Skytjenesteavtale
Skytjenesteavtale
Veiledning for bruk av avtalen
DEN NORSKE DATAFORENING
Versjon : 0.9
Dato oppdatert : 13.12.2016
INNHOLDSFORTEGNELSE
3
2 KONTRAKTSSTRUKTUR OG INNHOLD
6
3 ANSKAFFELSESPROSESS OG ETABLERING AV KONTRAKT
7
3.1 KONKURRANSEGRUNNLAG OG KRAV TIL UTFORMING AV TILBUD 7
3.2 GRUNNLAG FOR EVALUERING AV TILBUD 8
3.3 ANSVARSFORHOLD KNYTTET TIL UNDERLEVERANDØRER 8
11
4.1 BRUK AV UNDERLEVERANDØRER 11
4.2 NIVÅ PÅ KRAV OG BEHOV KNYTTET TIL SKYTJENESTENE 11
4.3 ETABLERINGSPROSJEKT OG LEVERANSE AV SKYTJENESTENE 11
4.4 SKALERING OG VEDERLAGSMODELLER 11
4.5 PERSONVERN OG DATABEHANDLERAVTALE 12
4.5.1 Personopplysninger og databehandleravtale 12
4.5.2 Forholdet til arkivloven 13
4.5.3 Særlig om overføring av personopplysninger til utlandet 13
4.6 VARIGHET, AVSLUTNING AV AVTALEN OG EVENTUELL OPPSIGELSE 13
4.7 EKSEMPLER PÅ KRAV TIL TJENESTEKVALITET (SLA) 14
4.7.1 Tilgjengelighet for Skytjenestene 14
4.7.3 Krav til behandlings- og responstider 14
4.7.4 Krav til reaksjons- og feilrettingstid 15
4.8 EKSEMPLER PÅ KRAV TIL STANDARDISERTE REFUSJONER 15
4.8.3 Behandlings- og responstider 15
4.8.4 Brudd på krav til reaksjonstid og feilrettingstid 15
1 Innledning
Dette dokument er en veiledning i bruk av Dataforeningens kontraktsstandard for skytjenester, heretter kalt skytjenesteavtalen eller bare avtalen.
Formålet med veiledningen er å gi en beskrivelse av bruksområde og fremgangsmåte for å få best mulig utbytte av skytjenesteavtalen.
Skytjenester, også referert til som cloud computing, representerer et vidt spekter av standardtjenester som kunder ønsker å benytte for å utnytte kombinasjonen av kostnadseffektivitet og fleksibilitet. Skytjenester omfatter ikke kjøp av programvare, maskinvare eller andre fysiske produkter, men kjøp av standardtjenester for alt fra dataprosessering og datalagring til programvare på eksterne serverparker tilknyttet og tilgjengelig over internett. Skytjenestene kjennetegnes ved at de er laget for å skalere til den kapasitet det er behov for, og at det ofte betales for faktisk bruk. Kundene mottar således standardtjenester som eventuelt i tillegg blir tilpasset den enkelte kunde i større eller mindre grad.
Det er vanlig å skille mellom:
- Infrastructure as a Service (IaaS) – avgrensede tjenester som eksempelvis datalagring eller datakapasitet i skyen;
- Platform as a Service (PaaS) – plattformtjenester som muliggjør kobling mot flere tjenesteløsninger; og
- Software as a Service (SaaS) – løsninger hvor alt fra datalagring og kapasitet er inkludert med programvaren, og som tilbys som tjenester over internett.
I mange tilfeller vil det være behov for en variasjon av forskjellige typer skytjenester. Noen av disse vil også være koblet til eksisterende fysisk infrastruktur eller tjenester hos kunden, slik som nettverk og interne sikkerhetsløsninger, som vil kunne kreve bruk av andre avtalestandarder, slik som Dataforeningens standardavtale for IT-drift.
1.1 Formål med avtalen
Formålet med skytjenesteavtalen er å tilrettelegge for at leverandører og offentlige og private kunder kan inngå avtaler om kjøp av skytjenester, og herunder tilpasning, integrasjon og vedlikehold av skytjenester.
Skytjenesteavtalen skal dekke behovet for en kontrakt hvor kunder ønsker at en leverandør skal tilpasse, utvikle og integrere en eller flere standard skytjenester, både egne og fra en eller flere underleverandører. Skytjenesteavtalen vil typisk inkludere tjenester som ellers inngår i drifts- og vedlikeholdsavtaler kombinert med IT-utvikling.
Figur 1 Skytjenesteavtalens tjenesteinnhold
1.2 Anvendelse
Målsettingen med anvendelse av skytjenesteavtalen er at den skal ivareta morgendagens utfordringer og behov for anskaffelse av skytjenester, ved blant annet å fokusere på integrasjon, tilpasning og vedlikehold som gjøres av leverandøren. Skytjenestene vil som oftest være standardiserte tjenester som tilbys til mange kunder.
