Alla nyheter

Digitalisering i spåren av Covid-19 – digitaliseringsavtalet

Inledning

Vi tror att övergången till en ”efterkristid” kommer präglas av en ökad digitalisering. Digitaliseringen har tagit ett stort språng till följd av Covid-19 med en global begräsning i resor och fysiska möten. Att använda externa leverantörer är en viktig komponent i digitaliseringsarbetet för många verksamheter. Detta innebär att bra och tydliga IT-avtal behöver träffas som stöder digitaliseringsarbetet. IT-avtal kommer dock med vissa risker och fallgropar. I denna artikel två i vår digitaliseringsserie diskuteras några av de vanligaste fällorna med ”digitaliseringsavtal” samt hur dessa kan undvikas.

Molntjänster – en introduktion

Hur en digitaliseringsfrämjande leverans genomförs i praktiken kan variera mycket. Man kan dock förenklat säga att det finns två huvudsakliga typer av IT-avtal: leveransavtal och tjänsteavtal. Molntjänstavtalet är en typ av tjänsteavtal.

Molntjänster är ett samlingsbegrepp för onlinebaserade IT-tjänster som tillhandhålls av en tredje part istället för genom egna datorer och IT resurser (genom s k on-premise-lösningar). Det som gör molntjänster attraktiva är bland annat att de är skalbara och att användaren inte behöver ha kontroll över och uppdatera infrastrukturen, detta görs istället av leverantören. Molntjänster underlättar även arbete oberoende av såväl tid och plats eller från vilken enhet användaren arbetar.

Följande utgör de allmänt vedertagna huvudtyperna av molntjänster:

  • Software-as-a-Service (SaaS) – färdig mjukvara eller applikation som är tillgänglig över internet, exempelvis Microsoft Office 365, Salesforce, SAP.
  • Platform-as-a-Service (PaaS) – hård- och mjukvaruverktyg som är tillgängliga över internet, exempelvis operativsystem, databaser, programmeringsverktyg och webbservrar.
  • Infrastructure-as-a-Service (IaaS) – tillgång till hårdvarukapacitet över internet, exempelvis lagring, nätverkskapacitet och processorkraft.

Dessa kan jämföras med motsvarande om-premise-lösningar – nedan illustrerat i en bild från Hosting Advice:

Molntjänstavtalet – grundbultar och tips för att undvika fällorna

Tjänstebeskrivning

Tjänstebeskrivningen kan sägas vara hjärtat i varje IT-avtal. I en bra tjänstebeskrivning bör det tydligt framgå vilka tjänster som ska utföras samt vad tjänsterna omfattar. Tjänstebeskrivningen fungerar bland annat som bas för avtalade tjänstenivåer (SLA), garantier och ansvar.

Kunden bör, innan inköp av molntjänster, sätta en kravbild och sedan granska om tjänstebeskrivningen uppfyller dessa krav. Det är särskilt viktigt att kunden noggrant kontrollerar att tjänsten uppfyller behoven om kunden köper standardiserade ”off the shelf” produkter. Det är vanligt att tjänstebeskrivningar är mer eller mindre luddiga, vilket kan vara både till fördel och till nackdel för kunden. Ett alternativ (eller komplement) kan vara att försöka få en testlösning, där funktionalitet kan testas under en begränsad tid. Om det finns en risk att kundens krav inte möts bör detta diskuteras med leverantören. Det är även viktigt att kunden granskar leverantörens säkerhetsåtaganden.

Priser och prismodeller

För att undvika skenande kostnader och för att få till bästa möjliga avtal bör kunden granska molntjänstleverantörens priser och prismodell. Det är vanligt att prismodellen består av en fast priskomponent – ett baspris – och en rörlig priskomponent som baseras på utnyttjade resurser. Kunden bör bland annat granska vad som ingår i baspriset samt hur den rörliga delen är konstruerad. Det är viktigt att förstå vad det är för användning som driver det rörliga priset. Ett exempel på en otydlighet som vi sett i en tvist är hur begreppet ”faktisk användare” (som prisreglerande faktor) skulle tolkas. Det bör tjäna som påminnelse om det viktiga i att tydligt definiera för avtalet centrala begrepp. Det behövs en tydlig definition. Kunden bör även granska om avtalet innehåller begränsningar i flexibilitet.

