Version 4 af standardkontrakten for it-drift, D17, er nu udkommet. Den nye version indeholder bl.a. en regulering af public cloud-ydelser, og anvendelsesområdet for kontrakten udvides dermed betydeligt.

Baggrund

Standardkontrakten for it-drift, D17, har opnået stor udbredelse i markedet.

Den er blevet til i et samarbejde mellem Danske IT-Advokater, Dansk IT, IT Brancheforeningen med bistand fra professor, dr.jur. Henrik Udsen og er med enkelte undtagelser udtryk for et ”agreed document”.

D17 er målrettet private virksomheder modsat standardkontrakten, K04, som primært er beregnet på (større) offentlige driftsopgaver, og som indtil videre kun har opnået en begrænset anvendelse.

Her til morgen har arbejdsgruppen offentliggjort version 4 af D17, der er den hidtil mest omfattende opdatering af kontrakten. I det følgende giver vi dig et overblik over ændringerne.

Regulering af public cloud-ydelser

I erkendelse af at standardiseret it-drift i stigende grad omfatter cloud-ydelser, indeholder den nye version af D17 som noget nyt en regulering af bl.a. ansvaret for public cloud-ydelser, dvs.

“Cloud deployment model where computing resources are owned and operated by a provider and shared across multiple tenants via the Internet.”

Anvendelsesområdet for D17 og dens praktiske anvendelighed udvides dermed markant.

Arbejdsgruppen har i arbejdet med disse vilkår søgt inspiration i bl.a. de offentlige norske standardkontrakter vedrørende public cloud-ydelser (kaldet ”store sky” og ”lille sky”).

Den nye version af D17 version 4 regulerer nærmere bestemt følgende emner:

  • Aftalerelationer og vilkår
  • Rådgiveransvar
  • Ansvar for cloud-ydelserne
  • Ændringer i cloud-ydelserne m.v.

Aftalerelationer og vilkår:

Af D17 version 4 fremgår, at public cloud-ydelser leveres under enten:

  1. Aftaler indgået direkte mellem kunden og public cloud-leverandører, og som er nødvendige for leverandørens opfyldelse af kontrakten, eller
  2. Vilkår som kunden baseret på aftale mellem leverandøren og public cloud-udbyderen er forpligtet til at acceptere som betingelse for adgang til public cloud-ydelserne.

Uanset om public cloud-ydelserne leveres direkte til kunden af public cloud-leverandøren (a) eller via leverandøren (b), skal leverandøren som udgangspunkt fungere som kundens kontaktpunkt overfor public cloud-leverandøren.

Endvidere skal kunden have nem adgang til vilkårene for public cloud-ydelserne.

Rådgiveransvaret:

Rådgivningsansvaret indebærer en pligt for leverandøren til loyalt at rådgive kunden om konsekvenserne af brugen af public cloud-ydelsen, herunder i relation til sikkerhed og servicemål.

Endvidere skal leverandøren give kunden indsigt i leverandørens kontrakt med public cloud-leverandøren, dog med undtagelse af priser og andre kommercielle vilkår, som leverandøren ikke er berettiget til at videregive til kunden.

Ansvaret for public cloud-ydelserne:

Den væsentligste regulering i D17 version 4 vedrører leverandørens leveranceansvar.

Efter den nye version af D17 har leverandøren ansvaret for at sikre integrationen af public cloud-ydelser i aftalte services. Leverandøren er således ansvarlig for, at public cloud-ydelserne opfylder kontraktens krav og dermed ikke hindrer en godkendelse af den aftalte afprøvning.

For så vidt angår fejl eller mangler ved public cloud-ydelserne er leverandøren ansvarlig overfor kunden i henhold til vilkårene fra public cloud-leverandøren, dvs. et back-to-back-ansvar. Dette forudsætter dog, at leverandøren kan godtgøre, i) at fejlen kan henføres til public cloud-ydelsen, og ii) at leverandøren rapporterer disse til public cloud-leverandøren samt udøver rimelige bestræbelser på at få afhjælpningen prioriteret hos public cloud-leverandøren og holder kunden informeret herom. Leverandøren skal derudover (iii) udøve rimelige bestræbelser på at afhjælpe konsekvenserne af fejlen.

Essensen er således, at kunden som udgangspunkt alene kan gøre leverandøren ansvarlig for fejl ved public cloud-ydelserne, hvis leverandøren kan gøre et tilsvarende ansvar gældende overfor public cloud-leverandøren – hvilket sjældent vil være tilfældet.

Ændringer i public cloud-ydelserne m.v.:

Cloud-ydelser er kendetegnet ved, at de løbende ændres, og at der kommer nye til. Ligeledes ændrer cloud-leverandørerne ofte deres vilkår. Derfor er reguleringen af ændringer i cloud-ydelserne og vilkårene herfor centrale temaer.

I den nye version af D17 slås det fast, at leverandøren ved ændringer i public cloud-ydelserne proaktivt skal adressere sådanne ændringer og sikre fortsat integration i de aftalte services.

Afledte konsekvenser ved ændringer i public cloud-ydelserne er inkluderet i leverandørens faste vederlag for de aftalte services. Dette gælder dog ikke, hvis der er tale om ændringer, som leverandøren ikke havde konkret viden om.

En sådan konkret viden vil leverandøren formentlig sjældent have. Undtagelsen er derfor reelt nok den praktiske hovedregel, dvs. at leverandøren kan kræve betaling for at håndtere ændringer i public cloud-ydelserne.

