Ny standardavtale fra DFØ:
SSA-lille sky
Tidligere i år publiserte det norske Direktoratet for forvaltning og økonomistyring (DFØ) sin nyeste standardavtale; «Den lille skyavtalen» (SSA-lille sky). Med sine 25 sider er denne avtalen en litt forenklet versjon av «Statens standardavtale for tilrettelegging, innføring og forvaltning av skytjenester levert på standardvilkår» (SSA-sky) som er på hele 46 sider. SSA-sky har vi tidligere skrevet om i Lov & Data, og det kan legges til at også SSA-lille sky har flere forslag til reguleringer i bilagsmalen, slik at det reelle innholdet er enda litt mer omfattende enn de 25 sidene med generelle kontraktbestemmelser.
Bruksområde for SSA-lille sky er av DFØ beskrevet som anskaffelser av en eller flere skytjenester som skal kunne tas i bruk uten særlig bistand fra leverandøren. Ambisjonsnivået synes å være at også skytjenesteleverandørene selv skal kunne være part i avtalen, i motsetning til det som har vært utgangspunkt for SSA-SKY og SSA-L («Avtale om løpende tjenestekjøp over internett»), som begge legger opp til at en tredjepart (tjenesteintegrator) inngår avtalen med kunden.
SSA-lille sky opererer med begrepene «Skytjenester» og «Tilleggstjenester», hvor førstnevnte typisk vil være en eller flere standardiserte tjenesteleveranser fra en annen enn leverandøren som inngår avtalen med kunden, og sistnevnte vil være tjenestene leverandøren selv skal levere. Tilleggstjenestene er eksemplifisert som integrasjoner, tilpasninger og datakonvertering. Når tjenestene skal beskrives i kontrakten er det viktig å huske veiledningen fra DFØ om at SSA-lille sky skal benyttes når det ikke vil være behov for veldig mye støtte fra leverandøren for at kunden skal kunne ta i bruk skytjenestene.
.jpg)
Det grunnleggende konseptet i SSA-lille sky er at leverandøren, som kan være en tjenesteintegrator eller skytjenesteleverandøren selv, først skal implementere og deretter levere skytjenester fra en eller flere leverandører til kunden. For å ta det siste først så stiller vi oss tvilende til at skytjenesteleverandørene vil akseptere SSA-lille sky som avtale mellom seg og kunden, selv om de får lov til å inkludere sine egne standardvilkår som vedlegg til avtalen. Vi vil nok derfor ende opp i samme situasjon som med SSA-sky og SSA-L, slik at en tredjepart som er villig til å akseptere ansvar og risiko skytjenesteleverandørene selv ikke godtar blir stående som kundens avtalepart og leverandør. Denne leverandøren vil normalt ikke få full ryggdekning fra skytjenesteleverandøren for garantiene (bl a relatert til bruksrett), ansvaret (bl a for funksjonalitet) eller risikoen (bl a ved mislighold) som ligger i forskjellene mellom SSA-lille sky og skytjenesteleverandørenes standardvilkår, og vil derfor ende opp som en form for selger av forsikring mellom den reelle leverandøren av tjenestene og kunden. Vi får håpe og tro at leverandøren evner å ta seg betalt for dette ansvaret og risikoen, og det blir jo da interessant å stille spørsmål om denne merkostnaden står i forhold til merverdien kunden oppnår med denne strukturen.
Vi skal ikke gjennomgå alle utfordringene vi ser ved å bruke SSA-lille sky, men vi konstaterer at det fremdeles ligger en del uklarhet i forholdet mellom den samlede leveransen som inngår i avtalen og spesialreguleringene som gjelder skytjenestene. Det fremstår for oss som i beste fall uklart hvor langt avtalen går i å frita leverandøren fra ansvaret og risikoen for disse skytjenestene. Det som i alle fall er sikkert, er at ansvaret og risikoen vil være mer omfattende ved bruk av SSA-lille sky enn om skytjenesteleverandørenes standardvilkår legges til grunn alene.
Det kanskje største og mest praktiske avviket mellom SSA-lille sky og skytjenesteleverandørenes standardvilkår er, i likhet med SSA-sky og SSA-L, ansvaret for å levere spesifisert funksjonalitet. SSA avtalene legger til grunn at kundens krav og leverandørens svar på kravene og løsningen spesifiseres i bilag 1 og 2 i avtalen. Disse bilagene inneholder normalt omfattende krav til skytjenestenes funksjonalitet, som er noe skytjenesteleverandørene så godt som aldri aksepterer å inkludere i sine avtaler. Resultatet blir følgelig at leverandøren som signerer SSA’en med kunden bærer ansvaret og risikoen for i hvilken grad disse funksjonelle kravene oppfylles i de aktuelle skytjenestene.
På samme måte som for SSA-sky, og enda mer for SSA-lille sky som skal benyttes når leverandørens innsats er begrenset, mener vi en mer hensiktsmessig tilnærming hadde vært «bottom up». Med det mener vi at skytjenestene burde leveres på sine standardvilkår, uten innblanding av reguleringer i SSA-lille sky, og at det leverandøren skal bidra med er regulert positivt ved at det konkret spesifiseres i avtalen. Dette ville gitt en langt enklere og mer brukervennlig avtale, og leverandørens ansvar og risiko ville vært tydeligere og bedre avklart. Det er sjelden en god idé å be om at en leverandør tar ansvar og risiko for forhold han selv ikke kontrollerer, men det er det disse SSA’ene legger til grunn.
Vi tillater oss å oppsummere på samme måte som vi gjorde i forbindelse med SSA-sky. Det er positive og negative sider ved å velge standardiserte skytjenester, som for eksempel stordriftsfordeler, effektivitet, fleksibilitet, stabilitet og standardisering. Men at noe er standard betyr også at hver enkelt kunde ikke kan få det «på sin måte» og heller ikke på sine egne betingelser. Det er dessverre ikke en god løsning å forsøke å plassere en tredjepart imellom for å kompensere for disse avvikene. Dette er den mest grunnleggende årsaken til at vi mener SSA-lille sky dessverre ikke fremstår som en hensiktsmessig kontrakt.