For tilpasning og integrering av skytjenester ligger verdien av leverandørens leveranser i dennes kompetanse på skytjenesten, samt evnen til å kunne tilpasse en skytjeneste til det konkrete markedet eller kunde. I tillegg vil leverandøren kunne påta seg å opptre som rådgiver og operasjonelt kontaktpunkt overfor eller på vegne av andre leverandører og parter så kunden i praksis kan forholde seg til en part. Der kundens behov tilsier en sammensetning av flere typer skytjenester, vil leverandøren kunne levere skalerbare integrasjonstjenester, og gi kunden mulighet til å hente ut synergier og fleksibilitet.
Utviklings- og integrasjonsarbeidet kan variere sterkt fra det enkleste oppsett av tilgang til skytjenester til større tilpasninger og bygging av integrasjoner (API), plug-ins (tilleggsfunksjonalitet) og rapportering. I tillegg kommer vedlikehold hvor leverandøren typisk skal følge opp skytjenestenes feil og mangler, bistå kunden med opplæring og eventuelt videreformidling av support.
I noen tilfeller vil kunder ha interesse i å kjøpe enkelttjenester direkte fra den aktuelle skytjenesteleverandøren, typisk der det er lite eller intet behov for integrasjon av skytjenesten. I slike tilfeller bør kjøper vurdere å inngå avtale direkte med leverandøren og eventuelt basert på leverandørens standardbetingelser i det enkelte tilfellet. Enklere skytjenester kan også vurderes anskaffet gjennom tilpassede driftsavtaler kombinert med en vedlikeholdsavtale og eventuelt tjenesteavtale i tillegg.
1.3 Dataforeningens rolle
Dataforeningens Faggruppe for IT-kontrakter er ansvarlig både for denne kontrakten og for videreutvikling og forvaltning av PS2000-kontraktsstandarden og de øvrige, tilhørende kontraktsstandardene. Med denne nye kontrakten har Dataforeningen følgende portefølje av kontraktsstandarder som dekker hele livssyklusen for programvarebaserte løsninger:
Figur 2 Dataforeningens kontraktsstandarder
Utarbeidelse av denne kontraktsstandarden ble påbegynt høsten 2015 og har pågått frem til høsten 2016 slik at en versjon 1 kunne ferdigstilles i desember 2016. Arbeidet er utført av en arbeidsgruppe med PROMIS AS ved Xxxxxx Xxxxxxxx som leder og med Xxxxx Xxxx, PROMIS AS og Xxxx Xxxx og Xxxxx Xxxxxxx, Advokatfirmaet Berngaard/Sandbek som deltagere.
Videre har det vært nedsatt en referansegruppe av Dataforeningens styre for Faggruppen for IT-kontrakter, med tilnærmet lik representasjon fra både kunde-, leverandør- og rådgiversiden:
- Capgemini
- Computas
- Departementenes sikkerhets- og serviceorganisasjon
- Difi
- Evry
- Xxxxxxxxxxxxxx Xxxxxxx
- Sopra Steria
- Statens vegvesen
Mer informasjon om Dataforeningen og faggruppens arbeid kan fås ved henvendelse til Den Norske Dataforening (xxx.xxxxxxxxxxxxxx.xx) eller PROMIS AS (xxx.xxxxxx.xx).
1.4 Referanser
Arbeids- og referansegruppen tok utgangspunkt i veilederen som Dataforeningen utarbeidet for Cloud Computing i 2012.
I tillegg hentet vi inspirasjon blant annet fra følgende kontraktsstandarder og internasjonale veiledninger på området:
1. Difis Statens standardavtaler og Dataforeningens kontraktsstandarder
2. Almega «Cloud Computing» versjon 2010, IT&Telekomföretagen (2010), Allmänna bestämmelser, Särskilda bestämmelser og Villkor Servicenivåer för Cloud Computing. xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxxxx/xxxx-xxxxxxxxxxxxx
3. G-CLOUD 7 FRAMEWORK AGREEMENT, “Framework Agreement And Order Form
/ Call-Off Terms”, CROWN COMMERCIAL SERVICE (2015)
xxxx://xxx-xxxxxxxxxx.xxxxxxxxxxxxx.xxx.xx/xxxxxxxxx/xx0000xxx
4. Vejledning om juridiske, kommercielle og tekniske forhold i aftaler om Cloud Computing, Danske IT-advokater og DANSK IT (2014) xxxx://xxxxxxxxxxx.xx/xx-xxxxxxx/xxxxxxx/0000/00/Xxxxxxxxxx-XxxxxXxxxxxxxx- final2.pdf
5. Practical Guide to Cloud Service Agreements, Version 2.0, Cloud Standards Customer Council (2015)
xxxx://xxx.xxxxx-xxxxxxx.xxx/xxxxxxxxxxxx/XXXX-Xxxxxxxxx-Xxxxx-xx-Xxxxx- Computing.pdf
Kunder i det offentlige bør også vurdere nasjonal strategi for skytjenester, offentliggjort av regjeringen våren 2016: xxxxx://xxx.xxxxxxxxxxx.xx/xx/xxxxxxxxxx/xxxxxxxx-xxxxxxxx-xxx- bruk-av-skytenester/id2484403/
2 Kontraktsstruktur og innhold
Kontrakten er delt inn i:
Del I Kontraktsdokument
Del II Generelle kontraktsbestemmelser Del III Bilag
Kontraktsdokumentet består av en forside med nøkkelinformasjon om kunde, leverandør og inngått kontrakt og er skilt ut som en egen del for å gi partene frihet til å velge form og innhold på dette overordnede dokumentet. Som et minimum må alle deler av kontrakten refereres og rangordningen mellom disse må beskrives, i tillegg til å angi kontraktens varighet.
