Transition fra on-premise til cloud
Transition fra on-premise til cloud
Uddannelsesdagen 2022
Maj 2022
124
Cloud?
125
Store spillere
= ufravigelige standardaftaler
Juridisk rådgivning
Standardbetingelserne kan sjældent individuelt forhandles!
Vurder overholdelse af lovgivning
Vurder om betingelserne kan accepteres
Risk Management og forklaring af risici og evt. forslag til afdækning og minimering inden for leverandørens "system” - Worst case – total nedbrud
Lovvalg og værneting!
Fordele
Leverandøren står for installation, drift og vedligeholdelse af platform/softwaren
Brugeren skal blot betjene systemet – "abonnementsordning" – via webinterface
Alle omkostninger til drift m.v. sker efter en fast (?) pris, der let kan indgå i budgettet, og der kommer ingen "grimme" overraskelser
Kan være sammensat af mange forskellige faktorer
Enhedsafregning – har du styr på de enheder du bruger?
Ulemper
Mister indflydelse - Mister rådigheden – 100% kontraktstyret
Er afhængig af én leverandør
Risikomomenter som fx internettet og netværksnedbrud, samt leverandørens økonomiske situation og konkurs
”Gidselsituation”!
Ofte kun en standardløsning
Lock-in situation – vær opmærksom på dataformater og flytning
Juridiske vilkår
Ansvarsfraskrivelse, skadesløsholdelse, licensbetingelser, rettigheder, brug af underleverandører
Kan normalt ikke ændres
Lovvalg/værneting
Udvidet brugsret - koncernselskaber
Tekniske/operationelle vilkår
Leverancemodeller, opsætning, funktionalitet, indhold af selve ydelsen (SLA), sikkerhedskrav
Baseret på en standard ydelse baseret på standard teknik og procedurer
Valgmulighed: Muligvis platin, guld og bronze – prædefinerede
Kan normalt ikke ændres yderligere
Kommercielle vilkår
Priser, rabt
Varighed, uopsigelighed, opsigelsesfrister Særlig udtræden / test periode
Særlig audit (mod fuld betaling)
Sjældent strukturelt og kan ofte forhandles
Opstart og implementering
• Jo jo, men der er en kendt stor leverandør med et godt system og flere af vores konkurrenter bruger det
• SAP, Dynamics og Oracle og også kendte, velafprøvede og meget anvendte
• Kan DU bruge systemet til DIN forretning som DU gerne vil?
• Varighed – ofte en god pris = 36/48 måneders binding
• Test-periode evt. test-setup
• Hvem sætter op (tilpasser, konfigurerer) og implementerer/migrerer (datakonvertering og indlæsning) – hvem har implementeringsopgave – selv, leverandøren eller tredjemand
• Accepttest/etableringsprøve der skal godkendes?
• Kan du sidde på pengene indtil godkendt prøve
• Ingen godkendelse ingen penge
• Minimum særlig kort opsigelsesfrist
• Særlig exit – måske uden ”misligholdelse”
Opdatering og fejlrettelser ved softwaren
• Ret/pligt til opdatering
• Forholdet til specialtilretninger –ofte ingen!
Vedligeholdelse
• hvornår er der "servicevinduer"
Driftseffektivitet og svartider
• Målepunkter, måleperiode og metoder Løbende overvågning 24 x (7) x 365 Reaktionstider efter mangelskategori Backup/reetablering
• Hotline og support
• Bemanding og åbningstid (CET eller…PST?)
• Ingen "garanti" uden sanktion!
• Bod/bonus/afslag i vederlaget – service credits
• Ofte lav pris derfor få eller ingen bodsbelagte forhold
• Ophævelse sjældent en hensigtsmæssig sanktion – men den eneste
• Minimum hurtig opsigelse hvis misligholdelse
• Månedlig afrapportering af problemer, herunder nedetid m.v.
• Gennemsigtighed for kunden – hvad leveres?
• Etableringsudgifter
• Vederlaget pr. måned/kvartal/år - forud/bagud
• Pr. bruger
• Pr. tid på systemet
• Pr. behandlet datamængde
• Fast pris pr. applikation
• Beregningsmatrix - eksempler
• Ændring af vederlaget
• Løbende regulering ved uændrede forhold – nettopris indeks?
• Ændring i ydelsen, fx flere brugere, flere applikationer m.v.
• Prisbilag
• Ændring af underliggende licenspriser fra tredjemand – fx SPLA-aftaler
• Hvad er omfattet af vederlaget
• Hotline/support
• Opdateringer
• Kommunikation
• Hvad betales udover vederlaget?
Sikkerhed I og Persondata
Krav i databeskyttelsesreglerne - GDPR
• Ansvarlig for at databehandler (ASP/SaaS leverandøren) overholder reglerne
• Skriftlig aftale mellem dataansvarlig og databehandler - databehandleraftale Se EU’s standardaftale
Husk også anden lovgivning, fx bogføringsloven, outsourcingsbekg., krigsreglen SaaS/Cloud-computing – hvor bliver data’ene opbevaret?
