenester. Skytjenester skiller fra mer tradisjonelle it-tjenester ved at skytjenester er tilgjengelig over internett. Tjenestene karakteriseres også ved at de som regel er enkelt tilgjengelig, tjenestene leveres og kan skaleres etter kundens behov (som regel av kunden selv), kunden betaler kun for den aktuelle bruken av tjenestene mv. Utvalget av skytjenester har også utviklet seg mye de siste årene, og i tillegg til de tradisjonelle skytejenestene som Software as a Service (SaaS), Platform as a Serivce (PaaS) og Infrastructure as a Serivice (IaaS) så vokser stadig aaS-familien med nye tilskudd.

Standardiserte tjenester og kontraktsvilkår. Skytjenester er i stor grad standardiserte, og tilpasses ikke til kundens behov. Derfor er også kontraktsvilkårene fra leverandørene av skytjenester i stor grad standardiserte, og leverandørene aksepterer stort sett ikke at det gjøres endringer i vilkårene. Det er imidlertid mulig å få til endringer i vilkårene til enkelte leverandører av skytjenester, men da bør de viktige forholdene prioriteres, og argumentasjonen må være klar og god.

Kontraktsvilkårenes betydning. Vilkårene for skytjenester har utviklet seg en del de siste årene, men det er fremdeles forhold som er feil, mangelfullt eller ikke regulert i vilkårene. Enkelte forhold ved vilkårene vil være så kritiske at de kan være avgjørende om man skal anskaffe skytjenesten eller ikke, eller om man skal velge å anskaffe tjeneste fra en leverandør med bedre vilkår. Vilkårene er også som regel meget omfattende (som vilkårene for Amazon Web Services er et eksempel på), og det er krevende å gå gjennom vilkårene for skytjenester. Man bør allikevel gå gjennom vilkårene siden disse kan være helt avgjørende for bruken av tjenestene.

Regulering av personvern. Skal det behandles personopplysninger i skytjenesten, vil vilkårene om personvern være avgjørende for om kunden overholder personvernreglene ved å anskaffe tjenesten. Som behandlingsansvarlig må kunden påse at bruk av skytjenestene understøtter kravene personvernregelverket stiller til behandling av personopplysninger og ikke forhindrer å etterleve reglene. Skytjenester leveres ofte fra land utenfor EU/EØS, og dette vil stille ekstra krav til grunnlag for overføring av personopplysningene til skytjenesteleverandøren. (Det har vært sagt at man ikke vet hvor skytjenestene leveres fra geografisk, men det stemmer ikke. Skyen er bare en løsning på datamaskiner som er fysisk lokalisert. Kan ikke leverandøren opplyse om hvor dataene er lagret, så vil det være diskvalifiserende for leverandøren i seg selv.)

Databehandleravtale. En skyleverandør vil være å anse som en databehandler for kunden etter personopplysningsloven, som innebærer at skyleverandøren kun behandler personopplysninger etter instruksjoner fra kunden (som er behandlingsansvarlig). Kontrakten med skyleverandøren må derfor være dekkende for kravene til databehandleravtale, se nærmere om kravene her. Det kan enten inngås en egen databehandleravtale, eller så må vilkårene til skyleverandørene være dekkende for kravene som stilles til databehandleravtale. Det vil kunne være en utfordring å få leverandøren (som databehandler) til å aksepterer alle kravene som settes til databehandleravtaler, og da spesielt etter de nye reglene i personvernforordningen (GDPR) og ny personopplysningslov. Men de seriøse leverandører av skytjenester vil trolig (etterhvert) endre sine avtalevilkår til å være i overensstemmelse med de nye reglene. Ellers bør kundene velge en europeisk leverandør som overholder vilkårene, for det er kunden som er ansvarlig dersom databehandleravtalen ikke i overensstemmelse med kravene i loven.

Behandle innenfor formål og instruksjon. Man må være spesielt påpasselig med at det fremgår av vilkårene at skyleverandøren ikke skal kunne behandle personopplysningene til annet enn å yte tjenester til kunden og kun innenfor kundens instruksjoner. Skyleverandøren kan ikke bruke personopplysningene til eget formål, selv om opplysningene anonymiseres eller pseudonymiseres. I vilkårene til enkelte skytjenester forbeholder leverandøren seg retten til å bruke kundens data til å utvikle egne tjenester, og dette vil ikke være akseptabelt dersom det ikke er klart hvordan opplysningene skal kunne benyttes.