De generelle kontraktsbestemmelsene skal kunne brukes med få eller ingen endringer. Alle spesifikke vilkår for kontrakten reguleres derfor i bilagene. Eventuelle endringer til de generelle kontraktsbestemmelsene skal fremgå klart av kontraktsdokumentet.
De generelle kontraktsbestemmelser inneholder beskrivelse av:
- partenes plikter,
- etablering av skytjenestene,
- leveranse av skytjenestene,
- avslutning av skytjenestene,
- avbestilling og oppsigelse av skytjenestene,
- økonomiske vilkår og
- juridiske bestemmelser, herunder sikkerhet, personvern, taushetsplikt, rettigheter, mislighold, avbestilling og endringer
Kontrakten er bygget opp med «halvfabrikata»-bilag. Dette skal forenkle utarbeidelsen av bilagene og legge til rette for regulering av alle forhold som de generelle kontraktsbestemmelsene foreskriver skal være nærmere regulert i bilag. For ytterligere å forenkle avtaleinngåelsen, er det i bilagene inntatt forslag til detaljregulering av tjenestene, samt hvilke tjenester og forpliktelser som må og bør reguleres.
Den forhåndsutfylte bilagsteksten må uansett kompletteres og gjennomgås grundig for å kunne benyttes til å regulere spesifikke kontraktsforhold. Primært skal spesifikke forhold legges inn i forhåndsdefinerte tabeller. Der det ikke er hensiktsmessig med tabeller, er behov for utfylling markert med <kursiv og klammeparenteser> og eventuelt forslag til tekst. Merk at bilagsteksten på enkelte områder primært fungerer som en kryssreferanse fra de generelle kontraktsbestemmelser og som eksempel (i kursiv) for mulig innhold, og altså ikke som en standardtekst.
Bilagene inneholder:
1. Spesifikasjon av Skytjenestene
2. Bruk av underleverandører
3. Etablering, leveranse og avslutning av Skytjenestene
4. Administrative bestemmelser
5. Vederlag og betalingsbetingelser
6. Krav til tjenestekvalitet (SLA) og Standardiserte refusjoner
7. Databehandleravtale
3 Anskaffelsesprosess og etablering av kontrakt
3.1 Konkurransegrunnlag og krav til utforming av tilbud
Ved utsendelse av konkurransegrunnlag, bør de generelle kontraktsbestemmelser og bilag, så langt de lar seg utfylle fra kundens side, være inkludert som grunnlag for potensielle leverandørers tilbud. I offentlige anskaffelser må dette ses i sammenheng med lov om offentlige anskaffelser med tilhørende forskrifter. Når avtalens bilag er så komplett utfylt som mulig, bidrar dette til at det blir enklere å sammenligne leverandørenes tilbud, men også til at eventuelle uklarheter avdekkes. På denne måten vil det bli mindre arbeidskrevende å ferdigstille den endelige kontrakten mellom partene. Nedenfor er det angitt hva hver av partene bør fylle ut for at dette skal bli mulig å oppnå.
Bilagene bør fylles ut av kunden så langt det er mulig i konkurransegrunnlaget. Det er også inkludert en beskrivelse av hva leverandøren må besvare:
- I bilag 1 skal kunden definere behovet og de tjenestene som ønskes inkludert. Leveran- døren skal videre beskrive sin løsning på bakgrunn av kundens behov i samme bilag.
- I bilag 2 skal kunden beskrive på hvilke områder det kan avtales særskilte avtale- betingelser. I tillegg skal beskrivelse av kundens eksisterende, relevante leverandører og tjenester beskrives hvis relevant for anskaffelsen. Leverandøren skal fylle ut med beskrivelser av bruk av underleverandører og hvilke særskilte avtalebetingelser som faktisk vil være gjeldende for underleverandørene.
- I bilag 3 skal gjennomføringsmodellen med etableringsprosjekt, tjenesteleveranser og avslutning av skytjenestene beskrives, inkludert milepæler. Kunden fyller ut milepæler,
krav til godkjenning og avslutning, og leverandøren supplerer med mer detaljerte planer, samt krav til kunden.
- I bilag 4 skal inneholde administrative bestemmelser som fylles ut av kunden.
Leverandøren supplerer med nøkkelpersonell.
- I bilag 5 skal vederlag for de ulike tjenestene og betalingsbetingelser beskrives i form av kundens krav til betalingsmodeller og leverandørens pristilbud.
- I bilag 6 skal krav til tjenestekvalitet (SLA) og standardiserte refusjoner beskrives.
Kunden beskriver kravene, men må hensynta hva som er normale krav for de løsninger som leverandørene kan komme til å tilby.
