Gå til innhold

Lov&Data

2/2022: Nytt om IT-kontrakter
09/09/2022

Nytt om IT-kontrakter – Ny version af den danske standardaftale for IT-drift (D17)

Av Tim Krarup Nielsen, partner & certificeret IT-advokat, DAHL Advokatpartnerselskab og forfatter, partner & certificeret IT-advokat, DAHL Advokatpartnerselskab

D17 for begyndere

D17 har siden introduktionen i 2017 været en anerkendt branchestandardkontrakt for IT-drift i små og mellemstore virksomheder i Danmark. D17 er i det væsentligste et balanceret «agreed document» skabt i samarbejde mellem kundesiden (Dansk IT), leverandørsiden (IT-Branchen), neutrale praktiske kompetencer (Danske IT-advokater) og neutrale akademiske kompetencer (professor, dr. jur. Henrik Udsen).

Der er løbende frigivet opdateringer til D17. Den seneste opdatering - version 4 – er netop frigivet.

Kontrakten er tilgængelig på D17.dk.

Baggrund for version 4

En af ambitionerne bag D17 er at sikre en tidssvarende driftskontrakt. Markedet for IT-drift udvikles løbende – og dermed må D17 følge med udviklingen og de ændrede behov hos branchen.

En af de mest markante ændringer af betydning for kontraktparadigmet for IT-drift knytter sig til branchens bevægelse mod øget brug af Public Cloud.

Et andet væsentligt tema er behovet for en balanceret sikring af driften ved uenigheder.

Ligeledes er IT-sikkerhed et stadigt mere aktuelt emne.

Ansvarsbegrænsning ift. GDPR er også reguleret i den opdaterede version.

Version 4 af D17 er i det hele taget den hidtil mest gennemgribende opdatering af kontrakten, og indeholder et bud på håndteringen af blandt andet disse emner.

Første danske standardkontrakt til håndtering af Public Cloud

Ingen danske standardkontrakter har tidligere indeholdt regulering af Public Cloud. Heller ikke D17. Det ændres med version 4.

D17 er nu opdateret til at kunne bruges i en Public Cloud leverance.

Behovet for håndtering af Public Cloud i driftskontrakten har været efterspurgt af branchen. Det bliver mere og mere almindeligt for virksomheder at benytte sig af cloudydelser.

Problemet med Public Cloud er typisk, at der ikke er tale om en leverance, som leverandøren har rådigheden over – og som kun kan indkøbes af leverandøren på standardiserede og ensidige aftalevilkår. Det svarer i mange tilfælde til leverance af standardsoftware.

Den nye version af D17 balancerer dette markedsvilkår op mod leverandørens ansvar som IT-driftsleverandør, der i udgangspunktet forventes at tage et samlet leveranceansvar.

Leverandøren skal som udgangspunkt være kundens kontaktpunkt over for Public Cloud leverandører. Derudover skal leverandøren sikre kunden nem adgang til at gøre sig bekendt med vilkårene for adgangen til Public Cloud ydelserne og loyalt rådgive kunden om konsekvenserne af brugen af Public Cloud ydelserne, sikkerhed og opfyldelsen af servicemål.

Leverandørens leveranceansvar præciseres også. For det første pålægges Leverandøren ansvaret for at have sikret sig, at valgte Public Cloud ydelser er egnet til understøttelse af de aftalte services. For det andet pålægges Leverandøren ansvaret for at sikre integrationen af Public Cloud ydelser i kundens aftalte services. Leverandøren er i den forbindelse ansvarlig for, at Public Cloud ydelserne ikke hindrer, at afprøvninger i transitions- og transformationsfasen forløber efter de aftalte tidsplaner.

Et væsentligt reguleringstema ifm. reguleringen af Public Cloud har i den forbindelse været leverandørens ansvar for fejl eller mangler fra Public Cloud leverandøren. Løsningen er, at leverandørens ansvar skal baseres på et Back-to-back-princip ift. Public Cloud leverandøren, således at leverandøren ikke påtager sig mere ansvar, end Public Cloud leverandøren gør efter sine standardvilkår. Dette forudsætter dog, at fejlen kan henføres til en Public Cloud ydelse, og at leverandøren har indrapporteret fejlen eller manglen til Public Cloud leverandøren. Ved kritiske fejl er leverandøren endvidere forpligtet til at udøve rimelige og sædvanlige bestræbelser på at søge afhjælpning af fejlens konsekvenser for kunden.

