I denna expertkommentar tänker jag ta upp några grundläggande frågor om servicenivåer i it-avtal. Som jag nämnde i min förra expertkommentar om upphandling av molntjänster, finns det när det gäller molntjänstavtal ofta små möjligheter att förändra de servicenivåer som leverantören har som standard.
I andra typer av it-avtal är det vanligt att den upphandlande enheten anger i avtalet vilka servicenivåer som ska gälla för tjänsten. Det görs då lämpligen i en särskild bilaga till avtalet – SLA-bilagan.
SLA:er och KPI:er
Man brukar använda sig av två begrepp – SLA:er och KPI:er – för att beskriva vilka servicenivåer som gäller och dessa begrepp har olika funktion. SLA är en förkortning av Service Level Agreement och används ofta för att beskriva de servicenivåer för vilka påföljden servicenivåvite används vid bristande uppfyllelse.
KPI är en förkortning av Key Performance Indicator och används för att beskriva andra viktiga servicenivåer i avtalet, som dock i allmänhet inte är kopplade till servicenivåvite, utan har andra påföljder.
Hur ska man då tänka kring servicenivåer när man arbetar med SLA-bilagan?
Ett misstag som ibland görs är att det finns alldeles för många servicenivåer i avtalet. Ofta är de dessutom SLA:er med servicenivåviten som faller ut vid bristande uppfyllelse.
Det förekommer dessutom inte sällan att servicenivåerna är på en högre nivå än vad som är nödvändigt för att den upphandlade tjänsten ska fungera på ett tillfredsställande sätt. För en viss tjänst kanske det till exempel inte är nödvändigt med 99,9 procent tillgänglighet.
Många och höga servicenivåer påverkar priset för tjänsten, särskilt om det finns en koppling till höga servicenivåviten. Om det finns för många servicenivåer i avtalet, kan det dessutom göra att avtalet blir onödigt tungt att administrera och tar bort fokus från det som är särskilt viktigt att mäta i leverantörens prestation.
En enkel tumregel är att inventera de servicenivåer som behövs för att kunna mäta att den upphandlade tjänsten utförs på avsett sätt. Om den upphandlade enheten redan har interna servicenivåer, vilket ibland är fallet, kan dessa med fördel användas som underlag när man skriver SLA-bilagan.
När inventeringen är gjord, kan de viktigaste servicenivåerna göras till SLA:er och kopplas till servicenivåvite, medan andra servicenivåer görs till KPI:er, utan servicenivåvite.
Olika typer av SLA:er och KPI:er
Valet av servicenivåer avgörs av vilken typ av tjänst som upphandlas. Ofta vill den upphandlade enheten i vart fall kunna mäta tillgängligheten av tjänsten och responstid och avhjälpandetid vid incidenter.
Men även olika typer av KPI:er, som till exempel kundnöjdhetsundersökningar, är ofta mycket användbara för att mäta leverantörens prestation.
Tillgänglighet
För att mäta tillgängligheten av tjänsten, är det viktigt att bestämma under vilken period som tjänsten ska vara tillgänglig. För vissa tjänster – som it-drift – kan tjänsten behöva vara tillgänglig dygnet runt, 365 dagar om året.
Men för andra tjänster kan det räcka att tjänsten är tillgänglig under den upphandlade enhetens öppettider.
Utöver att bestämma den period som tjänsten ska vara tillgänglig, ska även den andel av perioden – angivet i procent – som tjänsten ska vara tillgänglig anges. Tillgängligheten kan således exempelvis anges till 99,5 procent 24/7/365 eller 99,5 procent helgfria vardagar 9-17.
Det kan inte nog understrykas att det krav på tillgänglighet som anges i SLA-bilagan ska återspegla den upphandlade enhetens verkliga behov.
Undantag från avtalad tillgänglighet i form av avtalade servicefönster förekommer i princip alltid. Vad som är viktigt att tänka på när det gäller servicefönster är att de läggs vid tidpunkter när de orsakar så liten olägenhet som möjligt, till exempel på natten eller över en helg.
Vad som också är viktigt är att se till att servicefönster inte kommer överraskande, utan att det alltid finns en framhållning och därmed en förutsägbarhet.
Avhjälpande av incidenter
Tidsfristen inom vilken avhjälpande ska ske bestäms av olika faktorer, som till exempel hur kritisk tjänsten är för verksamheten och hur pass allvarlig den uppkomna incidenten är.