- I bilag 7 skal det inkluderes en databehandleravtale. Kunden beskriver kravene til denne og leverandøren besvarer hvordan disse kravene skal oppfylles.
- I bilag 8 vedlegges standardbetingelser fra underleverandør av standard skytjenester dersom det er nødvendig.
Det anbefales at kunden gjennom konkurransegrunnlaget stiller tydelige krav om at leverandøren som del av tilbudet utarbeider en utfylt versjon av kontraktens bilag. For å finne frem til og avklare de forhold som bør danne grunnlaget for konkurransen, herunder hva som skal etterspørres, vil det ofte være formålstjenlig med en markedsundersøkelse. Det kan også være behov for å innhente nærmere rådgivning i forkant.
Markedsundersøkelser og bruk av rådgivere vil også være relevant og tillatt der kunden er en offentlig aktør, men her må kunden blant annet være oppmerksom på de regler som følger av [kommende] anskaffelsesforskrift §§ 12-1 og 12-2 (rådgiverinhabilitet). Dersom en rådgiver oppnår en urimelig konkurransefordel, må kunden iverksette egnede tiltak som utjevner slike fordeler. I motsatt fall kan det være at denne leverandøren må avvises.1
Virksomhetsspesifikke forhold både bør og kan angis, herunder i bilag 1 og 2. Avtalen skal i utgangspunktet kunne benyttes også der kunden har flere særskilte regulatoriske og sikkerhetstekniske krav, men kunden må foreta en konkret vurdering.
3.2 Grunnlag for evaluering av tilbud
Evaluering av tilbud i en konkurranse om levering av skytjenester bør i hovedsak basere seg på en vurdering av tilbudte løsninger, ansvar for underleverandører inkludert underleverandørers eventuelle særskilte betingelser, tilbudt kompetanse, tilbudt gjennomføringsplan i tillegg til total pris inkludert løpende kostnader.
I offentlig sammenheng kan det ikke uten videre anbefales at skytjenesteavtalen benyttes i forbindelse med en ren pris- eller kostnadskonkurranse. Evalueringen bør som regel ta utgangspunkt i hvilket tilbud som er det økonomisk mest fordelaktige (beste forhold mellom pris/kostnad og kvalitet), jf. også punkt 3.3 nedenfor. De elementer som skal være gjenstand for evaluering må være definert allerede i tildelingskriteriene som inngår i konkurransegrunnlaget.
3.3 Ansvarsforhold knyttet til underleverandører
Avtalen legger opp til at leverandøren kan innføre egne standardbetingelser med virkning for de standard skytjenester som tilbys via en eller flere underleverandører. I avtalens del II (generelle bestemmelser) punkt 2.2 fremgår det at slike betingelser vil gå foran avtalen dersom de defineres som særskilte betingelser. I tillegg til slike særskilte betingelser, kan
1 Se [kommende] forskrift § 24-2 (1) bokstav d.
eventuelle standardbetingelsene beskrives i bilag 2 og tas inn som eget bilag 8, men slike bestemmelser vil ikke gå foran avtalens bestemmelser.
Standard skytjenestene kan med andre ord inneholde både særskilte betingelser og andre, egne vilkår som må inntas i tillegg, som beskrevet i det etterfølgende.
I avtalens del 2 punkt 2.2.1 fremgår det at kunden med virkning for angitte deler av avtalen kan tillate at særskilte betingelser skal gå foran. Videre fremgår det av avtalens del 2 punkt
2.2.2 at standardbetingelser knyttet til disposisjonsrett og rettsmangler alltid vil gå foran avtalen. Dette fordi en skytjenesteleverandør vanskelig vil kunne fravike disposisjonsretten til standard skytjenester, og som da ikke ville kunne tilbys kunden.
Utover det som følger av avtalen del 2 punkt 2.2.2 om standardbetingelser, må kunden altså på forhånd angi på hvilke områder særskilte betingelser kan innføres. De aktuelle områder angis i avtalens bilag 2 punkt 2.2. Kunden kan på denne måten åpne for at leverandøren kan tilby en større kombinasjon av tjenester, herunder fra underleverandører med standardvilkår som avviker fra avtalens del 2.
I avtalens bilag 2 punkt 2.2, er det lagt opp til at leverandøren med utgangspunkt i underleverandørers standardbetingelser kan innta særskilte bestemmelser på følgende områder som da får forrang fremfor avtalens øvrige bestemmelser:
• Frist for rekonstruksjon
• Erstatning og heving opp mot SLA
• Forholdsmessig prisavslag
• Annet erstatningstak
• Kundens rett til å overdra avtalen
Kunden kan supplere eller utvide denne listen etter behov, eventuelt velge ikke å tillate slike bestemmelser i det hele tatt. Det vil typisk være aktuelt med en markedsundersøkelse for å avdekke på hvilke områder det er behov for særskilte avtalebetingelser, slik at Kunden får tilgang til standard skytjenester hvor integratorers mulighet for endring av standardbetingelser er begrensede. Kunden bør likevel ikke åpne opp for at de avtalevilkår Xxxxxx mener er sentrale for sin utvelgelse av leverandør endres, da dette kan føre til at standardavtalen uthules.2 Videre bør kunden passe på at det ikke åpnes opp for særskilte betingelser på for mange områder. I motsatt fall kan konsekvensen være at tilbudene ikke blir sammenlignbare, både praktisk og formelt. De elementer som inngår i punktlisten ovenfor vurderes å være håndterbare samt å ligge godt innenfor det naturlige handlingsrommet for denne avtalen.
