Denne veiledningen gir en samlet beskrivelse av hvordan rammeavtalene er strukturert.
1 Begrepsbruk
Avtalen benytter begrepene «Framework Agreement», «Agreement» og «Call-off Contract» om selve avtalene. Enhver henvisning til the «Agreement» eller «Call-off Contract» referer til avropsavtalen mellom oppdragsgiver og leverandør, mens enhver henvisning til «Framework Agreement» gjelder rammeavtalen mellom MPS og leverandøren. The «Agreement» referer også til rammeavtalen, og innholdet i bestemmelsen må forstås utfra kontekst for hvem som er part i avtalen.
I avtalen er «Customer», «MPS» og «Supplier» begreper som er brukt om parter i avtalen.
Alle bestemmelser som omtaler «Customer» oppstiller plikter og/eller rettigheter for hver enkelt kunde i den enkelte avropsavtalen, samt plikter og/eller rettigheter for MPS i rammeavtalen. Bestemmelser som omtaler «MPS» oppstiller kun plikter og/eller rettigheter som gjelder for MPS på rammeavtalenivå. MPS er ikke en part i avropsavtalene. Forhold i avropsavtaler kan imidlertid eskaleres til MPS.
Det er utarbeidet et eget dokument «Glossary» som inneholder en del begreper som benyttes i avtalen og er relevante for skytjenester.
2 Tilgang på informasjon
Ved inngåelse av avropsavtalen gir oppdragsgiver leverandøren tillatelse til å rapportere data til MPS i tråd med rammeavtalens rapporteringsforpliktelser. Dette innebærer blant annet data om forventet forbruk på avropsavtalene i kroner, samt faktisk forbruk. Dette er for at MPS skal holde oversikt på det økonomiske uttaket på rammeavtalen som vi er pliktig å følge med på. Videre kan leverandøren rapportere mer detaljert bruksdata til MPS som går på omfang av type tjenester som konsumeres under rammeavtalen. Dette knytter seg eksempelvis til omfang av lagringstjenester, prosesseringstjenester, mm. Dette gjelder både økonomiske data og tekniske data (aggregert mengde data lagret). Det understrekes at MPS ikke under noen omstendigheter vil få innsikt i kundens data som kunden selv putter inn i løsningen, kun eventuelle data om bruken.
Forretningshemmeligheter
DFØ gjør oppmerksom på at også rammeavtalen inneholder opplysninger som er å anse
som forretningshemmeligheter. Bakgrunnen er at det ble åpnet for at leverandørene
kunne foreslå avvikende kontraktsregulering på enkelte punkter. Denne typen avvikende
kontraktsregulering vil kunne si noe om forretningsstrategien til leverandøren, og vil
derfor også kunne utgjøre en forretningshemmelighet. Rammeavtalen kan altså ikke gis
ut usladdet.
3 Oppbygging og rangordning
Avtalen består av fire kapitler:
Kapittel 1 – generelle vilkår og bestemmelser
Kapittel 2 – spesielle vilkår og bestemmelser
Kapittel 3 – Leverandørens vilkår og bestemmelser
Kapittel 4 – Avropsmekanismer
I tillegg består avtalen av følgende annekser, appendikser og vedlegg:
| Annex 1: | Scope of Services |
| Annex 2: | Financial regulation/pricing |
| Annex 3.1: | Governance of the Agreement |
| Annex 3.2: | Governance of the Call-off Contract |
| Annex 4: | Information Security |
| Annex 5: | Data Protection |
| Annex 6: | Professional Services |
| Annex 7: | Environmental, Social and Governance (ESG) |
| Appendix 1: | Entitled entities |
| Appendix 2: | Sub-contractors and sub-processors |
| Attachment 1: | Order Form |
| Attachment 2: | Reporting Template |
| Attachment 3: | Cloud Security Reference Architecture |
| Attachment 4: | List / catalogue of services |
Avtalen har en hierarkisk rangordning. Ved eventuell motstrid har de ulike dokumentene rang i rekkefølgen som angitt over. Kapittel 3 – Leverandørens vilkår har imidlertid lavest rang av samtlige dokumenter. Prinsippet som er lagt til grunn er at dokumentene med høyere rang setter de ytre rammene for hva som kan avtales senere. Den detaljerte reguleringen skal dermed tolkes konsistent og ikke i konflikt med høyere rangerte vilkår.
Dette innebærer at dersom det oppstår motstrid eller konflikt mellom innholdet i bestemmelsene i noen av de nevnte dokumentene over skal tolkningen av avtalen skje i tråd med bestemmelsen som har høyest rang. Tilfellet hvor det særlig kan oppstå spørsmål om motstrid er dersom kapittel 3 – leverandørens dokumenter og vilkår inneholder bestemmelser som står i motstrid med bestemmelser i de andre dokumentene i avtalen. Ved slik motstrid er det bestemmelsene i de andre dokumentene som gis forrang, og leverandørens vilkår må i slike tilfeller «vike» for bestemmelser i dokumenter med høyere rang.
