Cloud-computing – sådan overvindes faldgruberne

Skrevet af

jesper langemark Module
Jesper Langemark

Partner
Danmark

Som partner i vores internationale Tech & Comms-sektorgruppe i Danmark har jeg stor erfaring og ekspertise inden for de juridiske konsekvenser af teknologi og datadrevet innovation. Jeg leverer juridisk rådgivning til it-virksomheder om en bred vifte af it-relaterede spørgsmål samt vedrørende IP- og databeskyttelsesaspekterne af nye disruptive teknologier.

I anledning af Bird & Bird og Computerworlds Cloud-konference den 24. november 2021 (link kan findes her) behandler vi i en artikelserie på 3 de juridiske problemstillinger, der knytter sig til anvendelse af cloud-baserede løsninger. Dette er den anden artikel i denne artikelserie. Den første (cloud-computing – hvad går det ud på, og hvad er faldgruberne?) kan findes her.

Mens den første artikel gennemgik, hvad cloud-computing er og faldgruberne forbundet hermed, fokuserer vi i denne artikel på, hvilke overvejelser man som offentlig myndighed skal gøre sig og hvilke tiltag, man bør iværksætte, inden man overgår til en cloud-løsning.

Selvom artiklen tager udgangspunkt i offentlige myndigheder, er dele af den også relevant for private virksomheder.

Overvejelser før man overgår til cloud (generelt)

Som beskrevet i den første artikel kan overgangen til cloud-computing give anledning til mange overvejelser af både juridisk og ikke-juridisk karakter.

Man kan som offentlig myndighed eller privat virksomhed med fordel gøre sig følgende overvejelser for at sikre en vellykket overgang til cloud-computing:

  1. Parathed. Afdæk paratheden i forhold til en cloud-løsning, herunder om eksisterende hardware og software kan håndtere cloud-løsningen. Dette gælder alt fra mobiltelefoner til interne processer og applikationer, der skal kunne fungere med cloud-løsningen.
  2. Økonomi. Cloud-løsninger kan være besparende, men er ofte faktisk dyrere end en traditionel licensbaseret løsning – eller kan i hvert fald være det. Omkostningerne kan variere kraftigt, alt efter hvilke behov man har. Et afgørende element er eksempelvis, hvor stor en mængde data, der ønskes overført til skyen, og mulighederne for op- og nedskalering. Undersøg derfor prismodellen grundigt. Det er ofte en god idé at opstille nogle forventede scenarier for fremtidige forbrug af cloud-kapacitet og så beregne de fremtidige omkostninger på baggrund heraf.
  3. Uddannelse. Afklar, om der kræves en decideret læringsfase og uddannelse af medarbejdere i brugen af den nye cloud-løsning.
  4. Tid. Det tidsmæssige aspekt af flytningen til en cloud-løsning skal – som enhver anden flytning – tilrettelægges nøje for at sikre et så smidigt forløb som muligt uden driftsforstyrrelser.
  5. Servicemål. Fokuser på leverandørens servicemål for navnlig oppetider, svartider og fejlretning, så der er sikkerhed for, at de dækker ens behov – hverken mere eller mindre. Ofte kan servicen købes på forskellige niveauer (guld, sølv og bronze), og der er ingen grund til at købe et ”guld” abonnement, hvis man kan nøjes med ”bronze".
  6. Licenser. Tjek egne softwarelicenser. Nogle softwareudbydere er fremsynede i forhold til brugen af deres software i forbindelse med cloud-løsninger, mens andre ikke har særlige bestemmelser om dette.
  7. Afklar lovgivning. Søg rådgivning og hjælp om de regulatoriske aspekter ved brug af en cloud-løsning. En af de største barrierer for brug af cloud-computing er usikkerhed om, hvilke love og regler man som kunde skal være opmærksom på, når man implementerer cloud-løsninger.
  8. Databehandling. Hav særligt fokus på databeskyttelseslovgivning i forhold til cloud-løsningen, herunder sikkerhed, dataoverførselsaftaler og databehandleraftaler. Det er et komplekst område, der kræver en grundig undersøgelse og afdækning af såvel cloud-leverandørens som ens egen håndtering og anvendelse af persondata. I artikel 3 gennemgår vi EU-domstolens afgørelse i ”Schrems II”, og hvad den har af betydning for brug af cloud-løsninger.

Hvordan udbydes en cloud-løsning? (særligt for offentlige myndigheder)

Når man som kunde er kommet frem til, at cloud er den rigtige løsning, kommer næste skridt: Udarbejdelsen af udbudsmaterialet hvis anskaffelsen er omfattet af EU’s udbudsregler.  

Man skal naturligvis forsøge at undgå de faldgruber, vi nævnte i vores første artikel. Der er dog den udfordring ved cloud-udbud, at man – i modsætning til traditionelle it-udbud – i højere grad spiller på leverandørens banehalvdel, dvs. at man i vidt omfang må acceptere leverandørens ydelser og vilkår, som de er.

Dette er navnlig tilfældet, hvis man ønsker at anskaffe en public cloud-løsning fra nogle af de store udbydere som f.eks. Microsoft, Amazon og Google, hvor det i vidt omfang er ”take it or leave it”.

Man skal derfor gøre sig klart, hvilke essentielle rettigheder man har behov for, og derudover acceptere, at der er vilkår, man højst sandsynligt ikke får igennem.

Det betyder samtidig, at man som ordregiver ikke blot kan anvende den standardkontrakt, man plejer at benytte. Udbudsmaterialet – og navnlig kontrakten – vil alt andet lige være mere sparsomt end i traditionelle it-udbud, fordi materialet skal skæres ind til ”the essentials”Man skal som ordregiver endvidere gøre sig ekstra umage med udarbejdelsen af evalueringskriterier, fordi disse skal kunne rumme forskellige tilbudsgiveres ydelser, prismodeller og vilkår.