Endeligt regulerer D17 hvilke ændringer og konsekvenser i Public Cloud ydelserne, der skal betales af leverandøren, og hvilke der skal behandles som en betalbar ændring.

Øget fokus på sikring af fortsat drift ifm. uenigheder

En kendt problemstilling er, at kunden og leverandøren bliver uenige om f.eks. kategoriseringen af en fejl, mangel eller om afhjælpning af disse er særskilt betalbare, ligesom der kan opstå uenighed om, hvorvidt en rekvireret ydelse er inkluderet i aftalte services eller ej.

I disse situationer hænder det, at leverandøren nægter at udbedre fejlen eller manglen, eller udfører den rekvirerede ydelse, indtil der er taget hånd om disse spørgsmål og betaling er aftalt. Det kan medføre økonomiske tab og driftsproblemer for kunden – særligt ved drift af kritiske IT-systemer.

Dette er løbende søgt løst gennem forskellige varianter, samlet kendt under betegnelser som «Fix and deliver first, settle later». Løsningerne har dog haft tendens til enten at favorisere den ene eller den anden part ved praktisk brug.

I den nye version af D17, forsøges dette balanceret yderligere.

«Fix first, settle later» medfører, at leverandøren skal iværksætte afhjælpning uanset om leverandøren er uenig i kundens indsigelser.

«Deliver first, settle later» medfører, at leverandøren fortsat skal levere alle services, der vurderes som nødvendige for opretholdelse af kundens drift, uanset uenighed om hvorvidt servicen er særskilt betalbar eller ej. Derudover er leverandøren ikke berettiget til at udøve tilbageholdsret i, standse eller udskyde leveringen af services i tilfælde af, at kunden gør en indsigelse gældende.

Begge forhold er reguleret i D17. Reguleringen er med til at sikre kunden hurtigere afhjælpning ifm. driftsproblemer og sikrer at driften fortsætter uændret uanset uenigheder.

For at sikre balancen, kan leverandøren anmode kunden om at indhente en udtalelse fra en juridisk eller teknisk ekspert, hvis uenigheder om afhjælpningspligt eller betalingskrav ikke afklares inden et nærmere aftalt antal dage. En sådan udtalelse vil derefter være bindende, medmindre spørgsmålet efterfølgende kræves afgjort ved voldgift.

Viser det sig efterfølgende, at der ikke var tale om en mangel, eller at servicen var en særskilt betalbar service, skal kunden fuldt ud kompensere leverandøren for dennes dokumenterede tidsforbrug anvendt til afhjælpningen eller leveringen af services. Hvis det derudover ved sagkyndig vurdering godtgøres, at kunden var eller burde være klar over, at kravene var uberettigede, skal der tages hensyn til dette ved omkostningsfordelingen og leverandøren vil være berettiget til et aftalt tillæg på sine timepriser for det udførte arbejde.

Der er således søgt en yderligere balancering mellem sikringen af driften overfor konsekvensen af kundens standpunktsrisiko.

Yderligere regulering af leverandørens forpligtelser og garantier

Som noget nyt i version 4 er der indsat regulering af leverandørens forpligtelser i forbindelse med sikkerhedshændelser.

Det følger herefter, at leverandøren skal reagere på sikkerhedshændelser, når leverandøren bliver bekendt med disse. Derudover skal leverandøren af egen drift tage initiativ til at sikre en hensigtsmæssig håndtering af sikkerhedshændelserne i overensstemmelse med god IT-skik, herunder foretagelse af en årsagsanalyse, rådgive kunden om eventuelle sikkerhedsbrister samt afhjælpe og implementere workarounds. Leverandørens assistance med håndteringen af sikkerhedshændelser er herefter kun særskilt betalbar, hvis leverandøren kan godtgøre, at sikkerhedshændelsen ikke kan henføres til forhold, som leverandøren har ansvaret for.

Derved skærpes fokus på sikkerhed. Omvendt forpligtes leverandøren ikke ud over sit ansvarsområde. Dermed skabes basis for, at parterne i højere grad håndterer sikkerhedsproblematikken som en egentlig service – og dermed begge parter har opmærksomhed på at levere; hvilke sikkerhedsydelser er ønskelige for kunden, hvad skal de koste og hvad er kravene til disse? Anvendt korrekt, bliver sikkerhed dermed en forebyggende foranstaltning mere end et efterfølgende ansvarsspørgsmål.

