Data Act och outsourcing av it-tjänster

Data Act trädde ikraft den 11 januari i år och ska tillämpas från och med den 12 september 2025. Redan nu finns dock bestämmelser i lagen att ta hänsyn till. Jag kommer till det nedan.

Lagstiftningen spänner över ett stort antal områden, bland annat data som härrör från uppkopplade produkter (Internet of Things), interoperabilitet för data och åtgärder för att skydda data som inte är personuppgifter från att lämnas ut till utländska myndigheter (jämför till exempel Cloud Act).

Av särskilt intresse för utkontraktering är bestämmelserna om rätt till byte av molntjänstleverantör.

Allmänt om rätten att byta molntjänstleverantör
Syftet med regleringen är att undvika inlåsningseffekter vid användning av molntjänster genom att underlätta byte av molntjänstleverantör, alternativt insourcing till egen IKT-infrastruktur.

Regleringen gäller för ”databehandlingstjänster” som, förenklat, definieras som sådana digitala tjänster som leverantören tillhandahåller kunden från en gemensam pool av skalbara resurser med minsta möjliga administration. Med andra ord omfattas många av de molntjänster som kan bli aktuella vid en utkontraktering. För molntjänster som till stor del är kundanpassade gäller vissa undantag från regleringen.

Förordningen gäller för leverantörer av databehandlingstjänster oberoende av var de är etablerade om de tillhandahåller sådana tjänster till kunder inom EU.  

Åtgärder för att underlätta byte av molntjänstleverantör
Data Act ställer krav på att villkoren för byte av molntjänstleverantör tydligt ska anges i ett skriftligt avtal. En konsekvens av den nya lagstiftningen är därför att de avtal om upphandling av molntjänster som offentlig sektor använder måste uppdateras så att de uppfyller lagstiftningens krav när den ska börja tillämpas i september 2025.

De villkor som ska framgå av molntjänstavtalet är bland annat:

• Rätten till byte av leverantör eller insourcing till egen IKT-infrastruktur.
• Vilka tidsfrister för byte som gäller. Maximala tidsfrister finns angivna i förordningen och kunden kan även begära förlängning med en tidsperiod som är lämplig för kunden, vilket kan vara nödvändigt vid en ny upphandling.
• Skyldighet för molntjänstleverantören att assistera kunden vid en exit, till exempel med migrering av data.
• Skyldighet för molntjänstleverantören att fortsätta att tillhandahålla funktioner och tjänster under exit-fasen.
• En skyldighet för molntjänstleverantören att tillhandahålla all relevant information. Molntjänstleverantören har dock inte någon skyldighet att röja eller överföra digitala tillgångar som skyddas genom immateriella rättigheter eller utgör en företagshemlighet eller att äventyra kundens eller leverantörens driftssäkerhet och driftsintegritet. Det bör innebära att molntjänstleverantören inte behöver tillgängliggöra sådan information om tjänsten som utgör molntjänstleverantörens företagshemligheter eller som innebär att leverantören utsätter sig själv eller kunden för cybersäkerhetsrisker.

Flera av de villkor som nu blir obligatoriska att införa i molntjänstavtalet känns igen från sedvanliga avtal om utkontraktering. Bland annat gäller det för leverantörens skyldigheter att tillhandahålla assistans vid exit och att säkerställa fortsatt leverans av tjänster och funktioner under exit-perioden.

Däremot har utförliga exit-bestämmelser hittills inte varit lika vanligt förekommande i de stora internationella molntjänstleverantörernas avtal. I och med Data Act kommer även dessa molntjänstleverantörer att behöva implementera villkor för exit i sina avtal.

Samarbete mellan molntjänstleverantörerna
Samtliga berörda parter, det vill säga kunden, den ursprungliga molntjänstleverantören och den tillkommande molntjänstleverantören, ska samarbeta i god tro för att göra bytesprocessen effektiv, möjliggöra snabb överföring av data och behålla molntjänstens kontinuitet.

