En mer balansert ansvars­fordeling mellom kunde og leverandør

Standardavtalene har blitt kritisert for å legge mye ansvar på leverandøren til fordel for kunden. Leverandørene har etter SSA-K, -V og -T vært ansvarlig ved mislighold fra alle underleverandører, også de som kun leverer standardprogramvare. I de oppdaterte avtalene er produsent av standardprogramvare ikke ansett som underleverandør, forutsatt at produsentens standardvilkår er inntatt som bilag til avtalen. ­Leverandørene bærer dermed ikke risikoen ved mislighold fra produsent av standardprogramvare i like stor grad som tidligere. Dette er en velkommen endring for leverandørene, som ofte står uten mulighet til å kreve regress fra produsenter av standardprogramvare på grunn av produsentenes omfattende ansvarsbegrensninger.

Crowdstrike-hendelsen i juli illu­strerer betydningen av denne endringen. Datasystemer over hele ­verden stanset som følge av en feiloppdatering fra leverandøren Crowdstrike. En rekke norske IT-selskaper som har levert Crowdstrikes antivirusprogram som en del av egne tjenester, ofte med godkjenning fra kunden, har blitt møtt med erstatningskrav. Spørsmålet er om konsekvensene av de oppdaterte standardavtalene er at kundene må bære tapet ved slike hendelser. I tilfeller der kunden har godkjent bruk av programvaren, er det ikke nødvendigvis mer rimelig at leverandøren alene bærer tapet. Derfor kan denne endringen bidra til en bedre balanse mellom partene. Det er likevel sannsynlig at vi i tiden fremover vil møte nye og komplekse juridiske spørsmål knyttet til definisjonen av standardprogramvare.

Avtalene er også oppdatert med en rekke mindre endringer som er positive for leverandørene. I SSA-B og -O har leverandøren nå rett til å si opp avtalen etter at det har gått 120 dager siden kunden stanset oppdraget eller bistanden. Den særegne bestemmelsen i SSA-D som gir kunden rett til å bytte ut leverandørens personell, er også fjernet. I SSA-D, -V, -T og -O har leverandøren nå rett til å nekte å samarbeide med tredjeparter engasjert av kunden der dette er en «vesentlig ulempe» for eksisterende under­leverandører eller «vesentlig forretningsmessig ulempe» for leverandøren.

I SSA-T har kunden fått rett til å forlange endringer av leveransen som er «nødvendige som følge av endrede rettslige krav». Formålet er trolig å sikre at kunden mottar programvare som kan brukes til tross for at de rettslige rammebetingelsene endrer seg underveis utviklingsløpet. Endrede rettslige krav er imidlertid ikke forhold leverandøren har kontroll over, og endringen medfører derfor en betydelig risiko for leverandørene.

Av øvrige endringer i SSA-T, kan nevnes at garantiperioden for utstyr er økt fra to til tre år.

I SSA-D, -O og -T er det presisert at leverandørene har ansvar for egen bruk av underleverandører. Selv om denne endringen ikke ­utvider det eksisterende kontraktsmedhjelperansvaret, bidrar den til å tydeliggjøre ansvarsforholdene mellom partene.

Til tross for endringene som er gjort, kan det fremdeles gjøres mer for å bedre risikofordelingen mellom kunde og leverandør. SSA-O (Oppdragsavtalen), som forsøker å være en avtale for konsulentoppdrag der leverandøren har et resultatansvar, har ikke et godt regime for godkjenning av leveransen. Et akseptanseregime er en grunnforutsetning for resultatansvarskontrakter, og dette er en stor mangel ved avtalen. Oppdragsavtalen mangler også et system for klar og detaljert spesifikasjon av leveransen, samt grundig regulering av utviklingsprosessen.

Ved mislighold krever avtalen en abstrakt og krevende vurdering av om leverandøren har levert «i samsvar med de funksjoner, krav og frister som er avtalt». Samtidig er ikke avtalen tydelig nok på hvordan leveransen skal spesifiseres ved kontraktsinngåelsen. Samlet legger disse forholdene en betydelig del av risikoen på leverandøren, og øker risikoen for tvister i tilfeller der slutt­resultatet ikke er i tråd med hva kunden forventer.

Harmonisering av standard­avtalene for enklere bruk

Direktoratet for forvaltning og økonomistyring (DFØ) har oppnådd en større grad av harmonisering ved å anvende en mer enhetlig kapittelinndeling og ved å standardisere formuleringene i bestemmelsene som gjentas på tvers av avtalene. For leverandører og kunder som gjerne inngår flere IT- og tjenestekontrakter er dette gunstig. Bedre harmoniserte avtaler gjør det enklere å drive kontraktsforvaltning og ha kontroll på egne rettigheter og plikter i kontraktsforholdene. Overgangen til andre standardavtaler i nye prosjekter blir også enklere.

Harmoniseringen bør likevel ikke gå for langt. Standardavtalene dekker et bredt spekter av tjenester, ­inkludert levering, utvikling, drift, bistand og vedlikehold av teknologi og IT-tjenester. Det er derfor essensielt at de ulike standardavtalene tar hensyn til bredden i leveransene. De siste endringene reflekterer DFØs bevissthet om dette aspektet.

Presisering av generelle kontraktsbestemmelser

Flere av kontraktsbestemmelsene har fått nødvendige presiseringer og oppklaringer, blant annet ved at flere ord og uttrykk er definert. ­Uttrykket «vesentlig mislighold» fra leverandørens side definert i SSA-D, -V og -T, og hvem som anses å være «utenforstående» i relasjon til taushetsplikten er definert i samtlige standardavtaler.

En særlig viktig endring er klargjøringen av leverandørens ansvar for sine leveranser i SSA-D og -V. I de tidligere versjonene av avtalene sto det at «[l]everandørens ytelser skal på en helhetlig måte dekke de funksjoner og krav som er spesifisert i avtalen». Hva en «helhetlig måte» betyr for leverandørens leverings- og tjenesteplikt, er uklart.

Formuleringen er nå endret. ­Etter SSA-V skal leveransen nå være «gjennomført med tilstrekkelig kvalitative og kvantitative ressurser og kompetanse, ut fra kravene i ­avtalen», og etter SSA-D har leverandøren nå «ansvar for at den samlede leveransen (den helhetlige løsningen) dekker de funksjoner og krav som er spesifisert i avtalen». Endringene bidrar til å sikre kontroll over ytelsespliktene og redusere risikoen for tvister.

Nye rangordning for databehandleravtalen

I samtlige av de nye avtalene er rangordningsbestemmelsen oppdatert. I den nye bestemmelsen går databehandleravtalen foran den ­generelle avtaleteksten og samtlige bilag når det gjelder «bestemmelser knyttet klart og utvetydig til regulering av personvern». Dermed unngår leverandøren å måtte oppfylle plikter i avtalen som kommer i konflikt med leverandørens personvernrettslige plikter.

Forventninger til neste revisjon

SSAene blir aldri ferdigutviklet, og må kontinuerlig ajourholdes og forbedres for å sikre balanse mellom partene, samt holde tritt med utviklingen både i teknologisektoren og i samfunnet for øvrig. Det er avgjørende med et godt samarbeid mellom DFØ og interesseorganisasjoner som IKT Norge, og det er gledelig at IKT Norge spesielt påpeker behovet for å forbedre SSA-L og SSA-Sky i fremtiden.^{(1)«Nye versjoner av Statens Standardavtaler lansert.», 27.juni.2024, IKT-Norge.no, (Nye versjoner av Statens Standardavtaler lansert. | IKT Norge (ikt-norge.no))}Vi ser frem til neste oppdatering!