DEN NORSKE DATAFORENING

Kontrakt for skytjenester: PS2021 Cloud Veiledning for bruk av kontraktsstandarden

Versjon : 1.02

Dato oppdatert : 19.10.2021

INNHOLDSFORTEGNELSE

1 INNLEDNING

1 Innledning ‌

1.1 Bakgrunn ‌

Bruk av standard skytjenester har økt kraftig i mange år, og denne veksten ser ut til å vedvare og forsterkes. Veksten gjelder for alle typer skytjenester, og det er vanlig å skille mellom:

- Infrastructure as a Service (IaaS) – er en internettbasert tjeneste som tilbyr virtuelle servere og nettverk levert som tjenester som er skalerbar for kunden etter behov;

- Platform as a Service (PaaS) – er en plattformbasert skytjeneste som lar brukerne utvikle, kjøre og administrere applikasjoner over internett; og

- Software as a Service (SaaS) – er applikasjoner, inkludert alle underliggende tjenester, levert som tjenester til sluttbrukere hos kunden. I slike applikasjoner er det lagt til rette for ulike grader av konfigurering og integrasjon for å skreddersy applikasjonen for kundens behov.

Komplette løsninger kan baseres på en eller et antall standard skytjenester, og mange kunder har ofte en rekke skytjenester som allerede er etablert. For å etablere nye komplette løsninger kan det være aktuelt å bygge slike løsninger basert på allerede etablerte skytjenester samt skytjenester som anskaffes for det aktuelle behovet.

Leveranse av standard skytjenester reguleres av standard vilkår definert av produsenten av den aktuelle skytjenesten. Ut fra produsentenes fokus på standardisering og volumer er det normalt lite eller ikke noe rom for tilpasning av standard vilkår for den enkelte kunde.

Kunder som ønsker komplette løsninger med tilhørende tjenester basert på en eller et antall ulike standard skytjenester kan dermed ha utfordringer med å etablere kontraktsvilkår som dekker kundens behov for å sikre ansvarsforhold og risiko for den komplette løsningen.

Denne kontraktsstandarden skal støtte kunder som trenger en leverandør som etablerer komplette løsninger basert på standard skytjenester og som også skal bistå kunden med videreutvikling og kvalitet for løsningen igjennom levetiden – og standarden er forberedt for å håndtere den kompleksitet som er beskrevet ovenfor.

For å kunne forstå og tolke spesielle ord og begreper som er benyttet i kontraktsstandarden, er det inkludert en definisjonskatalog i Del I Kontraktsdokumentet. I det følgende benyttes begrepene slik det følger av definisjonskatalogen.

1.2 Formål med Kontrakten ‌

Kontraktsstandarden legger til rette for en avtale mellom en Kunde og en Leverandør, der Leverandøren skal konfigurere, tilpasse og videreutvikle en Løsning basert på en eller flere Standard skytjenester, herunder IaaS, PaaS og SaaS. Løsningen er ment å kunne oppfylle et konkret behov for Kunden, det vil si alt fra etablering av en Standard skytjeneste og til en komplett Løsning som tilpasses og utvikles i henhold til et definert Målbilde. Utgangspunktet i Kontrakten er at Kunden skal inngå egne, separate avtaler om selve tilgangen til Standard skytjenester fra Produsent. En Produsent vil normalt være en annen enhet enn Leverandøren. Det vil si at Leverandøren har ansvar for og leverer konfigureringen og andre tilhørende tjenester basert på Standard skytjenester, slik at Kunden kan godkjenne en komplett Løsning. Standard skytjenester leveres på standard vilkår, og Leverandøren har da i utgangspunktet ikke ansvar for Standard skytjenesters tilgjengelighet eller funksjonalitet.

Kontrakten kan benyttes både av private aktører og offentlige kunder. I offentlig sammenheng er utgangspunktet at Leverandøren inngir tilbud på Kontrakten hensyntatt de

Standard skytjenester Kunden skal kjøpe tilgang til og som Leverandøren bygger Løsningen på. Ved kunngjøring av Kontrakten kan Xxxxxx velge å definere hvilke Standard skytjenester Kunden ønsker å benytte, eller be Leverandøren tilby en Løsning som definerer hvilke Standard skytjenester Kunden må etablere tilgang til.

Konkret skal Kontrakten kunne benyttes til det følgende, slik det også følger av Figur 1 nedenfor:

• Etablering av en Løsning basert på én eller flere Standard skytjenester, hvor det er behov for konfigurering, utvikling og integrasjon

• Videreutvikling av Løsningen innenfor et angitt Målbilde

• Etablering av Løsninger i kombinasjon med utvikling av skreddersydde komponenter

• Leveranse av Verdiøkende tjenester for å sikre tilgjengelighet for Løsningen

Figur 1 Omfang av kontrakten og løsningen

Kontraktsstandarden er en selvstendig og fullverdig avtale som omfatter følgende faser:

- En etableringsfase med et Etableringsprosjekt og produksjonssetting av Løsningen

- En leveransefase for leveranse av Løsningen og verdiøkende tjenester for drift og vedlikehold av Kundetilpasninger. I denne fasen kan kunden også bestille tilleggstjenester og Videreutvikling av Løsningen

