Digitaliseringsstyrelsens høringsnotat for høring om modernisering af it-standardkontrakter i staten

Transkript

1 10. marts 2014 MPK/chaga Digitaliseringsstyrelsens høringsnotat for høring om modernisering af it-standardkontrakter i staten Indledning Der findes i dag tre forskellige it-standardkontrakter, som har hvert sit anvendelsesområde. K01 er målrettet kortvarige it-projekter med leverance af standardprodukter, hvortil der kun i begrænset omfang skal ske specialtilpasninger og er tilstræbt udformet således, at den i videst mulig omfang opfylder offentlige institutioners behov i forbindelse med it-anskaffelser. K01 indgår i en kontraktpakke, der indeholder ni modelbilag og en vejledning, og findes ligeledes i en engelsk oversættelse. K02 er velegnet til større udviklings- og implementeringsprojekter, som forudsættes leveret og implementeret i et antal faseopdelte leverancer, der typisk vil være karakteriseret ved et væsentligt økonomisk omfang, der ligger over tærskelværdierne for varer og tjenesteydelser i EU s udbudsdirektiv, et tidsforløb over 6 måneder, høj teknisk og organisatorisk kompleksitet, større grad af specialudvikling og et ikke ubetydeligt omfang af tjenesteydelser. K02 indgår i en kontraktpakke, der indeholder 15 modelbilag og en vejledning, og findes ligeledes i en engelsk oversættelse. K03 er velegnet til it-projekter, hvori der anvendes agile udviklingsmetoder, og er målrettet større faseopdelte it-projekter, har mange fælles lighedspunkter, med projekter der falder under K02, og hvori udviklings- og implementeringsydelser har stor vægt. K03 tager udgangspunkt i projektledelses- og udviklingsmodeller, som offentlige myndigheder har erfaring med at bruge. Den tager også højde for den økonomiske ramme, der gør sig gældende i staten. Kontrakten kan bruges i sammenhæng med den fællesoffentlige it-projektmodel. K03 indgår i en kontraktpakke, der indeholder 16 modelbilag og en vejledning. Til alle tre K-kontrakter hører en vejledning om K-kontrakternes sammenhæng til den fællesstatslige it-projektmodel. Digitaliseringsstyrelsen har den 17. december 2013 igangsat en høring med henblik på at invitere alle interesserede herunder en række brancheorganisationer til at bidrage med konkrete forslag og ideer til dels det generelle statslige it-

2 Side2af18 kontraktregime og dels den konkrete ramme og det specifikke indhold i kontrakterne. Med udgangspunkt i de indkomne bidrag planlægger Digitaliseringsstyrelsen at igangsætte et projekt for at undersøge mulighederne og behovet for at opdatere og modernisere statens it-standardkontrakter (K01, K02, K03) samt mulighederne og behovet for at udarbejde en statslig it-driftskontrakt. Digitaliseringsstyrelsen har modtaget høringsbidrag fra: 1. Alexandra Instituttet A/S (AI) 2. Bird & Bird (BB) 3. Bygningsstyrelsen 4. Danske Advokater i samarbejde med Danske IT-advokater (DITA) 5. Dansk IT (DIT) 6. Devoteam (DT) 7. DI ITEK (ITEK) 8. IT-Branchen (ITB) 9. PA Consulting Group (PA) 10. Roskilde Universitet (RUC) 11. Statens IT (SIT) 12. Sundhedsstyrelsen I det følgende refereres væsentligste substansbemærkninger omkring behov, form og indhold for igangsættelsen af et projekt med modernisering af statens itstandardkontrakter samt udviklingen af en ny standardkontrakt for it-drift, som Digitaliseringsstyrelsen har modtaget i forbindelse med høringen. Generelle bemærkninger Behov for modernisering og nye kontrakter Det er DIT s vurdering, at K-kontrakterne bør moderniseres, så kontrakterne løbende tilpasses den kommercielle og teknologiske udvikling af de juridiske og leverancemæssige aspekter, herunder ikke mindst i forhold til kontrakternes bilag. DIT anfører, at hvis kontrakterne ikke moderniseres nu på en række områder og får inkorporeret bedste praksis anno 2014 på en række områder vil der være en risiko for, at kontrakterne vil tabe deres status som markedsstandarder på det offentlige marked. ITEK/ITB påpeger behovet for, at en modernisering af statens itstandardkontrakter bør tage hensyn til det igangværende arbejde med en ny udbudslov, hvor såvel branchen som indkøberne ønsker sig mere fleksibilitet samt lavere transaktionsomkostninger. ITEK/ITB og DT påpeger behovet for, at der generelt i forbindelse med moderniseringen af statens standardkontrakter bør tages hensyn til det igangværende arbejde med en ny udbudslov.

3 Side3af18 Som en ny kontrakt anbefaler DT, at Digitaliseringsstyrelsen overvejer at udarbejde en ny k-kontrakt, som grundlag for kontrakter om overdragelse af vedligeholdelse og videreudvikling af et eksisterende it-system til 3. part i forbindelse med genudbud. DT vurderer, at denne type udbud er i vækst, hvilket stiller særlige krav til kontraktbilagene, herunder bl.a. ift. kravspecifikation (erstattes primært af redegørelse for eksisterende systemdokumentation, da krav primært findes i de øvrige kontraktbilag), tidsplanen (omdrejningspunkt er transition) og samarbejdet (omdrejningspunkt er transition og herefter løbende ydelser i modsætning til udviklings/implementeringsprojekt). DT påpeger, at for mange systemer er udgifterne til drift (og vedligehold) af mindst lige så stort omfang, som de oprindelige omkostninger til etablering, og idet K-kontrakterne fokuserer på anskaffelse og udvikling, vil der være behov for at udarbejde et standardiseret driftsbilag til de øvrige K-kontrakter. BB foreslår en model for en løbende tilpasning og vedligeholdelse af standardkontrakterne i takt med løbende udvikling i udbudsregler, leverancemodeller og forretningsmæssige behov hos myndighederne, som fx køb af en servicebaseret løsning i stedet for et eget it-system. BB foreslår endvidere, at standardkontrakterne og dermed det juridiske styringsdokument i højere grad bliver integreret med det øvrige arbejde med vedligeholdelse og videreudvikling af værktøj til styring af statens it-projekter. Som nye kontrakter foreslår BB, at det overvejes at se på området for ASP (application service provider), SAAS (software as a service) og BPO (business processes outsourcing). BB vurderer, at der i forbindelse med Digitaliseringsstyrelsens arbejde med modernisering af statens it-standardkontrakter samt i forbindelse med udarbejdelsen af en eventuel ny standardkontrakt for it-drift vil være behov for, at der bliver tilknyttet en ekstern advokat med betydelig erfaring med og kendskab til markedsforhold på det danske marked samt forretningsmæssig forståelse for både leverandør og kundeside. Det er DITA s vurdering, at den status, som K01- og K02- kontrakterne har opnået på såvel det offentlige og det private marked, til dels skyldes den proces, der ligger til grund for kontrakternes tilblivelse, og til dels det forhold, at kontrakterne over længere tid har rodfæstet sig i markedet. DITA er positiv over for en generel modernisering af K-kontrakterne, herunder muligheden for, at der skabes et grundlag for en hyppigere tilpasning af kontrakterne således, at ændringer i markedsstandarder og bedste praksis afspejles hurtigere. DITA ser det som en forudsætning for dette arbejde, at processen omkring moderniseringen udformes således, at K01- og K02-kontrakterne bevarer deres status i markedet som helt eller delvist agreed documents. Det er i den forbindelse DITAs opfattelse, at den inddragelse af aktører i markedet, der har været foretaget i forbindelse med udfærdigelsen af K01 og K02, også bør være en forudsætning for processen omkring en modernisering af

