Kjemperisiko i nye offentlige avtaler
IKT-Norge går til frontalangrep på Difi etter endringer som øker risikoen for kjemperegninger til leverandører til det offentlige.
Leverandører som signerer avtaler med det offentlige må ta altfor høy risiko med fare for å sitte igjen med en kjemperegning. Det mener IKT-Norge følger av nye tillegg i standardavtalene fra Difi.
Personvernoppdatering
Som nok en endring som følger av innføring av nye personvernregler («GDPR») legges det inn nye ansvarsformuleringer. Nå blir det leverandøren av systemer til offentlig virksomhet som må bære kostnadene for brudd på personvernreglene.
En av hovedgrunnene til all viraken rundt GDPR de siste årene har vært at de nye sanksjonene ved brudd innebærer drakoniske erstatninger til den som har vært utsatt for personvernbrudd.
– Risikoen er så stor at det i verste fall fremstår som å signere en åpen sjekk og det kan dramatisk begrense eller hindre både leverandørenes mulighet til å signere kontrakter med det offentlige og delta i anbudsrunder, sier direktør for internett og nye medier i IKT-Norge, Torgeir Waterhouse i en artikkel hos IKT-Norge.
"Skadesløs for ethvert krav"
Det er denne formuleringen i de nye malene for standardavtale som trekkes fram:
“Ved brudd på bestemmelser som følger av personopplysningsloven eller personvernforordningen gjelder ikke erstatningsbegrensningene i dette punkt 11.5.6 for så vidt gjelder krav som kan henføres til Leverandørens forhold. Leverandøren skal holde Kunden skadesløs for ethvert krav fra tredjepart, og/eller sanksjon (f.eks. overtredelsesgebyr eller tvangsmulkt) fra offentlig myndighet som relaterer seg til Leverandørens brudd på personvernforordningen.” (SSA-D, bokmål 2018).
IKT-Norge hevder at formuleringene gir leverandører til det offentlige høyere risiko for grovt urimelige kostnader. Ensidigheten fører til at leverandøren ender opp med å være ansvarlig for kundens kostnader, heter det.
– Det fremstår også som et forsøk fra statens side på en direkte omgåelse av ansvarsfordelingen det legges opp til i den nye personopplysningsloven, skriver organisasjonen.
Organisasjonen poengterer at leverandører av produkter og tjenester både skal være ansvarlige og kunne bli erstatningspliktige. Men det må være i samsvar med hva de faktisk er ansvarlig for, og innenfor rimelige og balanserte rammer.
Målform gir utvei
IKT-Norge frykter at følgene kan bli at offentlige kunder vil ende opp uten leverandører eller deltakere i anbudsrunder. Organisasjonen anbefaler leverandørene å nøye vurdere om denne formuleringen er akseptabel før de velger å signere kontrakten.
Til Difi og staten er kravet å rulle tilbake standardavtalene til forrige versjon.
I mellomtiden kan valg av målform være en mulig utvei. Det er nemlig kun i bokmålsversjonen at denne nye risikoformuleringen er tatt inn. I de engelske og nynorske versjonene gjelder de vanlige ansvarsreglene, påpeker IKT-Norge.
Overdriver
Statens synlige digitale hånd mener at IKT-Norge overdriver.
– Min mening er at IKT-Norge reagerer litt for hardt, og vi er åpne for å gjøre teksten tydeligere på dette området enn slik teksten står i dag, sier Difi-direktør Steffen Sutorius til e24.
Han åpner likevel for at interesseorganisasjonen kan ha et poeng.
– Vi har, og vil fortsette å ha, en dialog med IKT-Norge. Etter ferien skal vi sammen se på teksten i loven.