- En avslutningsfase for avslutning av Kontrakten

Løsningen som etableres kan bestå av en eller flere Standard skytjenester og Kundetilpasninger. Standard skytjenester kan leveres av Leverandøren selv og/eller via produsenter. Standard skytjenester via Produsenter kan være Direkteavtaler med Produsenter som Kunden har etablert før anskaffelsen eller Direkteavtaler som etableres på bakgrunn av leverandørens endelige tilbud. Kundetilpasninger kan bestå av

- resultatet av konfigurasjon og tilpasninger av standard skytjenester ved hjelp av mekanismer i skytjenesten

- integrasjoner

- eventuell programvare som Leverandøren utvikler og videreutvikler spesifikt til Kunden

- eventuelle programvarekomponenter fra Leverandøren som ikke er underlagt standardbetingelser

Kontraktsstandarden omfatter et sett av tjenester for å støtte Løsningen

- Verdiøkende tjenester omfatter løpende tjenester som ikke er en del av Standard skytjenester. Disse kan for eksempel omfatte drift og vedlikehold av Kundetilpasninger samt overvåkning og tjenesteledelse

- Tilleggstjenester er tjenester som bestilles av kunden og omfatter for eksempel kurs, brukerstøtte og beredskapstjenester

- Videreutvikling er tjenester som bestilles av Kunden for utvikling og Videreutvikling av Kundetilpasninger og implementering av ytterligere Standard skytjenester

Kontraktsstandarden omfatter bestemmelser som gir Kunden støtte fra Leverandøren til Kundens håndtering av direkte avtaler med Produsenter.

1.3 Formål som dekkes av andre kontraktsstandarder ‌

Denne kontraktsstandarden er ikke ment å dekke følgende behov:

- Kjøp av enkle standard skytjenester med lite behov for konfigurering og integrasjon.

- Etablering av komplette løsninger basert på standard skytjenester der kunden selv ønsker å ta ansvaret for å konfigurere, tilgjengeliggjøre og videreutvikle løsningen

- Kjøp av standard skytjenester, som skal dekke en rekke ulike formål (typisk en rammeavtale)

1.4 Dataforeningens rolle ‌

Dataforeningens Faggruppe for IT-kontrakter er ansvarlig både for denne kontrakten og for videreutvikling og forvaltning av PS2000-kontraktsstandarden og de øvrige, tilhørende kontraktsstandardene. Med denne nye kontrakten har Dataforeningen følgende portefølje av kontraktsstandarder som dekker hele livssyklusen for programvarebaserte løsninger:

Figur 2 Dataforeningens kontraktsstandarder

Utarbeidelse av denne kontraktsstandarden ble påbegynt høsten 2018 og har pågått frem til våren 2021. Arbeidet er utført av en arbeidsgruppe med PROMIS AS ved Xxxxxx Xxxxxxxx som leder. Xxx Xxxxxx Xxxxxxxxx fra PROMIS AS, Xxxxx Xxxxx ved Xxxxxxxxxxxxxx Xxxxxxxx Xxxx Xxxx og Xxxxx Xxxxxxx ved Vaar Advokat har hatt sentrale utførende roller. I tillegg har arbeidsgruppen bestått av deltagere fra:

- Capgemini

- Bekk

- Computas

- Sopra Steria

- NAV

- Tolldirektoratet

- Advokatfirmaet Berngaard

Arbeidet er utført på oppdrag fra Dataforeningens styre for Faggruppen for IT-kontrakter som har tilnærmet lik representasjon fra både kunde-, leverandør- og rådgiversiden.

Mer informasjon om Dataforeningen og faggruppens arbeid kan fås ved henvendelse til Den Norske Dataforening eller PROMIS AS.

1.5 Referanser ‌

I arbeidet med kontraktsstandarden har vi hentet inspirasjon blant annet fra følgende kontraktsstandarder og internasjonale veiledninger på området:

1. Statens standardavtaler og Dataforeningens kontraktsstandarder

2. Practical Guide to Cloud Service Agreements, Version 2.0, Cloud Standards Customer Council (2015)

xxxx://xxx.xxxxx-xxxxxxx.xxx/xxxxxxxxxxxx/XXXX-Xxxxxxxxx-Xxxxx-xx-Xxxxx- Computing.pdf

Kunder i det offentlige bør også vurdere nasjonal strategi for skytjenester, offentliggjort av regjeringen våren 2016: xxx.xxxxxxxxxxx.xx/xx/xxxxxxxxxx/xxxxxxxx-xxxxxxxx-xxx-xxxx-xx- skytenester/id2484403 .

2 Kontraktsstruktur og innhold ‌

Kontrakten er delt inn i:

Del I Kontraktsdokument

Del II Generelle kontraktsbestemmelser Del III Bilag

2.1 Kontraktsdokument (Del I)‌

Kontraktsdokumentet består av en forside med nøkkelinformasjon om Kunde og Leverandør og den inngåtte kontrakten. Kontraktsdokumentet er skilt ut som en egen del for å gi partene frihet til å velge form og innhold på dette overordnede dokumentet.

Det innledende kapitlet i kontraktsdokumentet refererer til Løsningen som skal leveres, og alle Direkteavtaler, Standard skytjenester og hvem som leverer de ulike skytjenestene bør listes opp i dette kapitlet. Kontrakten åpner for at Standard skytjenester kan leveres både via

Direkteavtaler med Produsenter som er utvalgt av Leverandøren, og ved hjelp av Direkteavtaler som Kunden har etablert før tilbud fra Leverandør er innhentet.

