JHS 166 Allmänna avtalsvillkor för IT-upphandlingar inom den offentliga förvaltningen

Bilaga 8. Specialvillkor för tjänster som levereras via datanät (JIT 2015 Tjänster via nät)

  • Version: 2.2
  • Publicerad: 19.9.2018
  • Giltighetstid: tills vidare

BRUKSANVISNING

Dessa specialvillkor är avsedda att användas vid upphandling av programvarutjänster som produceras som molntjänster, och som är avsedda för vissa organisationer eller användargrupper (till exempel statsförvaltning eller något kommunalt verksamhetsområde; en programvarutjänst som produceras i ett gemensamt moln, Community Cloud - SaaS). Användargruppens sätt att organisera sig kan variera, men gemenskapens medlemmar har i allmänhet liknande krav gällande säkerhet, integritetsskydd och tillgänglighet samt behov som följer av lagstiftning.

Allmänt om molntjänster 1

Med molntjänster avses en tjänstemodell där lättanpassade IT-resurser som delas mellan flera användare tillhandahålls över datanät. Anslutningen till molntjänster har gjorts enkel, tjänsternas funktioner kan tas i bruk, kopplas till andra tjänster och tas ur bruk snabbt och enkelt efter användarens behov.

Molntjänster kan definieras genom tjänstens centrala egenskaper, tjänstemodellen och användarmodellerna.

Molntjänsters centrala egenskaper är:

Självbetjäning

Kunden kan om så önskas självständigt ändra sättet att använda tjänsten och tjänstens utseende inom givna ramar. Tillgängliga resurser kan ökas eller minskas automatiskt utan åtgärder från tjänsteleverantörens personal.

Omfattande tillgång från Internet

Åtkomst till molntjänster sker enligt standard internetteknik. Åtkomst är möjlig med olika slags terminaler på den plats användaren väljer och vid den tid användaren önskar.

Gemensam användning av resurser

En tjänst som produceras med samma maskinvara och plattformar erbjuds till olika kunder. Kundernas information är programvarumässigt skild från varandra och kunderna tilldelas resurser allt efter deras varierande behov. Tjänsterna kan vara platsoberoende så att användaren i allmänhet inte har en närmare vetskap om var de resurser som används för tjänsten är belägna. Användaren kan dock ha en möjlighet att bestämma placeringen på någon högre abstraktionsnivå, till exempel på nivån världsdel, stat eller servicecenter.

Snabb flexibilitet

Resurser kan tas i bruk och lösgöras snabbt och flexibelt, i vissa fall också automatiskt efter tjänstebehovet. För användaren kan ofta tjänstens kapacitet synas obegränsad.

Mätt service

Molntjänster mäter och optimerar automatiskt resursanvändningen med någon mätare som lämpar sig för tjänsten. Resursanvändningen kan följas, styras och rapporteras och därigenom ge transparens när det gäller tjänstens användning och fakturering.

På grund av den gemensamma användningen av resurser förknippas molntjänster lätt med en bild av att tjänsterna kan vara belägna var som helst. Tillhandahållare av molntjänster kan dock erbjuda kunderna många olika slags alternativ när det gäller val av tjänstens placering.

Jämfört med traditionella utlokaliseringstjänster är de för kostnadseffektiviteten viktigaste egenskaperna hos molntjänster självbetjäning, automatiskt ibruktagande av resurser och därmed sammanhängande snabb flexibilitet. Denna egenskap ger organisationer möjligheten att genomföra verksamhetsförändringar betydligt snabbare än med traditionella verksamhetssätt och gör det lättare att uppnå verksamhetsnytta.

Molntjänsternas servicemodeller delas i allmänhet in i tre: infrastrukturresurstjänster (en. Cloud Infrastructure as a Service, IaaS), plattformsresurstjänster (en. Cloud Platform as a Service, PaaS) och programvaruresurstjänster (en. Cloud Software as a Service, SaaS).