Ved hvert enkelt avrop vil alle ovenstående dokumenter være del av avtalen. Oppdragsgivere kan avtale avvikende bestemmelser fra det som opprinnelig er avtalt i rammeavtalen. Slike avvikende bestemmelser skal fremgå eksplisitt av avropsavtalen. Det understrekes at slike eksplisitte endringer i avtalen vil gis forrang. Kundene bør derfor være bevisste på hva slags endringer man aksepterer og konsekvensene av det.
4 Kapittel 1- Generelle vilkår og bestemmelser
Dette kapittelet inneholder generelle kontraktsvilkår og -bestemmelser. Disse kan anses som generelle kommersielle bestemmelser og klassiske juridiske bestemmelser som stort sett alltid er inkludert i en avtale, og er i begrenset grad knyttet til selve tjenesten som kjøpes. Dette inkluderer blant annet formålet med anskaffelsen, system og struktur, gjeldende lover og regler, revisjonsbestemmelser, Konfidensialitet, ansvarsbegrensning, opphavsrettslige bestemmelser (IPR), brudd og sanksjoner, varighet og oppsigelsesadgang, samt lovvalg og verneting.
5 Kapittel 2 - Spesielle vilkår og bestemmelser
Dette kapittelet inneholder mer spesielle kontraktsvilkår og -bestemmelser. Disse vilkårene omtales som spesielle da de er knyttet tettere til selve tjenesten. I dette kapittelet er det inntatt bestemmelser om omfang og krav til tjenestene, endringer og modifikasjoner i omfang av tjenester, endring og modifikasjoner i selve tjenestene, herunder krav til varsling, terminering av tjenester, akseptabel bruk av tjenestene (AUP), leverandørens suspensjonsadgang, SLA-reguleringer, overordnet krav til informasjonssikkerhet og personvern, finansielle bestemmelser særlig knyttet til fakturering og forsinket betaling, samarbeid med tredjeparter, bruk av åpen kildekode og tredjepartsprogramvare i tjenesteleveransen, leverandørens markedsplass, underleverandører, oppdragsgiveres adgang til å kjøpe tjenester under rammeavtalen, varighet på avropsavtalene og adgang til bistand for å utarbeide kontinuitetsplan for kunden, samt utarbeide plan for exit.
6 Kapittel 3 - Leverandørenes vilkår og bestemmelser
6.1 Generelt
Dette dokumentet inneholder leverandørens bestemmelser. IaaS- og PaaS-tjenester leveres som standardiserte tjenester, og denne standardiseringen inkluderer også de kontraktsbetingelser leverandøren tilbyr. Leverandørenes kontraktsbetingelser er ofte også nært knyttet opp til innholdet i tjenestene som leveres, og flere av vilkårene er av mer teknisk art. Følgelig er det en forutsetning for å kjøpe skytjenester at leverandørenes vilkår får en plass. Som nevnt ivaretar avtalen dette ved at de dokumentene med høyere rang oppstiller de ytre rammene for hva som kan avtales. Leverandørvilkårene er altså vilkår som leverandørene har inntatt innenfor disse rammene. Leverandørene har inntatt noen vilkår som faste dokumenter, herunder hovedavtalen deres, databehandleravtalen, mm. Vilkårene som er tettere knyttet til tjenesten er inkorporert gjennom hyperlenker. Lenkene fremgår av kapittel 3. Alle leverandørvilkår har lavest rang. I den enkelte avropsavtalen kan det imidlertid avtales eksplisitte vilkår som går foran de opprinnelige bestemmelsene som fremgår av Avtalen. Slike vilkår bør vurderes av oppdragsgiver i forbindelse med en avropsavtale, og dersom de er til gunst for leverandøren bør de ikke aksepteres med mindre det gir andre fordeler for kunden.
6.2 Acceptable use policy (AUP)
Leverandørens vilkår består av flere typer vilkår. Der ligger eksempelvis leverandørens akseptable brukervilkår (Acceptable Use Policy(ies) (AUP)). Dette er krav oppdragsgiver må innrette seg etter når de skal bruke tjenesten fra leverandøren. Her oppstilles ofte krav om hva tjenestene ikke kan brukes til. Leverandørenes AUP bør ses på før et avrop skal gjennomføres da enkelte oppdragsgivere vil kunne ha behov for å gjøre endringer / tilpasninger til en AUP for å sikre at deres bruk ikke er i strid med leverandørens AUP. Dette er forhold som bør hensyntas i en avropsprosess / minikonkurranse.