4 Side4af18 kontrakterne. Endvidere bør internationale erfaringer også inddrages ved moderniseringen af K01 og K02. DITA påpeger dog, at erfaringerne med udarbejdelsen af de oprindelige kontrakter har vist, at denne proces er tids- og ressourcekrævende, og at dette i sagens natur vil stille visse begrænsninger for, hvor hurtigt K-kontrakterne vil kunne revideres samtidig med, at kontrakternes status bibeholdes. DITA opfordrer Digitaliseringsstyrelsen til i det videre arbejde med modernisering af statens it-standardkontrakter at etablere en løbende videreudvikling af K-kontrakterne, hvor der etableres en transparent og formaliseret proces, hvor alle aktører i markedet i samme grad som ved tilblivelsen af K-kontrakterne bliver hørt om konkrete forslag til ændringer, og hvor der sikres en bred tilslutning til ændringerne. DITA foreslår herudover, at Digitaliseringsstyrelsen eventuelt overvejer, hvorvidt det ville være hensigtsmæssigt i højere grad at differentiere mellem de enkelte typer af bestemmelser i K-kontrakterne med henblik på at skabe større autonomi i forhold til visse bestemmelser. Dette kunne eks. være bestemmelser, der alene eller i overvejende grad kan siges at have kommerciel betydning. Ved at stille parten friere i fastsættelsen af visse krav vil ændringer i markedsstandarder og best practices ifølge DITA lettere kunne implementeres i den konkrete kontrakt. I forhold til K03 er det DITAs vurdering, at den nuværende version af K03 langsomt er begyndt at blive anvendt i udviklingsprojekter både i den offentlige sektor og i forhold til private virksomheder. Erfaringerne med K03 er dog stadig begrænsede, og det er derfor DITAs anbefaling, at K03-kontrakten ikke gøres til genstand for revision, førend der er opbygget et større erfaringsgrundlag med kontrakten. It-driftskontrakt DIT vurderer, at der er et stort behov for udarbejdelse af en statslig itdriftskontrakt. Det er DIT s vurdering, at behovet for udarbejdelsen af en statslig it-driftskontrakt er større end en modernisering af K- kontrakterne, hvis der skal prioriteres ud fra en ressourcemæssig eller økonomisk vinkel hos Digitaliseringsstyrelsen. DIT anfører i den forbindelse, at det, hvis det besluttes at udarbejde en standard it-driftskontrakt, er afgørende, at der i planlægningen af arbejdet nøje overvejes, hvilke typer services og driftsmiljøer kontrakten skal kunne anvendes i forhold til. DIT anfører endvidere, at spørgsmålet af typer services og driftsmiljøer skal defineres tydeligt i enten kontrakten eller vejledningen for at sikre, at itdriftskontrakten kun anvendes til det formål, som den er konciperet til. DIT vurderer endvidere, at der kan være store fordele ved at lave en ramme/modul opbygget driftskontrakt baseret på et koncept, hvor der udarbejdes mere temabaserede reguleringer af de forskellige kontrakt- leverancemæssige og

5 Side5af18 prismæssige emner, som den specifikke statslige it- driftskontrakt kan tage udgangspunkt i fra sag til sag. DIT vurderer også, at der i forbindelse med arbejdet med udvikling af en statslig it-driftskontrakt vil være behov for, at der udover de juridiske ressourcer også er deltagelse af kompetencer, som har teknisk og kommerciel erfaring med driftskontrakter, således at der udvikles en kontrakt, der modsvarer og honorerer bedste praksis i forhold til teknologi og prismodeller. DIT oplyser endeligt, at foreningen aktuelt overvejer forskellige muligheder for at udvikle en generel markedsstandard for driftskontrakter baseret på bedste praksis, herunder muligvis i samarbejde med Danske IT Advokater og andre brancheorganisationer, og hvis det besluttes at arbejde videre hermed ønsker DIT også at inddrage offentlige institutioner i arbejdet med projektet. ITEK/ITB er forbeholdne overfor forslaget om at udvikle en standardkontrakt for it-drift og mener, at det bør overvejes om det ville være en bedre løsning at udbrede kendskab til bedste praksis og eksisterende standarder på området. SIT oplyser, at de har høstet relevante erfaringer på området både på baggrund af udbud af Statens It s driftsrammeaftale, men også ved overtagelse af forvaltning/driftsdelene af SIT s kunders eksisterende kontrakter, hvor ydelserne har været anskaffet på samme kontrakt. SIT fremhæver, at en række forskellige it-driftskontrakter allerede finder anvendelse i staten. Der findes derfor et rigt eksisterende materiale og høstede erfaringer fra anvendelse af dette materiale, som man vil kunne trække på ved udarbejdelse af en statslig it-driftskontrakt. SIT fremhæver i den forbindelse særligt de it-driftskontrakter, som er udarbejdet af og anvendes i SKAT, af SKI A/S, Forsvarsministeriet og Rigspolitiet, samt ligeledes Statens It s driftsrammeaftale. DT foreslår, at der udarbejdes en standardiseret driftskontrakt, idet det er DT s vurdering, at der ofte ses et behov for at foretage (gen)udbud af systemdrift. I mange tilfælde er der i den forbindelse behov for at konsolidere driften (og i nogle tilfælde også vedligeholdelsen) af flere systemer, som oprindeligt blev anskaffet på forskellige kontrakter. BB vurderer, at der er behov for en standardaftale for it-drift i forhold til aftaler om oursourcing af drift, hvor leverandøren overtager ansvaret for drift af applikationer uden samtidig at få ansvaret for vedligeholdelse og udvikling af applikationerne. Endvidere vurderer BB et behov for, at der bliver udarbejdet et modelbilag til statens eksisterende standardkontrakter, hvor leverandøren i tillæg til projektet også skal varetage driftsopgaven. Det er DITAs opfattelse, at der er et stort behov for en offentlig standard for itdriftskontrakter. Det er således DITAs opfattelse, at det danske marked for it-