• Hvem har adgang til de data
• Uden for EU – PAS PÅ!!!
• Lokationsgaranti og afskærmning mod tilgang fra 3.lande
• TIA
Datatilsynets nye vejledning om cloud
• Klogere…?....Næh..problemer ved overførsel til tredjelande Pas på underdatabehandlere!
• Support og vedligeholdelse – også databehandlere!
Persondata
• Clash mellem kundens og leverandørens databehandleraftaler
• Leverandørens aftale – navnlig de store – skal accepteres ellers må du finde en anden
• Særlige sikkerhedskrav m.v. fra kunden kan leverandørerne have svært ved at acceptere
• Ingen individuelle vilkår
• Er man nødt til at acceptere ansvarsbegrænsninger i relation til brud på persondatabeskyttelsesreglerne
• Uden ansvarsbegrænsninger bliver det så al al for dyrt da databehandlerne skal tegne meget dyre forsikring og polstre sig til store krav
Sikkerhed IV
• Katastrofeplan
• Strømsvigt, ild, oversvømmelse, virus m.v.
• Mulighed for replikering på servere på andre lokaliteter
• Eskaleringsprocedure
• Reaktionstid
• Redundans op linier
• Løbende afprøvning
• Kundens ret til kontrol af leverandørens sikkerhedsrutiner
• Evt. krav om revisorerklæringer vedr. sikkerhed
• SAS 70, ISO 27001 eller ISAE 3402
Ændringshåndtering
• Udvidelser/indskrænkninger i servicen
• Flere typer af software/moduler - optioner
• Datamængde, antal brugere m.v., moduler
• Hvordan beregnes vederlaget ved ændringer
• Hvem kan kræve hvilke ændringer
• Nemt at skrue op – men hvad med reduktion
• Kan der ske fjernelse/ændring af funktionalitet
• Frister for ændringer – mulighed for kontra-opsigelse
Sanktioner ved ændringer
• Kunden bør altid have en mulighed for at opsige aftalen, inden en væsentlig ændring træder i kraft medmindre:
• Objektive og aftalte mekanismer
• Forbrugsafregning og nettoprisindeksregulering
• Uvæsentlige ændringer
• Tvingende sikkerhedsmæssige forhold
Kundens data
• Kundens data er kundens ejendom
• Bør sikre, at der ikke er tilbageholdelsesret i data
• Kan de identificeres, fx til brug for en fogedretssag
• Ny dansk dom – data er rørligt gods der kan kræves udleveret
• Rpl § 528 – UfR 2021.3572 VL
• Tvangsfuldbyrdelse?
• Løbende udlevering?
• Katastrofescenarie - afprøvning
Misligholdelse
• Kunden
• Manglende betaling - frister og påkrav
• Leverandørens mulighed for at stoppe ydelser/tilbageholdsret ved udebleven betaling
• Leverandøren
• Konkretisering af misligholdelsen
• Ikke bare ”14 dags frist til afhjælpning efter modtagelse af reklamation”
• Manglende overholdelse af SLA fx under 90% oppetid eller 98% i 3 måneder
Opsigelse
• Uopsigelighedsperiode
• Varsel
• Cyklus – opsigelse til udløb af en periode
• Begrænsninger i retten til at opsige
• Delvis opsigelse
• Giver det mening/kan man det?’
• Evt. nedgradering i antal brugere, moduler m.v.
• Ophævelse
• Frist for afhjælpning - knyttet til SLA og performance og ikke bare fx 14 dages afhjælpningsret
• Fastlæggelse af kompensation ved leverandørens misligholdelse
• Forsat drift selvom ophævelse? Kan kunden stoppe fra dag til dag?
Ophør
• Exit regulering
• Tidsplan/tidsfrister for udlevering
• Hvad får kunden ud og hvordan
• Kan kunden selv trække data ud
• Ikke konfigurationsdata, software eller tilpasning
• Er exitydelser til fast pris eller efter medgået tid
• Stemmer opsigelsesvarsel overens med forventelig transitionsperioden
Cloud leverandør som underleverandør
• Samme udfordringer som med standardsoftware fra standardproducenter
• Leverandøren vil ikke tage ansvaret/risikoen som ”mellemmand”
• Leverandøren har ingen mulighed for selv at ”indtræde” eller overtage forpligtelsen
• Leverandøren kan ikke afhjælpe
• På underleverandørens vilkår eller også er det ikke en cloud løsning (fleksibel og billig….men standard)
• Ansvar for at hæve og skifte til anden cloud leverandør der kan tilbyde lignende ydelser
• Løsning: Ikke selvstændigt/eget ansvar for misligholdelse – Back-to-back vilkår
• Kunden skal se aftalen så (muligvis minus de kommercielle vilkår)
• Ellers må kunden jo tegne cloud aftalen direkte med cloud leverandøren Eksempler som fx norske SSA-Sky (+ lille sky) og D17 v4
Kontakt
Xxxxx Xxxx Xxxxxxx
Managing Associate
T x00 00 00 00 00
M x00 00 00 00 00