Efter en længere tilblivelsesproces offentliggjorde Digitaliseringsstyrelsen K04 den 25. august 2020.
Anvendelsesområdet for K04 er tiltænkt traditionelle it-driftsydelser, såsom enhedsadministration, support, applikationsdrift, netværksdrift, infrastrukturdrift, datacenterdrift og konsulentydelser relateret til it-drift.
K04 kan kombineres med de øvrige k-kontrakter (K01, K02 og K03), og anvendelsen af K04 er dermed ikke forbeholdt outsourcing eller genudbud af kundens it-driftsydelser. Også ved anskaffelse af it-systemer, hvor leverandøren efterfølgende skal levere drift vil K04 kunne anvendes. I så fald skal begge kontrakter dog tilpasses, så den nødvendige sammenhæng mellem anskaffelses- og driftskontrakten sikres.
Anvendelsen i praksis
En af de store fordele ved K04 er, at der til kontrakten er udarbejdet en række modelbilag. De 45 bilag og underbilag skal dog i et eller andet omfang gennemgås, tilrettes og/eller udarbejdes af kunden før anvendelse.
For at lette processen kommer alle modelbilag og underbilag med vejledning til udfyldelse. Desuden er de inddelt i tre kategorier A, B og C:
- Bilag A - antages at være klar til brug fx tidsplan
- Bilag B - skal færdiggøres af kunden fx prøver
- Bilag C - kunden selv skal udarbejde bilag fx kundens it-miljø.
Selvom kategoriseringen letter arbejdet med bilagene, anbefaler vi alle kunder at foretage en grundig gennemgang af alle bilag for at sikre, at de understøtter kundens konkrete forretningsbehov. Det er vores erfaring, at kunden ofte selv har en række bilag, der skal anvendes i forbindelse med indkøb, fx fordi der er truffet en politisk eller ledelsesbeslutning herom. På it-området gælder det især databehandleraftaler og sikkerhedspolitikker. Indarbejdelsen af disse bilag kan og vil ofte kræve tilpasning af kontrakten.
En anden umiddelbar fordel er, at K04 er skalerbar. De ydelser, der som udgangspunkt er omfattet af kontrakten, kan dermed fjernes uden de store tilpasninger.
K04 og udbud
K04 er forudsat indgået i forbindelse med udbud. Kontrakten indeholder derfor en omfattende regulering af tilkøb, op- og nedskalering og egentlige ændringer af kontrakten, hvilket er positivt tiltag, idet anskaffelsen af yderligere ydelser inden for kontrakten dermed ikke nødvendiggør en vurdering af ændringens lovlighed i henhold til de udbudsretlige regler.
Også reguleringen af afklaringsfasen, som typisk er en nødvendighed i udbudte it-kontrakter, er udarbejdet under hensyn til udbudsreglerne.
Hverken kontrakten eller bilag indeholder dog en egentlig udbudsretlig metode. Kunden skal således selv indarbejde den terminologi og kategorisering af krav, der arbejdes med i kundens egne udbudsbetingelser og udbudsmateriale.
Udbud af it-kontrakter er ofte komplekse, og derfor anbefaler vi altid, at kunden i udbudsmaterialet vejleder leverandøren om, hvilke dokumenter, der skal vedlægges tilbuddet og, hvordan de skal udfyldes. K04 indeholder for de fleste bilag og underbilags vedkommende en sådan vejledning, der dog – som nævnt ovenfor – skal tilpasses kundens udbudsbetingelser og terminologien heri. Desuden anbefaler vi, at kunden tydeligt gør opmærksom på, hvilke dele af et bilag, der skal udfyldes i forbindelse med afgivelsen af tilbud, og hvilke der eventuelt kan vente til kontrakten indgås.
Er K04 fremtidssikret?
Selvom cloud allerede var et kendt fænomen, da arbejdet med K04 blev igangsat, er der efter vores opfattelse ikke i tilstrækkelig grad taget højde for anvendelsen af cloud som leverancemodel. Flere bestemmelser i K04 udelukker i praksis anvendelsen af public clouds, der som udgangspunkt leveres på (under)leverandørens standardvilkår. Det gælder fx punkt 10 (anvendelsen af underleverandører) samt punkt 14 (indsigt), 15 (revision og kontrol) og 16 (audit).
Et lige så stort problem – hvilket også er årsagen til at K04 ikke blev færdiggjort som planlagt – er, at leverandørens ansvar for manglende overholdelse af persondatareglerne som udgangspunkt ikke er maksimeret i stil med leverandørens øvrige ansvar. Det er formentlig de færreste leverandører, som vil være villige til at påtage sig en sådan ubegrænset risiko for forhold, der ligger uden for leverandørens kontrol.
Tilsvarende ser vi ofte, at leverandørerne afstår fra at afgive tilbud eller beregner sig et større risikotillæg, hvis leverandøren ikke er berettiget til vederlag for sin bistand til kundens overholdelse af persondatareglerne, fx ved håndtering af indsigtsanmodninger. Også i K04 er udgangspunktet at leverandøren ikke har krav på vederlag.
Det er fortsat de færreste offentlige databehandleraftaler, der indeholder en ansvarsbegrænsning eller giver leverandøren ret til at vederlag for levering af bistand til kundens overholdelse af persondatareglerne. Og det er formentlig i det lys, at reguleringen af disse temaer i K04 skal ses. På det private marked går udviklingen imidlertid i den modsatte retning, og det må forventes, at der ses en afsmittende effekt på det offentlige marked i fremtiden, hvorfor reguleringen i K04 bør overvejes.
Øvrige bemærkninger
Navnlig begrænsningerne i forhold til cloud medfører at anvendelsesområdet for K04 som den er (dvs. uden større ændringer) formentlig bliver begrænset til outsourcing og indkøb af større it-driftsopgaver.
Herudover kommer, at K04 ikke har karakter af et "agreed document", hvilket kan få betydning for anvendelsen i praksis. Som kunde vil man ikke kunne forvente, at leverandøren uden videre accepterer alle vilkår, hvilket svækker anvendelsen af K04 som standardkontrakt. En af fordelene ved standardkontrakter er netop, at ikke alle vilkår skal forhandles, men at man kan koncentrere sig om at opnå enighed om få væsentlige.
Under alle omstændigheder bør man som kunde overveje, hvilke ændringer, der af kommercielle, kontrakt- eller udbudsretlige årsager skal og bør foretages i K04 forud for anvendelsen. Kundens konkrete behov kan betyde, at andre standardkontrakter eller en skræddersyet kontrakt er et bedre alternativ.
Digitaliseringsstyrelsens forventning er, at K04 skal anvendes i 80 % af alle udbud af it-driftsopgaver. Henset til ovenstående begrænsninger, bliver det spændende at følge om dette mål nås og om K04 får karakter af en de facto standardkontrakt.
K04 Standardkontrakt for it-drift