Direktoratet for forvaltning og IKT (Difi) har kommet med ny versjon (versjon 2.0) av avtale om løpende tjenestekjøp, populært kalt SSA-L. Dette er en avtale for tjenester, og spesielt standardiserte skytjenester («as-a-service»). Den nye versjonen inneholder noen justeringer fra forrige versjon, men er det tilstrekkelig for å gjøre dette til en godt fungerende avtale for skytjenester for kunder og leverandører?
I følge Difi egner SSA-L seg «til kjøp av standardiserte skytjenester («as-a-service» leveranser)». Tjenestene under avtalen omfatter drift og vedlikehold, og kan også omfatte installasjon, konfigurering, tilpasning og/eller integrasjoner hvis dette avtales i bilagene til avtalen.
Forholdet til underleverandører (tredjepartsleverandører)
I denne versjonen av SSA-L har leverandøren et noe mindre ansvar for tredjepartsleveranser, enn etter tidligere versjon av avtalen. Leverandøren er i denne versjonen av standardavtalen ikke ansvarlig for feil i leveranser fra tredjeparter (som skyleverandører), men har et ansvar dersom tredjepartsleveransene har eller får mangler i funksjonalitet mot det som det er avtalt skal leveres av funksjonalitet. Men avtalen er ikke tilstrekkelig godt regulert for å sikre at leverandøren får god ryggdekning («back-to-back») mot underleverandører (tredjepartsleverandører som skytjenesteleverandører), og heller ikke tilstrekkelig regulert for at kunden har mulighet til å fremme sine krav mot tredjepartsleverandører. I stedet så fungerer leverandøren som en brannmur mot tredjepartsleverandørene, og det er kunden som tar risikoen og ansvaret. Ikke helt ventet i avtaler som tradisjonelt har vært kundevennlige, og ikke helt nødvendig heller siden dette kan være en regulering leverandører kunne stort sett ha akseptert.
Det savnes regulering om at kunden skal kunne enten fremme krav direkte mot tredjepartsleverandørene eller inngå avtale direkte med skyleverandører. Sistnevnte kan skape utfordringer ved offentlige anskaffelser, men er ganske benyttes ofte i leveranser overfor private kunder, siden kunden da er sikret å kunne fortsette leveransen selv om avtalen med leverandøren opphører. At ikke det er regulert at kunden skal ha anledning til å fremme krav mot tredjepartsleverandørene (enten direkte der avtalen med tredjepartsleverandøren tillater dette, eller via leverandøren) er vanskeligere å forstå. I stedet er følger det av avtalen at kunden ikke kan «påberope seg manglende oppfyllelse av avtalte kvalitetskrav etter leveringsdag, herunder krav til tjenestenivå, dersom dette skyldes feil i tredjepartsleveranse». Her burde det vært åpnet for at kunden kan påberope seg slik manglende oppfyllelse mot tredjepartsleverandøren enten direkte (hvis det er anledning) eller via leverandøren. Men dette kan da endres i avtalens endringsbilag, som er en mulighet de fleste kunder bør benytte seg av (og de fleste leverandører trolig vil akseptere).
Det legges enkelte omfattende plikter på leverandøren i avtalen, som at leverandøren skal beskrive «hvilke forpliktelser vilkårene» for tredjepartsleveranser pålegger kunden, samt «hvilke ansvarsbegrensninger tredjepart forbeholder seg». Det er ikke en liten oppgave dersom leveransen omfatter f.eks. skytjenester fra Amazon Web Services.
Leverandøren vil ha et omfattende ansvar for bruk av tredjepartsleverandører, selv om det ansvaret er redusert en del i denne nye versjonen av SSA-L. Slikt ansvar vil bl.a. være at tredjepartsleverandørene kan endre tjenestene (som kan gi kunden oppsigelsesrett etter avtalen) eller si opp tjenesten (som vil sette leverandøren i en vanskelig situasjon). Skyleverandører kan også endre vilkårene sine med kort varsel, vil også kunne skape utfordringer for partene (også kunden) ved bruk av SSA-L siden dette forholdet ikke er regulert.
Enkelte plikter som leverandøren pålegges etter SSA-L vil også vanskelig kunne videreføres til tredjepartsleverandører, spesielt skyleverandører, som f.eks. pliktene for leverandøren til å bistå til overføring av kundens data ved opphør av avtalen, hvis ikke skyleverandørene allerede har tilrettelagt for overføring i sine tjenester og vilkår. Siden dette er regulert i selve avtaleteksten, vil dette kravet går foran det som måtte stå i vilkårene til tredjepartsleverandører, og forbehold må da tas inn i endringsbilaget.