6.3 Tjenestevilkår
Tjenestevilkårene består ofte av to deler. En del som er generell og gjelder alle tjenestene, og en del som er tilknyttet hver enkelt tjeneste. Dette er kontraktsvilkår som er av teknisk art og er svært tett knyttet til hvordan tjenesten fungerer. Disse vilkårene minner i noen grad om en AUP da de også gir uttrykk for hva og hvordan en tjeneste kan brukes. Dette kan eksempelvis knytte seg til hva du kan bruke tjenesten til, hva som skjer ved inaktivitet, dataflyt, tilgang på data, forpliktelser kunden har til å sette opp / konfigurere løsningen, leveranse av tredjepartskomponent, osv.
Disse vilkårene har ikke vært gjenstand for vurdering i forbindelse med inngåelsen av rammeavtalen, utover at de er innenfor «rammen» satt av selve rammeavtalen. Det kan derfor være lurt å gjøre disse vilkårene til en del av vurderingen i forbindelse med et avrop.
6.4 Service Level Agreement (SLA)
SLA eller Service Level Agreement angir tjenestenivået for de enkelte tjenestene. Disse inneholder ofte informasjon om metrikker som brukes for å måle tjenestenivå, hvilket tjenestenivå som tilbys og eventuell kompensasjon ved brudd på tjenestenivået. Disse har ikke vært direkte gjenstand for vurdering, og det kan derfor vurderes om det er hensiktsmessig å vurdere disse i forbindelse med et avrop. Det kan særlig være hensiktsmessig å legge vekt på hvorvidt det foreligger en SLA på tjenestene som skal konsumeres, da ikke nødvendigvis alle tjenestene har SLA. Leverandørene opererer også med noe forskjellige typer SLAer, hvor noen kun gjelder tilgjengelighet på tjenesten, men andre også gjelder selve ytelsen.
6.5 Data Processing Agreement (DPA)
DPA’en er leverandørens databehandleravtale. Selve databehandleravtalen har ikke vært gjenstand for evalueringer, men besvarelsen av kontraktsforpliktelser knyttet til Annex 5 – bestemmelser om personvern har vært gjenstand for vurdering.
6.6 Privacy notice
Disse dokumentene beskriver hvordan leverandøren behandler personopplysninger de selv er behandlingsansvarlig for.
6.7 Øvrige dokumenter
Leverandøren har ofte øvrige dokumenter som eksempelvis sier noe mer teknisk om tjenesten, beskrivelse av support, profesjonelle støttetjenester, trening og opplæring, osv.
7 Kapittel 4 - avropsbestemmelser
Dette dokumentet angir hvordan avrop skal fordeles mellom de fire parallelle rammeavtalene og hvordan oppdragsgivere skal avrope på avtalene.
8 Annex 1 - Scope of Services
Dette dokumentet beskriver tjenestene som er omfattet av rammeavtalen, samt hvilke krav som er stilt til tjenesten. Prinsippet som er lagt til grunn er at avtalen omfatter alle IaaS- og Paas-tjenester i henhold til den til enhver tid gjeldende «NIST Definition of Cloud Computing», se Annex 1 til avtalen, punkt 2. I praksis betyr dette at alle skytjenestene som utgjør byggeklossene i skyplattformens hovedkatalog er omfattet.
9 Annex 2 - Financial regulations / pricing
Dette dokumentet angir finansielle bestemmelser utover det som er angitt i kapittel 2. Her fremgår hvilken rabatt leverandøren tilbyr på listeprisen sin om ikke annet er tilbudt i avropsavtalen. Her er også timepriser for profesjonelle tjenester angitt. Dokumentet inneholder også bestemmelser om oppdragsgivers adgang til å innta økonomiske forpliktelser i avropsavtalen. Dette er det adgang til. Her angis det også hvorvidt det er adgang til å kansellere slik forpliktelse med eventuell tilhørende avlysningspolise, eventuell adgang til overføring av slik forpliktelse, samt hvorvidt bruk på leverandørens markedsplass regnes mot en slik økonomisk forpliktelse.
Videre ligger det inne bestemmelser om prisjustering, valuta og tilgang på historiske priser.
10 Annex 3.1 - Governance of the Agreement
Dette dokumentet angir styring av selve rammeavtalen i forholdet mellom MPS og leverandøren og inneholder ikke bestemmelser som gjør seg gjeldende for den enkelte oppdragsgiver i forbindelse med en avropsavtale.
11 Annex 3.2 - Governance of the Call-off Contract
Dette dokumentet angir bestemmelser om styringen av avropsavtalen dersom ikke annet avtales i avropsavtalen. Her står oppdragsgiver fritt til å avtale ytterligere og / eller andre vilkår.
