Torgeir Waterhouse, director Internet & New Media – IKT-Norge
IKT-Norge advarer om høy risiko for anskaffelser og leverandører etter Difis ensidige endring av Statens Standardavtaler for anskaffelser
I 2018 har regjeringen og Norge stort fokus på hvordan vi gjennom digitalisering kan både styrke velferdsstaten og utvikle og forbedre stadig flere brukernære tjenester for alle.
“Målet med IKT-politikken er å skape en enklere hverdag for innbyggere, næringsliv og ansatte i offentlig sektor. Vi legger til rette for økt verdiskaping og produktivitet. Vi øker ambisjonene og styrker gjennomføringsevnen” sa daværende kommunal- og moderniseringsminister Jan Tore Sanner da Digital Agenda for Norge ble lagt frem i 2016[1]. 2018 kan også være året statens eget grep sparker beina bort under dette og gjør at det heller blir en bråstopp på bekostning av nettopp gjennomføring.
Statens Standardavtaler (SSA) “er kontraktsmaler for kjøp av IT og konsulenttjenester”[2]. Det offentlige bruker i all hovedsak SSA til sine anskaffelser, de brukes også i utstrakt grad i privat sektor, som også vil bli rammet av dette. Derfor er SSA helt sentrale for både kunder og leverandører, det vil gi store problemer for mange om avtalene ikke lenger kan brukes.
IKT-Norge advarer derfor om høy risiko for både kunder og leverandører etter Difis ensidige endring av SSA. Risiko som er så stor at det i verste fall fremstår som å signere en åpen sjekk og kan dramatisk begrense eller hindre både leverandørenes mulighet til å signere kontrakter med det offentlige og delta i anbudsrunder.
Situasjonen er skapt av Difi
Difi har skapt en uholdbar situasjon for både kunder av og leverandører i ikt-næringen. Leverandører risiker enorme og grovt urimelige kostnader til erstatninger helt ute av proporsjon fordi SSA nå gjør leverandøren ansvarlig for kundens kostnader.
Leverandører skal selvfølgelig være både ansvarlige og kunne bli erstatningspliktige, men som alltid ellers for det de faktisk er ansvarlig for og innenfor rimelige og balanserte rammer. I den situasjonen som er skapt risikerer kundene i offentlig sektor altså å bli stående uten leverandører og deltagere i anbudsrunder som et resultat av krav helt ute av proporsjon. Det fremstår også som et forsøk fra statens side på en direkte omgåelse av ansvarsfordelingen det legges opp til i den nye personopplysningsloven.
Endringen kolliderer også med det Difi selv sier[3]om målene for sitt eget arbeid med dette, for eksempel “det gode innkjøp”, “SMB-perspektiv” og at “offentlige anskaffelser møter oppdragsgivers behov”.
Utgangspunktet for problemet er en nødvendig gjennomgang av SSA i forbindelse med GDPR, den nye personvernlovgivningen. Der det nye lovverket legger opp til ansvarsdeling i tråd med de forskjellige rollene forsøker Difi, altså staten, nå å legge alt ansvar, også kundenes, på leverandørene.
“Ved brudd på bestemmelser som følger av personopplysningsloven eller personvernforordningen gjelder ikke erstatningsbegrensningene i dette punkt 11.5.6 for så vidt gjelder krav som kan henføres til Leverandørens forhold. Leverandøren skal holde Kunden skadesløs for ethvert krav fra tredjepart, og/eller sanksjon (f.eks. overtredelsesgebyr eller tvangsmulkt) fra offentlig myndighet som relaterer seg til Leverandørens brudd på personvernforordningen.” (SSA-D, bokmål 2018)
I verst tenkelige scenario er dette sammenlignbart med å signere en åpen sjekk. Difi har altså ensidig, i strid med både tradisjon og konkret avtale om felles prosess, tatt inn tekst i flere av SSA som gjør at det for mange aktører kan være umulig å signere. I tillegg til ensidigheten, er endringen i praksis ikke varslet.
Når det står på Difis nettside at avtalene er utviklet i fellesskap er det både misvisende og egnet til å skape inntrykk av at bransjen stiller seg bak dette. “SSA-ene er utarbeidet av Difi med innspill fra både kunde- og leverandørsiden og er gratis å bruke”[4]. Leverandørsiden har ikke vært involvert i prosessen frem til den siste versjonen som likevel beskrives etter de rutiner som tidligere har vært praktisert. I tillegg er det sterkt problematisk at det er avvik mellom bokmålsversjonen og versjonene på nynorsk og engelsk som ikke er oppdatert, de er fremdeles på den versjonen bokmålsversjonen var før den problematiske teksten ble lagt til.
Endringen gjør det ikke bare til risikosport å signere kontrakter. Det er også høy risiko forbundet med å levere tilbud på ressurskrevende offentlige anbud. Merk at endringen er stikk i strid med hovedprinsippet for avtalen (punkt 11.5.6 som det vises til) og at man forøvrig krever at en leverandør har vært grovt uaktsom eller handlet med forsett for å stille denne type krav. At Difi peker på at et eksternt advokatkontor har skrevet teksten og har gått med på å se på avtalene på nytt til høsten avhjelper på ingen måte denne akutte situasjonen. Det er uansett Difi som er ansvarlig for situasjonen som nå er skapt. Det sirkulerer også en mal til databehandleravtale som inneholder tilsvarende problematisk ordlyd. Hvordan dette vil påvirke hvem som svarer på hvilke anbud og om kontrakter signeres med hvilke forbehold gjenstår å se.
IKT-Norges anbefalinger er ikke til å misforstå og det haster
Leverandører, og kunder, må vurdere nøyebåde konsekvensene av ordlyden slik den foreligger, og konsekvensene av å ta forbehold om den i anbudsprosesser. Er det akseptabel risiko eller er det noe som kan forsvare å signere en avtale som legger kundens ansvar på leverandøren?
Vår klare anbefaling til myndighetene er at Difi og regjeringen straks ruller tilbake SSA til forrige versjon. Kun da vil det være mulig å gjenopprette den helt nødvendige balansen i forholdet mellom kunde og leverandør, og sikre gode leveranser til både offentlig og privat sektor i Norge. Denne anbefalingen er også formidlet tydelig til Difi, men Difi mener det ikke er en mulighet å gå tilbake til forrige versjon. Difi er imidlertid villig til å starte en ny prosess for å se på SSA på nytt høsten 2018. I seg selv er en ny prosess bra, og IKT-Norge støtter opp om det, men det løser ikke den krisen vi står midt oppe i akkurat nå.
Så gjenstår det et paradoks, som Difi selv skriver: “SSA-avtalene er kommet i ny versjon (2018) som er oppdatert i henhold til ny personvernforordning. Foreløpig foreligger de nye avtalene kun på bokmål.” Det betyr i praksis at om nynorsk eller engelsk versjon av SSA benyttes vil Difis sterkt problematiske tekst unngås.
IKT-Norge imøteser en rask reaksjon fra Difi slik at denne høyst unødvendige situasjonen ryddes opp i med en gang slik at kontrakter kan signeres uten uholdbar risiko. I forlengelse av det står både IKT-Norge og næringen klar til å fortsette den faglige og balanserte prosessen Difi har lagt til rette for ved tidligere endringer i SSA.