Erfaringen fra vår kontakt med kunder, samarbeidspartnere og markedet for øvrig er at skytjenester tas i bruk i stadig økende omfang, og at dette omfanget også innebærer et større antall avtaler og tjenesteleveranser. Grunnen er naturlig nok at skytjenestene ofte representerer nisjeløsninger som erstatter tidligere tiders «on premise» løsninger og også tilfører nye digitale muligheter.
Skyløsninger er en ny type tjenester som leveres under andre vilkår enn det mange er vant til. I seg selv er ikke dette en bekymring, men organisasjoner av en viss størrelse bør undersøke egen praksis med hensyn til hvordan dette økende antallet av kontraktsinngåelser egentlig håndteres.
Det nye synes å være at beslutningen om å ta i bruk en skytjeneste fattes stadig mer distribuert i organisasjonen. Tidligere ville det være vanlig at IT-avdelingen og innkjøpsmiljøet var involvert i beslutningen og forberedelsene til implementering. Den samme IT-avdelingen hadde etablerte rutiner for hvordan en løsning kunne godkjennes teknisk, mens innkjøpsmiljøet og internjuridisk vurderte kontraktsinngåelsen kommersielt og juridisk. En gjennomtenkt beslutningsprosess sikret organisasjonen mot et uønsket utkomme av anskaffelsen.
I dag er denne prosessen i stor utstrekning «kortsluttet» for de mindre anskaffelsene i svært mange selskaper. Som et eksempel: Markedsavdelingen trenger et nytt system for enkel kommunikasjon med kundene, eller økonomiavdelingen finner nytte av en skytjeneste for kjørebok. Beslutningen fattes der og da, og følgelig trykkes det «Godta» – eller kanskje i flere sammenhenger – «Accept». Dette skjer gjerne uten at avtalen leses eller forstås. Dersom det ikke er en «gratis» tjeneste vil ofte et personlig kredittkortnummer bli oppgitt, og den ansatte leverer skjema for utgiftsdekning. Utgangspunktet er dermed at det i økende grad etableres bindende avtaler med små og store leverandører av skytjenester hjemmehørende hvor som helst ellers i verden. Dette er ikke helt etter boken til ledelsen, juridisk avdeling, økonomiavdelingen eller IT-avdelingen slik vi kjenner dem, og heller ikke hvordan en sunn «corporate governance» bør fungere.
Også i de store og mer planlagte og strategiske anskaffelsene av skytjenester møter en tilsvarende problemstilling, om enn ikke så forenklet som et klikk på «Godta». Store, internasjonale tilbydere av skytjenester presenterer kunden for standardiserte vilkår som kan utgjøre hundrevis av sider med juridisk godt gjennomtenkte vilkår. Også disse er det i utgangspunktet meningen fra skyleverandørens side at kunden skal akseptere uten videre dersom man ønsker tjenesten. Her er det dog nyanser da det kan være rom for forhandlinger. For disse større anskaffelsene blir anskaffelsesprosessen fortsatt gjennomført med ryddighet i mange selskaper med tilstrekkelig kunnskap om anskaffelse av skytjenester. For majoriteten av anskaffelser av skytjenester ser vi imidlertid at anskaffelsene preges i for stor grad av at virksomhetene feilaktig tror at skyvilkårene er som de er, og ikke kan forhandles på, med den konsekvens at de knapt leses, eller ikke leses av ressurser med tilstrekkelig kompetanse.
Vanligste utfordringer med skytjenestevilkår
Etter å ha studert vilkårene til en del av de større og mindre leverandører av skytjenester har vi identifisert en rekke problemstillinger som bør vekke bekymring hos kundene. Problemstillingene kan være ulike for de ulike tilbyderne, men noen få gjengangere er nevnt under:
- Bruk av underleverandører som datasentre, programvareleverandører og alle former for teknisk bistand og dataflyt fremstår ikke alltid åpenbart. Problemet med dette kan være at det dekker over brudd på alt fra GDPR/personvernbestemmelser til etiske krav, så vel som en brist i verdikjeden man går god for i en ISO sertifisering. For GDPR og personvern er det ofte et veldig komplekst sett av dokumenter i avtalen som er vanskelig å få oversikt og kontroll over. Hvilket i sin tur betyr at man ikke er på trygg grunn uten en mer grundig etterprøving, og simpelthen introduserer en ukjent risiko ved bare å trykke «godta».
- Skyleverandørens rett til å gjøre endringer i tjenesten. Noen ganger skal det varsles, noen ganger gis kunden rett til å slutte å bruke løsningen, mens i andre tilfelle foreligger det en ensidig rett for skyleverandøren til å definere tjenesten etter eget forgodtbefinnende til enhver tid. Slike bestemmelser gjør det til en betydelig risiko å benytte den tilbudte skytjeneste til noe som er forretningskritisk.
- Sikkerhet og sertifiseringer er ofte ikke tilgjengeliggjort informasjon og det gis kanskje bare en henvisning til at sikkerheten skal være god nok med henvisning til «reasonable commercial efforts». Hvilket jo ikke nødvendigvis er tilstrekkelig for å tilfredsstille egen ISO sertifisering eller liknende.
- Forretningsmodellene og brukerprisingen kan variere betydelig. Er man underlisensiert vil det i ettertid bli presentert store regninger for «excessive use» eller liknende – som oftest basert på listepris uten rabatten man fikk ved kjøp av tjenesten.