Den modell som behandlas i dessa specialvillkor är en tjänstemodell för programvaruresurs. I programvarutjänstmodellen har tjänstens användare möjlighet att använda tjänsteleverantörens tillämpningsprogram som körs med hjälp av grundstrukturerna i molnet. Tillämpningsprogrammen kan användas med olika slags terminalutrustning och användargränssnitt som till exempel webbläsare. Användaren administrerar eller kontrollerar inte molntjänstens grundstrukturer som datanätverket, servrar, operativsystem, lagringssystem eller enstaka tillämpningar eller deras egenskaper, med undantag för eventuella användarspecifika inställningar av tillämpningsprogram.

Molntjänsternas distributionsmodeller delas i allmänhet in i fyra: privat moln (en. Private Cloud), gemensamt moln (en. Community Cloud), publikt moln (en. Public Cloud) och hybridmoln (en. Hybrid Cloud).

Den modell som behandlas i dessa specialvillkor är gemensamt moln (en. Community Cloud). I modellen med ett gemensamt moln används tjänsten av flera organisationer och tjänsten är avsedd att betjäna en grupp med gemensamma krav och behov. Tjänsten kan administreras av organisationerna själv eller så kan tjänsten upprätthållas av en tredje part. Tjänsten kan produceras i organisationernas egna lokaler eller utanför dessa.

Bedömning av programvarutjänstens lämplighet baserat på tjänstebeskrivningen

Programvaruresurstjänster upphandlas som en offentlig upphandling, vilket betyder att tjänstebeskrivningen och den erbjudna tjänsten ska uppfylla beställarens krav. Beställaren ska med tjänstebeskrivningen som grund bedöma, om programvarutjänsten vid användning för ändamål som utgör objekt för anbudsbegäran uppfyller de krav som ställts på tjänstens användning. Leverantören ansvarar alltså inte för att programvarutjänsten lämpar sig för beställarens användningsändamål.

En organisation som planerar ibruktagande och upphandling av en programvarutjänst ska identifiera och uppge de krav som hör ihop med varje användningsändamål och som kan gälla bland annat datasäkerhetsnivåer, dataskydd och hantering av myndighetsdokument.

Utgångspunkten för planering och genomförande av det gemensamma moln som leverantören erbjuder är de gemensamma kraven och behoven hos en viss grupp av användare. Molntjänstens leverantör producerar molntjänsterna baserade på programvaruresurs-servicemodellen i huvudsak lika för alla användare av ifrågavarande tjänst.

För att det ska vara möjligt för beställaren att bedöma den erbjudna tjänstens lämplighet för användningsändamålet ska tjänstebeskrivningen omfatta minst följande uppgifter:

  • en detaljerad specifikation av innehållet i och genomförandet av en tjänst
  • leverantörens underleverantörer och användning av dem
  • förfaranden för säkring av beställarens material i programvarutjänsten
  • tidpunkter för installations-, ändrings- och servicefönster
  • platsen där programvarutjänsten produceras (Finland eller något annat land målet är att tjänstebeskrivningen innehåller tillräckliga uppgifter för att identifiera den lagstiftning som ska tillämpas på tjänsten och dess produktion. (Platsen för tjänstens produktion täcker serverhallar och administrationstjänster samt det geografiska läget för lagrade uppgifter).
  • principerna för behandling av personuppgifter
  • metoder för uppföljning av tjänstens användarrättigheter och användning
  • krav gällande beställarens driftsmiljö och den dataförbindelse som behövs.

Tjänstens genomförande och användning

Leverantören levererar tjänsten så att den är tillgänglig i överensstämmelse med avtalet och tjänstebeskrivningen i kontaktpunkten, som är antingen en anslutningspunkt i det allmänna elektroniska kommunikationsnätverket eller någon annan anslutningspunkt som avtalats separat i avtalet. Beställaren sörjer för upphandling av, funktionsskick för och skydd för den maskinvara, dataförbindelser och programvaror som beställaren behöver, såvida de inte enligt avtalet hör till leverantörens ansvar.

