Advokatens tips: Slik bør dere tenke ved kjøp av skytjenester

Migrering til skyen gir oss en rekke nye juridiske aspekter å ta hensyn til. Og det blir ekstra mye å holde orden på i hybridmiljøer som omfatter flere leverandører. Å bruke standardavtaler er en god start. Advokat Lars Folkvard Giske forteller om spørsmålene bedrifter må ta stilling til, men som mange glemmer.

IT-juss kan være komplisert, også når det er snakk om tradisjonelle teknologiske løsninger. Når det dreier seg om offentlige skytjenester, dukker det opp flere nye aspekter som kundene bør ta hensyn til. Og i hybridmiljøer med innslag av både offentlige og private skyer, samt kanskje også tradisjonelle IT-løsninger, blir det enda mer å holde orden på.

– Det er mange ulike aspekter, og alle er like vanskelige for kunder som ikke har juridisk kompetanse. Likevel er det min erfaring at svært få skyavtaler i Norge gjennomgås av jurister, sier Lars Folkvard Giske, advokat og partner i Føyen Torkildsen, med IT-juss som spesialitet.

Før vi begynner å ramse opp alle de ulike juridiske aspektene ved skytjenester, har Lars Folkvard Giske noen generelle tips om ting som skykunder ofte glemmer:

• Mange er veldig opptatt av å etterleve lover og regler, for eksempel når det gjelder GDPR, og det er selvsagt bra. Men dette er bare ett av aspektene man må ta hensyn til. Jobben er ikke gjort selv om man har sørget for regeletterlevelse.
• Mange glemmer å analysere hva en avtale om en skytjeneste egentlig innebærer med tanke på rettigheter og plikter som kunde, for eksempel muligheten for leverandøren til å si opp avtalen på så kort varsel at en som kunde ikke rekker å planlegge for alternativer – og ikke minst fokusere på hvor forutsigbare prisene og andre vilkår er.
• Mange tror at de bare må godta vilkårene fra store internasjonale leverandører av skytjenester. Men det går ofte an å forhandle bare en sørger for konkurranse. Ikke bare om priser, prissikring og lisensmetrikker, men om ulike typer vilkår som varighet, endringsadgang, oppsigelse og lignende bestemmelser hvor en som kunde er ute etter forutsigbarhet/få «heads-up» så en kan planlegge.

– Det er utrolig hva en kunde kan få gjennomslag for i forhandlinger om skytjenester, forteller Lars Folkvard Giske, med unntak for kanskje de to til tre største IaaS/PaaS leverandørene.

Forbedre forretningsresultatene dine ved hjelp av HPE GreenLake. Les mer om skyen som en tjeneste her.

Vanlig med standardavtaler

I praksis tar mange kunder i Norge utgangspunkt i statens standardavtaler, primært SSA-D og SSA-L, men vi ser de fleste kombinasjoner. Det gjelder både offentlig sektor og private bedrifter. I hvor stor grad man tilpasser standardavtalene, varierer. Nylig har SSA-Sky blitt lansert og det blir spennende hvordan den tas imot i markedet.

Når det gjelder lover, har mange kontroll på personvernforordningen (GDPR), men glemmer andre bransjespesifikke lover og regler som de må ta hensyn til.

Lars Folkvard Giske, advokat og partner i Føyen Torkildsen.

I det store og hele er det egentlig ganske krevende å være kunde og anskaffe skytjenester. En særlig utfordring er store komplekse avtalevilkår som ikke er veldig lett å lese eller forstå uten å ha jobbet mye med slike avtaler.

Det er ikke alltid lett å være systemintegrator/forhandler av tredjeparts skytjenester heller. De får ofte i oppgave å sette sammen teknologiløsninger fra ulike leverandører – av både skytjenester og mer tradisjonelle IT-løsninger som maskinvare. Utfordringen er dels at de internasjonale skyleverandørene har relativt komplekse forhandleravtaler som systemintegratoren må overholde, og uansett så får ikke systemintegratoren normalt noe «back to back» mot skyleverandør for eventuelle forpliktelser som kundene måtte stille. Og da blir utfordringen stor, og mellomrisikoen ukontrollerbar når Kundene ofte baserer seg på standardavtaler som dels pålegger systemintegratoren ansvar for feil i standard skytjenester, et ansvar for å sørge for at standard skytjenester ikke endrer seg slik at kundens krav ikke lengre oppfylles i avtaleperioden, og i noen standardavtaler (som Dataforeningens skytjenesteavtale) så blir ikke kundene engang bundet fullt og helt av skytjenesteleverandørens standardvilkår. Dette selv om systemintegrator gjennom sin forhandleravtale normalt er pålagt å speile vilkårene 100%.