Alle deler av Kontrakten refereres i kontraktsdokumentet og rangordningen mellom disse må beskrives. I malen for Del 1 fremgår den rangordning som er anbefalt av arbeidsgruppen.

Varighet for kontrakten skal defineres samt eventuell angivelse av automatisk fornyelse av kontrakten samt oppsigelsesfrister. I denne sammenheng bør Kunden hensynta at varigheten for standard skytjenester passer med angivelsen av Kontraktens varighet. Dette gjelder både der Kunden selv kjenner varigheten på standard skytjenester, og der Kunden ber Leverandøren peke på standard skytjenester.

Alle sentrale begreper for Kontrakten er definert i kontraktsdokumentet.

2.2 Generelle kontraktsbestemmelser (Del II)‌

De generelle kontraktsbestemmelsene skal kunne brukes med få eller ingen endringer. Alle spesifikke vilkår reguleres derfor i bilagene (Del III). Eventuelle endringer til de generelle kontraktsbestemmelsene skal fremgå klart av kontraktsdokumentet.

De generelle kontraktsbestemmelsene inneholder beskrivelse av:

- Etableringsfasen

- Leveransefasen

- Endrings- og avbestillingsbestemmelser

- Partenes plikter

- Leverandørens ansvar for Standard skytjenester

- Avslutningsfasen

- Vederlag og vederlagsbestemmelser

- Sikkerhet og personvern

- Opphavs- og disposisjonsrett

- Rettsmangler

- Bestemmelser om mislighold

- Konfliktløsning

- Øvrige bestemmelser

2.3 Bilag (Del III)‌

Kontrakten Del III er bygget opp med «halvfabrikata»-bilag. Dette skal forenkle utarbeidelsen av bilagene og legge til rette for regulering av alle forhold som de generelle kontraktsbestemmelsene foreskriver skal være nærmere regulert i bilag. For ytterligere å forenkle kontraktsinngåelsen, er det i bilagene inntatt forslag til detaljregulering av tjenestene, samt hvilke tjenester og forpliktelser som må og bør reguleres.

Den forhåndsutfylte bilagsteksten må kompletteres og gjennomgås grundig for å kunne benyttes til å regulere det spesifikke kontraktsforhold. Primært skal spesifikke forhold legges inn i forhåndsdefinerte tabeller. Der det ikke er hensiktsmessig med tabeller, er behov for utfylling markert med <kursiv og klammeparenteser> og eventuelt forslag til tekst. Merk at bilagsteksten på enkelte områder fungerer som en kryssreferanse fra de generelle

kontraktsbestemmelser og som eksempel (i kursiv) for mulig innhold, og altså ikke som en standardtekst.

Bilagene inneholder:

1. Spesifikasjon av Løsningen og tjenestene

2. Etablering

3. Administrative bestemmelser

4. Vederlag og vederlagsbestemmelser

5. Tjenestenivå og standardiserte refusjoner

6. Direkteavtaler med Produsent og andre Standardbetingelser

7. Databehandleravtale

8. Mal for Bestillinger

9. Avslutning av Kontrakten

3 Kontraktens faser ‌

Se kapittel 1.2 for oversiktsfigur for fasene.

3.1 Etableringsfasen ‌

3.1.1 Trinn og hovedaktiviteter ‌

Etableringsfasen gjennomføres i to trinn:

- Et etableringsprosjekt, som består av

o Forberedelse: omfatter utarbeidelse og godkjenning av detaljert fremdriftsplan

o Gjennomføring: omfatter gjennomføring av aktivitetene i planen i forrige punkt

o Leverandørens test: omfatter leverandørens testplan og test av Løsningen og av Verdiøkende tjenester

o Godkjenningsprøve: omfatter kundens verifisering av løsningen og av verdiøkende tjenester. Første arbeidsdag etter godkjenning er godkjenningsdag.

- Produksjonssetting og Oppstartsdag, som omfatter planlegging og gjennomføring av partenes aktiviteter for å sette den godkjente løsningen i produksjon. Kunden må ta stilling til hvem av partene som skal lage ulike deler av planen. Dette er fleksibelt da kundens behov kan variere mye avhengig av hvor omfattende ansvar Kunden vil ha. Første arbeidsdag etter at alle planlagte aktiviteter er gjennomført er Oppstartsdag.‌

3.1.2 Gjennomføring av Etableringsprosjektet

Bilag 2 beskriver ansvar, planlegging, aktiviteter, test og godkjenning av Etableringsprosjektet.

Viktigste målsetninger med etableringsprosjektet er å etablere

- Samarbeid mellom partene

- Prosesser og rutiner for leveranse av Løsningen og av Tjenestene (Verdiøkende tjenester, Tilleggstjenester og Videreutvikling)

- Miljøer for tilpasning/integrasjon, test og leveranse av Løsningen

- Eventuell konvertering av data

- En minimumsløsning av Løsningen som kunden kan ta i bruk

Leverandøren har ansvaret for gjennomføring av ansvarsprosjektet, men arbeidet skal gjennomføres i samarbeid mellom partene. For arbeidet med Kundetilpasninger, se beskrivelse i punkt 1.2, er det to alternative ansvarsmodeller.