Krav til informasjonssikkerhet. Etter personopplysningsloven (både den gamle og den nye) og personvernforordningen (GDPR) har databehandler en direkte plikt etter lovverket å sørge for at personopplysninger er tilstrekkelig sikret (omtales også som krav til informasjonssikkerhet). Det bør fremkomme klart av vilkårene til leverandøren at denne skal overholde de lovmessige krav til informasjonssikkerhet uten forbehold. Har leverandøren tatt forbehold om at tjenestene skal ytes med det informasjonsikkerhetsnivå denne velger eller det som er kommersielt lønnsomt for leverandøren, er det ikke tilstrekkelig etter regelverket. Det er kunden som er behandlingsansvarlig, og som har ansvaret for at det benyttes leverandører som overholder kravene til informasjonssikkerhet (selv om leverandøren også har et direkte ansvar etter regelverket). Kunden må gjennomføre en risikoanalyse før det overføres personopplysninger til en skyleverandør, og i denne risikoanalysen vil leverandørens informasjonssikkerhet være et avgjørende element.

Avtaleperiode og oppsigelse. Det må være anledning til å si opp tjenesten for kunden, hvilket bør være unødvendig å presisere, men det er tjenester som i sterk grad begrenser retten til å si opp tjenesten for kunden. Noe som er spesielt for skytjenester er at leverandøren også har en rett til å si opp tjenester, siden tjenestene kan være løpende uten en fast avtaleperiode. Ofte er også oppsigelsesperioden for leverandøren kort som gir kunden lite tid til å områ seg, men dette er noe som kunden kan få endret hos en del leverandører.

Rettigheter til og utlevering av data. Det må ikke være noen uklarhet i vilkårene om at dataene tilhører kunden og at kunden har alle rettigheter til dataene. Uklarheter om rettigheter til dataene, spesielt personopplysninger, kan føre til problemer med utlevering av data, spesielt når tjenesten avsluttes. Det kan også skape problemer med adskillelse (segregering) av data for å sikre at kundens data ikke sammenblandes med andre kunders data. Når tjenesten skal avsluttes, må det også være klart at kunden skal få utlevert sine data i et format som gjør at kunden kan nyttiggjøre seg dataene videre.

Innsyn og revisjon. Kunder vil ofte ha behov for å gjennomgå leverandørenes løsninger ved å gjøre innsyn i løsninger eller foretas revisjoner. Dette er også et krav etter regelverket for enkelte type data, som personopplysninger (se personvernordningens artikkel 28 nr. 3, h), eller for spesielle bransjer og virksomheter, som finansforetak. Å gi kunder eller deres representanter tilgang til systemer og datasentre er noe som er svært vanskelig for skyleverandører, spesielt siden de håndterer et stort antall kunder, og det å akseptere inspeksjoner vil være en sikkerhetsutfordring i seg selv. Derfor sørger enkelte skyleverandører å få gjennomført revisjon ved tredjepart (som revisorselskaper), og gi kundene tilgang til rapporter (som ISAE 3402-rapporter) fra slike revisjoner. Dette kan være en akseptabel løsning for kunden, men kunden må da verifisere om revisjonen er gjennomført på en dekkende måte og at rapporten gir en dekkende beskrivelse av tilstanden hos leverandøren. Kunden må være spesielt påpasselig med at revisjon dekker alle relevante deler av leverandørens virksomhet for kunden.

Bruk av underleverandør. Skyleverandørens bruk av underleverandør bør kreve at underleverandøren oppfyller alle krav som er pålagt leverandøren. Kunden vil ikke ha noen avtale med underlevarandører, så kunden må basere seg på de krav som leverandøren stiller til underleverandører. Kundens eneste kontroll på underleverandører er gjennom leverandøren, og da den avtalen kunden har med leverandøren. Kunden må derfor sikre seg at kravene til leverandøren skal videreføres til underleverandører (såkalt “flow-down” av kontraktsvilkår), og at leverandøren ikke kan benytte seg av underleverandører uten at de påtar seg disse vilkårene. Å regulere at kunden skal godkjenne underleverandører vil normalt være noe skyleverandører ikke kan akseptere, siden de vil ha et stort antall underleverandører som vil kunne byttes ut eller endres ved behov. Merk at det er egne krav til bruk av underleverandør ved behandling av personopplysninger (underdatabehandler), og en varslingsplikt for leverandøren dersom det byttes underleverandører, se personvernforordningen artikkel 28 nr. 2.