Om incidenten innebär att hela tjänsten ligger nere och den upphandlande enheten därför inte kan utföra en viss verksamhet, är det typiskt en så kallad Prio 1-incident med en hög servicenivå.
Om å andra sidan incidenten innebär att endast delar av tjänsten ligger nere är det en Prio 2-incident som kan ha en något lägre servicenivå och så vidare.
I vissa fall kan det vara nödvändigt att avtalet innehåller en reglering som innebär att avhjälpande sker dygnet runt, 365 dagar om året, medan det i andra fall är tillräckligt att avhjälpande sker under normal arbetstid.
Det finns många olika varianter att reglera servicenivåerna på och återigen gäller att servicenivåerna ska avspegla den upphandlande enhetens verkliga behov.
Tiden för leverantörens respons på en incidentrapport beräknas från det att leverantören har fått kännedom om incidenten – antingen genom en anmälan från den upphandlande enheten eller på egen hand – och till dess att incidenten loggas i systemet och felavhjälpande påbörjas.
Avhjälpandetiden räknas till dess att felet är avhjälpt. Avtalet bör specificera när felet ska anses vara avhjälpt. Ett exempel som förekommer relativt ofta är att leverantören har gjort en workaround, som innebär att felet har kringgåtts och tjänsten kan användas på avtalat sätt.
Felet är därmed avhjälpt i SLA-hänseende, men rotorsaken till felet ska åtgärdas enligt en separat process som också kan ha en SLA-reglering.
Kundnöjdhetsundersökningar
Kundnöjdhetsundersökningar är ofta ett bra verktyg för att, så att säga, ta temperaturen på hur den personal som arbetar med systemen upplever tjänsterna. Därför kan det var bra att använda sig av kundnöjdhetsundersökningar som en KPI i avtalet. Till KPI:n kopplas inte servicenivåvite, utan andra påföljder, som till exempel att leverantören ska ta fram en åtgärdsplan för att åtgärda bristerna som upptäcks i undersökningen.
Servicenivåviten
Avtalet ska ange vilka påföljder som blir aktuella om leverantören brister i uppfyllelsen av servicenivåerna. Som jag beskrivit ovan, är det vanligt att använda sig av servicenivåvite vid brott mot SLA:er och av andra påföljder vid brott mot KPI:er.
När det gäller servicenivåviten, blir många intressanta frågeställningar aktuella. Här är ett axplock:
Ska servicenivåvite vara exklusiv påföljd vid brott mot SLA:er, eller ska skadestånd kunna utgå ”ovanpå” servicenivåviten? Det finns inget som hindrar att skadestånd – liksom andra påföljder enligt avtalet – kan utgå utöver servicenivåvitet om den verkliga skadan är större.
Enkelt uttryckt gäller att den upphandlande enheten behöver visa att skadan har inträffat liksom storleken på skadan för att skadestånd ska kunna utgå, vilket inte behövs när det gäller vite. Avtalet måste vara tydligt i frågan om servicenivåvite är exklusiv påföljd eller inte.
Hur höga ska servicenivåvitena vara? Det finns naturligtvis inget generellt svar på frågan. En tumregel är att nivån ska sättas i relation till den skada som ett brott mot servicenivåerna kan orsaka och vara tillräckligt hög för att vitena ska fungera som ett incitament för leverantören att förbättra sin leverans.
Å andra sidan kan för höga servicenivåviten få till följd att leveransen påverkas negativt. Det gäller att hitta en lämplig balans i avtalet.
Ska servicenivåvitet vara begränsat till ett visst belopp per mätperiod? Det är inte ovanligt att SLA-bilagan innehåller begränsningar om maximalt servicenivåvite som kan utgå för varje mätperiod (ofta per månad). För leverantören innebär det en fördel, genom att riskexponeringen är förutsebar.
Avslutningsvis vill jag i peka på vikten av att den upphandlande enheten följer upp de viteskrav som ställs i avtalet och kräver leverantören på servicenivåvite om det finns förutsättningar för det i avtalet.
Det finns anledning att tränga ner på djupet i frågor om servicenivåer och servicenivåviten i en expertkommentar längre fram. Då kommer jag bland annat beröra lämpliga avtalsregleringar för att säkerställa att uppföljning av viteskraven verkligen görs.
Peter Nordbeck
Advokat, Advokatfirman Delphi
Vill du ställa frågor till Peter Nordbeck? Mejla info@inkopsradet.se
Kommentatorerna ansvarar för sina egna kommentarer