Skip to main content

For de fleste norske virksomheter har Statens Standardavtaler (SSA) vært en vesentlig bidragsyter for å få på plass gode, ryddige og balanserte avtaler på IKT-området. De har tilbudt en struktur og et sett med vilkår som både leverandører og kunder har kunnet akseptere og har tatt en posisjon som markedsledende. De har derfor vært omfavnet både av offentlige kunder, som de er laget for, og av private kunder som trenger et trygt juridisk fundament for sin transaksjon. Men nå har det oppstått et uheldig hull..

SSA-avtalene som premissleverandør

De siste 10 årene har Statens Standardavtaler (SSA-avtalene) inntatt en ledende stilling hva gjelder å tilby avtalevilkår som er akseptert i det norske markedet og anerkjent av både kunder og leverandører. Som regel ønsker partene kun å gjøre mindre endringer når SSA-avtalene legges til grunn for en leveranse mellom leverandør og kjøper. SSA-avtalene er som sådan blitt en premissleverandør for fornuftig og balansert reguleringer av IKT-tjenester.

Særskilt har Driftsavtalen (SSA-D) opparbeidet seg en dominerende stilling som standardavtale. Tellmann er en toneangivende rådgiver på markedet for tjenesteutsetting av IT-drift og sourcing av skytjenester og forretningsstøtte. Ved sourcing av driftstjenester legger vi SSA-D avtalen til grunn, med mindre kunden ønsker det annerledes. Og det skjer svært sjeldent. Anslagsvis 95% av de avtaler som er gjort på IT-drift de siste 10 årene er gjort med basis i SSA-D. Og Difi, som ansvarlig utgiver av standardavtalene, har vært seg sitt ansvar bevisst. De har sørget for at avtalene stadig er blitt oppdatert basert på ytrede ønsker om endringer. Vi har i tidligere blogg kommentert endringene fra 2013- til 2015-versjonen – og deler ikke oppfatningen om at alle endringer er til det bedre. Nå har imidlertid SSA-D allerede kommet i en 2018-versjon, så Difi håndterer med alvor sitt forvalteransvar. Selv om 2018-versjonen, bortsett fra for ivaretakelse av personvern, ikke er en forbedring av 2015-versjonen. Sett fra kundens ståsted, men den tematikken lar vi ligge her..

Et marked i endring

Men nå er markedet for sourcing av IT-tjenester i stor endring. Fra å kjøpe tradisjonelle driftstjenester, der leverandøren bygger opp miljøer med servere, operativsystem, databaser og applikasjoner. Og sikret tilgang til driftstjenester gjennom SLAer, og ryddige spesifikasjoner av de IT-tjenester kunden skal ha levert. Er kundene nå gjennomgående opptatt av å ta i bruk skybaserte tjenester. Både for infrastruktur og programvare, og få levert forretningsstøtte direkte fra sine applikasjonsleverandører.

De tradisjonelle IT driftsleverandørene utøver i mindre grad tradisjonell drift, men blir oftere ansvarlig for å sette sammen skytjenester slik at de fungerer helhetlig for sine kunder. Gjerne kalt integrator. Eller de sørger for å tilrettelegge og forvalte skytjenester som sådan i en Cloud Service Provider-rolle. I tillegg kan det hende at leverandørene leverer tilleggstjenester som ulike sikkerhetstjenester, arkitekturtjenester eller nettverk- og klientdrift.

De tjenester som leveres, fremstår derfor samlet sett helt annerledes enn hva de gjorde bare for kort tid siden. Ikke minst har det ansvaret som leverandørene er villige til å ta, endret seg. Forståelig nok vil de færreste leverandører ta ansvar for skytjenester som de selv ikke har direkte kontroll over eller påvirkning på. Skal de være en kundes integrator, må de imidlertid ta et fornuftig ansvar for å utøve denne rollen. Slike forhold dekker ikke SSA-D. Forutsetningene for SSA-D er ikke lenger i takt med de tjenester som leveres og transaksjoner som finner sted i markedet for sourcing av IT-tjenester. Strengt tatt er ikke SSA-D brukelig (med mindre skytjenester kun utgjør en uvesentlig andel av driftsomfanget) – og det finnes ingen gode alternativer.

Avtalen som mangler

Om man ser i Difi sin meny av standardavtaler, vil man finne en avtale som heter SSA-L. Den ble introdusert for å regulere situasjoner der en tjeneste blir kjøpt som en skytjeneste. Som Difi selv skriver:  «Avtalen egner seg til kjøp av standardiserte skytjenester («as-a-service» leveranser)». Avtalen er (veldig) opptatt av å regulere forholdet mellom den som leverer tjenesten og dennes tredjeparter. Den er imidlertid fokusert på det å levere kun én tjeneste. Og den er ikke egnet for det å sette sammen tjenester og ta et helhetlig ansvar. Den er som sådan ikke egnet for å regulere de tjenester dagens og fremtidens sourcingpartnere skal yte sine kunder.

Difi gir uttrykk for at de har forståelsen for behovet for en slik avtale og innrømmer at SSA-D ikke er dekkende for de kjøp som nå gjøres. Difi har derimot ikke handlingskraften til å få håndtert dette. Et arbeid er ikke påstartet og de kan ikke love at en slik avtale vil være på plass før om 1 – 2 år. Men behovet er her nå – og har allerede vært der i et par år. I praksis får ingen levert kun tradisjonelle driftstjenester lengre og en ny avtale må bl.a. sikre de verdiøkende tjenestene som sourcingpartneren skal levere i tillegg til ansvaret for å binde tjenestene sammen slik at de fremstår fullverdige for kunden.

Hva gjør man så i mangel av en dekkende avtale?

Man lager sin egen. Skattedirektoratet er et eksempel på dette. De har nylig kunngjort en anskaffelse av ‘Rammeavtale for standardiserte skytjenester og tilhørende rådgivningstjenester’. Med anskaffelsens forespørsel følger Skatteetatens egenutviklede avtale for skytjenester. En avtale som er blitt utviklet og tilrettelagt for å passe Skatteetatens behov. Tilsvarende vil følgen måtte bli for andre større kunder som skal være riktig og tilstrekkelig dekket. Enten utarbeide sin egen eller gjøre veldig gjennomgripende modifiseringer på SSA-D-avtalen – tilpasset på egen hånd eller ved bruk av en advokat eller erfaren rådgiver som Tellmann. For mindre virksomheter kan svaret fort være å bruke noe som dessverre ikke er egnet, eller akseptere et forslag leverandøren kommer med, hvis man ikke tar seg råd.

Uansett vil slike egenutviklede avtaler ikke ha samme umiddelbare tillit og forutsigbarhet som SSA-avtalene gir. Det er en lite holdbar situasjon, særlig når vi er blitt så mye bedre vant. Det er bare å ta aksjon, Difi!

Dagfinn Sæther, partner Tellmann Executive Advisors AS