Ändringshantering

Molntjänster är ”levande tjänster” – d v s de förändras allt eftersom leverantören uppdaterar och förbättrar tjänsterna eftersom man normalt vill leverera samma tjänst till alla kunder. Detta är en naturlig del av molntjänster och en fördel med dem. Att molntjänster är levande tjänster kommer dock med en viktig fråga – hur undviker kunden att tjänsterna försämras och viktig funktionalitet försvinner eller ändras?

Det är vanligt att molntjänstavtal innehåller ensidiga ändringshanteringsskrivningar som är till leverantörens fördel, vilket innebär att leverantören ofta har frihet att ändra tjänsterna på de sätt leverantören anser lämpligt. För att undvika att tjänsterna försämras till den grad att de inte uppfyller kundens behov bör kunden försöka få till en baseline från vilken tjänsterna inte får bli sämre – särskilt vad gäller säkerhet. Kunden bör bland annat se över vilka möjligheter kunden har att säga upp avtalet i förtid, utifall att tjänsterna väsentligt skulle försämras (se vidare nedan under Avtalets upphörande).

Kunden bör även vara försiktig med att acceptera klausuler som gör att leverantören ensidigt kan byta underleverantörer – särskilt om kunden står under Finansinspektionens tillsyn och lyder under EBA:s riktlinjer om outsourcing eller EIOPA:s riktlinjer om outsourcing till molntjänstleverantörer.

Sekretess

Det är viktigt att molntjänstavtalets sekretessklausul är ömsesidig och inte bara omfattar information som leverantören lämnar till kunden. Kunden bör även kontrollera att kundens information uttryckligen inte får:

  • lämnas ut till tredje man,
  • lämnas ut till annan personal hos leverantören än sådan som arbetar med tjänsten, eller
  • användas för andra ändamål än för att leverera tjänsten.

Sekretessklausulen har även betydelse för den s k ”röjandefrågan” enligt OSL, CLOUD Act och regelverket kring överföring av personuppgifter till tredje land enligt GDPR (se vidare här).

Överföring av personuppgifter till tredjeland

Många molntjänstleverantörer är baserade, eller har datacenter, i tredjeländer såsom exempelvis USA, Indien och Kina. För att överföra personuppgifter till tredjeländer krävs enligt det enligt GDPR att lämpliga skyddsåtgärder vidtas. Kunden bör därför noggrant granska var kundens data ska lagras och behandlas enligt avtalet samt se till att behandling av personuppgifter regleras på lämpligt sätt i avtalet. I praktiken är det vanligt att kommissionens standardavtalsklausuler används vid överföring av personuppgifter till tredjeland.

Till följd av EU-domstolens dom i Schrems II-målet är det i dagsläget oklart om det är tillåtet att överföra personuppgifter till USA. Genom domen ogiltigförklarade EU-domstolen Privacy Shield avtalet mellan EU och USA som använts av många företag för att överföra personuppgifter till USA. Standardavtalsklausulerna ogiltigförklarades inte av EU-domstolen i målet, men domstolens resonemang runt de krav som ställs för att kunna använda dem i praktiken skapar osäkerhet kring i vilken utsträckning de kan användas för överföringar till USA.

En annan möjlighet för att överföra uppgifter är interna regelverk i form av BCR – Binding Corporate Rules. Tetra Pak fick nyligen som första svenska företag godkänt av Datainspektionen för sina interna regelverk. Men även om ett sådant godkännande finns, måste det göras en bedömning av om användningen av BCR i förhållande till ett varje enskilt land ger en sådan nivå av säkerhet som krävs enligt GDPR.