Når leverandøren innfører standardbetingelser, er det viktig at dette gjøres på en måte som er entydig og praktisk håndterbart. I bilag 2 punkt 2.1 skal leverandøren angi hvilke underleverandører leverandøren benytter seg av, og hvilke standard skytjenester det dreier seg om. Videre skal leverandøren i bilag 2 punkt 2.3 gi en overordnet beskrivelse av disse betingelsenes funksjon og betydning, herunder spesifikt konsekvenser for disposisjonsretten. Det skal også angis om
1. leverandøren kun innfører vilkårene som en del av avtaleforholdet mellom kunde og leverandør, eller om
2 Dette gjelder generelt ved bruk av standardavtaler, det vil si at standardavtaler ikke bør endres vesentlig før de legges til grunn for et innkjøp.
2. kunden og underleverandøren må inngå en egen avtale om standard skytjenester.
Uavhengig av om standardbetingelser inngås direkte med underleverandøren, eller om disse kun gjelder som en del av avtalen, har leverandøren et ansvar for de standard skytjenester som tilbys, ref. avtalens del 2 punkt 2.2.2.
I anskaffelsesrettslig sammenheng skal det understrekes at særskilte betingelser som knyttes til de deler av avtalen hvor endringer er eksplisitt tillatt, ikke skal regnes som forbehold.3 Anskaffelsesregelverket er ikke til hinder for at leverandørene kan angi alternative kontraktsvilkår i en slik situasjon. Forskjellene mellom leverandørenes tilbudte vilkår for sine underleverandører bør imidlertid evalueres, slik at de relevante forskjeller blir hensyntatt.
Dette gjelder særlig i en offentlig anbudskonkurranse, og da bør dette skje ved hjelp av et eget tildelingskriterie eller eventuelt som en del av tildelingskriteriet kvalitet. For eksempel kan oppdragsgiver benytte et tildelingskriterie av typen «juridisk kompleksitet eller risiko», der leverandørens bruk av standardbetingelser må tas med i evalueringen.
Det gjøres oppmerksom på at leverandørens adgang til å endre kontraktsteksten på andre områder enn der det er eksplisitt tillatt må regnes som svært begrenset. I en offentlig anskaffelse gjelder dette generelt, og øvrige begrensninger eller endringer i kontraktsteksten enn de som er omtalt ovenfor vil måtte vurderes som forbehold. Det skal ikke store endringer til før forbeholdene må anses vesentlige, jf. anskaffelsesforskriftens § 20-13 (1) bokstav d, og tilsvarende i nytt [kommende] regelverk § 24-8 (1) bokstav b.4
For de tilfeller der en offentlig kunde og underleverandøren inngår egne avtaler med standardbetingelser,5 må dette skje i henhold til det offentlige anskaffelsesregelverket. Hvis skytjenesteavtalen ikke eksplisitt hadde tillatt denne løsningen, ville slike avtaler kunne måtte regnes som vesentlige forbehold til kontrakten med mindre det tydelig fremgikk at leverandørene ville bli evaluert på de avtalevilkår som kunden hadde åpnet for. Ettersom skytjenesteavtalen åpner for at slike separate avtaler kan inngås, bør dette være tillatt såfremt de ulike avtalene også blir gjenstand for evaluering. Skytjenesteavtalen bør i denne sammenheng forstås dit hen at den ikke legger formelle restriksjoner på hvilke avtalevilkår som inngås mellom kunde og underleverandør, når dette skjer ved separat avtaleinngåelse.6 For hva angår evalueringen er det også i denne sammenheng aktuelt å benytte tildelingskriteriet «juridisk kompleksitet eller risiko».
Ovennevnte mekanismer er utformet med tanke på at særlige tjenestevilkår må inntas som følge av underleverandørers standardvilkår, og altså ikke på grunn av leverandørens egne leveransevilkår eller standardvilkår.7 Skytjenesteavtalen bør derfor ikke benyttes direkte overfor en SaaS-, PaaS- eller IaaS-leverandør, uten at disse mekanismene i Del II, punkt 2 og bilag 2 fjernes, gjennom endringer som da må tas inn i del I.
3 Følgelig behøver ikke kunden å foreta en prissetting av de ulike kontraktsvilkårene, såfremt de ligger innenfor avtalens rammer (som definert av kunden).
4 Det vises også til [kommende] forskrift § 19-2 (1) annen setning, hvor utgangspunktet er at bruk av underleverandører ikke skal påvirke leverandørens kontraktsansvar.
