Nytt om IT-kontrtakter
Ny version af standardkontrakten for it-drift, D17, offentliggjort
Den 10. maj 2022 blev version 4 af standardkontrakten for it-drift, D17, offentliggjort.
Version 4 af D17 er den hidtil mest omfattende opdatering af standardkontrakten. Én af de væsentligste nyskabelser er, at D17 nu indeholder en regulering af ansvaret for public cloud-ydelser. Arbejdsgruppen bag D17 har fundet en afbalanceret model, hvor den danske driftsleverandør tager ansvaret for valget af cloud-leverancer samt også er pålagt en pligt til at rådgive kunderne om disse leverancer. Men når først driftsydelsen, inkl. cloud-leverancerne, er sat i drift, afgrænses den danske driftsleverandørs ansvar til et ansvar i henhold til vilkårene fra public cloud-leverandøren, dvs. et back-to-back-ansvar. Anvendelsesområdet for D17 og dens praktiske anvendelighed udvides dermed betydeligt.
Den nye version af D17 indeholder herudover en række andre opdateringer på væsentlige områder, eksempelvis (i) reguleringen af ansvar og opgaver omkring kundens tredjepartskontrakter, (ii) adressering af kravene til it-sikkerhed, (iii) tilgangen til håndteringen af overdragelsesplaner og ophørsbistand, (iv) introduktion og regulering af Kritiske Servicemål, (v) ”fix and deliver first, settle later”, og (vi) ansvarsregulering ved persondatakrænkelser.
Standardkontrakten, D17, er, med få undtagelser, udtryk for et agreed document, dvs. en standardkontrakt, der nyder opbakning fra både kunde- og leverandørorganisationer.
D17 opdateres løbende med angivelse af versionsnummer.
Læs D17-standardaftalen v. 4.0 her: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fd17.dk%2Fwp-content%2Fuploads%2F2022%2F02%2FD17-v4-FINAL.docx&wdOrigin=BROWSELINK
Ny version af standardkontrakten for it-drift, D17, på vej - Bird & Bird (twobirds.com)
Nyt katalog over kontraktbestemmelser skal sikre myndigheders styring med leverandører af samfundskritiske IT-systemer
Den danske Digitaliseringsstyrelse udgav den 4. marts 2022 et nyt katalog over kontraktbestemmelser for samfundskritiske it-systemer, som myndighederne skal implementere i nye kontrakter efter et følg-eller-forklar princip.
Kataloget er udarbejdet af en arbejdsgruppe bestående af det danske Justitsministerium, det danske Forsvarsministerium, den danske Udvikling- og Forenklingsstyrelse og Digitaliseringsstyrelsen. Desuden har Optimum IT og Kammeradvokaten bistået i forløbet. Kataloget udspringer af initiativ 3.3 i den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021, som overordnet har til formål at få bedre styr på leverandører af samfundskritiske it-systemer. Kataloget søger at øge informations- og forsyningssikkerheden for myndighedernes samfundskritiske it-systemer.
Kataloget har fire kontrakttemaer for øje, nemlig driftsafvikling, sikkerhed, persondata og kontrol. Myndighederne får igennem benyttelsen af kontraktbestemmelserne nogle styringsredskaber. Som konkret eksempel kan nævnes step-in-rettigheder og ejerskiftekontrol. Bestemmelserne kan operationaliseres gennem K04, standardkontrakten for it-drift samt det appendiks som offentliggøres sammen med kataloget. Den foreslåede operationalisering behøver dog ikke følges af myndighederne, der i stedet kan vælge at anvende egne kontraktskabeloner, såfremt de indarbejder katalogets bestemmelser.
Følg-eller-forklar princippet medfører, at myndighederne skal implementere alle bestemmelserne i kataloget, medmindre myndigheden kan forklare, hvorfor en bestemmelse under hensyntagen til særlige forhold, ikke bør indgå i en specifik kontrakt.
Læs nyheden her: https://digst.dk/nyheder/nyhedsarkiv/2022/marts/katalog-samfundskritiske-it-systemer/
Læs hele kataloget her: https://sikkerdigital.dk/Media/637819816667401542/Katalog%20over%20kontraktbestemmelser_2022_web.pdf