Palveluntarjoajan valintakriteerit ja sopiminen vuonna 2021

Modernien ICT-palvelujen hankinnat ovat äärimmäisen eläväinen kenttä, jota määrittävät paitsi kaikille hankinnoille yleiset haasteet, myös sen hyvinkin omaleimaiset erityispiirteet. Laajasti käytettyjen suurten toimittajien tarjoamien standardipalveluiden hankinnassa asiakkaan neuvotteluasema voi muodostua rajalliseksi. Samaan aikaan ICT-hankinnat muodostavat yrityksille äärimmäisen liiketoimintakriittisen alueen, jossa asiakkaan on varmistettava tietyt vähimmäisvaatimukset palveluntarjoajan valinnassa ja tämän kanssa tehtävissä sopimusehdoissa.

Kehitystrendi asiakkaan tarpeen mukaan räätälöitävistä ratkaisuista kohti standardipalveluita on edelleen vahvistunut viime vuosina. Markkinoilla on tarjolla yhä moninaisempia, käytettävyydeltään ennennäkemättömän toimivia ja kustannustasoltaan edullisia ratkaisuja, joiden tietoturva on myös tavallisesti osattu standardoida vakuuttavalle tasolle. Samalla kun yksilöllisistä hankinnoista on tullut näistä syistä usein epätarkoituksenmukaisia, on myös sopimusehdoissa ja vastuunjaossa tapahtunut olennainen käänne myyjän vakioehtoihin perustuviin sopimuksiin. Kun palvelut on lähtökohtaisesti hankittava myyjän edut turvaavilla ehdoilla, voi asiakas jäädä hankalaan asetelmaan – erityisesti silloin, kun tarkoituksena on kytkeä hankittava palvelu osaksi edelleen myytävää kokonaisuutta tai kun ostajan asemaan muutoin kohdistuu erityisiä ulkoisia vaatimuksia.

Asetelmaa mutkistavat edelleen modernien teknologiaratkaisujen innovatiiviset elementit, kuten tekoäly- ja koneoppimistekniikat, joiden sopimuksellinen hallinta vaatii myös muita kuin perinteisiä lisenssiehtoja. Organisaatioiden alati muuttuvat compliance- ja vastuullisuusvaatimukset tuovat niin ikään palveluhankintoihin uusia erityispiirteitä, joihin liittyvää vastuuta asiakas ei voi useinkaan ulkoistaa. Vaikka asiakas kokisi olevansa markkinoilla lähes ‘ota tai jätä’ -asetelmassa, on hankinnan kohteen, sen vaihtoehtojen sekä omien vastuiden arviointi aivan keskeistä hyvän lopputuloksen saavuttamiseksi.

Esittelemme alla viisi keskeisintä vinkkiämme ICT-palvelujen tarjoajan valinnassa ja sopimisessa tänä päivänä huomioitavista asioista, jotka perustuvat ICT-hankintoihin liittyvässä asiakastyössämme alati nouseviin teemoihin:

☑️  Kenen oikeudet ja mihin?

Toimittajan ja asiakkaan oikeuksien kohdentumisesta ja jakautumisesta sopiminen voi viedä leijonanosan moderneihin ICT-palveluihin liittyvistä sopimusneuvotteluista. Kenelle kuuluvat oikeudet palvelun infrastruktuurin, siinä säilytettävään dataan, palvelun tuottamaan sisältöön taikka palveluun kytkettäviin muihin järjestelmiin? Asiakkaan on tältä osin hyvä olla tarkkana palveluntarjoajien sopimusehdotusten arvioinnissa – hankinnalla tavoitellut päämäärät voivat jäädä saavuttamatta, jos palveluun ja dataan kohdistuvien oikeuksien jakautumisesta ei ole sovittu näitä tavoitteita ja tulevaisuuden toimintaedellytyksiä tukevalla tavalla.

Tekoälyä hyödyntävät ratkaisut mutkistavat oikeuksista sopimista entisestään, sillä tekoälyyn liittyy ominaisesti entistä useampia komponentteja, joiden osalta omistus- ja immateriaalioikeuksien jakautuminen edellyttää selkeitä ehtoja.

Jo ennestään on ollut tärkeää, että ulkoistetuissa ICT-järjestelmissä säilytettävän ja sen tuottaman asiakkaan aineiston sovitaan selkeästi kuuluvan asiakkaalle. Tekoälyä hyödyntävät ratkaisut mutkistavat oikeuksista sopimista entisestään, sillä tekoälyyn liittyy ominaisesti entistä useampia komponentteja, joiden osalta omistus- ja immateriaalioikeuksien jakautuminen edellyttää selkeitä ehtoja. Oikeuksien kannalta relevantteja kohteita ovat ainakin taustalla toimiva tekoälyratkaisu, tekoälylle syötettävä ja sen kehitys-, validointi- ja testausvaiheessa käytettävä data, ratkaisun toimintavaiheessa käytettävä data, tekoälyn tuottamat tulokset sekä asiakkaan vaatimusten, datan ja käytön perusteella tehty tai syntynyt tekoälyratkaisun kehitys.