- Hvis arbeidet med Kundetilpasninger er av begrenset omfang og omfatter kun en minimumsversjon av Løsningen som Kunden kan ta i bruk, er det nærliggende at Kunden velger den ansvarsmodell at Leverandøren gis ansvaret for arbeidet med å etablere Løsningen innenfor avtalte forutsetninger og en fast pris.

- Hvis arbeidet med kundetilpasninger er mer omfattende enn minimumsversjonen, er det nærliggende at arbeidet med Kundetilpasninger baseres på delt ansvar mellom partene innenfor avtalte forutsetninger og en målpris.

Krav til Løsningen i Etableringsprosjektet og til Verdiøkende tjenester er beskrevet i Bilag 1.

3.2 Leveransefasen ‌

3.2.1 Løpende leveranser ‌

I leveransefasen er det løpende leveranse av Løsningen og av Verdiøkende tjenester slik disse er godkjent og produksjonssatt i etableringsfasen i henhold til krav og løsningsbeskrivelse i Bilag 1 samt i henhold til krav til tjenestenivå definert i Bilag 5.

Løpende administrative og kommersielle oppgaver skal gjennomføres som beskrevet i Bilag 3 og Bilag 4.

Kunden kan bestille Tilleggstjenester og Videreutvikling som beskrevet i punktene under. Ved behov for andre endringer brukes bestemmelsene for endringshåndtering i de generelle kontraktsbestemmelsene.

3.2.2 Bestilling av Tilleggstjenester ‌

Kunden kan bestille tilleggstjenester ved bruk av mal for slike bestillinger i Bilag 8. Krav og beskrivelse av tilleggstjenestene er dokumentert i Bilag 1.

3.2.3 Bestilling av Xxxxxxxxxxxxxxx x

Kunden kan bestille videreutvikling av Løsningen ved bruk av mal for slike Bestillinger i Bilag 8.

Bestillinger kan omfatte Videreutvikling av Kundetilpasninger, se beskrivelse i punkt 1.2, samt implementering av nye Standard skytjenester. Kunden definerer hvor mange Bestillinger som skal gjennomføres og omfang for hver Bestilling.

Videreutvikling skal holde seg innenfor de rammer og formål som er beskrevet i Målbildet for løsningen i Bilag 1. Eventuelle standard skytjenester, fri programvare, utstyr og andre programvarekomponenter som skal implementeres igjennom videreutvikling i leveransefasen skal også være identifisert i Bilag 1.

Xxxxx for videreutvikling av kapitler som kan fungere som en sjekkliste for Bestillinger. Her skal administrative forhold, milepæler, ressurser og godkjenning beskrives.

Gjennomføringsmodell, miljøer og utviklingsverktøy for videreutvikling er beskrevet i Bilag 1.

Vederlag for videreutvikling er basert på timeforbruk og avtalte timepriser, så det er kunden som dekker kommersiell risiko for arbeidet. Ved behov kan Xxxxxx etablere insentiv- og

sanksjonsmekanismer for bestillingen. Prinsippene for slike mekanismer skal være beskrevet i Bilag 1.

3.3 Avslutningsfase ‌

I forbindelse med avslutningen av Kontrakten er det definert en avslutningsfase der leverandøren plikter å bidra med kompetanseoverføring samt overføring av Kundetilpasninger, Verdiøkende tjenester, kundens data og annet som kunden har rettighetene til.

4 Håndtering av standardvilkår i Kontrakten ‌

I PS2021 Cloud er flere av utfordringene knyttet til anskaffelse av skytjenester løst ved bruk av Direkteavtaler.

Som det også fremgår av pkt. 1.2 ovenfor, finnes det to varianter av Direkteavtaler i Kontrakten:

1. Avtaler som kunden signerer direkte med produsent, eller der kunden «på annen måte er forpliktet til å akseptere vilkår» fra produsent, og

2. Avtaler om tilgang til standard skytjenester som kunden har angitt.

Den første varianten favner begge avtalemodellene som produsentene benytter for salg av sine skytjenester.

Det vil si det direkte salget med signering av avtale mellom Kunden og Produsenten, og det indirekte salget via en annen leverandør (oftest kalt distributør) hvor det inngås avtaler i flere ledd fra Produsent og Leverandør til Kunde. I det siste tilfellet er det ofte slik at selv om Xxxxxx ikke skal signere standardvilkårene, så krever Produsent at vilkårene skal gjelde fullt ut som de er overfor Kunden. Kunden må dermed forholde seg til disse vilkårene som om det var en signert Direkteavtale.

I PS2021 Cloud unngår man dermed at det blir et rangforhold mellom avtalen inngått mellom Kunden og Leverandøren og standardvilkårene. Man unngår også den typiske

situasjonen hvor Leverandøren må ta forbehold mot kundens vilkår med påfølgende avvisning av tilbudet hvis forbeholdene er vesentlige.