Immateriella rättigheter

Vid användning av molntjänster uppkommer frågan vem som äger de immateriella rättigheterna relaterade till tjänsten. Frågan bör ställas i relation till input såsom data och material, till tjänsterna som tillhandahålls genom molnet, samt till output av tjänsten.

Kunden bör granska att inga rättigheter till kundens data och material tillfaller leverantören vid användning av molntjänsterna. Kunden bör även säkerställa att rättigheter till output som genereras genom användning av molntjänsterna tillfaller kunden.

Ansvarsreglering

Det är viktigt att avtalets ansvarsreglering inte gäller ensidigt till leverantörens fördel – d v s att leverantören begränsar sitt ekonomiska ansvar för skador samtidigt som kundens ansvar är obegränsat. Vid granskning av ansvarsregleringen bör kunden uppmärksamma vilka beloppsmässiga begränsningar som gäller samt vilka typer av skador som leverantören inte tar något ansvar för. Kunden bör även skriva in i avtalet att obegränsat ansvar ska gälla om leverantören varit grovt vårdslös, och inte enbart förlita sig på att detta täcks av allmänna rättsprinciper.

Avstängning

Många molntjänstavtal innehåller en rätt för leverantören att stänga av kundens tillgång till molntjänsterna. Molntjänstavtalet lägger ofta ribban lågt för när leverantören ska ha rätt till detta – exempelvis om kunden inte betalar i tid eller om kunden bryter mot leverantörens policys. Detta innebär en hög risk för kunden och kan även vara oförenligt med regulatoriska krav inom vissa branscher. Kunden bör därför se över när och under vilka förutsättningar leverantören får stänga av tjänsten och i vart fall se till att det inte kan göras utan en möjlighet att rätta bristen.

Avtalets upphörande

Om molntjänsterna försämras, leverantören bryter mot avtalsförpliktelser eller om kunden inte längre har behöv av tjänsterna kan uppsägning av avtalet bli aktuellt. Om avtalet gäller på obestämd tid bör kunden ha rätt att säga upp avtalet med kort varsel utan anledning (”termination for convenience”). Om avtalet gäller för viss tid bör kunden granska vilka väsentliga avtalsbrott som kan ge rätt för kunden att säga upp avtalet i förtid och om kunden har rätt att säga upp avtalet ”for convenience”. Här bör dock kunden se upp för att uppsägning av avtal för viss tid utan anledning oftast är knutet till särskilda ersättningskrav – vilket i och för sig kan vara fullt rimligt. Kunden bör även vara noga med att volymförändringar inom prismodellen inte ska utgöra ”termination for convenience”. Slutligen bör kunden granska vilken uppsägningstid som gäller för att kunden ska ha tid att överföra tjänsterna och migrera data till en ny leverantör alternativt hitta en on-premise-lönsning. En kort uppsägningstid utan möjlighet för kunden att välja en längre tid är således inte alltid att föredra.

Kunden bör även granska under vilka omständighet leverantören har rätt att säga upp avtalet i förtid. En röd flagga som kunden bör se upp för är om leverantören med kort varsel kan säga upp avtalet ”for convenience”.

Avslutande kommentar

Molntjänster erbjuder flera fördelar jämfört med traditionella on-premise-lösningar – bland annat ökad flexibilitet, bättre priser samt konstant underhåll och uppdatering av tjänsterna. Användning av molntjänster kommer dock med vissa risker och fällor. Företag som ämnar använda molntjänster bör noggrant granska molntjänstleverantörens avtalsvillkor för att undvika oförutsedda och otrevliga överraskningar. Detta gäller även om villkoren är standardiserade och tillämpas lika för samtliga kunder.

Agne Lindberg

Partner / Advokat

Stockholm

Agne Lindberg