6 Side6af18 driftsydelser er så modent, at der vil være grundlag for en statslig standard for itdriftskontrakter. Under forudsætning af, at en sådan statslig it-driftskontrakt kan rodfæstes i markedet, vil dette ifølge DITA kunne medvirke til at effektivisere gennemførelsen af tilbuds- og forhandlingsprocesser inden for både den offentlige og den private sektor. Fælles begreber Sundhedsstyrelsen foreslår, at der i forbindelse med udvikling af en statslig standardkontrakt for it-drift fastlægges et fælles begrebsapparat, anerkendte misligholdelsesmekanismer og klare beslutningspunkter, hvor der kan tages stilling til, om samarbejdet skal fortsætte eller ej. SIT foreslår, at der i forbindelse med modernisering af de eksisterende kontraktparadigmer K01, K02 og K03 og eventuel udarbejdelse af en statslig itdriftskontrakt etableres en fælles begrebsramme i staten for it-termer som driftsafvikling, forvaltning, systemadministration, applikationsdrift med flere. SIT bemærker, at det vil lette arbejdet med benchmarking af kategoriseringsmæssigt ensartede ydelser, samtidig med at den løbende kontraktstyring på tværs af kontrakter vil blive understøttet mere effektivt. Derudover vil en fælles begrebsramme på tværs af kontrakttyper, som tydeliggør opgavesnittet imellem applikationsvedligehold og applikations-udvikling og forvaltning/drift understøtte SIT s funktion som servicecenter. Det vil være tilfældet, fordi forvaltning/drift ressortmæssigt er placeret i SIT for SIT s kunder, mens applikationsvedligehold og applikationsudvikling ressortmæssigt placeres i den enkelte myndighed. Samarbejde og organisering af moderniseringsarbejdet DIT påpeger behovet for baseret på blandt andet erfaringerne med K03 arbejdet at det inden igangsættelsen af et eventuelt moderniseringsarbejde eller udviklingsarbejde med en it-driftskontrakt, besluttes, om der arbejdes hen i mod at skabe et "agreed document", eller om de involverede parter alene forventes at give input til arbejdet. Det er DIT s vurdering, at statslige kontrakter, der er lavet som agreed documents i længden får en større gennemslagskraft i det offentlige marked. Det skal dog understreges, at DIT er fleksibel i forhold til den samarbejdsform, som Digitaliseringsstyrelsen måtte vælge er mest optimalt for et eventuelt moderniseringsprojekt, og DIT vil meget gerne bidrage i arbejdet med både en modernisering af K-kontrakterne og i et eventuelt arbejde med udviklingen af en ny statslig it-driftskontrakt. ITEK/ITB opfordrer herudover Digitaliseringsstyrelsen til at fortsætte den inddragende dialog med eksempelvis projekt- og workshopforløb, hvor der kan samarbejdes i åben dialog om de konkrete muligheder for at modernisere kontraktregimet. Endelig opfordrer DI/ITB til, at Digitaliseringsstyrelsen fortsætter den inddragende dialog, idet det er vurderingen, at man dermed opnår resultater, der er lettere at samle opbakning om og anvende i praksis.

7 Side7af18 K01 og K02 ITEK/ITB anser det som en gevinst for kunder såvel som leverandører, at K01 og K02 eksisterer som et gensidigt anerkendt og umiddelbart genkendeligt aftaledokument. DI/ITB bemærker dog, at der aktuelt ses uhensigtsmæssigt mange ændringer i standardkontrakterne, hvilket mindsker standardkontrakternes formål. DI/ITB ser et behov for at opdatere K01 og K02 på en række områder, som følge af udviklingen i markedet såvel som i kundernes behov og efterspørgsel. DT foreslår, at der i det videre arbejde med modernisering af standardkontrakter fokuseres på følgende: Leverandørens og Kundens modenhed. DT giver udtryk for, at det er erfaringen, at modenhed ofte ikke tages i brug og bør derfor fjernes fra K02 for dermed også at simplificere kontraktparadigmet. Modenhed er ifølge DT komplekst og ressourcekrævende for begge parter at forholde sig til i udbudssammenhæng og tilsvarende kompliceret at følge op på. Konceptet er ifølge DT reelt set fornuftigt, men i praksis tilføjer det ikke tilstrækkelig værdi i forhold til en ressourcekrævende anskaffelsesproces. DT foreslår, at et muligt alternativ kunne være at udbygge samarbejdsbilaget og bilag om kundens deltagelse. Derudover foreslår DT, at man for så vidt angår leverandørernes modenhed, overvejer, om det ville være bedre at arbejde for auditeringer af modenhed (CMMI eller tilsvarende) fremfor egenerklæringer. Test/Prøver. De nuværende begreber omkring test følger ifølge DT ikke de begreber, der efterhånden er standardiseret på testområdet. DT bemærker, at fx begrebet Prøver bør erstattes af Test. Det er en grundlæggende opdatering, der bør foretages i samarbejde med testeksperter, som har hands-on testmanager erfaring (ikke kun teoretisk). DT bemærker, at der bør tilføjes krav til test-strategi, som der blandt andet henvises til flere steder i kontraktmaterialet, uden at der findes en klar definition på test-strategi. Licensbetingelser. DT bemærker, at der bør tages højde for en EU-dom vedrørende videresalg af software-licenser på området samt, at der bliver sikret korrekt kobling til antal brugere i kravspecifikationen. Leverancevederlag. DT foreslår, at der bliver efterspurgt en detaljeret specificering af priser, for ved genudbud at have større indsigt i, hvad der har gjort et priselement dyrt/billigt. Fx delydelser i forbindelse med implementering, vedligeholdelse, drift med mere. Herudover foreslår DT, at der tilføjes et fast beløb for overdragelsesydelser. I forhold til K01 påpeger DT, at alle priser bør samles i ét vederlagsbilag i stedet for, at de faste og løbende udgifter ligger i forskellige bilag. Videreudvikling. DT foreslår, at videreudvikling adresseres i større omfang, herunder kobling til bl.a. ændringshåndtering, samarbejdsorganisation og vedligeholdelse. Incitamentsbilag. DT foreslår, at dette bilag tages op til overvejelse, i forhold til hvilket omfang bilaget reelt set anvendes i praksis. Mange

