K04: Ny standardkontrakt for it-drift langt om længe offentliggjort

Den 25. august 2020 offentliggjorde Digitaliseringsstyrelsen efter små fem års tilløb en ny standardkontrakt til brug for anskaffelser af it-drift. Navngivningen af K-kontrakterne har været: K33, K18, K01, K02, K03 og så nu K04. De to førstnævnte fik deres navn efter deres sideantal, mens navngivningen fra 2004 og frem har været sekventiel. K18 og K02 blev de facto markedsstandarder. K01 gled ud af brug, da K02 kom, og K03 er aldrig for alvor slået igennem.

Generelt om K04

K04 er blevet til efter mange års forberedende arbejde samt bred høring af de relevante brancheorganisationer, herunder Danske IT-advokater og ITB. K04 er designet til større it-driftsopgaver, men det er muligt at skære kontrakten til, så den også kan anvendes på mindre opgaver. 

K04 følger overordnet samme struktur som de outsourcing- og driftsaftaler, der i de sidste ca. 10 år er anvendt af de danske advokatkontorer, der håndterer outsourcingsager, dvs. følgende opbygning:

• Afklaring
• governance
• transition
• de dækkede ydelser, f.eks. applikations- og infrastrukturdrift og tværgående ydelser,
• pris, prisregulering og benchmarking og
• det som i K04 er kaldt Almindelig kontraktregulering, hvilket dækker over garantier, misligholdelsesbeføjelser, ansvar og tvistløsning m.v.

K04 indeholder et mere fyldestgørende bilagskatalog end de øvrige K-kontrakter. Bilagene er inddelt i kategorier efter deres færdiggørelsesgrad: A (mindre tilpasninger påkrævet), B (delvist færdiggjort) og C (templates til færdiggørelse).

Hensigten har været at skabe et ca. 80% færdigt produkt, som tager højde for de udbudsretlige regler på området, og som kan nedskaleres og tilpasses endeligt afhængigt af kundens konkrete behov fremfor et udgangspunkt, der skal opbygges fra bunden eller skal leveres af tilbudsgiverne.

Kontrakten er opbygget med en modulær ydelsesstruktur, der gør det muligt at fjerne eller tilføje ydelser. Den kan endvidere anvendes både i kombination med nye it-systemanskaffelser (hvor systemet drives af samme leverandør som har udviklet systemet) og til genudbud af driften af et allerede eksisterende it-system.

Det er Digitaliseringsstyrelsens målsætning at K04 skal danne grundlag for ca. 80% af de offentlige it-driftsudbud.

Er den velafbalanceret?

Digitaliseringsstyrelsen skriver i sin pressemeddelelse, at "K04 er ikke et agreed document […]. Alligevel er hensigten at det skal være en afbalanceret kontrakt, som både myndigheder og leverandører ønsker at bruge."

Leverandørsiden kommer med sikkerhed ikke til frivilligt at bruge K04, da den grundlæggende er skrevet med kundehensynet for øje.

En god kontrakt (1) allokerer en risiko til den part, som er nærmest til at afværge den, og (2) må godt afspejle den "bargaining power", som en udbyder af en attraktiv ydelse har, men ikke til et sådant niveau, at egnede (f.eks. store udenlandske eller små danske) tilbudsgivere afstår fra at byde, eller de tilbudsgivere, som der er, indregner en stor risikopræmie, som kunden gerne havde været foruden mod mere velafbalancerede juridiske vilkår. K04 lever hverken op til det ene eller det andet af de to kriterier.

Persondatakrav

Under høringsprocessen blev det diskuteret, hvorvidt K04's ansvarsmaksimering skulle omfatte skadesløsholdelse for tredjemands persondatakrav. Det var angiveligt dette ene spørgsmål, som forhindrede færdiggørelsen af K04 i mange måneder.

I den endelige version er det blevet til en til- og fravalgsmodel i punkt 34.1, dvs. at parterne kan vælge om kontraktens erstatningsmaksimering også skal inkludere krav fra tredjemand vedrørende manglende overholdelse af persondatalovgivningen.

Branchenormen har ikke lagt sig fast endnu, men bevæger sig i retning af en kobling til den forsikringsdækning, som kan opnås, eller et specifikt aftalt maksimum for denne type krav.

K04's fravalgsmodel vil ret sikkert blive en sjældenhed, idet kun en ekstraordinært risikovillig leverandør (eller en som ingen egenkapital har alligevel) vil påtage sig et ubegrænset ansvar. Leverandøren kan påvirke sikkerhedsniveauet i driften og lignende forhold, men et kravs størrelse påvirkes i høj grad af forhold, der ligger uden for leverandørens kontrol (f.eks. antal datasubjekter og behandlingsformerne).

