Jo ennestään on ollut tärkeää, että ulkoistetuissa ICT-järjestelmissä säilytettävän ja sen tuottaman asiakkaan aineiston sovitaan selkeästi kuuluvan asiakkaalle. Tekoälyä hyödyntävät ratkaisut mutkistavat oikeuksista sopimista entisestään, sillä tekoälyyn liittyy ominaisesti entistä useampia komponentteja, joiden osalta omistus- ja immateriaalioikeuksien jakautuminen edellyttää selkeitä ehtoja. Oikeuksien kannalta relevantteja kohteita ovat ainakin taustalla toimiva tekoälyratkaisu, tekoälylle syötettävä ja sen kehitys-, validointi- ja testausvaiheessa käytettävä data, ratkaisun toimintavaiheessa käytettävä data, tekoälyn tuottamat tulokset sekä asiakkaan vaatimusten, datan ja käytön perusteella tehty tai syntynyt tekoälyratkaisun kehitys.
☑️ Riittävän vastuutason turvaaminen
Palveluntarjoajan vastuutaso on aina mitoitettava tavalla, joka varmistaa asiakkaan oikeudet, jos palvelu ei vastaakaan sovittuja vaatimuksia tai keskeytyy ottaen huomioon, että tällä voi olla olennaisia vaikutuksia asiakkaan liiketoimintaprosesseille. Sopimuksen laadinnassa onkin tältä osin kiinnitettävä erityistä huomiota sovittaviin palvelutasoihin, vastuunrajoituksiin sekä myyjän vakuutuksiin ja takuuehtoihin, joiden osalta palveluntarjoajat pyrkivät vakioehdoissaan tyypillisesti rajoittavaan muotoiluun.
Asiakkaan on erityisesti pidettävä mielessä palvelun tai järjestelmän häiriön potentiaaliset haittavaikutukset liiketoiminnalle sopimukseen ehdotettujen vastuunrajoitusten hyväksyttävyyttä arvioidessaan ja tunnistettava vahinkolajit ja -tilanteet, joissa vastuunrajoitukset eivät voi soveltua (esimerkiksi salassapitoon tai henkilötietojen käsittelyyn liittyvät vastuut).
Tekoälyä hyödyntävien palveluiden osalta on tärkeää huomata, että sopimuksen kohde on sikäli dynaaminen, ettei perinteinen tapa sitoa toimittajan suoritusvelvollisuudet sopimuksen tekohetkellä määriteltyihin teknisiin kriteereihin ja dokumentaatioon ole aina paras ratkaisu. Painopisteen tulisi sen sijaan olla esimerkiksi hankitulla ratkaisulla tavoitelluissa lopputuloksissa ja vaikutuksissa.
Vastuutasoon liittyvät näkökohdat tulisi ottaa huomioon jo palveluntarjoajaa valittaessa. Erityisesti omien ehtojensa osalta ‘ota tai jätä’ -periaatteella toimiva palveluntarjoaja on huono valinta tilanteissa, joissa toimittajan ehdottomaksi määrittämä, hyvin rajattu vastuutaso ei vastaa palvelun kriittisyyttä asiakkaalle.
☑️ Palvelun lainmukaisuusvaatimukset
2000-luvulle ominainen regulaation kasvu on vaikuttanut suoraan myös ICT-palvelujen kenttään. Tietosuojaa, kyberturvallisuutta, sähköistä viestintää, kuluttajansuojaa ja tekoälyä koskeva sääntely voi luoda ilmeisiä epävarmuustekijöitä erityisesti suurta ja pitkäaikaiseksi tarkoitettua järjestelmätoimitusta suunniteltaessa – kuka vastaa ja miltä osin siitä, että hankittu palvelu tai järjestelmä vastaa kulloinkin voimassa olevan sääntelyn vaatimuksia? Jo palveluntarjoajaa valittaessa on hyödyllistä selvittää, missä määrin kandidaatit kykenevät toimittamaan valmista materiaalia palvelua koskevista compliance-vaatimuksista.
Lisäksi lainmukaisuusvaatimuksiin liittyvää vastuunjakoa on sopimusneuvottelujen aikana hyvä pyrkiä tarkentamaan mahdollisimman selkeästi ja tarvittaessa palvelun eri elementtien osalta jaotellen. Kriittistä on myös sopia täsmällisesti muutosprosesseista sopimuksen alla, jonka mukaisesti palvelua voidaan muuttaa tai tarvittaessa irtisanoa olennaisten lakimuutosten näin vaatiessa.
“Luotettavan ja asiakkaaseen kohdistuvat tietosuojavaatimukset ymmärtävän kumppanin löytäminen on jo äärimmäisen hyvä ensiaskel tietosuojariskien hallinnassa.”
☑️ Palveluntarjoajan tietosuojaprofiilin tunnistaminen
Tietosuojakysymykset muodostavat lähes jokaiselle organisaatiolle keskeisen compliance-riskin lähteen. ICT-hankinnoissa ollaan lähes väistämättä henkilötietojen käsittelyn äärellä, mikä edellyttää tietosuojanäkökohtien huomioimista jo palveluntarjoajaa valittaessa: luotettavan ja asiakkaaseen kohdistuvat tietosuojavaatimukset ymmärtävän kumppanin löytäminen on jo äärimmäisen hyvä ensiaskel tietosuojariskien hallinnassa. Hankinnan valmistelussa onkin tärkeää selvittää kumppaniehdokkaiden lähestymistapaa ja olemassa olevia järjestelyjä tietosuojan osalta, esimerkiksi tutustumalla palveluntarjoajan tietosuojaselosteisiin, mahdollisiin tietosuojaa koskeviin vaikutustenarviointeihin taikka tietoturvasertifikaatteihin.