I D17’s tidligere versioner var der lagt op til, at parterne selv skulle udarbejde en liste over leverandørens afgivne garantier over for kunden. Version 4 indeholder en liste over visse standardgarantier, som leverandøren afgiver. Leverandøren garanterer herefter, at leverandørens services ikke krænker tredjemands immaterielle rettigheder, at kundens brug af leverandørens services i overensstemmelse med driftskontrakten, ikke vil udgøre en krænkelse af tredjemands immaterielle rettigheder, at leverandøren besidder og opretholder de licenser og tilladelser, der er påkrævet for at kunne levere de aftalte services, samt at kundens data kan udleveres og anvendes i et almindeligt tilgængeligt dataformat i tilfælde af et eventuelt ophør af samarbejdet.

Det er en særskilt diskussion, hvor effektive garantier reelt er i den nordiske retstradition.

Leverandøren må dog forventes i højere grad at blive objektivt ansvarlig for kundens tab som følge af garantisvigt, medmindre det skyldes forhold, som leverandøren ikke har ansvaret for. Dette er nu eksplicit angivet i D17. I driftskontrakten præciseres det desuden, at kontraktens ansvarsbegrænsningsbestemmelse også gælder for tab, der opstår som følge af garantisvigt.

Ansvarsbegrænsning og GDPR

Et udtalt kritikpunkt til K04 (et af Digitaliseringsstyrelsen udarbejdet kontaktparadigme for statslige indkøb af IT-driftsydelser) har været kontraktens manglende stillingtagen til Leverandørens ansvar for udgifter til erstatning og godtgørelse til registrerede ved ulovlig behandling af personoplysninger. Kontrakten giver ganske vist to alternativer, men den ene indebærer, at den beløbsmæssige ansvarsbegrænsning helt bortfalder i visse tilfælde, og det kan allerede konstateres, at i de tilfælde, hvor kontrakten anvendes, vælger hovedparten af kunderne denne løsning.

D17 har aktivt taget stilling til dette, og indeholder nu en bestemmelse som medfører, at de i øvrigt indeholdte beløbsbegrænsningen forhøjes til 150% af det beløb, Leverandøren har modtaget i de foregående 12 måneder for tab opstået som følge af ulovlig behandling af personoplysninger, herunder udgifter til erstatning og godtgørelse til registrerede.

Øvrige ændringer

Den nye version indeholder fortsat en regulering af kundens ret til at tilbageholde en rimelig og forholdsmæssig andel af betalinger for leverancer, hvis kunden har en rimelig grund til at bestride fakturabeløbet. I tidligere versioner af D17, var kunden herefter forpligtet til at deponere det omstridte beløb i sit pengeinstitut og kun udbetale beløbet til leverandøren efter nærmere betingelser var opfyldt eller efter fælles aftale. I version 4 er reguleringen af tilbageholdelse effektiviseret og kravet om deponering fjernet da dette redskab under alle omstændigheder ikke bliver anvendt.

I D17s tidligere versioner var der lagt op til at parterne skulle udfylde to særskilte bilag om tredjepartskontrakter; et bilag om hvilke tredjepartskontrakter, leverandøren skulle overtage administrationen af, og et bilag om hvilke kontrakter, der skulle overdrages til leverandøren. I version 4 er reguleringen af tredjepartskontrakter ændret og forsimplet. I stedet for at lægge op til, at der skal udfyldes to bilag, skal der nu kun udfyldes et bilag. Som i den tidligere version, skal der fortsat angives en liste over de tredjepartskontrakter, som leverandørens skal overtage administrationen af, men som noget nyt skal parterne ikke længere anføre, hvilke tredjepartskontrakter, leverandøren skal overtage. Parterne skal derimod angive hvilke kontrakter, kunden skal opretholde som forudsætning for leverandørens levering af aftalte services.

Af øvrige ændringer af betydning kan nævnes, at kundens bestilling af overdragelsesplan fra leverandøren fremover vil karakteriseres som en service, der bestilles og betales af kunden efter medgået tid. Derudover er de tidligere versioners regulering af overdragelse af medarbejdere udgået.

Endelig skal nævnes, at force majeure klausulen nu eksplicit tager stilling til, at der ikke kan kræves bod eller erstatning i tilfælde, hvor klausulen kan påberåbes, men til gengæld præciseres også, at forholdsmæssigt afslag ikke er afskåret som sanktion.

Tim Krarup Nielsen
Tim Nielsen, portrett

Tim Krarup Nielsen

Forfatter
Claus Sorensen, portrett

Claus F. Sørensen