☑️ Riittävän vastuutason turvaaminen

Palveluntarjoajan vastuutaso on aina mitoitettava tavalla, joka varmistaa asiakkaan oikeudet, jos palvelu ei vastaakaan sovittuja vaatimuksia tai keskeytyy ottaen huomioon, että tällä voi olla olennaisia vaikutuksia asiakkaan liiketoimintaprosesseille. Sopimuksen laadinnassa onkin tältä osin kiinnitettävä erityistä huomiota sovittaviin palvelutasoihin, vastuunrajoituksiin sekä myyjän vakuutuksiin ja takuuehtoihin, joiden osalta palveluntarjoajat pyrkivät vakioehdoissaan tyypillisesti rajoittavaan muotoiluun.

Asiakkaan on erityisesti pidettävä mielessä palvelun tai järjestelmän häiriön potentiaaliset haittavaikutukset liiketoiminnalle sopimukseen ehdotettujen vastuunrajoitusten hyväksyttävyyttä arvioidessaan ja tunnistettava vahinkolajit ja -tilanteet, joissa vastuunrajoitukset eivät voi soveltua (esimerkiksi salassapitoon tai henkilötietojen käsittelyyn liittyvät vastuut).

Tekoälyä hyödyntävien palveluiden osalta on tärkeää huomata, että sopimuksen kohde on sikäli dynaaminen, ettei perinteinen tapa sitoa toimittajan suoritusvelvollisuudet sopimuksen tekohetkellä määriteltyihin teknisiin kriteereihin ja dokumentaatioon ole aina paras ratkaisu. Painopisteen tulisi sen sijaan olla esimerkiksi hankitulla ratkaisulla tavoitelluissa lopputuloksissa ja vaikutuksissa.

Vastuutasoon liittyvät näkökohdat tulisi ottaa huomioon jo palveluntarjoajaa valittaessa. Erityisesti omien ehtojensa osalta ‘ota tai jätä’ -periaatteella toimiva palveluntarjoaja on huono valinta tilanteissa, joissa toimittajan ehdottomaksi määrittämä, hyvin rajattu vastuutaso ei vastaa palvelun kriittisyyttä asiakkaalle.

☑️ Palvelun lainmukaisuusvaatimukset

2000-luvulle ominainen regulaation kasvu on vaikuttanut suoraan myös ICT-palvelujen kenttään. Tietosuojaa, kyberturvallisuutta, sähköistä viestintää, kuluttajansuojaa ja tekoälyä koskeva sääntely voi luoda ilmeisiä epävarmuustekijöitä erityisesti suurta ja pitkäaikaiseksi tarkoitettua järjestelmätoimitusta suunniteltaessa – kuka vastaa ja miltä osin siitä, että hankittu palvelu tai järjestelmä vastaa kulloinkin voimassa olevan sääntelyn vaatimuksia? Jo palveluntarjoajaa valittaessa on hyödyllistä selvittää, missä määrin kandidaatit kykenevät toimittamaan valmista materiaalia palvelua koskevista compliance-vaatimuksista.

Lisäksi lainmukaisuusvaatimuksiin liittyvää vastuunjakoa on sopimusneuvottelujen aikana hyvä pyrkiä tarkentamaan mahdollisimman selkeästi ja tarvittaessa palvelun eri elementtien osalta jaotellen. Kriittistä on myös sopia täsmällisesti muutosprosesseista sopimuksen alla, jonka mukaisesti palvelua voidaan muuttaa tai tarvittaessa irtisanoa olennaisten lakimuutosten näin vaatiessa.

“Luotettavan ja asiakkaaseen kohdistuvat tietosuojavaatimukset ymmärtävän kumppanin löytäminen on jo äärimmäisen hyvä ensiaskel tietosuojariskien hallinnassa.”

 

☑️ Palveluntarjoajan tietosuojaprofiilin tunnistaminen

Tietosuojakysymykset muodostavat lähes jokaiselle organisaatiolle keskeisen compliance-riskin lähteen. ICT-hankinnoissa ollaan lähes väistämättä henkilötietojen käsittelyn äärellä, mikä edellyttää tietosuojanäkökohtien huomioimista jo palveluntarjoajaa valittaessa: luotettavan ja asiakkaaseen kohdistuvat tietosuojavaatimukset ymmärtävän kumppanin löytäminen on jo äärimmäisen hyvä ensiaskel tietosuojariskien hallinnassa. Hankinnan valmistelussa onkin tärkeää selvittää kumppaniehdokkaiden lähestymistapaa ja olemassa olevia järjestelyjä tietosuojan osalta, esimerkiksi tutustumalla palveluntarjoajan tietosuojaselosteisiin, mahdollisiin tietosuojaa koskeviin vaikutustenarviointeihin taikka tietoturvasertifikaatteihin.

