Paradokset med skytjenester

Mange skytjenester er så standardiserte at det er en lav terskel for å ta de i bruk.

Samtidig så er ikke skyverden så rett frem som det kan virke ved første øyekast. For mange SaaS applikasjoner kreves det vel så stor implementeringsinnsats sammenlignet med den gang en kjøpte en on-premise løsning, selv om man for mange løsninger slipper store oppgraderingsløft i ettertid. Denne implementeringskosten gjør at en ikke kan bytte løsning fra en dag til den neste. Og for datasentertjenester (IaaS/PaaS) så er det lett å være litt ubevisst ifbm arkitekturvalg, som gjør en avhengig av spesifikke tjenester fra valgt leverandør, noe som igjen vanskeliggjør bytte av plattform til en annen tilbyder. For eksempel vil bruk av en skyleverandørs AI-tjenester hvor disse SaaS-byggeklossene er så vidt leverandørspesifikke, skape sterke bindinger. Samme problemstilling kan for så vidt oppstå ved utvikling av softwareløsninger, hvor en bruker verktøy og gjør arkitekturvalg som begrenser mulighetene når plattform/tjeneste for drift skal velges, og som gjør et eventuelt senere bytte svært kostbart og tidkrevende.

Og her oppstår det store paradokset – svært mange skytjenester kan ikke byttes fra en dag til neste. Tvert om så kan det ta måneder eller år. Like fullt så skrives skytjenestevilkårene ut fra premisset om at det er mulig å skifte skytjenester nærmest fra en dag til den neste.

Ser en på snittet av skytjenestevilkår der ute, så ser en gjennomgående at de preges av manglende «forutberegnlighet» for sluttkundene. For eksempel:

• Manglende prissikring, både for tjenesten en abonnerer på og for eventuelle tilleggskjøp
  
• Rett for leverandøren til å endre/oppdatere avtalevilkårene, inkludert prisrelaterte vilkår som lisensmetrikker
• Rett for skyleverandøren å endre eller fjerne tjenester, uten tilstrekkelig varslingsfrist for kundene til å planlegge for endringene eller «sunset» av viktig funksjonalitet/tjenester
• Korte oppsigelsesfrister, også for skytjenesteleverandør
• Mange ekstraordinære hjemler for skyleverandøren til å fjerne hele eller deler av skytjenesten, for eksempel på grunn av nye lovkrav, vanhjemmelssituasjoner o.l, uten at det hensyntas at kundene skal ha tid til å planlegge for alternativer
• Lav terskel for midlertidig stans av tjenestene
• Lav terskel for heving og ingen overgangsperiode, slik en rekker å planlegge for og implementere alternative løsninger før tjenesten faller bort
• Osv

I det store og hele så gir ikke brorparten av skytjenestevilkår sluttkundene sikkerhet for at tjenesten er der i morgen.

En gjenganger når vi forteller kunder om dette, eller adresserer temaet på seminar, er: «men har du hørt at leverandøren faktisk håndhever avtalen slik?»

Som advokater vil vi mene at dette er en irrevant angrepsvinkel, i alle fall for forretningskritiske løsninger eller tjenester som koster en del. Når først vilkårene er skrevet slik, så er det av en grunn! En bør ikke håpe og tro at skytjenesteleverandøren ikke vil håndheve rettigheter de har, når de nettopp har tatt ett bevisst valg om å regulere ulike temaer akkurat slik de har skrevet det.

En bør heller ikke satse på at det er så vidt stor konkurranse nå mellom ulike skyleverandører, at Leverandørene aldri vil håndheve sine rettigheter. Det er mulig det ikke skjer akkurat nå, men i for eksempel on-premise verden så endte det opp med utstrakt håndheving av avtalevilkårene blant annet i form av lisensrevisjoner. Å håpe på noe annet for skytjenester er å tro på julenissen.

Men hva er det vi har sett som advokater i praksis så langt?

Jo at svært mange kunder har kjent dette på kroppen de senere årene i form av kostnadskonsekvenser.