- Har man behov for å forlenge avtalen etter at en eventuell varighet er utløpt vil man gjerne få en regning på leverandørs listepris og ikke den rabatterte satsen man fikk i første omgang.
- En fullstendig suspensjon av tjenesten er også en rettighet som påberopes av skyleverandørene, ofte basert på marginale hendelser, etter skyleverandørens eget skjønn og ofte uten at man mottar varsel på forhånd. Avbestilling kan ofte gjøres av skyleverandøren med meget kort varsel og man risikerer da å stå uten en tjeneste, en tjenestetilbyder eller tilgang til egne data på 30 dagers varsel.
- Retten til å ensidig endre de standardiserte, kommersielle vilkårene er i noen tilfelle så utstrakt at avtalen ikke lenger fremstår som noen avtale, men de facto nesten må forstås som en indikasjon på hva man kan forvente av vilkår.
Mitigering
Hva man skal gjøre med de ovennevnte problemstillinger avhenger av om vi snakker om den distribuerte, og en smule ukontrollerte bruken av «Godta», eller om den større, strategiske anskaffelsen av en sentral tjeneste.
For førstnevnte praksis bør man først og fremst vurdere å innføre regler og opplæring om i hvilken grad brukerne av organisasjonen fritt skal kunne anskaffe, og dermed godta standardiserte vilkår knyttet til skytjenester. Samme regler må gjelde for såkalte «gratis» tjenester – man betaler alltid med noe. Hos mange organisasjoner vil denne praksisen i volum representere inngåelse av en mengde avtaler helt uten ordinær kvalitetssikring som man ellers vil ha som en naturlig del av en normal internkontroll.
En mulig mitigering kan være å introdusere en fullmaktsmatrise, et opplæringsprogram og sjekklister som medfører at de små og lite komplekse anskaffelsene kan gjennomføres der behovet er. Dette betyr at opplæring og sjekklister må være så brukervennlig som mulig, og slik at det er mulig for brukeren å vurdere om vilkårene tilfredsstiller organisasjonens minstekrav, samt at brukeren har anledning innenfor fullmaktsmatrisen til å gjennomføre anskaffelsen før vilkårene aksepteres.
Når det gjelder de store, planlagte og strategiske anskaffelsene av skytjenester, så følger de som nevnt ofte innarbeidede prosesser, rutiner og kvalitetssjekker. En konsekvens av dette er at organisasjonene vil forholde seg til de tilbudte standardvilkår som til enhver annen IT-kontrakt. Hvilket delvis vil fungere, men bare delvis. Dette fordi forhandlingsmonnet og -styrken, og dermed også hva man kan oppnå formodentlig vil være mye mindre enn i en hvilken som helst annen kontrakt. Det ligger i sakens natur at en standardisert tjeneste langt på vei må ha standardiserte vilkår, men det finnes unntak. Typisk vil selve funksjonaliteten i løsningen være absolutt, i og med at vi i disse tilfellene normalt snakker om flerbrukerløsninger. De kommersielle vilkårene kan det derimot finnes godt forhandlingsrom rundt.
Som i andre sammenhenger vil det ofte handle om innkjøpsmakt. Store organisasjoner innebærer en økonomisk størrelse som leverandøren er villig til å forhandle med.
Uavhengig av innkjøpsmakt finner vi likevel at det finnes temaer der kontraktsforhandlingene vil strande om kunden går for langt i å forfølge det ideelle mål og den ideelle kontrakt. Ett eller annet sted vil man møte en grense for hva skytjenesteleverandøren er villig til. Og når denne grensen er nådd må man igjen lete etter den mest basale av alle mitigeringer: Plan B.
- I og med at det kan skje endringer i viktig funksjonalitet, stans i tjenesten eller for eksempel uakseptable kommersielle endringer så er det helt avgjørende ved kjøp av skytjenester at man har en plan B på plass. Hvilken annen tjeneste kan erstatte den aktuelle tjenesten? Kan det gjøres internt eller finnes andre tilbydere i skyen? Finnes det systemer som kan kjøpes?
- Felles for ulike varianter av plan B må en ha kontroll på egne data. Hvordan får man overført dataene til seg – fra skyleverandøren? I hvilke formater tilbys dataene? Hvor raskt leveres de ut? Har man krav på assistanse til overføring av dataene? Hva er leverandørens prosess for sletting av data etter avsluttet forretningsforhold?
- Og er man kommet så langt at plan B skal settes ut i live, er det viktig å ha sett ekstra nøye på de exit-bestemmelser standardvilkårene har i seg. Hvilke frister gjelder? Hva er de kommersielle forholdene omkring exit? Hvordan lukkes hele relasjonen praktisk?
Oppsummert
En sterkt desentralisert beslutningsprosess i kombinasjon med standardiserte kontraktsvilkår som i begrenset utstrekning er forhandlingsbare, utfordrer vår tilvante prosess for kjøp av tjenester.
Det meste fremstår som «take it or leave it», mens noe er påvirkelig i kundens retning og favør bare man legger en god plan for å forhandle med skyleverandør.
Uansett skal man alltid ha kontroll på egne data og en plan B for det tilfellet at tjenesten ikke lenger er formålstjenlig.