Leverandøren har pligt til at fordele omkostningerne forholdsmæssigt på berørte kunder, såfremt ændringerne påvirker flere kunder.

Andre ændringer

Den nye version af D17 indeholder herudover en række andre ændringer, jf. nedenstående oversigt.

Emne

Beskrivelse af ændring

Due diligence

Det er et klassisk spørgsmål i driftskontrakter, hvem der skal bære risikoen for uforudsete forhold, der opstår efter kontraktens indgåelse. Den nye version af D17 fastholder udgangspunktet fra tidligere versioner om, at leverandøren forudsættes at have gennemført en due diligence før kontraktens indgåelse. Dvs. at leverandøren har en undersøgelsespligt, mens kundens ansvar består i at finde det materiale frem, som leverandøren efterspørger.

Der påhviler endvidere leverandøren en pligt til at gøre indsigelse, hvis det efter kontraktens indgåelse viser sig, at forudsætningerne ikke holder stik.

Ændringerne i version 4 har primært karakter af sproglige forbedringer og præciseringer.

I mange tilfælde er realiteten, at der ikke gennemføres den forudsatte due diligence. Det er derfor et område, hvor kontrakten ofte ikke afspejler virkeligheden og derfor bør justeres.

Force majeure

Retsvirkningerne af force majeure er i version 4 blevet præciseret, så det nu fremgår, at den part, der ikke kan opfylde sine forpligtelser på grund af force majeure, hverken ifalder bod eller erstatningspligt, mens force majeure omvendt ikke afskærer ret til at kræve et forholdsmæssigt afslag.

It-sikkerhed

D17 version 4 viderefører i vidt omfang den hidtidige regulering, men indeholder som noget nyt en pligt til som minimum at leve op til god skik på it-sikkerhedsområdet samt en handlepligt ved sikkerhedshændelser, herunder til at foretage en root cause analyse og afhjælpning af sikkerhedshændelsen.

Kundens eventuelle tillægskrav vedrørende it-sikkerhed skal beskrives i bilag 4.

”Fix and deliver first, settle later”

I version 4 justeres vilkårene vedrørende ”fix first, settle later og ”deliver first, settle later”. Førstnævnte indebærer en pligt for leverandøren til at iværksætte afhjælpning, uanset om leverandøren er uenig i kundens indsigelser. Sidstnævnte princip medfører en pligt for leverandøren til at levere de ydelser, der efter kundens vurdering er nødvendige for driften af systemet, selvom om parterne er uenige i, om den pågældende ydelse er særskilt betalbar eller ej.

Ansvarsbegrænsninger

I relation til ansvarsbegrænsninger viderefører version 4 med mindre modifikationer reguleringen i de tidligere versioner.

Som noget nyt er der dog åbnet op for, at der kan aftales et særligt cap for GDPR-relaterede tab, så beløbsbegrænsningen udgør 150 % af det beløb, leverandøren har modtaget i de foregående 12 måneder for tab opstået som følge af ulovlig behandling af personoplysninger, herunder udgifter til erstatning og godtgørelse til registrerede.

Den foreslåede regulering afspejler udviklingen i markedet, hvor der ofte aftales et særskilt og højere cap for GDPR-relaterede krav.

Overdragelsesplan

Proceduren for udarbejdelse af en overdragelsesplan til en ny driftsleverandør er blevet gjort mindre rigid og mere realistisk end i tidligere versioner.

Garantier

Der har i version 4 indsneget sig nogle enkelte, essentielle garantier, som arbejdsgruppen har fundet hensigtsmæssige, ligesom retsvirkningen af garantisvigt er beskrevet.

Tilbageholdelsesret og deponering

Endelig indeholder den nye version af D17 vilkår om kundens ret til at tilbageholde betalinger, såfremt kunden ikke har modtaget de aftalte services. Deponeringsordningen i tidligere versioner er opgivet.

Bird & Birds kommentar

Reguleringen af public cloud-ydelser er en meget relevant opdatering, som udvider D17’s anvendelsesområde og praktiske anvendelighed betydeligt.

Det er endvidere en stor fordel, at der – med få undtagelser – er tale om et agreed document, dvs. en standardkontrakt, der nyder opbakning fra både kunde- og leverandørorganisationer.

Herved kan omkostningerne forbundet med koncipering og forhandling af kontrakten nedbringes i forhold til ved brug af kundens eller leverandørens standardkontrakt.

Endvidere øges sandsynligheden for et vellykket kontraktforløb ved at benytte en afbalanceret kontrakt, som begge parter kender, og som indeholder en regulering af alle relevante temaer.

Det må derfor forventes, at D17 i fremtiden vinder endnu større indpas både i det private marked, men formentlig også – med de nødvendige tilpasninger – i det offentlige.

Den praktiske anvendelighed vil kunne øges yderligere, hvis der på et tidspunkt udarbejdes bilagsskabeloner – eventuelt efter K04’s model, hvor bilagene er opdelt i tre kategorier, alt efter deres færdiggørelsesgrad, jf. nedenstående oversigt:

  • Kategori A: Standardbilag der antages at være klar til brug, evt. med mindre tilpasninger.
  • Kategori B: Standardbilag der antages at være delvist færdiggjort med vejledningstekster og eksempler til brug for færdiggørelsen.
  • Kategori C: Standardbilag i form af en template med vejledningstekster og eventuelle eksempler.