Leverandøren vil også måtte stå for likviditetsrisikoen for tredjepartsleverandørene, bl.a. siden betalingsfristen for kunden på 30 dager harmonerer i liten grad med skyleverandørenes betalingsvilkår (normalt krever skyleverandører betalt på forskudd). Også ved opphør av avtalen vil vilkårene med skyleverandører kunne være dårlig synkronisert med avslutningen av avtalen med kunden, noe som kan medføre vederlagsrisiko for leverandøren. Avtalen kan derfor medføre likviditetsutfordringer for leverandøren, ved at leverandøren må betale tredjepartsleverandører i situasjoner hvor tilsvarende betaling ikke kommer fra kunden (som ved få sanksjoner ved betalingsmislighold og at kunden kan tilbakeholde betaling ved opphør av avtalen). I avtaler med tjenesteleveranser i stor omfang fra underleverandører, vil dette kunne gi vanskelige situasjoner for leverandøren.
Endringer som ikke er gjort
Ellers inneholder denne versjonen av SSA-L en del av «kjenningene» fra tidligere SSA-avtaler som vi kanskje hadde håpet var endret nå, som at:
- Kunden kan anmode om endringer (altså ingen rett til å kreve endringer under visse vilkår, som gir en uforutsigbar situasjon for både kunde og leverandør – hva skjer om kunden anmoder og leverandøren avslår anmodningen?).
- Leverandøren har plikt til å rekonstruere data dersom de ikke lar seg gjenopprette i tilfelle tap eller ødeleggelse av data (dette kan medføre ekstreme kostnader for leverandøren).
I bestemmelsen om lønns- og arbeidsforhold er det tatt inn en bestemmelse som trolig er umulig å oppfylle ved at alle avtaler som leverandøren inngår (bl.a. med underleverandører) som «innebærer arbeid som direkte medvirker til å oppfylle Leverandørens forpliktelser under» avtalen skal inneholde tilsvarende betingelser som kravet til allmenngjort eller landsomfattende tariffavtale. Det vil nok være vanskelig å få Amazon, Google eller Microsoft til å akseptere slike forpliktelser i sine avtaler.
Det er også enkelte «feller» som leverandørene må være klar over, som at dokumentasjonen skal være på norsk om ikke annet er presisert. Dokumentasjonen fra tredjepartsleverandører, som skyleverandører, er sjelden på norsk, og endring må derfor inntas i avtalen.
Endringer som er gjort
Av positive endringer i denne versjonen av SSA-L, er at erstatningsansvaret nå ikke er snudd som i andre SSA-avtaler, slik at det er kunden som må sannsynliggjøre at leverandøren er erstatningspliktig (som er det normale etter norsk rett). Imidlertid er det kunden sannsynliggjøre at denne ikke er ansvarlig for erstatning, dersom det er leverandøren som krever erstatning (som kanskje er en feil som henger igjen fra tidligere versjon?).
Det er også gledelig at erstatningsansvaret, og da spesielt ansvarsbegrensningene, i avtalen fra Difi nå er tilnærmet likt markedsnivå. Vi får håpe at denne versjonen av SSA-L danner standard for hvordan avtalene til Difi vil endres fremover.
Det må også nevnes at den forvirrende reguleringen av standard lisens- og avtalevilkår som var i første versjon av SSA-L er nå erstattet med en langt klarere (men trolig også mer risikabel, se ovenfor) regulering.
Bilag
Difi har også laget bilag til avtalen, og her er det tatt inn ganske omfattende veiledning for utfylling av bilagene. Dette har ikke vært tatt inn i avtaler fra Difi tidligere, og er en nyttig utvidelse av avtalestandarden, selv om veiledningen med fordel kunne vært noe mer omfattende og konkret. Bilagene kunne med fordel blitt mer praktiske dersom det hadde vært tatt inn standardtekster eller generelle eksempler i bilaget, som brukerne kunne modifisert til eget bruk. (Og språket kan med fordel bli bedre, Difi, som å redusere bruken av «dersom». I stedet for å skrive «Dersom opplæring er en del av leveransen…» kan det skrives «Er opplæring en del av leveransen…».) Men med utviklingen av bilagene til SSA-L er det tatt et steg i riktig retning, selv om det fremdeles kreves en del arbeid med å fylle ut bilagene for å gjøre dem anvendelige for en leveranse.
Oppsummering
Versjon 2.0 av SSA-L er en forbedring, men avtalemalen skaper dessverre en del problemstillinger og usikkerhet fremdeles. At bilagene er forbedret er meget bra, men det er ennå noe mer å gå på her for å gjøre avtalen mer praktisk anvendbar. Både leverandøren og kunden må derfor utnytte de muligheter som ligger i bilagene til å tette hullene og redusere usikkerhet og risiko ved bruk av avtalemalen som bl.a. de forhold som er omtalt ovenfor.
Terningkast: 4
Avtalen foreligger i dag kun på norsk, og engelsk utgave vil komme i månedsskiftet mars/april. Du kan laste ned SSA-L her: https://www.anskaffelser.no/verktoy/avtale-om-lopende-tjenestekjop-ssa-l.