Erstatning ved tap av data. Skyleverandører tar som regel ikke ansvar for tap eller kostnader som kunden påføres, herunder for tap av data. Om leverandøren tar ansvar, er det som regel begrenset til de siste måneders vederlag som kunden har betalt. Å forsøke å få en skyleverandør til å ta ansvar for kundens tap og kostnader, vil som regel være fånyttes siden leverandørens ansvar blir meget stort dersom alle kundene skulle kreve sitt tap eller kostnader dekket. Kunden må derfor selv sørge for at dataene er sikret, som ved å sørge for sikkerhetskopiering selv, eller sørge for redundante systemer eller forsikre seg mot tap eller kostnader.

Tjenestenivå (SLA). Skytjenester har som regel meget god tilgjengelig, men det kan være at tjenestene ikke er tilgjengelig over en periode. Som regel vil kunden ha liten eller ingen mulighet til å kreve prisavslag eller bøter for manglende tilgjengelig eller kvalitet for skytjenester. I enkelte avtaler tar også leverandøren forbehold om å kunne endre tjenestenivået, eventuelt med varsel til kunden, hvilket kan endre forutsetningene for tjenesten for kunden. Kunden bør i slike tilfelle forsøke å få inn i vilkårene at denne kan si opp tjenestene dersom endringene i vilkårene ikke er akseptable, om da kunden ikke allerede har en god oppsigelsesrett, se ovenfor.

Skadesløsholdelse av skyleverandøren. Selv om kunden ikke kan rette krav mot skyleverandører, vil skyleverandørene ofte kreve at kunden skal holde skyleverandøren skadesløs (dvs. dekke alt tap og kostnader som skyleverandøren påføres) for bl.a. ulovlig eller skadelig data som kunden legger inn i løsningen. Å påta seg slikt ansvar og risiko vil ofte være problematisk for kunden, men dette er vilkår som kan være vanskelig for kunden å få endret (spesielt overfor leverandører i USA). Et slikt ansvar kan imidlertid være så omfattende og risikabelt at man bør kanskje vurdere en annen leverandør som ikke stiller slike krav.

Endringer av vilkårene. Som regel tar skyleverandørene inn forbehold om at denne skal kunne endre vilkårene for tjenesten ensidig. Som nevnt for tjenestenivå ovenfor, bør kunden søke å få regulert i vilkårene at denne skal kunne si opp tjenesten ved endringer som ikke er akseptable, om ikke kunden allerede har en god oppsigelsesrett, se ovenfor.

Lovvalg og tvisteløsning. Skyleverandører har i stor utstrekning internasjonal virksomhet, og vil som regel inngå avtaler etter lovreglene hvor de har hovedvirksomhet. Dette er vilkår som vil være vanskelig å endre, men enkelte leverandører aksepterer endringer på hvilket lands lovregler som skal gjelde for avtalen til en viss grad. De store leverandørene som Google og Microsoft aksepterer som regel at lovreglene i det land kunden er lokalisert skal aksepteres. Hvor tvister skal løses, som hvilke lands domstoler som skal avgjøre tvister mellom partene, følger som regel det lands lovregler som er avtalt. Men merk at dersom det avtales f.eks. at lovregler i en delstat i USA skal gjelde og at tvister skal løses i denne staten, så vil søksmål i praksis være så godt som avskåret for kunden, siden kostnadene med å reise sak vil være meget omfattende. Dette er hensyn som bør tas med i betraktning ved valg av skyleverandør.

* * * *

Ovennevnte er et utvalg av hva man må være spesielt påpasselig med i vilkårene for skytjenester, men det kan også være bestemmelser i vilkårene som er spesielt inngripende overfor kunden. Ved anskaffelse av skytjenester bør man derfor gjennomgå vilkårene nøye for å avdekke om det er regulering som vil ha stor betydning for tjenestene som skal anskaffes. I enkelte tilfelle kan reguleringen være så inngripende at det kan medføre at anskaffelse av tjenesten ikke er aktuell, og alternative tjenester bør heller vurderes.

Om forfatteren

Jan Sandtrø er advokat som bistår klienter i forholdet mellom juss og teknologi. Han har lang erfaring med teknologirett, herunder it-kontrakter og personvern. Jan Sandtrø kan kontaktes på jan@sandtro.no eller +4799731934.

Bruk gjerne artikkelen eller innhold i denne videre, men kun med henvisning til artikkelforfatteren (gjerne link til sandtro.no).

For å få oppdateringer abonner på varsler i menyen til venstre eller på LinkedIn ved å klikke her, og velg “Følg”.

Legg inn en kommentar