– I praksis er det ikke gunstig at en systemintegrator tar ansvar for leverandørfeil, men en del mindre systemintegratorer gjør det likevel, sier Lars Folkvard Giske.

At systemintegratorer har avtalefestet ansvar for ting de ganske enkelt ikke har kontroll på, kan selvsagt medføre problemer for kunden hvis noe går galt. For å unngå at slike situasjoner oppstår, bør begge parter søke å inngå avtaler hvor risiko og balanse speiler hva den enkelte part har kontroll over.

Be om hjelp ved behov

Hva bør man altså tenke på når man skal kjøpe skytjenester? Mange ting er åpenbare, for eksempel å finne ut hvor data lagres, og hvorvidt  lover og regler som gjelder for den enkelte kunde kan etterleves ved bruk av skytjenestene.

– Hvilke land det er gunstig å kjøpe skytjenester fra, er ofte et politisk spørsmål, sier Lars Folkvard Giske.

Han understreker hvor viktig det er å analysere hvordan avtalevilkårene påvirker IT-driften, og ikke bare godta vilkårene som om de var hugget i stein. Det er for eksempel risikofylt å måtte akseptere vilkår som innebærer rett for skyleverandøren å fjerne tilgang til kritiske eller viktige løsninger fra en dag til neste. Så les for all del gjennom standardvilkårene som gjelder for skytjenestene, og prøv å forstå og få oversikt over hvilke rettigheter og plikter som gjelder for deg. Om du som kunde for eksempel ikke allerede har satt deg godt inn i for eksempel Acceptable Use Policy, eksportkontroll reglene use restrictions og lisensmetrikker i tillegg til prisbestemmelsene, så er det på tide!

Kan en kunde håndtere alle juridiske spørsmål om skytjenester på egen hånd?

– Ja, hvis man har ansatte med riktig kompetanse. Men det er en omfattende jobb med komplekse avtaler bestående av mange vedlegg og referanser. Det er vanskelig å komme frem til smarte løsninger uten å få hjelp av en erfaren person, sier Lars Folkvard Giske.

Her er ofte størrelsen på kundebedriften, eller kundeorganisasjonen, en viktig faktor. Sannsynligheten er større for at en stor bedrift har den nødvendige kompetansen. Ellers er det mye det samme bedriftene må tenke på.

HPE GreenLake gir deg fordelene med skyen som er skreddersydd for dine behov. Les mer her.

Stor påvirkning

HPE i Norge er et selskap som ofte må håndtere juridiske spørsmål i forbindelse med skytjenester, både på egne vegne og for å hjelpe kunder.

– Mange kunder bruker avtaler basert på statens standardavtaler, og vi har i tillegg egne tjenestespesifikke avtaler. Men vi er fleksible fra prosjekt til prosjekt når det gjelder kontraktuelle vilkår, og vi tar utgangspunkt i kundenes ønsker og utfordringer, sier forretningsutvikler Olav Linnestad Aasrum hos HPE i Norge.

Man må være bevisst på at en transformasjon til skytjenester vil endre hele driftsmodellen for IT leveranser og tilhørende prosesser, ofte i stor grad.

Olav Aasrum, HPE.

Han understreker at HPE ikke blander seg inn i avtaler mellom en kunde og en offentlig skyleverandør som for eksempel Amazon eller Microsoft.

– Den løsningen vi implementerer hos en kunde, skal fungere, men vi kan ikke påvirke kontraktuelle vilkår kunden har til andre leverandører. Derfor er det viktig at kunden innhenter kunnskap og kompetanse fra ulike hold før en avtale signeres, forklarer Aasrum.

Hans oppfatning av situasjonen i Norge er at mange selskap ikke er helt klare for overgangen til skytjenester, men likevel tar steget uten å ha tilstrekkelig oversikt over rettigheter og plikter..

– Man må være bevisst på at en transformasjon til skytjenester vil endre hele driftsmodellen for IT leveranser og tilhørende prosesser, ofte i stor grad, avslutter Olav Aasrum.