För tydlighetens skull följer avtalsvillkorens struktur livscykeln för programvarutjänstens användning: avtala om användning, skapa förutsättningar för användning, ibruktagande, användning och ändringar under användningstiden samt förfaranden när avtalet upphör.

I specialvillkoren ingår flera skyldigheter (medverkan) för avtalsparterna vars syfte är att friktionsfritt kunna ta programvarutjänsten i bruk, använda den och ett så rakt förfarande som möjligt om användningen eventuellt avslutas.

Avtalsvillkoren ställer en grundnivå för vissa förhållanden som följs om inget annat avtalas i avtalet. Sådana punkter är till exempel

  • ansvarsfördelningen när det gäller datasäkerhet och dataskydd
  • särskilda åtgärder gällande hantering av datasäkerhet
  • formatet i vilket leverantören återlämnar beställarens material när avtalet upphör.

Enligt specialvillkoren kan leverantören använda underleverantörer för att realisera programvarutjänsten eller en del av den och för andra uppgifter i anslutning till avtalet. Det ställs inte andra krav på användningen av underleverantörer än att den ska beskrivas och eventuella underleverantörer som behandlar personuppgifter ska namnges i tjänstebeskrivningen.

Avtalsparterna avtalar skriftligen om huruvida beställaren överför personuppgifter till leverantören. Om leverantören behandlar personuppgifter för beställarens räkning, bör JIT 2015 Specialvillkor för behandlingen av personuppgifter (JIT 2015 Personuppgifter) bifogas till avtalet utöver dessa villkor.

Denna bruksanvisning utgör inte en del av avtalet.

Avtalets datum och nr:___________________________________Bilaga nr:______

JIT 2015: Specialvillkor för tjänster som levereras via datanät

    1 Tillämpning

(1) Dessa specialvillkor iakttas när upphandlande enheter inom den offentliga förvaltningen köper programvarutjänster som levereras via datanät, om dessa specialvillkor åberopas i avtalen och om inte något annat har avtalats skriftligen om någon del av dem.

(2) Dessa specialvillkor används tillsammans med de allmänna avtalsvillkoren för IT-upphandlingar inom den offentliga förvaltningen. I händelse av motstridighet har specialvillkoren prioritet över motsvarande punkter i de ovan nämnda allmänna avtalsvillkoren för IT-upphandlingar inom den offentliga förvaltningen.

    2 Definitioner

Utöver definitionerna för specialvillkoren nedan följs definitionerna i JIT 2015 Allmänna villkor .

tjänstebeskrivning

fi palvelukuvaus

en detaljerad specifikation av innehållet i en tjänst

En tjänstebeskrivning för en programvarutjänst ska vara tillräckligt detaljerad för att beställaren baserat på den kan avgöra om tjänsten lämpar sig för beställarens användningsändamål.

programvarutjänst

fiohjelmistopalvelu

en tjänst där tillämpningen eller tjänsten produceras centralt i en servercentral och är tillgänglig i en kontaktpunkt via datanätverk och där tillgången till programvaran och nyttjanderätten till den erbjuds mot en periodisk avgift

Tjänsten produceras med utnyttjande av nätverk, servrar samt operativ- och lagringssystem som hör till tjänsteproducentens tjänstemiljö och i vars administration och konfiguration tjänstens användare inte deltar med undantag för begränsade inställningar som gäller användaren.