8 Side8af18 offentlige myndigheder tør ifølge DT ikke gøre brug af en incitamentsstruktur, og det bør ifølge DT overvejes at gøre det mere klart, hvornår bilaget kan anvendes, eller om det bør tages ud af standardpakken. Overdragelse ved kontraktophør. DT foreslår, at det bør reguleres, hvilken udtrædelsesstøtte leverandøren bistår med til kunden/ordregiver i forbindelse med overdragelse til 3. part ved kontraktophør. Det vil sige generel videnoverdragelse, støtte til datakonvertering og overdragelse af dokumentation, herunder et fast vederlag til foruddefinerede overdragelsesaktiviteter. K03 I forhold til K03 er det DI/ITB s vurdering, at der fortsat er et gensidigt uudnyttet potentiale i kontraktretligt at understøtte myndigheder i agile samarbejder, som ikke er løst med den gældende K03 kontrakt. DT ser det som meget positivt, at der er sat fokus på agile kontraktparadigmer og ser et stigende behov hos kunderne og hos leverandørerne. Det er DT s opfattelse, at viljen og modenhedsniveauet på kundesiden i de sidste to år er vokset væsentligt i forhold til et agilt samarbejde med leverandører. DT giver udtryk for, at de deler markedets holdning omkring kritikpunkterne til K03, som DT ikke uddyber nærmere. I øvrigt giver DT udtryk for, at erfaringerne med K03 endnu er meget begrænsede, og DT vurderer, at det er for tidligt til at give forslag til justeringer til denne. DT bemærker, at Digitaliseringsstyrelsen i relation til de agile kontrakters indtræden på markedet bør tage højde herfor i forhold til at tænke sammenhæng og afhængigheder til en mulig ny standardkontrakt for it-drift. Specifikke bemærkninger til K01, K02 og K03 DIT vurderer, at der eksempelvis i forhold til garantier, servicemål, overtagelse, licensmæssige forhold, vedligeholdelse og ophør, herunder forholdene omkring termineringsassistance, vil være behov for at tilsikre, at kontrakterne til stadighed modsvarer kundernes krav og leverandørernes kommercielle og leverancemæssige set up. DIT bemærker endvidere, at bodsregimet i K01 og K02 ligeledes bør genovervejes ved en modernisering, da disse mekanismer ofte ikke giver kunden den forretningsmæssige værdi eller den leverancesikkerhed, der er behov for. Der bør ifølge DIT tænkes i alternative sanktionsformer, herunder risk/reward mekanismer samt proactive remedies, som er reguleringsmekanismer, som understøtter en mere operationel løsning på manglende kontraktopfyldelse. DIT bemærker endvidere, at der er et behov for, at reguleringen af tvister i K- kontrakterne moderniseres, således at der indarbejdes en mere udførlig regulering af alternative konfliktløsningsmetoder.

9 Side9af18 I forhold til K03 er der ifølge DIT fortsat en relativ begrænset erfaring med brug af K03, men DIT anbefaler, at mere principielle juridiske ændringer, som måtte blive lavet til de øvrige K- kontrakter, også bør overvejes og implementeres i forhold til K03. Bygningsstyrelsen har påpeget et behov for, at statens standardkontrakter indeholder regulering af fx ejerskab af data, placering af data (geografisk), adgang til data (logisk/fysisk), kontrol af adgange (logisk/fysisk), efterlevelse af dansk lovgivning, revisorpåtegning, backup/restore rutiner, dokumenteret restore, arkitekturmodel (systemlandskab), udtræk af data ved ophør/konkurs og service (omfang, rettigheder). RUC påpeger et behov for, at statens standardkontrakter indeholder regulering af følgende spørgsmål: Hvilke sikkerhedsstandarder følger leverandøren? Hvordan foretages integration med kundens IDM (Identity Management) Om der er behov for en databehandleraftale, og om der kan indgås en sådan? Leverandørens forretningsgange for ændringsstyring? Om tilgængelighedsgarantier er en del af leverandørens SLA, og hvad garantier dækker over? Leverandørens backupstrategi og sikring af overensstemmelse med systemejerens krav? Om standardvilkårene for leverandørens SaaS løsning er tilfredsstillende? Hvor opbevares backupdata? Hvor opbevares data fysisk? Sundhedsstyrelsen ser et behov for, at standardkontrakterne og en eventuel standardkontrakt for it-drift indeholder en regulering af dokumentationen (særligt ved skift af driftsleverandør) og en regulering af den måde licensregimet er sammensat. AI påpeger nødvendigheden af, at der i standardkontrakterne stilles krav til inddragelse af slutbrugere, så der sikres en effektiv anvendelse i praksis. AI foreslår endvidere, at der i kontrakterne indføres anbefaling om tidlige prototyper (mock-ups), som testes af slutbrugere i realistiske omgivelser med henblik på så tidligt som muligt at opdage hidtil ukendte udfordringer og muligheder, som herefter kan bruges af kunden og leverandøren til at tilpasse og videreudvikle teknologien. Med henvisning til et lignende krav i K03 foreslår PA, at der i statens standardkontrakter generelt indarbejdes krav om, at der skal aftales specifikke acceptkrav til kvaliteten af den kode, som leverandøren skal levere. PA anfører, at et sådant krav vil medføre en objektiv måling af kvaliteten, der tydeliggør, hvad

