Reviderte bestemmelser om datarettigheter i Statens Standardavtaler

Den 19. mars publiserte Direktoratet for forvaltning og økonomistyring (DFØ) oppdaterte versjoner av samtlige av statens standardavtaler (SSA), med unntak av SSA-K og SSA-R. Oppdateringen innebærer både revisjon av eksisterende bestemmelser og innføring av nye bestemmelser om datarettigheter i avtaler der dette tidligere ikke var regulert, særlig SSA-S, SSA-B og SSA-O. Samtidig ble det publisert en veileder om rettigheter til data i SSA-ene.

Rettigheter til data har blitt et mer sentralt tema i IT-kontrakter. Det skyldes særlig tre utviklingstrekk. For det første gjelder flere avtaler løpende tjenesteleveranser, der spørsmål om kontroll, tilgang, deling og exit er mer praktiske og krevende enn ved tradisjonelle systemleveranser. For det andre har regulatoriske krav til sikkerhet, dokumentasjon og kontroll fått større betydning. For det tredje har data fått økt kommersiell verdi, noe som gjør at leverandører i større grad ønsker rett til videre bruk.

SSA-ene gjelder ulike typer leveranser, og behovet for regulering varierer. Dette nyhetsbrevet omtaler ikke SSA-F. De viktigste endringene gjelder:

1. Klargjøring av hvilke data kunden har rettigheter til

De reviderte bestemmelsene slår fast at kunden og kundens rettighetshavere beholder rettighetene til data som gjøres tilgjengelig for leverandøren, og at kunden får rettighetene til data som samles inn, behandles eller oppstår under avtalen, samt resultatet av behandlingen.

For SSA-ene som allerede hadde regulering av rettigheter til data, er dette i stor grad en videreføring av tidligere regulering. For SSA-B og SSA-B enkel (i dette nyhetsbrevet kun referert til som SSA-B), SSA-O og SSA-S er dette ny regulering.

Bestemmelsene om datarettigheter er bare et utgangspunkt for bruk og deling av data mellom partene. Kunden må derfor fortsatt vurdere om deling er begrenset av tredjeparts rettigheter eller av lovpålagte begrensninger.

2. Sikring av kundens tilgang til egne data

De nye bestemmelsene fastsetter at kunden til enhver tid skal ha tilgang til data som kunden har rettighetene til, og resultatet av leverandørens behandling av disse. Dette var ikke tidligere eksplisitt regulert i SSA.

Bestemmelsen inneholder ikke krav til hvordan tilgjengeliggjøringen skal skje. Krav til tilgjengeliggjøringen (herunder format og eventuell bistand fra leverandøren med å ekstrahere dataene) bør angis i bilag 1. Bestemmelsen regulerer heller ikke vederlag for slik tilgjengeliggjøring. Partene bør derfor ta stilling til om leverandørens bistand med tilgjengeliggjøring av data gir rett til tilleggsvederlag.

3. Tydeliggjøring av leverandørens bruksrett til kundens data

Med unntak av SSA-B og SSA-O fastsetter datareguleringen nå at leverandøren bare har bruksrett og tilgang til kundens data i den utstrekning det er nødvendig for å utføre leveransene eller tjenestene etter avtalen. For avtalene som allerede hadde slik regulering, er dette i hovedsak en videreføring av tidligere ordlyd.

Det nye er først og fremst at flere avtaler nå regulerer leverandørens rett til å bruke bruksdata og prosjektdata eller etableringsdata for å forbedre egne tjenester. Tidligere var det bare SSA-T og SSA-store sky som eksplisitt ga leverandøren en slik rett.

I SSA-D, SSA-L, SSA-lille sky, SSA-store sky og SSA-V kan leverandøren nå bruke anonymiserte data om kundens bruk av tjenesten til å forbedre egne tjenester, med mindre kunden har tatt forbehold i bilag 1. I SSA-T og SSA-S kan leverandøren bruke data som samles inn eller oppstår under prosjektgjennomføringen til samme formål. I de løpende avtalene er dette formulert som en rett til å bruke innsamlede eller genererte data knyttet til etablering.

Dette er bestemmelser både kunder og leverandører bør vurdere nøye. Kunden bør særlig ta stilling til om dataene kan gi uønsket innsikt i bruks- eller handlingsmønstre, eller ellers er så sensitive at bruksretten bør begrenses. Leverandøren bør på sin side vurdere om standardreguleringen dekker det faktiske behovet, og om den er praktisk gjennomførbar der bruken er begrenset til anonymiserte data. For SSA-B og SSA-O bør leverandøren merke seg at avtalene ikke gir noen uttrykkelig rett til videre bruk av kundens data for egne formål. Hvis det er behov for en slik rett, bør det reguleres særskilt.

4. Håndtering av data ved avtalens opphør

De oppdaterte avtalene styrker og konkretiserer kundens rettigheter ved avtalens opphør. I SSA-D, SSA-L, SSA-lille sky, SSA-store sky og SSA-V skal leverandøren ved avtalens opphør tilgjengeliggjøre data til kunden eller den kunden utpeker i et allment tilgjengelig og maskinleselig format, med opprinnelige strukturer og metadata intakt.

I de samme avtalene er det også tatt inn en uttrykkelig sletteplikt: Dersom ikke annet fremgår av bilag 1, skal leverandøren ved avtalens opphør slette alle egne kopier av kundens data. I SSA-T og SSA-S er reguleringen mer begrenset. Der er det ikke tatt inn en tilsvarende plikt til å tilgjengeliggjøre data ved avtalens opphør i datareguleringen, mens sletting i stedet er knyttet til utløpet av garantiperioden.

For SSA-B og SSA-O er reguleringen formulert annerledes. Her skal konsulenten tilgjengeliggjøre data ved avtalens opphør dersom kunden ikke er i besittelse av alle slike data, og plikten er begrenset til tilgjengeliggjøring i et allment tilgjengelig og maskinleselig format.

Dette er først og fremst en styrking og konkretisering av kundens rettigheter ved exit. Samtidig er kravet om tilgjengeliggjøring i et allment tilgjengelig og maskinleselig format, med strukturer og metadata intakt, godt i tråd med den regulatoriske utviklingen mot sterkere krav til kontroll, portabilitet og leverandørskifte.

De oppdaterte SSA-bestemmelsene gjør data til et tydeligere og mer praktisk kontraktstema enn før. For kunder gir det et bedre utgangspunkt for kontroll, tilgang og exit. For leverandører betyr det at behovet for rett til videre bruk av data må vurderes og reguleres mer bevisst.

Samtidig er standardreguleringen bare et utgangspunkt. Partene bør fortsatt ta konkret stilling til hvilke data som omfattes, hvordan de skal gjøres tilgjengelig, hva leverandøren kan bruke dem til, hva som skal skje ved avtalens opphør, og om tredjepartsvilkår inneholder avvikende regulering. Når slike spørsmål avklares før avtaleinngåelse, reduseres risikoen for uklarhet og tvister senere.