Dette har sin årsak i den grunnleggende misforståelsen om at prisene er standardiserte også. Dette har gitt seg utslag i at svært mange kunder ikke har sikret prisen i det hele tatt, eller kun for en kortere periode på noen får år, selv om livsløpet til tjenesten kan være svært mye lengre. Som for en CRM eller ERP løsning. Når en ikke har sikret prisen i mer enn tre år, og knapt er ferdig med implementeringsprosjektet, så burde det ikke komme som en overraskelse av abonnementsprisen øker med 148 % fra en dag til neste (ja dette er et faktisk eksempel vi har vært borti, og er ingen overdrivelse). Gjennom en rekke klienter så har vi sett store økninger i abonnementsavgift de senere årene, uavhengig av SaaS eller IaaS/PaaS.

Hovedproblemet med manglende «forutberegnelighet» i skytjenestevilkår, er at den slår direkte ut i kroner og øre. Ikke bare på grunn av manglende prissikring generelt, eller manglende prissikring for tilleggskjøp, men fordi de manglende rettighetene i skytjenestevilkårene gjør at kundene ikke har tilgjengelige forhandlingskort når skytjenesteleverandøren krever ekstra betalt for mye og mangt. Vi ser det for eksempel i fisjonsprosesser, hvor utskillelse av deler av virksomheten medfører at en må tegne nytt abonnement for delen som skilles ut, med den ekstrakostnad dette måtte ha, fremfor å ha en avtalerettslig rett til å for eksempel kunne fortsette bruken i en overgangsperiode frem til en er innlemmet i løsningen til kjøpende selskap. Eller dersom det utenkelige skjer og skyleverandøren kan heve avtalen på grunn av vesentlig mislighold, så vil evt. forlengelse i en overgangsperiode være noe som må avtales, med den priskonsekvens skyleverandøren dikterer.

I det store og det hele gjør disse manglende rettighetene at det blir kostbart i en rekke situasjoner.

Av disse årsaker så er vår klare anbefaling at kundene bør 1) lage en skystrategi (hvordan ønsker en å gå i skyen og med hvilken risiko, 2) les og forstå skytjenestevilkårene og 3) en bør i størst mulig grad sikre konkurranse mellom ulike potensielle skyleverandører og bruke konkurransesituasjonen til å forhandle bedre vilkår! Og for eksisterende abonnementsavtaler, hvor en allerede har akseptert standardvilkårene, så sørg i alle fall for å starte forhandlingene om fornyelse av abonnementet i god tid før avtalen eller evt. prissikring går ut. Minimum ett år før, for å øke forhandlingskraften noe. Det er heller ikke en ulempe å ha en alternativ plan/leverandør for å øke egen forhandlingskraft.

Videre bør kunder bry seg om balansen i skytjenestevilkår helt uavhengig av priskonsekvensene det kan ha.

I konteksten av virksomhetskritiske løsninger, så bør en som kunde starte med å spørre seg selv om en egentlig kan leve med vilkår som ikke gir «forutberegnelighet»? Den nevnte skystrategien over, bør adressere dette på generelt nivå.

Dessverre virker den store massen av kunder å være lite bevisste når det gjelder dette, eller de satser på at det neppe vil komme på spissen med den konsekvens at de mister tjenestene fra en dag til neste. Skyleverandørene lever tross alt av å ha betalende kunder kan en tenke.

Igjen, mener vi det er svært risikofylt, og egentlig naivt å tenke slik. Ser vi på bank, finans og forsikring, så er disse sektorer faktisk pålagt gjennom EU regler (som EBA, EIPOA, og nå DORA innenfor sikkerhet) å sikre kontrakter og avtalevilkår som igjen sikrer at tjenesten ikke går ned fra en dag til neste. Det er derimot krav i mange lag, dersom det gjelder «viktige eller kritiske» løsninger, for nettopp å sikre krav til forretningskontinuitet i avtalevilkårene også.

Her ser vi at EU tvinger flere bransjer til å bruke hodet når de kjøper tjenester. En morsom bieffekt av dette er for øvrig at alle de store skytjenestevleverandørene tilbyr «addendums» til egne standardvilkår, som gir slike kunder bedre rettigheter og betingelser.

Kanskje andre bransjer og virksomheter bør la seg inspirere av det samme, slik at en sikrer seg bedre forutberegnelighet i avtalevilkårene for skytjenester en bruker? Gjennom DFØ’s initiativ «markedsplassen for skytjenester» er i hvert fall statlige, fylkeskommunale og kommunale aktører i Norge i gang med dette, gjennom den pågående konkurransen hvor ambisjonen er å sikre både balanserte vilkår og rabatter fra de største IaaS/PaaS leverandørene.