beställarens material

fitilaajan aineisto

material som beställaren överfört till programvarutjänsten eller som på annat sätt överlämnats för beställarens räkning till leverantören för programvarutjänstens skull eller som beställaren producerat under tjänstens användning eller annat informationsmaterial som avtalsparterna definierar som beställarens material

leverantörens material

fitoimittajan aineisto

material som leverantören lämnat till eller driftsatt för beställaren för användning med programvarutjänsten samt annan information och annat material som avtalsparterna definierat som leverantörens material

sammansatt material

fiyhdistetty aineisto

presentation av beställarens material producerad med programvarutjänsten så att beställarens och leverantörens material förenas i resultatet

kontaktpunkt

fiyhteyspiste

en plats eller platser där leverantören ansluter programvarutjänsten till det allmänna elektroniska kommunikationsnätet eller annan i avtal överenskommen anslutningspunkt

    3 Avtalsobjekt

(1) Programvarutjänstens innehåll beskrivs i avtalet och tjänstebeskrivningen.

Leverantören kan använda underleverantörer för att realisera programvarutjänsten eller en del av den och för andra uppgifter i anslutning till avtalet enligt tjänstebeskrivningen. Underleverantörerna ska namnges i tjänstebeskrivningen om de behandlar personuppgifter. Leverantören svarar för underleverantörernas arbete på samma sätt som för sitt eget arbete.

    4 Leverantörens allmänna skyldigheter

(1) Leverantören svarar för att programvarutjänsten motsvarar avtalet och tjänstebeskrivningen.

(2) Leverantören svarar för att de uppgifter som åligger leverantören utförs enligt avtalet, omsorgsfullt och med den yrkesskicklighet som uppgifterna kräver.

(3) Leverantören lämnar skriftliga bruksanvisningar och krav på användarmiljön för programvarutjänsten till beställaren.

(4) För beställarens kontakter gällande programvarutjänster ska leverantören till beställaren skriftligt uppge sin kontaktperson, övriga kontaktuppgifter och ändringar av dem.

    5 Beställarens allmänna skyldigheter

(1) Beställaren ansvarar för att de uppgifter som är på beställarens ansvar utförs omsorgsfullt och enligt avtalet.

(2) Beställaren svarar för att programvarutjänsten lämpar sig för beställarens användningsändamål.

(3) Beställaren svarar för upphandling av, funktionsskick för och skydd av den maskinvara, dataförbindelser och programvaror som behövs för att använda programvarutjänsten, såvida de inte enligt avtalet hör till leverantörens ansvar. Beställaren ansvarar för att användarmiljön ställs i ordning enligt specifikationerna i tjänstebeskrivningen.

(4) Beställaren ska vägleda programvarutjänstens användare, anställda eller användare som agerar för beställarens räkning, till att följa leverantörens anvisningar när de använder programvarutjänsten. I vägledningen ska särskild uppmärksamhet fästas på frågor i anslutning till datasäkerheten vid användning av programvarutjänsten.

(5) För beställarens kontakter gällande programvarutjänster ska beställaren till leverantören skriftligt uppge sin kontaktperson, nödvändiga kontaktuppgifter och ändringar av dem.

    6 Programvarutjänstens innehåll och tjänstnivå

(1) Avtalsparterna avtalar skriftligt om användning av en programvarutjänst som överensstämmer med tjänstebeskrivningen och om eventuella sanktioner på grund av avvikelser från specifikationen. Till den del som det inte alls har avtalats om programvarutjänstens innehåll eller tjänstnivån, tillämpas de vid varje tillfälle gällande villkor som leverantören har publicerat.

(2) Leverantören ska utan dröjsmål meddela beställaren om alla förhållanden som leverantören fått kännedom om och som kan förhindra avtalsenlig användning av programvarutjänsten.

(3) En programvarutjänst inkluderar utbildning av beställarens personal och uppgifter i anslutning till ibruktagandet bara till de delar det har avtalats skriftligt om det.

    7 Rättigheter och beställarens material

(1) Äganderätten och de immateriella rättigheterna till programvarutjänsten, leverantörens material samt de ändringar som gjorts i dem hör till leverantören eller en tredje part.

(2) Äganderätten och de immateriella rättigheterna till beställarens material hör till beställaren eller en tredje part.