10 Side10af18 der forventes i forhold til kvaliteten således, at risikoen for, at en utilstrækkelig kvalitet i softwareudviklingen minimeres. Specifikke bemærkninger om standardkontrakt for it-drift DT foreslår følgende specifikke forhold adresseret i en eventuel ny statslig standardkontrakt for it-drift: Ambitionsniveau. Det er ifølge DT grundlæggende at vejlede ordregiver i at lægge det korrekte ambitionsniveau for den ønskede driftsydelse, når denne ønskes udliciteret. Effekt-krav i modsætning til at stille hvordan-krav. Typisk kravspecificeres der ifølge DT ud fra, hvordan en leverandør skal levere en ydelse, men da ydelserne på driftsmarkedet er meget standardiserede, bør man ifølge DT gå væk fra at bestemme, hvad driftsleverandøren skal gøre og i stedet måle, hvad leverandøren leverer/opnår (effekten). Nutidigt begrebsapparat og it-drift som serviceydelser. It-driftskontrakter bør ifølge DT inkludere en begrebsmodel, der både kan håndtere traditionelle driftskontrakter og Cloud-baserede kontrakter. Et eksempel herpå er en opdeling i infrastruktur, platform og forretningssystemer. I dag baseres langt de fleste it-driftskontrakter ifølge DT på anskaffelse af serviceydelser fremfor it-komponenter såsom netværk, hardware og software. Det stiller ifølge DT krav om et klart og entydigt kontraktligt begrebsapparat for serviceydelser herunder definitioner, målepunkter og målemetoder. Dette begrebsapparat skal ifølge DT gå hånd-i-hånd med kravene til det ovenfor beskrevne nutidige begrebsapparat. Der bør således ifølge DT være et konsistent begrebsapparat, så der er klarhed om udbuddets genstand og klarhed over grænsefladerne ift. K01, K02, K03 og driftskontrakt. Forskellige driftsmodeller. Ligeledes bør K-komplekset og itdriftskontrakter ifølge DT kunne håndtere multi-sourcing modeller, der kombinerer driftsopdelinger i Cloud-dele og traditionelle dele samt forholde sig til grænsefladerne imellem disse. Det bør ifølge DT være muligt at kunne anvende driftskontrakten i et udbud, hvor ordregiver gerne vil give tilbudsgiver frihed til at vælge at byde med forskellige driftsmodeller, herunder at tilbuddet kan rumme en hybrid mellem forskellige driftsmodeller. For at driftskontrakten kan håndtere dette, forudsætter det ifølge DT en klar forståelse for de forskellige driftsmodeller mellem jurister og tekniske rådgivere. Generiske prisfaktorer for it-drift/ Oplæring af ordregiver om markedsvilkår. Erfaringen viser ifølge DT, at en række generiske kontraktsvilkår på tværs af leverandører påvirker prissætningen for en it-driftskontrakt. Eksempler på disse er bodsstørrelser, mulighed for shoring, og sikkerhedskrav. Det kan ifølge DT være nyttigt for offentlige kunder at kende disse faktorer for at kunne vurdere, hvilke givne valg der påvirker prissætningen. DT foreslår, at der laves en grundig vejledning til ordregiver, der gør ordregiver opmærksom på, at de stillede krav

11 Side11af18 begrænser leverandørens fleksibilitet i forbindelse med en optimal tilbudsafgivelse/løsning, idet driftsleverandørerne typisk optimerer sine ydelser baseret på standardprocesser/ydelser. Det vil ifølge DT sige, at ordregiver fx skal være bevidst om, at krav som opfordrer til kundetilpassede løsninger giver (unødigt) dyrere tilbud. Blandt andet bør kravmetodikken ifølge DT således designes, så leverandørerne (og dermed kunden) har frihed til at byde med deres standardløsning ud fra nogle nøje udvalgte rammer/minimumskrav. Cloud servicebrokere. Driftskontrakten bør ifølge DT tage højde for, at der er en ny type leverandør (leverandørkonstellation), som i stigende grad etablerer sig på markedet i relation til Cloud leverancer. Alternative tilbud. I forlængelse af forudgående punkt om oplæring af ordregiver foreslår DT, at man hjælper ordregiver med at gennemføre udbuddet med brug af alternative bud samt sikre, at de stillede krav kan indgå i en lige vurdering af alternative bud. DT foreslår, at benchmarkingklausul indføjes i it-driftskontrakter. Agilitet. I takt med at agilt samarbejde indtræffer mere og mere, bør agilitet i driftssammenhæng ifølge DT også tænkes ind i forhold til den elasticitet, der kan være behov for i driftsydelserne. DITA vurderer, at det danske marked for it-driftsydelser er et relativt modent marked i den forstand, at it-driftsydelser i høj grad er standardiserede ydelser, og at der er veludviklede markedsstandarder dækkende en stor del af de tekniske, operationelle, kommercielle og ansvarsmæssige forhold, der vil skulle reguleres i en it-driftskontrakt. DITA vurderer herudover, at det forhold, at it-driftsydelser i dag i høj grad er standardiserede ydelser, også betyder, at hovedparten af leverandørerne i markedet har omfattende processer og metodikker for levering af it-driftsydelser, og at leverandørernes leveranceorganisationer er struktureret herefter. Leverandørernes evne til at levere effektive it-driftsydelser til konkurrencedygtige priser afhænger derfor ifølge DITA i høj grad af, at leverandørerne gives mulighed for at udnytte leverandørens egne processer og metodikker. Det er således DITAs vurdering, at fravigelser fra leverandørens processer og metodikker også ofte vil medføre en forøgelse af leverandørens omkostninger, hvilket vil afspejle sig i de tilbudte priser. DITA giver udtryk for, at en ny statslig it-driftskontrakt derfor vil skulle sikre balancen mellem på den ene side kundens særlige krav, herunder de særlige krav der knytter sig til kunder i den offentlige sektor, og på den anden side respektere leverandørens processer og metodikker samt undgå unødige risikopræmier. DITA foreslår følgende specifikke forhold adresseret i en eventuel ny statslig standardkontrakt for it-drift: Kontraktens struktur