5 F.eks. egne sluttbrukeravtaler.
6 Skytjenesteleverandøren har som ovennevnt et overordnet ansvar også i denne situasjonen.
7 jf. også ordlyden i hjelpeteksten i del 3 bilag 2
4 Bruk av skytjenesteavtalen
4.1 Bruk av underleverandører
Leverandøren har et overordnet ansvar for at skytjenestene integreres og fungerer i samspill med tjenestene fra kundens øvrige leverandører og eventuelt kundens egen infrastruktur og systemer, slik det fremgår av bilagene.
4.2 Nivå på krav og behov knyttet til skytjenestene
Krav bør utformes på et overordnet nivå. Selv om bilagene åpner for at kunden spesifiserer krav og behov, vil en for stor grad av detaljspesifisering kunne forvanske anskaffelsen og bruken av avtalen.
Overordnet kravspesifisering tilrettelegger for bredest mulig konkurranse. På denne måten kan flere tilby sine etablerte skyløsninger med minst mulig tilpasninger.
4.3 Etableringsprosjekt og leveranse av skytjenestene
Denne modellen gjelder for hele livssyklusen til skytjenesteavtalen:
Figur 3 Avtalens livssyklus
• Leverandørens forberedelser
• Tilpasninger og integrasjon i henhold til kundens krav og behov
• Leverandørens testing av løsningen
• Oppstartsdag
• Godkjenningsprøve med kundens utprøving av løsningen
• Godkjenningsdag
• Deretter ordinær leveranse av skytjenestene
4.4 Xxxxxxxxx og vederlagsmodeller
Avtalen åpner for ulike prismodeller.
Det må tilrettelegges for en skalering av tjenestene i henhold til hva kunden kan se for seg over avtaleperioden. I slike tilfeller må det åpnes for prising som reflekterer
skaleringsbehovet. Det anbefales at det legges inn krav til varsling fra leverandørens side dersom grensen for definert skalering nærmer seg.
En offentlig kunde vil typisk måtte angi hvordan justeringsmekanismen skal utformes, slik at leverandøren kan fylle ut dette. Videre bør det angis hvordan vektingen av justeringen skal foretas, slik at tilbudene blir sammenlignbare og konkurransen forutberegnelig.
For det tilfellet at det må foretas skalering utover angitt prismodell, foreslår bilagsteksten i dag at slike justeringer må endringshåndteres.
4.5 Personvern og databehandleravtale
4.5.1 Personopplysninger og databehandleravtale
De aller fleste skytjenester innebærer en behandling av personopplysninger. Eksempelvis vil et saksbehandlingssystem innebære at epostadresser behandles. Det er derfor viktig at kunden, som behandlingsansvarlig etter personopplysningsloven, gjennomfører de vurderinger som er påkrevet før kunden tar i bruk skytjenesten. Datatilsynet har gitt sin veiledning som omhandler dette: xxxxx://xxx.xxxxxxxxxxxx.xx/Xxxxxxxxx/Xxxxxxxxxxxx--- Cloud-Computing/.
Det er den behandlingsansvarlige som velger å ta i bruk skytjenesten. Hvis skytjenesten gjennomfører en behandling på vegne av den behandlingsansvarlige, er leverandøren å anse som en databehandler. Datatilsynet anser en leverandør av skytjenester som en databehandler, uavhengig av hvilken tjeneste som leveres, men kunden må vurdere hvem som faktisk er databehandler, det vil si om det enten er leverandøren og/eller den faktiske skytjenesteleverandøren.
En av utfordringene ved globale skytjenester er at de gjerne tilbys lokalt gjennom en integrator, mens tjenesten leveres fra en global plattform. Dette kan være at datasentre er plassert flere steder rundt i verden og at support på løsningen tilbys 24/7 gjennom fjerntilgang («remote access») slik at det til enhver tid er noe supportpersonell som er tilgjengelig. Dette vil som oftest alltid innebære en databehandling etter personopplysningsloven. EUs Artikkel 29-gruppe har behandlet problemstillingen i xxxx://xx.xxxxxx.xx/xxxxxxx/xxxx-
protection/article-29/documentation/opinion-recommendation/files/2010/wp176_en.pdf.
For å sikre at det inngås en databehandleravtaler med riktig motpart, oppstiller Artikkel 29- gruppen problemstillingen slik at en behandlingsansvarlig (kunden) kjøper en skytjeneste gjennom en databehandler (integrator/leverandør) som er etablert innenfor EU/EØS og som deretter benytter en under-databehandler (standard skytjenesteleverandør) utenfor EU/EØS. Artikkel 29-gruppen viser da til at det må etableres en databehandleravtaler som for forhold utenfor EU/EØS kan anvende EU Model Clauses, men legger til grunn tre løsninger:
a) direkte avtale mellom den EU/EØS-baserte behandlingsansvarlige og den ikke- EU/EØS-baserte databehandleren;
b) klart mandat fra den EU/EØS-baserte behandlingsansvarlige til den EU/EØS-baserte databehandleren for å benytte EU Model Clauses 2010/87/EU I deres navn og på deres vegne; eller
c) ad-hoc kontrakter.