I syfte att säkerställa ett sådant arbete kan det, utöver avtalet om molntjänsten, finnas anledning att även använda sig av ett flerpartsavtal – ofta kallat Operation Level Agreement, eller Ola – där även den tilltänkta nya molntjänstleverantören är part.  

Inget hinder mot att komma överens om avtal med en fast avtalsperiod och straffavgifter för förtida uppsägning
Data Act ger kunden en rätt att komma ur avtalet med den ursprungliga molntjänstleverantören i förtid med tillämpning av en viss, kortare, uppsägningstid. Det finns dock, enligt skälen till förordningen, inget som hindrar att parterna i avtalet kommer överens om en fast avtalstid och att kunden ska betala proportionerliga straffavgifter för att komma ur avtalet i förtid (termination for convenience fees).

Om en sådan överenskommelse inte görs, gäller bestämmelserna i Data Act.

Regleringens tillämpning på offentlig upphandling
Utgångspunkten för regleringen är att det är molntjänstleverantören som ska göra det skriftliga avtalet med villkoren för byte av leverantör tillgängligt för kunden. I avtalet ska även anges information som är specifik, bland annat en uttömmande specifikation av alla exporterbara data, liksom en uttömmande specifikation av alla kategorier av data som är specifika för molntjänsten och som inte kan exporteras till kunden.

Regleringen är vid första anblick inte skriven med offentlig upphandling för ögonen. Hur den praktiska tillämpningen på offentlig upphandling kommer att se ut blir en viktig fråga framöver.

Inga eller reducerade bytesavgifter
En hörnsten i regleringen om rätten till byte av molntjänstleverantör är det gradvisa avskaffandet av bytesavgifter. Med bytesavgifter avses andra avgifter än ersättningen för själva tjänsten och straffavgifter för förtida uppsägning (termination for convenience fees). Typiskt sett är bytesavgifter sådan ersättning som kunden normalt betalar för att leverantören tillhandahåller assistans vid upphörande av avtalet (exit fees).

Från och med den 11 januari 2024 och till och med den 12 januari 2027 får molntjänstleverantörens ersättning för exit-assistans inte vara högre än leverantörens direkta kostnader för assistansen.

Molntjänstleverantören ska innan avtalet med kunden ingås ange de reducerade avgifter som kommer att utkrävas. Det kan antas bli svårt att på förhand ange kostnaderna, med hänsyn till att omfattningen av assistansen kan variera beroende på kundens behov. Det återstår därför att se hur informationen om de reducerade bytesavgifterna kommer att hanteras i praktiken.

Från och med den 12 januari 2027 får molntjänstleverantören inte ta ut några exit fees. Eftersom leverantören fortfarande kommer att ha kostnader för att tillhandahålla assistans vid upphörande av avtalet, bör dock kunden vara beredd på att leverantörens pris för själva tjänsten också kommer att innehålla ett moment av exit-assistans.

Ett undantag från reglerna om gradvis avskaffande av bytesavgifter är att dessa skyldigheter inte gäller för databehandlingstjänster som, förenklat, har anpassats för kundens särskilda behov.

Avslutande reflektioner
Det dröjer en bit in på nästa år innan Data Act ska börja tillämpas. Redan nu finns det dock anledning att analysera hur reglerna om byte av molntjänster kommer att påverka offentlig sektors utkontraktering. Dessutom ska skyldigheten för molntjänstleverantörer att endast ta ut en reducerad avgift som motsvarar de direkta kostnaderna vid exit-assistans tillämpas på utkontrakteringar redan i dagsläget.

Frågor som aktualiseras är bland andra:

• Hur bör reglerna om byte av molntjänstleverantör tillämpas i praktiken vid offentlig upphandling?
• Är reglerna tillämpliga för de molntjänster som myndigheten avser att upphandla?
• Hur implementeras förordningens krav på avtalsinnehåll i avtalet om utkontraktering?

Jag följer utvecklingen och återkommer till Data Act och regleringen av byte av molntjänstleverantör i flera expertkommentarer framöver.

Peter Nordbeck
Advokat
Advokatfirman Delphi