12 Side12af18 DITA foreslår, at en statslig it-driftskontrakt har en struktur, der reflekterer kontraktens forventede livscyklus fx ved at strukturere it-driftskontrakten således, at processer og specifikke krav til hver af disse faser (eks. i form af migreringsplan og testkriterier) i videst muligt omfang lægges ud i separate bilag til itdriftskontrakten, således at alene grundlæggende krav til leverandøren i forhold til hver fase fastlægges i selve hovedkontrakten. Det er DITAs vurdering, at leverandøren dermed i højere grad får mulighed for at byde ind med egne processer og metodikker i forhold til de operationelle og tekniske aspekter af itdriftskontrakten. DITA foreslår, at selve hovedkontrakten får en anden struktur end den, der ligger til grund for K-kontrakterne, idet it-driftskontrakten vil skulle dække leverandørens løbende levering af tjenesteydelser i modsætning til K-kontrakterne, der dækker udviklingsprojekter. Sammenhæng mellem vilkår og leverandørens prissætning DITA henleder opmærksomheden på, at det vil være væsentligt at få skabt kontraktuelt transparens på det forhold, at alle leverandører i større eller mindre grad prissætter byrdefulde vilkår i form af risikopræmier, der indregnes i priserne. DITA nævner en række forhold, som typisk vil kunne lede til indregning af yderligere risikopræmier. DITA foreslår således, at en ny statslig it-driftskontrakt i høj grad overlader det til kunden i forbindelse med det konkrete udbud (og evt. i forbindelse med drøftelser med leverandøren) at fastsætte de nærmere vilkår for de kontraktselementer, der i væsentlig grad vil påvirke prisen. Sammenhæng mellem ydelsesbeskrivelser, servicemål og priser DITA anbefaler, at der i it-driftskontrakten er en klar sammenhæng mellem beskrivelsen af de enkelte serviceelementer, de servicemål, der er gældende for disse serviceelementer, og de priser, der skal betales herfor. Et krav til en ny statslig it-driftskontrakt bør ifølge DITA derfor være, at denne fordrer en klar sammenhæng mellem disse tre elementer. Endvidere bør det ifølge DITA klart fremgå af ydelsesbeskrivelserne, hvilke tværgående ydelser (såkaldte crossfunctional services) der leveres af leverandøren som en del af den faste pris. ITIL DITA vurderer, at mange både offentlige og private kunder administrerer deres itmiljø i henhold til standarden Information Technology Infrastructure Library (ITIL). Tilsvarende har de fleste leverandører på det danske marked for itdriftsydelser indrettet deres leverancer og leveranceorganisationer i henhold til ITIL. På den baggrund anbefaler DITA, at en statslig it-driftskontrakt derfor med fordel vil kunne være baseret på den terminologi og de ITSM-processer, der indgår i ITIL-rammeværket. Prismekanismer DITA bemærker, at de prismekanismer, der ligger til grund for kundens betaling under en it-driftskontrakt, ofte er relativt komplicerede i sammenligning med de betalingsmekanismer, der eksempelvis benyttes i udviklings- eller systemanskaffelseskontrakter. Derfor er uklarhed i forhold til prismekanismer

13 Side13af18 ifølge DITA også erfaringsmæssigt en kilde til mange tvister i forbindelse med itdriftskontrakter og outsourcing-kontrakter. I forbindelse med en eventuel udvikling af en ny statslig it-driftskontrakt vil DITA derfor foreslå, at Digitaliseringsstyrelsen i samarbejde med aktører i markedet søger at udarbejde en række standardiserede prismekanismer baseret på en baseline (ARC/RRC additional ressource charge/reduced ressource charge) metodik. Dette vil kunne medvirke til en mere ensartet opgørelse af driftsvederlag og vil kunne lette kontrakthåndteringen for såvel kunde som leverandør. Genudbud efter markedstest/benchmarking Kundens eventuelle ret til at gennemføre et genudbud efter markedstest/benchmarking før udløb af driftskontrakten hænger ifølge DITA tæt sammen med den fleksibilitet, der tildeles kunden under aftalen. Behovet for at kunne gennemføre genudbud efter markedstest/benchmarking og, for så vidt angår benchmarking sikre, at resultatet heraf bliver reflekteret i priserne, vil dog ifølge DITA være større i længerevarende kontrakter end i kontrakter af kortere varighed. Endvidere vil en ret for kunden til at gennemføre genudbud efter markedstest/benchmarking ifølge DITA typisk også være et vilkår, der bliver prissat af leverandøren og afdækket via en risikopræmie. DITA foreslår derfor, at det sikres, at eventuelle bestemmelser om genudbud efter markedstest/benchmarking tillader den bestillende myndighed at justere adgangen til og styrken af sådan et genudbud/benchmarking ud fra følgende parametre: (a) Hvorvidt der gælder lovgivningsmæssige krav om genudbud. (b) Hvornår genudbud efter markedstest/benchmarking kan gennemføres første gang. (c) Hvor ofte genudbud efter markedstest/benchmarking kan gennemføres. (d) Hvor store fravigelser fra markedsprisen kunden skal acceptere, førend der kan gennemføres genudbud, eller der indtræder konsekvenser af en benchmarking. (e) I forhold til benchmarking skal konsekvenserne af en benchmarking da være automatisk justering af priserne eller genforhandling af disse. Sådanne bestemmelser skulle ifølge DITA sætte kunden i stand til at overholde gældende udbudsretlige regler. DITA vil dog anbefale, at Digitaliseringsstyrelsen udarbejder bestemmelserne i samarbejde med aktører i markedet, herunder eksempelvis udbydere af benchmarkingydelser. Leverancesikkerhed DITA bemærker, at for såvel kunder inden for den offentlige sektor som kunder inden for den private sektor er leverancesikkerhed af afgørende betydning, idet længerevarende afbrydelse af ydelserne ofte vil påvirke kundens drift og medføre væsentlige tab for kunden.