For tilfeller der Leverandøren er Produsent, er det presisert at Leverandøren også kan opptre som Produsent. Leverandøren får dermed to roller og kan benytte standardvilkårene som direkteavtale på samme måte som en Leverandør som ikke er Produsent kan det. En distributør som videreformidler Standard skytjenester vil regnes som underleverandør til Leverandøren og eventuelle standardvilkår distributøren har vil ikke omfattes av direkteavtaledefinisjonen. Det er presisert at partene kan avtale at vederlaget for standard skytjenester kan betales til leverandøren selv om det inngås direkteavtale.

Den andre varianten av Direkteavtale favner de tilfellene hvor Xxxxxx har inngått eller har avtale på plass hvor avtale/avrop kan inngås om kjøp av én eller flere navngitte Standard skytjenester før Leverandørens tilbud innhentes. Leverandører kan da vurdere om de ønsker å levere tilbud basert på kundens utgangspunkt for å levere sine tjenester for å få Løsningen på plass.

Leverandørens ansvar for Standard skytjenester følger av kontraktens Del II pkt. 6. Partene i en Direkteavtale er Kunden og Produsenten. Avtalens system er slik at Leverandøren ikke har ansvaret for Standard skytjenester, med mindre det er regulert særskilt.

Leverandøren skal være kontaktpunkt mot Produsenten i den utstrekning som fremkommer av Bilag 1. Leverandøren skal videre følge med på endringer i vilkårene for Standard skytjenester og forklare kunden hva endringene innebærer i rimelig tid før endringene trer i kraft. Det vises her til Kontrakten pkt. 6.3. Merk likevel at det er beskrivelsen i Bilag 1 som blir det avgjørende vurderingstemaet med hensyn til Leverandørens konkrete forpliktelser som kontaktpunkt. Det er derfor viktig at Kunden beskriver sitt konkrete behov for oppfølging og bistand og at Leverandøren vurderer de krav som er stilt.

Når det gjelder godkjenning, er det verdt å merke seg at Leverandøren er ansvarlig for at Standard skytjenester fungerer i henhold til Xxxxxxx krav i Bilag 1 på Godkjenningsdag.

I Kontrakten skilles det på Leverandørens ansvar for feil og endringer i skytjenesten før og etter Godkjenningsdag. Godkjenningsdag inntreffer kun én gang da det kun er én etablering i Kontrakten. Feil i standard skytjeneste inngår i beregningen av antall Feil som aksepteres ved godkjenning. I realiteten får Leverandøren ansvaret for en eventuell A-feil i Standard skytjeneste. Leverandøren kontrollerer i stor grad antall B-feil i løsningen (dersom antall feil ikke er satt svært lavt) ved at Feilene i Kundetilpasningene hvor Leverandøren selv har

kontroll på kildekoden rettes før Godkjenningsdag. Leverandøren har ikke kontroll med selve skytjenesten og Kontrakten er derfor utformet slik at det ikke påløper dagbøter der forsinket godkjenning skyldes Feil i Standard skytjeneste. Dersom Godkjenningsdag blir vesentlig forsinket, har Xxxxxx rett til å heve Kontrakten etter skriftlig varsel og rimelig frist til å bringe forholdet i orden, samt kreve erstatning. Det må gjøres en konkret vurdering av om forsinkelsen er vesentlig.

Etter Godkjenningsdag har Leverandøren plikt til å melde feil og bidra til å sikre prioritet for rettingen. Kunden kan anmode om at leverandøren leverer en midlertidig løsning. Dette skal gjennomføres som betalbart arbeid etter konsekvensutredning og endringsordre. Ved endringer i Standard skytjenester skal Leverandøren informere kunden om endringene og foreslå endringer i kundetilpasningene i tilstrekkelig tid før endringen skjer. Dersom kunden ønsker å bøte på en endring av standard skytjenester ved å gjøre endring i Kundetilpasninger, plikter Leverandøren å levere konsekvensutredning som kunden betaler for. Denne plikten er med på å demme opp for en av utfordringene med Standard skytjenester, nemlig at de endrer seg uten at Kunden kan stoppe det.

5 Anskaffelsesprosess og etablering av kontrakt ‌

5.1 Forutsetninger og forarbeid for anskaffelsesprosessen ‌

5.1.1 Offentlige anskaffelsesprosesser ‌

Offentlige anskaffelser av skytjenester kan ofte være omfattende og sammensatt i en slik grad at prosedyren konkurranse med forhandling kan være hensiktsmessig. I de tilfeller der Kunden vurderer at kravene til Løsningen eller Kontrakten ikke kan fastlegges uten etter en dialog med potensielle leverandører, antas det at konkurransepreget dialog kan være en aktuell anskaffelsesprosedyre.

Hvis Løsningen som skal anskaffes er kompleks eller omfattende, bør Kunden forberede flere trinn i utviklingen og leveranse av Løsningen

- en innledende versjon av Løsningen som Kunden kan ta i bruk initielt etter etableringsfasen

- omfanget av et Målbilde for Løsningen i løpet av kontraktsperioden

Målbildet bør analyseres og beskrives i tilstrekkelig grad slik at Videreutvikling av Løsningen i rimelig grad er forutberegnelig for Leverandøren og innenfor regelverket for offentlige anskaffelser. Kunden må også vurdere omfanget for videreutvikling. Hvis

omfanget er stort i forhold til det totale omfanget av anskaffelsen, kan det innebære et behov for å inngå en egen avtale om utvikling/videreutvikling.