Kunder er nødt til å legge til rette for at dette gjennomføres i henhold til regelverket, og det anbefales for offentlige anskaffelser at det synliggjøres allerede i konkurransegrunnlaget slik at det åpnes opp enten a) eller b.) og ikke låses til en modell som vanskeliggjør at offentlige kunder vil få tilbud på standard skytjenester.
Overføring av personopplysninger til utlandet skal bare skje i den utstrekning de aktuelle landene sikrer en forsvarlig behandling av personopplysningene. Alle land i EU/EØS- området regnes som stater der personopplysninger kan behandles forsvarlig. I tillegg er det enkelte land som er eksplisitt godkjent av Europakommisjonen. Via følgende lenke kan man studere hvilke land som er godkjent av EU som mottakere av personopplysninger.
Når det gjelder forholdet til overføring av personopplysninger til USA, bes kunden merke seg EU-U.S. Privacy Shield, som erstatter den tidligere Safe Harbour-avtalen. For nærmere informasjon om dette, se Datatilsynets informasjonsside:
xxxxx://xxx.xxxxxxxxxxxx.xx/Xxxxxxxxx/Xxxxxxxxxxxxxx/Xxxxxxxxxxx/xxx-xx-xxxxxxx-xxxxxx/
4.5.2 Forholdet til arkivloven
Der kunden er en offentlig aktør, eller på annet grunnlag følger arkivloven, bør arkivloven § 9 bokstav b hensyntas. Vi gjør oppmerksom på at gjeldende rett tilsier at det ikke kan lagres arkiv i utlandet. Dersom skytjenestene skal benyttes til lagring av arkiv i arkivlovens forstand, må kunden innta et krav om at serverne må være plassert på norsk jord.
For nærmere informasjon om denne problemstillingen, se følgende artikkel fra Riksarkivet i 2015: xxxx://xxxxxxxxxxx.xx/xxxxxxxxxxx/Xxxxxxxxxxx/Xx- oss/Aktuelt/Nyhetsarkiv/Nyhetsarkiv-2015/Arkivloven-og-skytjenester-sikring-eller-hindring
I tillegg vises det til Arbeidsgrupperapport av 2015 (Kartlegging av hindringer i regelverk for bruk av skytjenester):
xxxxx://xxx.xxxxxxxxxxx.xx/xxxxxxxxxxxxx/x00x0x0000x00x000xxx00x0000000x0/xxxxxxxxxxxx
Videre vises det til at arkivforskriften er under revisjon. Forslaget til ny forskrift, herunder særlig § 22, vil innebære at arkivmateriale lovlig vil kunne oppbevares/håndteres ved hjelp av skytjenester utenfor Norge.
Merk at det nå gjennomføres en høring som behandler problemstillingen: xxxxx://xxx.xxxxxxxxxxx.xx/xx/xxxxxxxxxx/xxxxxxx--xx-xxxxxxxxx-xx-xxxxxxxxxx- arkiv/id2515364/
4.5.3 Særlig om overføring av personopplysninger til utlandet
4.6 Varighet, avslutning av avtalen og eventuell oppsigelse
Avtalen løper i en definert avtaleperiode, som skal angis i kontraktsdokumentet i del I. Etter utløpet av avtaleperioden kan det eventuelt åpnes for automatisk fornyelse hvert år frem til en oppsigelse av avtalen.
Alternativt er det ikke avtalt en definert avtaleperiode, og løper avtalen til den sies opp av kunden med 6 måneders skriftlig forhåndsvarsel, eller av leverandøren med 12 måneders skriftlig forhåndsvarsel, jf. avtalen del 2 punkt 9.2.
Kunden har en avbestillingsrett både i etableringsprosjektet og i tjenesteperioden. Ved avbestilling skal vederlag reguleres i bilag 5. Avbestilling benyttes når kunden ikke har behov for å få levert skytjenestene helt frem til avtalt avslutning av avtalen. Fristen for kundens avbestilling skal være regulert i bilag 3.
I forbindelse med avslutningen av avtalen er det definert en avslutningsfase:
• Ved avslutning plikter leverandøren å bidra med kompetanseoverføring og hensiktsmessig overføring av skytjenestene til denne
• Som en del av dette arbeidet skal leverandøren tilrettelegge og overføre alle kundens data, eventuell dokumentasjon og eventuelt annet kunden har rettighetene til
• Videre skal leverandøren medvirke til at kunden skal få tilbakeført eventuelle, aktuelle avtaler
• Avslutning av avtalen skal gjennomføres i henhold til beskrivelse i bilag
• Eventuelt tilleggsvederlag for avslutning av avtalen fremgår av bilag
• Avslutningsmekanismen skal hindre innlåsning og sikre nødvendig fleksibilitet
4.7 Eksempler på krav til Tjenestekvalitet (SLA)
Ved kjøp av skytjenester må kunden foreta en vurdering av hvilke SLA-krav som skal stilles til tjenestekvaliteten. SLA-ene vil normalt sikre kunden visse standardiserte refusjoner, for eksempel der kunden opplever for lav oppetid eller andre bestemt avvik i det som leveres. I skytjenesteavtalen er det verdt å merke seg at avtalt SLA først begynner å løpe fra godkjenningsdag.