14 Side14af18 Afbrydelser i levering af ydelserne på grund af tekniske eller operationelle fejl vil ifølge DITA typisk blive adresseret via it-driftskontraktens bestemmelser om servicemål, bod og mangels-afhjælpning. Ved denne type afbrydelser vil begge parter ifølge DITA have en interesse i, at levering af ydelserne genetableres hurtigst muligt. Leverancesikkerhed bør dog ifølge DITA også sikres i forhold til en række andre situationer, herunder særligt hvor ydelserne tilbageholdes eller afbrydes i forbindelse med en tvist mellem kunden og leverandøren. Disse situationer vil ifølge DITA typisk kunne opstå i forbindelse med: (f) en tvist vedrørende kundens betaling, eks. en fakturas korrekthed, eller en tvist om, hvorvidt en ydelse eller ændringsanmodning er omfattet af basisbetalingerne; (g) en tvist om, hvorvidt udbedringen af en fejl eller mangel er betalbar; eller (h) en tvist om, hvorvidt leverandøren er forpligtet til at levere ophørsassistance i forbindelse med migrering af ydelserne tilbage til kunden eller en ny leverandør. Omend situationerne kan håndteres forskelligt kontraktuelt, er det ifølge DITA fælles for disse situationer, at to væsentlige hensyn skal afvejes. Ifølge DITA er på den ene side hensynet til kundens fortsatte udøvelse af sin virksomhed og hermed den væsentlige skade, det vil kunne forvolde, såfremt leverandøren tilbageholder ydelserne. På den anden side er ifølge DITA hensynet til, at leverandøren behøver en vis pengestrøm for at kunne fortsætte leverancen af ydelserne i en situation, hvor kunden tilbageholder sine betalinger. Et kompromis, der ifølge DITA ofte ses indgået i it-driftskontrakter inden for den private sektor er, at leverandøren ikke tillades at tilbageholde levering af ydelserne eller ændringsanmodninger mod, at kunden afstår fra at tilbageholde eller modregne et beløb, der overstiger et nærmere aftalt niveau (ofte svarende til 3 måneders vederlag). Den endelige afvejning vil ifølge DITA skulle fastlægges på baggrund af drøftelser med aktører i markedet, men det er væsentligt, at en ny itdriftskontrakt tager stilling til disse problemstillinger. Ændringshåndtering DITA bemærker, at tvister i forbindelse med ændringshåndtering typisk opstår på baggrund af en diskussion om, hvorvidt implementeringen af en ændring er omfattet af kundens basisbetalinger eller om leverandøren er berettiget til et vederlag for implementeringen af ændringen. Grundlæggende opstår denne type tvister ifølge DITA således på grund af uklarhed omkring omfanget af de biydelser (eksempelvis i form af ITIL-processer), som leverandøren er forpligtet til at levere inden for det faste vederlag. Tvisterne er derfor ifølge DITA ofte også tæt knyttet til spørgsmålet om leverancesikkerhed. En ny it-driftskontrakt vil ifølge DITA med fordel kunne opsætte klare retningslinjer for, hvilke typer af ændringer der er omfattet af kundens løbende vederlag, og hvornår en ændring er betalbar eller en helt ny ydelse. Risikostyring

15 Side15af18 DITA bemærker, at et væsentligt element i at begrænse antallet af tvister i forbindelse med leveringen af it-driftsydelser er, at parterne har en formaliseret proces til proaktivt at identificere og styre de risici (risk management), der er forbundet med ydelserne og den tekniske løsning. De fleste leverandører og kunder vil ifølge DITA have egne processer til risikostyring og have udarbejdet katastrofeplaner (disaster recovery- og service continuity-planer). Disse processer og planer vil dog ifølge DITA ikke nødvendigvis være forbundne, og kravene til, hvordan en given risiko skal håndteres, vil ikke nødvendigvis være klare for parterne, med mindre disse eksplicit fremgår af kontrakten. I mangel af en formaliseret kontraktuel proces for identificering og håndtering af risici opstår der ifølge DITA et tomrum mellem det tidspunkt, hvor en risiko identificeres, og det tidspunkt, hvor risikoen materialiseres, og kunden eventuelt kan udøve misligholdelsesbeføjelser. En it-driftskontrakt bør derfor ifølge DITA indeholde en formaliseret proces for risikostyring, der giver parterne mulighed for på forhånd at definere, hvordan risici identificeres, vurderes og håndteres. Endvidere bemærker DITA, at en formaliseret risikostyringsproces også bør adressere konsekvenserne af manglende håndtering af risici. Der findes ifølge DITA en række metodikker, der gennem en årrække har været anvendt i større drifts- og outsourcing-kontrakter, herunder de metodikker der ofte betegnes proaktive beføjelser. DITA bemærker, at inspiration vil kunne findes i disse metodikker, men den endelige proces bør udarbejdes i tæt samarbejde med aktørerne i markedet for at sikre, at de praktiske processer (eksempelvis processer for monitorering og rapportering af risici) kan understøttes af parterne. Misligholdelse, erstatningsansvar og ophævelse I lighed med K-kontrakterne forudsætter DITA, at dansk rets almindelige regler om misligholdelse og erstatningsansvar vil finde anvendelse med visse begrænsninger under en ny it-driftskontrakt. Den nærmere fastsættelse af udgangspunktet for disse begrænsninger bør ifølge DITA tage udgangspunkt i en drøftelse med aktører i markedet, men bør under alle omstændigheder i høj grad overlade det til kunden at fastsætte de konkrete begrænsninger, der vil kunne påvirke prisen i forbindelse med et udbud. DITA har dog nogle overordnede betragtninger i forhold til de kontraktuelle mekanismer, der i forbindelse med misligholdelse, erstatningsansvar og ophævelse vil kunne medvirke til at begrænse risikoen for tvister. For så vidt angår it-driftskontraktens bestemmelser om forsinkelse og afhjælpning af fejl og mangler vil DITA anbefale, at de operationelle processer for håndtering af forsinkelse, fejl og mangler beskrives detaljeret i kontrakten, således at disse ikke alene vil skulle udledes af dansk rets almindelige regler. Rationalet bag dette er ifølge DITA endvidere, at en sådan detaljeret beskrivelse vil supportere