Omfanget av den innledende versjonen har betydning for ansvarsforhold, gjennomføringsmodell og vederlagsmodell for Kundetilpasninger innenfor Etableringsprosjektet, og dette må tas med i vurderingen av omfanget for den innledende versjonen i Løsningen, se punkt 3.1.2.

Kunden skal også beskrive krav til gjennomføringsmodell for Videreutvikling av Løsningen i avtaleperioden, og dette bør forberedes i sammenheng med etablering av krav til gjennomføringsmodell i Etableringsprosjektet.

Løsningen baseres på Standard skytjenester, og Kunden må før anskaffelsen vurdere om skytjenestene skal tilbys som en del av Leverandørenes tilbud eller basert på Direkteavtaler som Kunden etablerer selv. Det kan også være en kombinasjon av disse to alternativene, men denne tilnærmingen bør i tilfelle vurderes konkret opp mot anskaffelsesregelverket, herunder hvordan Kunden sikrer at priser kan sammenlignes. Det kan i denne forbindelse være en utfordring at Kunden ikke kan gi innsyn i priser som er avtalt for gjeldende tilgang til skytjenester. Hvis hele eller deler av Løsningen skal baseres på Direkteavtaler som Kunden selv kan benytte, må slike Direkteavtaler kunne beskrives før Kunden tilgjengeliggjør kontraktsdokumentene.

5.1.2 Private anskaffelsesprosesser ‌

I private anskaffelsesprosesser antas at det ofte vil være aktuelt for Kunden å ta kontakt med flere potensielle leverandører, med plan om å gjennomføre en forhandlingsprosess med disse. I motsetning til i en offentlig anskaffelsesprosess kan det i denne sammenheng for eksempel forhandles ved alle sider ved Kundens utforming av krav, og Kunden kan i samarbeid med potensielle leverandører detaljere hvilke krav som bør stilles og hvordan de kan oppfylles. I denne type prosess kan i prinsippet alle deler av Kontrakten endres.

I denne type avtale mellom private parter, kan det være aktuelt å legge opp til at enhver standard skytjeneste kan benyttes, og at slike standard skytjenester kan tas i bruk i henhold til nærmere avtale eller enighet mellom partene. Videre antas det at bestemmelsen i Kontrakten pkt. 6.2 kan være gjenstand for forhandling, med henvisning til at det i en privat sammenheng ikke er nødvendig å holde Leverandøren ansvarlig for at skytjenesten fungerer som forutsatt på Godkjenningsdag. Den private Kunden bør i et slikt tilfelle vurdere om dette er en risiko som Kunden kan akseptere i det konkrete tilfellet.

5.2 Konkurransegrunnlag og krav til utforming av tilbud ‌

Ved utsendelse av konkurransegrunnlag bør de generelle kontraktsbestemmelser og bilag, så langt de lar seg utfylle fra Kundens side, være inkludert som grunnlag for potensielle leverandørers tilbud. I offentlige anskaffelser må dette ses i sammenheng med lov om offentlige anskaffelser med tilhørende forskrifter. Når kontraktens bilag er så komplett utfylt som mulig, bidrar dette til at det blir enklere å sammenligne leverandørenes tilbud, men også til at eventuelle uklarheter avdekkes. På denne måten vil det bli mindre arbeidskrevende å ferdigstille den endelige kontrakten mellom partene. Nedenfor er det angitt hva hver av partene bør fylle ut for at dette skal bli mulig å oppnå.

Følgende punkter i bilagene bør forberedes av Kunden så langt det er mulig i konkurransegrunnlaget:

- Bilag 1 Spesifikasjon av Løsningen og av Tjenestene

o Overordnet beskrivelse av behov og formål, funksjonelle og ikke-funksjonelle krav til løsningen i etableringsprosjektet, beskrivelse av rammer og formål for Målbilde

o Krav til Verdiøkende tjenester: her er det forutsetninger i de generelle kontraktsbestemmelsene om tjenester som skal inngå; krav til øvrige tjenester spesifiseres ut fra behov

o Krav til Tilleggstjenester defineres ut fra behov

o Krav til Videreutvikling omfatter krav til gjennomføringsmodell, insentivmodeller, miljøer og utviklingsverktøy.

- Bilag 2 Etablering

o Krav til gjennomføring av Etableringsprosjektet

o Valg av ansvarsmodell for Kundetilpasninger, se punkt 3.1.2

o Krav og forutsetninger til arbeid med Kundetilpasninger

o Krav til Leverandørens overordnede testplan og testrapport

o Definisjon av hvilke deler av Verdiøkende tjenester som skal inngå i Godkjenningsprøven

o Godkjenningskriterier for Etableringsprosjektet

o Hvem av partene som skal ha ansvaret for plan for aktiviteter fra Godkjenningsdag til Oppstartsdag (aktiviteter for produksjonssetting)