Viimeistään EU-tuomioistuimen ns. Schrems II -tuomiosta (C-311/18, 16.7.2020) lähtien eurooppalaisten yritysten on ollut välttämätöntä tunnistaa ja arvioida datansa käsittelyn maantieteellinen sijainti. Schrems II -tuomiossa asetettiin tuntuvia vaatimuksia, jotka on nykyisin huomioitava aina, kun henkilötietoja säilytetään ETA-alueen ulkopuolella mukaan lukien tilanteet, joissa ETA-alueella olevaan dataan on pääsy ETA-alueen ulkopuolelta – mikä on käytännössä äärimmäisen todennäköistä esimerkiksi suurten globaalien pilvipalvelujen kohdalla. Palveluntarjoajan valinnassa olisikin selvitettävä datan sijaintiin liittyvät yksityiskohdat ja käytännössä varmistuttava, että palveluntarjoajalla on selkeät ja riittävät mekanismit sekä sopimukselliset vastuut Schrems II -vaatimuksiin vastaamiseksi (esimerkiksi ns. transfer impact assessment -dokumentaatio).
Pidämme ilmeisenä, että kyky vastata datan sijaintiin liittyviin haasteisiin on muodostumassa keskeiseksi kilpailuvaltiksi ICT-palveluntarjoajien keskuudessa.
“Modernin tiedonkäsittelyn infrastruktuuri on kuitenkin viime vuosina osoittautunut huolestuttavaksi ympäristöhaasteeksi.
☑️ Vastuullisuus edellä
On houkutteleva harhaluulo ajatella, että vastuullisuusvaatimukset, tai ainakin ympäristökysymykset eivät muodostuisi ilmeiseksi haasteeksi liiketoiminnan operoidessa digitaalisessa ympäristössä. Modernin tiedonkäsittelyn infrastruktuuri on kuitenkin viime vuosina osoittautunut huolestuttavaksi ympäristöhaasteeksi, joka on ollut erityisen ilmeinen esimerkiksi blockchain-teknologian edellyttämän tiedonkäsittelykapasiteetin kohdalla. Datakeskusten on nykykehityksen jatkuessa ennustettu muodostavan yli 3 % maailmanlaajuisista hiilipäästöistä vuonna 2025.
Datan määrän kasvaessa ympäristön kannalta kestävät datan säilytysratkaisut tulevat siten olemaan monelle yritykselle keskeinen työkalu liiketoiminnan hiilijalanjäljen rajoittamisessa, minkä lisäksi energiatehokkaat serverit ovat myös omiaan luomaan kustannussäästöjä. Ympäristöystävällinen datahallinto voi myös muodostua yrityksen kilpailuvaltiksi kuluttajien ympäristötietoisuuden ja -arvojen muuttuessa.
Erityisesti suuria järjestelmähankintoja suunniteltaessa ympäristökysymysten arviointi onkin nykymaailmassa yritysten vastuullisuuden näkökulmasta välttämätön projektivaihe. Potentiaalisen palveluntarjoajan ‘vihreys’ tulisikin olla valttikortti palveluntarjoajan valinnassa. Myös sopimusehdoilla on mahdollista luoda kannustimia oikein toimimiseen. Ennustammekin, että ympäristönäkökohtiin kytkeytyvät hinnoittelumekanismit sekä sopimuksen voimassaoloon ja irtisanottavuuteen liittyvät uudentyyppiset sopimusehdot tulevat yleistymään myös ICT-sopimuksissa seuraavien vuosien aikana.
Yllä kuvatut vinkit osoittavat, että ICT-hankinnoissa liikutaan hyvin monipuolisella vaatimuskentällä, minkä huomioimiseen ei aina tunnu riittävän aikaa nopeasti etenevän hankkeen keskellä, kun esimerkiksi vanhan järjestelmän vanhentuminen on jo kulman takana. Vaatimusten moninaisuus kuitenkin edellyttää riittävän aikataulun varmistamista sekä saumatonta yhteistyötä organisaation teknisen osaamisen ja juridisten asiantuntijoiden välillä. Toimittajan vakioehtojen hyväksyminen sellaisenaan voi tuntua houkuttelevalta kiiretilanteessa, mutta voi usein luoda piileviä ja pitkäaikaisia sopimusriskejä. Lisäksi kokemuksemme ovat osoittaneet, että myös sellaisista ehdoista, joista toimittajan mukaan “ei voi neuvotella”, on käytännön hankkeissa sittenkin mahdollista päästä sopimaan ostajalle edullisemmalla tavalla.
Erityiskiitos lisäksi artikkelin kirjoittamiseen osallistuneelle Roi Rantaselle, joka työskentelee syksyllä 2021 juristiharjoittelijana Dittmar & Indreniuksella.