Vores erfaring viser, at nedenstående krav falder ind under ”the essentials” og dermed godt kan stilles uden at komme i karambolage med leverandørens standardvilkår:

  1. overholdelse af eventuelle ufravigelige lovgivningsmæssige krav (fx GDPR);
  2. ejerskab af kundens data og mulighed for at få dem ud af løsningen eller flyttet til en anden løsning;
  3. betalingsvilkår og forudsigelighed (ikke adgang til at leverandøren ensidigt og vilkårligt kan skrue på prisen);
  4. varighed og opsigelsesvarsel; og
  5. lovvalg og konfliktløsning.

Afregningsmekanismer

At man som kunde i cloud-udbud i højere grad skal tilpasse sig leverandørens vilkår gælder særligt ift. vederlagsmodeller, hvor man sjældent kan presse leverandøren ind i sin egen foretrukne model. I stedet skal man forsøge at tilpasse udbudsmaterialet, så det kan favne de mest gængse prismodeller i markedet. Det kan man f.eks. gøre ved at opstille nogle forskellige forbrugsscenarier og så beregne de tilbudte priser på baggrund af disse scenarier.

En leverandørs typiske form for prissætning er baseret på kundens forbrug af de pågældende cloud-ydelser og det ønskede serviceniveau f.eks. i form af:

  1. antallet af brugere;
  2. antal transaktioner;
  3. datamængder/lagringskapacitet; og
  4. service level (guld, sølv eller bronze).

Afregningsmekanismen kan sammensættes på mange forskellige måder, og det er derfor vigtigt, at kunden forstår de mest almindelige mekanismer ved udarbejdelsen af udbudsmaterialet. I modsat fald risikerer kunden, at leverandørerne slet ikke vil byde, fordi kundens krav til prismodel ikke passer på dem.

Det er ligeledes vigtigt at have kendskab til, i hvilket omfang den købte løsning opfylder det behov, kunden måtte have nu – og få senere. Mange leverandører opererer nemlig med en standardløsning, hvor yderligere funktionalitet reelt er nødvendig for en brugbar løsning i hverdagen. Hvis man som kunde ikke tager højde for dette, risikerer man ikke at få et retvisende billede af prisen på de forskellige løsninger – og ender måske med at vælge den ”forkerte” leverandør.

Udbudsformen

Vi ser oftere og oftere, at it-udbud, herunder cloud-udbud, anvender udbud med forhandling.

Selvom denne udbudsform kræver mere tid og planlægning end fx et offentligt eller begrænset udbud, kan det vise sig at være godt givet ud, fordi man som ordregiver får mulighed for at forhandle med leverandørerne.

Derudover får leverandørerne også mulighed for at påpege eventuelle forhold i udbudsmaterialet, der ikke er forenelige med deres ydelser og vilkår m.v.

Selvom der som udgangspunkt ikke er så meget at forhandle om ved denne type anskaffelser, giver det derfor stadig mening at vælge udbudsformen udbud med forhandling.  

Hvor kan man søge inspiration som ordregiver?

Når den sidst anvendte standardkontrakt ikke blot automatisk kan bruges i et cloud-udbud, er det naturlige spørgsmål selvfølgelig, om markedet har noget, man som ordregiver kan tage udgangspunkt i.

I Norge, Sverige og England findes der standardkontrakter for indkøb af SaaS-løsninger, der i et vist omfang kan anvendes som inspiration.

I Danmark har brancheorganisationen Danske IT-Advokater (som denne artikels forfattere begge er medlemmer af) udarbejdet en standardkontrakt til indkøb af SaaS-løsninger, der også kan give inspiration til regulering af de forskellige forhold, der bør behandles i en SaaS-kontrakt. Vi har i en tidligere artikel behandlet standardkontrakten, hvor vi påpegede en række udfordringer ved dens anvendelse. Selvom standardkontrakten er et prisværdigt initiativ, spår vi den ikke nogen stor udbredelse.

Derudover kan nogle offentlige kunder søge inspiration i SKI’s rammeaftale 02.19 ved køb af SaaS-løsninger. Også denne har dog nogle udfordringer, idet Klagenævnet for Udbud i tre forskellige kendelser har underkendt en direkte tildeling på denne rammeaftale (hvilket vi omtalte i en nyhed her).

Der er også set eksempler på offentlige myndigheder, der anvender modificerede versioner af K-kontrakterne. Selvom dette selvfølgelig er en mulighed, kræver det en meget stor bearbejdning for, at disse standardkontrakter kan anvendes på cloud-anskaffelser.

Selvom der derfor er masser af inspiration at hente forskellige steder fra, er der ikke ét autoritativt sted, man kan søge hen. Vi anbefaler derfor ordregivere at være påpasselige og foretage de relevante tilpasninger af udbudsmaterialet og kontrakten. Blot at anvende det materiale, ordregiver tidligere har benyttet ved anskaffelse af f.eks. licensbaserede løsninger eller driftsopgaver, er en dårlig idé.

Seneste nyheder

Vis mere

Uklar beskrivelse af fremgangsmåden for evalueringen af tilbudte rabatter førte til annullation af tildelingsbeslutning

nov 21 2024

Læs mere
Region Syddanmark udbudsadvokat

Region Syddanmarks annullering af udbud udfordret ved klagenævnet

okt 11 2024

Læs mere
NIS 2 sikkerhedskrav

Hvad indebærer det nye danske NIS 2 lovforslag – webinar forklarer de centrale juridiske krav

okt 02 2024

Læs mere