Kunden bør enten definere aktuelt tjenestenivå eller legge opp til en systematikk som muliggjør sammenligning av leverandørens tilbud. Fordi skytjenestene ofte skal settes sammen av tjenester som leverandøren velger, anbefales det at leverandøren gis en frihet til å angi nærmere hvilke nivåer som tilbys. En slik løsning kan kombineres med en evaluering av tilbudt tjenestenivå. Særlig der kunden er en offentlig aktør, må SLA-bilaget være tilstrekkelig utfylt slik at leverandørene kan besvare SLA-kravene på en måte som lar seg sammenligne.
Nedenfor gis det noen eksempler på elementer som typisk bør inntas.
4.7.1 Tilgjengelighet for Skytjenestene
Det tillates at skytjenestene tas ned for vedlikehold, kalt planlagt nedetid, <antall ganger per år> med <måneders forvarsel> og da kun på følgende tidspunkter <fra kl til kl> på <angitte ukedager>. Tilgjengelighet måles som følger: < >
Leverandøren garanterer en tilgjengelighetsprosent for skytjenestene utover planlagt nedetid på <prosent>, definert i antall minutter nedetid av total tid per måned omregnet i minutter.
Nedetid som ikke er planlagt nedetid, er definert som den perioden skytjenestene <innehar kritiske feil som gjør at den ikke kan utnyttes eller at skytjenestene er utilgjengelig for brukerne av tjenestene>.
Maksimalt antall tilfeller av nedetid som ikke planlagt er <antall tilfeller> per måned.
Leverandøren skal oppfylle følgende kapasitetskrav til volumer for data i tilknytning til skytjenestene eller en spesifisert andel av skytjenestene:
< >
4.7.3 Krav til behandlings- og responstider
Leverandøren skal oppfylle følgende krav til behandlings- og responstider:
< >
Kravene er basert på følgende tester som dokumenterer at kravene er oppnåelige:
< >
4.7.4 Krav til reaksjons- og feilrettingstid
Kunde skal melde feil til leverandøren i henhold til følgende prosedyre:
< >
Leverandøren skal påbegynne retting av meldte A-feil innen <antall timer> og B-feil innen
<antall timer> etter at feilen er meldt. Retting av A-feil skal pågå <kontinuerlig frem til feilen er rettet alternativt senest innen antall timer>. Retting av B-feil skal pågå <uten ugrunnet opphold inntil feilen er rettet alternativt senest innen antall arbeidsdager>. Dersom fristene ikke overholdes, fremgår eventuelle standardiserte refusjoner av det etterfølgende.
4.8 Eksempler på krav til standardiserte refusjoner
Ved forsinkelse av milepæler i bilag 3 skal det beregnes en dagbot på < > prosent av summen av vederlaget for etableringsprosjektet og godkjenningsperioden. Dagbøtene løper i totalt inntil < > kalenderdager. Dersom vederlaget for godkjenningsperioden er periodisk, vil dagboten være < > prosent av månedlig vederlag.
Ved leverandørens manglende oppfyllelse av kravene til tilgjengelighet som ikke skyldes planlagt nedetid, i løpet av en avregningsperiode, beregnes standardiserte refusjoner som beskrevet i det etterfølgende.
Avvik | Opp til < > prosentpoeng | Opp til < > prosentpoeng | Opp til < > prosentpoeng | Over < > prosentpoeng |
Refusjon | < > % | < > % | < > % | < > % |
Xxxxxxxx refusjon etter dette punkt i < > eller flere av de < > siste avregningsperioder, skal regnes som vesentlig mislighold.
4.8.3 Behandlings- og responstider
Ved avvik fra kravene til behandlings- og responstider i punkt i løpet av en avregningsperiode, beregnes refusjon som beskrevet i det etterfølgende. Refusjonen beregnes her ut fra avvik i kravene på bakgrunn av resultatene av behandlings- og responstidsmålingene som leverandøren har gjennomført.
Avvik | Gjennomsnittlig overskridelse opp til < > sek | Opp til og med < > sek | Opp til og med < > sek | Over < > sek |
Refusjon | < > % | < > % | < > % | < > % |
4.8.4 Brudd på krav til reaksjonstid og feilrettingstid
Ved manglende oppfyllelse av kravene til reaksjonstid og feilrettingstid for A-feil <og B- feil> i løpet av en avregningsperiode, beregnes refusjon som beskrevet i det etterfølgende. Refusjonen beregnes her ut fra avvik i kravene til reaksjonstid og feilrettingstid, summert over avregningsperioden.
Avvik fra krav til reaksjonstid | Opp til <antall timer> | Opp til < antall timer> | Opp til < antall timer> | Over < antall timer> |
Refusjon | < > % | < > % | < > % | < > % |
Avvik fra krav til feilrettingstid | Opp til <antall timer> | Opp til < antall timer> | Opp til < antall timer> | Over < antall timer> |
Refusjon | < > % | < > % | < > % | < > % |
<Det må spesifiseres om standardiserte refusjoner knyttet til dette kravet kan kreves i tillegg til de andre standardiserte refusjonene over, eller erstatter en av dem.>