- Bilag 3 Administrative bestemmelser

o Navn og kontaktinfo for Kundens operativt ansvarlig og bemyndigede person

o Krav til regelmessige rapporter og møter

o Definisjon av kompetansekategorier for Leverandørens ressurser

- Bilag 4 Vederlag og vederlagsbestemmelser

o Vederlagsmodell for Etableringsprosjekt og Verdiøkende tjenester

o Vederlag for avbestilling, midlertidig forlengelse og Avslutning av Kontrakten

o Vederlag for eventuelle beredskapstjenester

o Krav til fakturering og prisregulering

- Bilag 5 Krav til tjenestenivå

o Krav til tilgjengelighet, serviceperiode, reaksjons- og feilrettetid

o Krav til standardiserte refusjoner

- Bilag 6 Direkteavtaler med Produsent og andre standardbetingelser

o Beskrivelse og overordnet om vilkår for direkteavtaler kunden har angitt før leverandørens tilbud ble innhentet

- Bilag 7 Databehandleravtale

o Kundens databehandleravtale med eventuelle vedlegg

I tillegg til bilagene utarbeider Kunden normalt et dokument som beskriver betingelser for konkurransen. Her defineres rammer for forventet omfang for kontraktsperioden samt plan og betingelser for gjennomføring av konkurransen.

5.3 Leverandørens utfylling av tilbudstekst i kontrakt ‌

Det anbefales at kunden gjennom konkurransegrunnlaget stiller krav om at Leverandøren som del av tilbudet utarbeider en utfylt versjon av kontraktens bilag. Følgende punkter i bilagene bør da minimum fylles ut:

- Bilag 1 Spesifikasjon av Løsningen og av Tjenestene

o Overordnet beskrivelse av Løsningen

o Løsningsbeskrivelse for Løsningen for funksjonelle og ikke-funksjonelle krav i Etableringsprosjektet, inklusive Standard skytjenester og eventuell fri programvare, utstyr, infrastruktur og andre programvarekomponenter som inngår i Løsningen

o Løsningsbeskrivelse for Målbildet, inklusive Standard skytjenester og eventuell fri programvare, utstyr, infrastruktur og andre programvarekomponenter som inngår i løsningen

o Beskrivelse av verdiøkende tjenester

o Beskrivelse av tilleggstjenester

o Beskrivelse av gjennomføringsmodell, miljøer og utviklingsverktøy for videreutvikling

- Bilag 2 Etablering

o Beskrivelse av gjennomføring av Etableringsprosjektet

o Overordnet testplan for test av Løsning og Verdiøkende tjenester

o Hvis relevant, beskrivelse av plan for aktiviteter fra Godkjenningsdag til Oppstartsdag (aktiviteter for produksjonssetting)

- Bilag 3 Administrative bestemmelser

o Navn og kontaktinfo for Leverandørens operativt ansvarlig og bemyndigede person

o Identifikasjon av underleverandører

o Ressurser i etableringsfasen og for Tilleggstjenester og Verdiøkende tjenester

- Bilag 4 Vederlag og vederlagsbestemmelser

o Vederlag for Etableringsprosjektet, Standard skytjenester, Verdiøkende tjenester, vederlag for kurs og opplæring

o Priser for eventuelt utviklingsverktøy, utstyr og infrastruktur som eventuelt er en forutsetning for Videreutvikling

o Priser for andre programvarekomponenter som eventuelt inngår i Målbildet

o Timepriser

- Bilag 5 Krav til tjenestenivå

o Rutiner for kundens melding av Feil

- Bilag 6 Direkteavtaler med Produsent og andre standardbetingelser

o Vilkår og varighet for Direkteavtaler på bakgrunn av Leverandørens endelige tilbud og/eller Direkteavtaler Kunden har angitt.

5.4 Grunnlag for evaluering av tilbud ‌

Evaluering av tilbud i en konkurranse om en kontrakt for skytjenester, kan eksempelvis basere seg på følgende:

- Totalkostnad

o En simulering av alle kostnader innenfor kontrakten i hele eller definerte deler av kontraktsperioden

o Økonomisk verdi for eventuelle avvik til kontraktskravene

- Kvalitet for Løsningen

o Løsningen i Etableringsprosjektet

o Løsningen i Målbildet

- Kvalitet i form av gjennomføringsevne

o Gjennomføring av Etableringsprosjektet

o Kvalitet for Tilleggstjenester og Verdiøkende tjenester

o Gjennomføringsmodell og forutsetninger for Videreutvikling

o Kompetanse og erfaring for tilbudte ressurser

- Risiko knyttet til kontraktsbetingelser og betalingsbetingelser

Selve evalueringen vil basere seg på Leverandørenes besvarelse. Dette må være definert i tildelingskriteriene som inngår i konkurransegrunnlaget.

5.5 Forhold knyttet til personvern og databehandleravtaler ‌

5.5.1 Erstatningsbegrensning knyttet til 9.2.2 ‌

Partenes ansvar for skade som rammer den registrerte er regulert av personvernforordningen artikkel 82. Kontrakten pkt. 9.2.2 inneholder en regulering som forutsetter at personvernforordningen ikke er til hinder for at partene avtaler et begrenset erstatningsansvar ved regressansvar etter artikkel 82. Det er lagt til grunn at en slik ansvarsbegrensning ikke begrenser partenes erstatningsansvar overfor den registrerte.

Regressansvaret er begrenset til 200 prosent av Etableringsvederlaget eller 200 prosent av siste 12 måneders forfalt Løpende vederlag avhengig av hvor man er i gjennomføringen av Kontrakten. Erstatningsbegrensningen gjelder kun Leverandørens ansvar.