(3) Leverantören har rätt att behandla beställarens material endast för ändamål avsedda för fullföljande av avtalet.

(4) Beställaren ansvarar för beställarens material och för att beställarens material inte kränker rättigheterna för tredje part eller strider mot vid varje tillfälle gällande lagstiftning.

(5) Genom detta avtal överlåts inte befintliga immateriella rättigheter mellan avtalsparterna.

(6) Beställaren och en tredje part som agerar för beställarens räkning har rätt att använda och bearbeta leverantörens material och sammansatt material under avtalets giltighetstid för beställarens verksamhet. Beställaren och en tredje part som agerar för beställarens räkning samt en part som beställarens uppgifter eventuellt överförs till, har dock även efter avtalets upphörande en obegränsad rätt att använda och bearbeta sammansatt material som erhållits från programvarutjänsten, inklusive till beställaren eventuellt lämnade säkerhetskopior av detta material.

    8 Börja använda programvarutjänst

(1) Beställaren ska lämna leverantören tillräckliga och korrekta uppgifter för leveransen och även på annat sätt medverka på bästa möjliga sätt till leverans av programvarutjänsten. Beställaren ansvarar för de uppgifter som lämnats till leverantören och för uppdatering av dem.

(2) Leverantören ska i så god tid som möjligt lämna tillräckliga anvisningar till beställaren för att kunna börja använda programvarutjänsten. Leverantören ska ge beställaren annat stöd för ibruktagande av programvarutjänsten bara om detta har avtalats särskilt.

(3) Leverantören ska driftsätta programvarutjänsten i kontaktpunkten på överenskommen leveransdag eller inom överenskommen tid. Om ingen leveranstid eller -dag inte har avtalats, driftsätter leverantören programvarutjänsten i kontaktpunkten inom en rimlig tid från det att avtalet har undertecknats eller från beställningsbekräftelsen. Programvarutjänsten är driftsatt när den avtalsenliga programvarutjänsten är tillgänglig i kontaktpunkten och leverantören har meddelat detta till beställaren.

(4) Om programvarutjänsten ger möjlighet till att lagra beställarens material, börjar leverantörens ansvar för att bevara materialet från det ögonblick då informationen på ett lyckat sätt har lagrats som en del av att användningen av programvarutjänsten påbörjas.

(5) Om programvarutjänsten inte kan börja användas utan starten fördröjs av orsaker som beror på beställaren, förlängs leveranstiden tills orsaken som hindrar att användningen påbörjas är avhjälpt eller har upphört. Leverantören rätt att fakturera för tjänsten börjar från det att tjänsten för leverantörens del skulle vara tillgänglig.

(6) Beställaren ska utan onödigt dröjsmål efter att programvarutjänsten börjat användas kontrollera programvarutjänstens funktion och reklamera bristande funktion eller andra fel och brister som observerats i leveransen. Om beställaren inte har anmält fel inom sju (7) vardagar från det att programvarutjänsten har börjat levereras, anses programvarutjänsten godkänd. Programvarutjänsten betraktas också som godkänd direkt när den har konstaterats vara fungerande i avtalsparternas gemensamma ibruktagandetest. Sådana brister eller fel som inte i väsentlig grad hindrar användningen av programvarutjänsten utgör inte hinder för att godkänna leveransen, men leverantören är skyldig att utan onödigt dröjsmål rätta till dem.

(7) Leverantören och beställaren kan avtala om provanvändningstid för programvarutjänsten. Under provanvändningstiden har leverantören inga skyldigheter och inget skadeståndsansvar. Beställaren är inte skyldig att betala serviceavgift för tjänsten under provanvändningstiden, men beställaren ska i övrigt uppfylla avtalet och dessa villkor.

    9 Användaruppgifter

(1) Leverantören överlämnar kontaktadresser och användaruppgifter (t.ex. användarnamn, tekniska adresser och lösenord) till beställaren enligt avtalet för att använda tjänsten och för avtalat ändamål under avtalets giltighetstid. Leverantören anmäler förändringar av dessa i god tid i förväg.