12 Annex 4 - Information Security
Dette dokumentet angir de kontraktuelle forpliktelsene for leverandørene med hensyn til informasjonssikkerhet. Dokumentet består av to deler. Den første delen (klausul 1 til 6) knytter seg til hvilke forpliktelser leverandørene har påtatt seg med hensyn til hvordan de arbeider med å holde skyløsningen de tilbyr sikker. Den andre delen (klausul 7 til 14) omhandler funksjonelle krav til løsning, og tjenestetilbud hos leverandørene. Denne delen retter seg mot hvordan leverandørene kan bidra til å hjelpe kunder med en sikker bruk av skyen (som er kundens ansvar) og dermed lette kundens ressursbruk. Videre ligger det krav som går på mulighet til å imøtekomme mer skreddersydde behov fra enkelte kunder, herunder behov for å begrense prosessering av data til innenfor Norge og / eller EU/EØS. I dette dokumentet er det variasjoner mellom leverandørene hvilke vilkår som har vært akseptert, og det er dermed variasjoner på tvers av rammeavtalene.
13 Annex 5 - Data Protection
Dette dokumentet angir krav til prosessering av personlig data der hvor leverandøren prosesserer personlige data på vegne av kunden som en databehandler. Her ligger det krav som knytter seg til at det skal signeres en databehandleravtale (DBA/DPA), håndtering av endringer av nye underdatabehandlere, rett på informasjon om hva som prosesseres, hvor og hvorfor, samt tilgang på vurderinger som er utført. Merk at disse kravene ikke gjør seg gjeldende der hvor leverandøren prosesserer personlige data i kraft av å være behandlingsansvarlig. Slik prosessering er regulert av leverandørenes privacy policy. Også i dette kapittelet er det variasjoner mellom leverandørene.
14 Annex 6 - Professional Services
Dette dokumentet er unikt per leverandør og beskriver hva de tilbyr av profesjonelle tjenester i tilknytning til avtalen. Det understrekes at det i denne avtalen ikke er adgang til å kjøpe alminnelig drifts-, systemintegrasjonstjenester eller lignende. De profesjonelle tjenestene som kan kjøpes knytter seg konkret til den type profesjonelle tjenester som leverandørene selv tilbyr og er nært knyttet opp til tjenesten. Det kan eksempelvis være sikkerhetsarkitekter, tekniske arkitekter, ol.
15 Annex 7 - Environmental, Social and Governance (ESG)
Dette dokumentet angir krav til miljø, sosiale og etiske krav, samt krav til styring og kontroll i leverandørkjeden. Innenfor miljø knytter kravene seg i hovedsak til etterlevelse av EU-reguleringer rundt miljøvennlige datasentre. De etiske og sosiale kravene er i hovedsak gjennomføring av norske regler om krav til lønns- og arbeidsvilkår i offentlige kontrakter. Disse bestemmelsene gjelder kun arbeid utført på norsk jord. Kravene til aktsomhetsvurderinger (due diligence) for ansvarlig næringsliv ligger tett opp mot kravene som ligger i åpenhetsloven.
16 Appendix 1 - Entitled entities
Dette dokumentet lister opp alle kundene som er omfattet av avtalen.
17 Appendix 2 - Sub-contractors and sub-processors
Dette dokumentet lister opp alle underleverandører som er direkte involvert i leveranse av tjenesten, samt underdatabehandlere.
18 Attachment 1 - Order Form
Dette er dokumentet som benyttes ved inngåelse av avtale med leverandørene. Order form er unik for hver enkelt leverandør og er utarbeidet på leverandørens papir.
19 Attachment 2 - Reporting template
Her fremgår informasjon som leverandørene er pliktige til å rapportere til MPS på en jevnlig basis.
20 Attachment 3 - Cloud Security Reference Architecture
Dette dokumentet er leverandørenes besvarelse av kravene som er stilt til informasjonssikkerhet i Annex 4. Dette dokumentet er dermed unikt for hver enkelt leverandør. Det angir hvordan de imøtekommer og oppfyller kravene i Annex 4. Dokumentet gir god innsikt i hvordan leverandørene jobber med informasjonssikkerhet i sine virksomheter. Videre gir det god oversikt over de tilgjengelige sikkerhetsmekanismene leverandørene har tilgjengelig. På den måten vil dette dokumentet være et godt utgangspunkt for å vurdere leverandørenes sikkerhet og bygge videre på for de som jobber med sikkerhet når det skal bygges løsninger på disse kontraktene og / eller dette skal integreres med andre løsninger / systemer.
21 Attachment 4 - List / catalogue of services
Dette dokumentet er unikt for hver enkelt leverandør og inneholder en oversikt over alle tjenestene hos den enkelte leverandør som er inkludert i rammeavtalen.