Viimeistään EU-tuomioistuimen ns. Schrems II -tuomiosta (C-311/18, 16.7.2020) lähtien eurooppalaisten yritysten on ollut välttämätöntä tunnistaa ja arvioida datansa käsittelyn maantieteellinen sijainti. Schrems II -tuomiossa asetettiin tuntuvia vaatimuksia, jotka on nykyisin huomioitava aina, kun henkilötietoja säilytetään ETA-alueen ulkopuolella mukaan lukien tilanteet, joissa ETA-alueella olevaan dataan on pääsy ETA-alueen ulkopuolelta – mikä on käytännössä äärimmäisen todennäköistä esimerkiksi suurten globaalien pilvipalvelujen kohdalla. Palveluntarjoajan valinnassa olisikin selvitettävä datan sijaintiin liittyvät yksityiskohdat ja käytännössä varmistuttava, että palveluntarjoajalla on selkeät ja riittävät mekanismit sekä sopimukselliset vastuut Schrems II -vaatimuksiin vastaamiseksi (esimerkiksi ns. transfer impact assessment -dokumentaatio).

Pidämme ilmeisenä, että kyky vastata datan sijaintiin liittyviin haasteisiin on muodostumassa keskeiseksi kilpailuvaltiksi ICT-palveluntarjoajien keskuudessa.

“Modernin tiedonkäsittelyn infrastruktuuri on kuitenkin viime vuosina osoittautunut huolestuttavaksi ympäristöhaasteeksi.

 

☑️ Vastuullisuus edellä

On houkutteleva harhaluulo ajatella, että vastuullisuusvaatimukset, tai ainakin ympäristökysymykset eivät muodostuisi ilmeiseksi haasteeksi liiketoiminnan operoidessa digitaalisessa ympäristössä. Modernin tiedonkäsittelyn infrastruktuuri on kuitenkin viime vuosina osoittautunut huolestuttavaksi ympäristöhaasteeksi, joka on ollut erityisen ilmeinen esimerkiksi blockchain-teknologian edellyttämän tiedonkäsittelykapasiteetin kohdalla. Datakeskusten on nykykehityksen jatkuessa ennustettu muodostavan yli 3 % maailmanlaajuisista hiilipäästöistä vuonna 2025.

Datan määrän kasvaessa ympäristön kannalta kestävät datan säilytysratkaisut tulevat siten olemaan monelle yritykselle keskeinen työkalu liiketoiminnan hiilijalanjäljen rajoittamisessa, minkä lisäksi energiatehokkaat serverit ovat myös omiaan luomaan kustannussäästöjä. Ympäristöystävällinen datahallinto voi myös muodostua yrityksen kilpailuvaltiksi kuluttajien ympäristötietoisuuden ja -arvojen muuttuessa.

Erityisesti suuria järjestelmähankintoja suunniteltaessa ympäristökysymysten arviointi onkin nykymaailmassa yritysten vastuullisuuden näkökulmasta välttämätön projektivaihe. Potentiaalisen palveluntarjoajan ‘vihreys’ tulisikin olla valttikortti palveluntarjoajan valinnassa. Myös sopimusehdoilla on mahdollista luoda kannustimia oikein toimimiseen. Ennustammekin, että ympäristönäkökohtiin kytkeytyvät hinnoittelumekanismit sekä sopimuksen voimassaoloon ja irtisanottavuuteen liittyvät uudentyyppiset sopimusehdot tulevat yleistymään myös ICT-sopimuksissa seuraavien vuosien aikana.

Yllä kuvatut vinkit osoittavat, että ICT-hankinnoissa liikutaan hyvin monipuolisella vaatimuskentällä, minkä huomioimiseen ei aina tunnu riittävän aikaa nopeasti etenevän hankkeen keskellä, kun esimerkiksi vanhan järjestelmän vanhentuminen on jo kulman takana. Vaatimusten moninaisuus kuitenkin edellyttää riittävän aikataulun varmistamista sekä saumatonta yhteistyötä organisaation teknisen osaamisen ja juridisten asiantuntijoiden välillä. Toimittajan vakioehtojen hyväksyminen sellaisenaan voi tuntua houkuttelevalta kiiretilanteessa, mutta voi usein luoda piileviä ja pitkäaikaisia sopimusriskejä. Lisäksi kokemuksemme ovat osoittaneet, että myös sellaisista ehdoista, joista toimittajan mukaan “ei voi neuvotella”, on käytännön hankkeissa sittenkin mahdollista päästä sopimaan ostajalle edullisemmalla tavalla.

 

Erityiskiitos lisäksi artikkelin kirjoittamiseen osallistuneelle Roi Rantaselle, joka työskentelee syksyllä 2021 juristiharjoittelijana Dittmar & Indreniuksella.

 

 

Latest insights

It's time to change our minds (and the way we do things)

Article / 22 Jun 2022

Towards a more sustainable world

Article / 22 Jun 2022
Reading time 3 minutes