Der har været danske sager om tortgodtgørelse for persondataretlige forhold, men endnu ingen gruppesøgsmål ad modum Marriott-sagen, hvor hotelkæden Marriott International blev udsat for et succesfuldt hackerangreb. Angrebet afdækkede bl.a. pasnumre, fødselsdato og andre personhenførbare data på alle Marriotts hotelgæster gennem en længere årrække. Marriott er i dag sagsøgt ved the London High Court for 9,5 mia. britiske pund i et gruppesøgsmål på vegne de berørte datasubjekter.

Bliver D17 eller K04 de facto standarden?

Standardkontrakter er grundlæggende et gode. De giver sammenlignelighed mellem tilbudsgiverne og fungerer som et ankerpunkt for parternes forhandling og et antal andre processer. I praksis udvikler der sig hurtigt 2-5 alternative løsninger til de 10-20 vigtige punkter, der typisk er i en outsourcing- eller driftskontrakt. Energien vil derfor blive lagt i at finde den rigtige løsning på disse punkter snarere end på forhandling og drafting af det hele.

Dansk IT, IT Branchen (ITB) og Danske IT-advokater udarbejdede i 2017 standardkontrakten D17 til mindre driftsopgaver i den private sektor, som siden er blevet opdateret løbende, senest i marts 2020 i en version 3.0, og som findes i en både dansk og engelsk version (se www.d17.dk).

Digitaliseringsstyrelsen har en overordnet målsætning om, at K04 skal blive en de facto standardkontrakt for it-drift på samme måde som K02 blev det for it-udvikling. K04 er dog som nævnt ikke et agreed document, og det er tvivlsomt, om den vil blive brugt i samme omfang som K02 eller lide samme skæbne som K03, som stort set ikke benyttes. Endvidere ankommer K04 sent til festen: D17 har allerede opnået en rimelig udbredelse som standardaftale i både den private og offentlige sektor for de mellemstore driftskontrakter, og i de store projekter om outsourcing af infrastruktur- eller applikationsdrift vil K04 være dårligere egnet end de gennemarbejdede - i de fleste projekter engelsksprogede (men reguleret af dansk ret og efter danske kontraktnormer) - kontrakter, som er udviklet af de advokatkontorer, der har mange outsourcingsager.

Anvendelighed på det private marked?

De udførlige modelbilag er en styrke ved K04, men omvendt er kontraktens omfang og kompleksitet stor. Endvidere skal bilagene omarbejdes fra kravlister til modelbilag, ligesom K04's afklaringsfase og ændringsstyringsvilkår (som er tilpasset udbudsreglerne) bør ændres.

En anden væsentlig mangel er, at kontrakten ikke er godt gearet til et cloud set-up. Særligt er den ikke egnet til anskaffelse af public cloud ydelser fra f.eks. AWS, som – uanset om man vil det eller ej – leveres på leverandørens standardvilkår.

K04 kan med tilpasninger benyttes af private virksomheder. Det må dog forventes, at K04 først og fremmest vil blive benyttet på store statslige driftsopgaver. En forudsætning for nogen som helst udbredelse på det private marked vil være en engelsksproget version af meget høj kvalitet og Digitaliseringsstyrelsen kunne i samme omgang overveje i kontrakten at omarbejde og konkretisere de punkter (i K04 fem centrale temaer), hvor der henvises til "dansk rets almindelige regler". Det professionelle segment i Danmark forstår det, men udenlandske jurister og de fleste forretningsansvarlige ser risici og dermed cost til afdækning af risici.

Creative commons

Som et kuriosum er K04 frigivet under en Creative Commons licens (konkret 4.0 CC BY). Frigivelse under en licens forudsætter ophavsretlig beskyttelse, værkshøjde og eneret for forfatteren, hvilket for kontrakter – som copy-paste's af alle uden blusel – altid har været et løst begreb. På grund af den valgte licens, hvorefter enhver, også til kommercielle formål, må ændre, bygge ovenpå, kopiere, distribuere og dele, er den eneste praktiske konsekvens af licensen pligten til at kreditere (kildeangive), at ens konkrete kontrakt er baseret på K04, f.eks. i en footer.

K04 med tilhørende vejledning og bilagsskabeloner finder du her:

https://digst.dk/styring/standardkontrakter/standardklausuler-for-it-drift/