16 Side16af18 anvendelse af kontrakten i forhold til leverandører med en international referenceramme. Det vil ifølge DITA i almindelighed være forventeligt, at leverandørens ansvar for visse tabstyper vil være fraskrevet fx i forhold til indirekte tab. Såfremt der måtte opstå et faktisk tab, som kunden søger erstattet af leverandøren, vil der ifølge DITA erfaringsmæssigt ofte opstå en tvist om, hvorvidt tabet (eller en del heraf) er indirekte eller i øvrigt er fraskrevet af leverandøren. Hertil kommer ifølge DITA, at dansk retspraksis må anses ikke at være entydig i afgrænsningen af eksempelvis direkte og indirekte tab. DITA bemærker, at der med henblik på at begrænse risikoen for tvister bør de ansvarsbegrænsninger, der måtte blive indarbejdet i kontrakten, derfor tillade kunden (eventuelt på baggrund af forhandling) konkret at definere specifikke tabstyper, der relaterer sig til de konkrete ydelser, og som kunden forventer at kunne gøre gældende uanset leverandørens fraskrivelse af bestemte tabstyper. I forhold til it-driftskontraktens bestemmelser om ophævelse som følge af misligholdelse vil tvister ofte ifølge DITA kunne opstå i situationen, hvor en part (typisk kunden) ophæver kontrakten på grund af den anden parts væsentlige misligholdelse. DITA bemærker yderligere hertil, at i en sådan ophævelsessituation vil kompleksiteten af ydelserne, og den interaktion der har været mellem parterne forud for ophævelsen, ofte gøre det svært at vurdere, om ophævelsen er berettiget. I lighed med den regulering, der finder anvendelse i K-kontrakterne, vil DITA derfor anbefale, at en ny it-driftskontrakt også tillader kunden (eventuelt på baggrund af forhandling) at definere visse objektivt konstaterbare situationer, hvor kunden (eller leverandøren) vil være berettiget til at ophæve kontrakten. Gennemførelse af genudbud og ophørsassistance I forbindelse med ophør af en it-driftskontrakt vil det ifølge DITA i de fleste tilfælde være afgørende for kunden, at leverandøren assisterer kunden i forbindelse med gennemførelse af et eventuelt genudbud samt migreringen af driftsydelserne fra leverandøren tilbage til kunden eller til kundens nye leverandør. Erfaringsmæssig er dette ifølge DITA en fase i en it-driftskontrakts levetid, der ofte afstedkommer tvister mellem parterne. Disse tvister vil ifølge DITA ofte relatere sig til følgende forhold: (i) (j) Hvorvidt kunden må anvende beskrivelser af løsninger, ydelser, processer og anden information om ydelserne i forbindelse med udarbejdelsen af nyt udbudsmaterialer (eller gennemførelse af due diligence), og i hvilket omfang leverandøren er forpligtet til at levere dette til kunden i forbindelse med genudbuddet? Hvornår og hvordan leverandøren vil skulle dokumentere, hvordan leverandøren vil håndtere migreringen (typisk i form af en ophørsplan), og i hvilket omfang den eksisterende leverandør og en eventuel ny leverandør er forpligtede til at tilpasse deres henholdsvis ophørsplan og transitionsplan til hinanden?

17 Side17af18 (k) I hvilket omfang kunden eller en eventuel ny leverandør skal være berettiget til at have adgang til den tidligere leverandørs systemer og personale i forbindelse med migrering til kunden eller kundens nye leverandør. (l) Leverandørens tilbageholdelse af kundens data. Med henblik på at begrænse den uklarhed, der erfaringsmæssigt giver anledning til tvister, er det DITAs anbefaling, at der i en ny statslig it-driftskontrakt indarbejdes en meget klar regulering af omfanget af parternes forpligtelser og rettigheder i forbindelse med migrering af ydelserne ved ophør af driftskontrakten. En optimal løsning vil ifølge DITA være, at aktørerne på markedet i samarbejde udvikler en branchestandard for, hvordan to leverandører vil skulle håndtere migrering af it-driftsydelser fra den ene til den anden leverandør under itdriftskontrakten, herunder hvordan samarbejdet mellem leverandørerne vil skulle struktureres, og hvilke informationer og systemadgange den tidligere leverandør vil skulle give den nye leverandør for at sikre en effektiv migrering. Databeskyttelse Databeskyttelse, herunder overholdelse af de persondataretlige regler, er ifølge DITA et emne, der i stigende grad gøres til genstand for detaljeret regulering i mange drifts- og outsourcing-kontrakter ikke mindst i takt med udbredelsen af cloud computing. Traditionelt har mange it-driftskontrakter ifølge DITA håndteret reguleringen af databeskyttelse henholdsvis i en ren teknisk kontekst og i en lovgivningsmæssig kontekst. DITA bemærker, at i takt med, at kompleksiteten af den underliggende itinfrastruktur, der benyttes af leverandørerne til levering af it-driftsydelser, øges (eksempelvis ved brug af cloud-elementer), vil den traditionelle regulering af databeskyttelse ofte vise sig at være utilstrækkelig. Dette skyldes ifølge DITA blandt andet, at kunden og leverandøren i forhold til datasikkerhed sjældent får defineret de praktiske værktøjer, som gør kunden i stand til løbende at foretage den risikovurdering (og iværksætte de foranstaltninger), der er en forudsætning for sikring af såvel kundens generelle datasikkerhed som kundens overholdelse af de persondataretlige regler. I praksis vil sådanne værktøjer ifølge DITA skulle inddrage en række forhold på tværs af kontrakten og skabe en sammenhæng mellem eksempelvis kravene til den tekniske sikkerhed, leverandørens brug af underleverandører og faciliteter (såsom datacentre) samt bestemmelserne om overholdelse af de persondataretlige regler, herunder såvel leverandørens direkte forpligtelser og leverandørens assistance til kunden i forbindelse med kundens overholdelse af samme regler. En ny statslig it-driftskontrakt bør derfor ifølge DITA forsøge at definere en klar sammenhæng mellem de elementer i kontrakten, der påvirker datasikkerhed og overholdelse af de persondataretlige regler, og opstille praktiske metoder for parterne til løbende at vurdere datasikkerheden og håndtere eventuelle uhensigtsmæssigheder.

18 Side18af18 Mediation DITA bemærker, at mediation som tvistløsningsmodel i mange år har været udbredt i forhold til drifts- og outsourcing-kontrakter inden for den private sektor og er som bekendt også indarbejdet som tvistløsningsmodel i K-kontrakterne. Konfliktløsning Danske IT-Advokater har i samarbejde med IT-Branchen, Dansk IT og Voldgiftsinstituttet udviklet et nyt værktøj til konfliktløsning, der gør parterne i stand til at løse tvister relateret til it-kontrakter inden for en periode af 20 arbejdsdage. DITA vil derfor foreslå, at Digitaliseringsstyrelsen overvejer at indarbejde denne konfliktløsningsmodel i en eventuel ny it-driftskontrakt. Digitaliseringsstyrelsens håndtering af bemærkninger Digitaliseringsstyrelsen vil inddrage de indkomne bidrag i det videre arbejde med planlægningen af og fastlæggelsen af rammen, omfanget og samarbejdsformen og organiseringen af opgaven med at modernisere de eksisterende itstandardkontrakter i staten og udviklingen af en eventuel ny fællesstatslig itdriftskontrakt.