Bakgrunnen for at vi mener at denne reguleringen er rimelig, er i all hovedsak

at Leverandøren som databehandler ofte har en begrenset rolle i behandlingen av personopplysningene i Løsningen, særlig hensyntatt ansvarssystemet i Kontrakten og sammenhengen med Direkteavtaler.

5.5.2 Særlig om regressansvar (Kontrakten pkt. 9.2.3)‌

I tillegg til begrensningen ovenfor er Kontrakten utformet slik at partene ikke har adgang til å kreve regress knyttet til ilagt overtredelsesgebyr etter personvernforordningen artikkel

83. Avgrensningen gjelder på samme måte overfor hver av partene. I de fleste tilfeller ser vi

imidlertid at det er den behandlingsansvarlige som blir ilagt et overtredelsesgebyr. I praksis verner bestemmelsen derfor Leverandøren i større utstrekning enn Xxxxxx.

5.5.3 Om erstatning, regressansvar og nye Standard Contractual Clauses ‌

Hva gjelder forholdet til nye Standard Contractual Clauses (SCC)1 for overføring til tredjeland, bør Partene være oppmerksomme på at ny SCC tilsier at det ikke kan avtales erstatningsbegrensninger eller regressansvar som nevnt ovenfor hva gjelder overføring til tredjeland. Det vises særlig til «Clause 12» og reguleringen knyttet til Modul 3 og 4. Det følger også av «Clause 5» at reguleringen i SCC-en har forrang.

I PS2021 Cloud er reguleringen i Kontrakten 9.2.2 og 9.2.3 likevel innrettet mot Leverandøren og ikke Produsenten. Med mindre Kunden skal benytte SCC i direkte relasjon til Leverandøren, bør SCC-en som eventuelt benyttes overfor Produsent for overføringer til tredjeland, ikke påvirke ansvarsforholdet mellom Kunde og Leverandør.

For øvrig bør Kunden være oppmerksom på at det kan være nødvendig å gjennomføre ytterligere tiltak dersom overføringsgrunnlaget ikke anses å være tilstrekkelig til å oppnå et tilsvarende beskyttelsesnivå som internt i EU/EØS. I forbindelse med skytjenester, kan det eksempelvis være nødvendig å ta stilling til hvilken krypteringsteknologi som tilbys. Det vises i denne forbindelse til EDPBs veileder av juni 2021: xxxxx://xxxx.xxxxxx.xx/xxxxxx/xxxxx/0000- 06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

Vi anbefaler at Kunden foretar vurderinger av hvilke overføringer til tredjeland Kunden kan akseptere før en eventuell anskaffelsesprosess igangsettes, evt. med hvilke forutsetninger overføringene kan aksepteres.

5.5.4 Databehandleravtaler ‌

En Kunde som ved bruk av Kontrakten skal behandle personopplysninger i Løsningen,

vil ofte måtte inngå en databehandleravtale med Leverandøren og en annen med Produsent. Databehandleravtalen som inngås med Leverandør kan i stor grad defineres av

Kunden. Databehandleravtalen som gjelder for behandlingen i selve skytjenestene er en annen sak. Her legger Kontrakten opp til at slik databehandleravtale er en del av standardvilkårene fra Produsent. Kunden kan ofte ikke avgjøre hvilke deler av behandlingen som skal foregå hos Leverandør og Produsent. Det anbefales derfor at Kunden angir hva som skal behandles og at Leverandøren beskriver nærmere hvordan dette håndteres av Leverandøren og av Produsent.

5.6 Om opphavsrett og disposisjonsrett ‌

Det følger av Kontrakten at Kunden ikke oppnår disposisjonsrett til Standard skytjenester utover det som følger av standardbestemmelsene for skytjenestene. Dette henger sammen med at Leverandøren normalt ikke vil ha rettigheter til Standard skytjenester som kan overdras til Kunden helt eller delvis.

Når det gjelder disposisjonsrett til Kundetilpasninger er situasjonen langt på vei motsatt, ettersom dette er ment å være en del av ytelsen som Leverandøren utvikler eller tilpasser for Kunden. Det følger av Kontrakten at Leverandøren har eiendoms- og opphavsrett til de Kundetilpasninger som utvikles for Kunden.

Kontrakten innebærer videre at Kunden oppnår en ikke-eksklusiv disposisjonsrett til Kundetilpasninger så lenge Kontrakten løper.

1 av 4. juni 2021 xxxxx://xxx-xxx.xxxxxx.xx/xxx/xxx_xxxx/0000/000/xx

Etter avslutning av Kontrakten får Xxxxxx uten ytterligere vederlag en ikke-eksklusiv disposisjonsrett samt rett til videreutvikling og videre konfigurering av Kundetilpasninger for eget bruk. Kunden må likevel ta høyde for at de Kundetilpasninger som har blitt utviklet til å kunne benyttes i en konkret Løsning, ikke uten videre enkelt kan benyttes videre. Normalt antas det at en videre utnyttelse av Kundetilpasningene kun vil være praktisk der Kunden også har tilgang til de aktuelle standard skytjenester.

Document Metadata

DEN NORSKE DATAFORENING

Document Metadata

DEN NORSKE DATAFORENING

Kontrakt for skytjenester: PS2021 Cloud Veiledning for bruk av kontraktsstandarden

3

6

8

10

11

Document Metadata