(2) Beställaren svarar för att dess användare bevarar användarnamn och lösenord omsorgsfullt och inte röjer dem till tredje parter. Beställaren ansvarar för den användning av programvarutjänsten som görs med beställarens användaruppgifter. Beställaren ansvarar dock inte för användningen, om beställarens användaruppgifter hamnar rättsstridigt hos tredje part av orsaker som inte beror på beställaren eller en tredje part som agerar på beställarens räkning, som till exempel på grund av dataintrång i leverantörens system, eller om en representant för leverantören använder beställarens användaruppgifter i strid med avtalet.

(3) Beställaren förbinder sig att till leverantören utan fördröjning anmäla om användarnamn eller lösenord har kommit till tredje parts kännedom eller om misstänkt missbruk av användarnamn eller lösenord. Beställarens ansvar för användning av programvarutjänsten med beställarens användares användarnamn och lösenord upphör när leverantören har tagit emot beställarens anmälan eller när leverantören på annat sätt har uppdagat missbruket. Förutsättningen för att ansvaret ska upphöra är dock att beställaren inte genom sina åtgärder hindrar leverantören från att ändra eller radera användaruppgifter som har samband med missbruket.

(4) Beställaren är på leverantörens skriftliga begäran skyldig att byta det lösenord som krävs för att använda programvarutjänsten, om det är nödvändigt på grund av en allvarlig datasäkerhetsrisk som programvarutjänsten utsätts för.

    10 Säkerhetskopiering av data

(1) Leverantören svarar för säkerhetskopiering av det beställarens material som finns i programvarutjänsten på det sätt som uppges i tjänstebeskrivningen. Avtalsparterna kommer skriftligen överens om tidpunkterna för säkerhetskopiering. Om inget annat har avtalats, har leverantören skyldighet att säkerhetskopiera beställarens material minst en gång under leverantörens arbetsdag eller med tidsintervall som leverantören i förväg meddelat beställaren, och spara säkerhetskopian på ett ändamålsenligt sätt enligt en praxis som leverantören i förväg meddelat beställaren. Till övriga delar ansvarar beställaren för säkerhetskopiering av beställarens material.

(2) Om beställarens material har förstörts, försvunnit, förändrats eller skadats efter att beställaren eller en part som är på beställarens ansvar använt beställarens användarnamn och lösenord eller om beställaren eller en part som är på beställarens ansvar på annat sätt genom sin verksamhet har förstört, förlorat, förändrat eller skadat beställarens material, har leverantören rätt att för återställande av sådana data debitera enligt avtalade debiteringsgrunder eller debiteringsgrunder enligt prislista.

(3) Leverantören ska om beställaren så begär, högst en gång per kalenderår, lämna allt beställarens material som lagrats i tjänsten till beställaren enligt öppenhetskravet för datamaterial. I samband med att beställarens material lämnas ska leverantören också lämna en databeskrivning som uppfyller öppenhetskravet på datamaterial. Leverantören har inte rätt att separat debitera för leverans av beställarens material eller databeskrivning, om inget annat har avtalats.

    11 Ändringar i programvarutjänst

(1) Leverantören har alltid rätt att göra en sådan ändring i tjänsten som riktar sig till programvarutjänstens produktionsmiljö och inte påverkar tjänstens innehåll eller tjänstnivå, eller som är nödvändig för att förebygga en allvarlig datasäkerhetsrisk (inbegripet allvarlig tillgänglighetsrisk), eller beror på tvingande lag eller myndighetsföreskrift gällande produktionsmiljön. Om ändringen påverkar tjänstebeskrivningen ska leverantören meddela beställaren om ändringen i god tid i förväg, eller om detta inte är skäligen möjligt till exempel på grund av brådskande avvärjning av en allvarlig datasäkerhetsrisk, utan fördröjning efter att leverantören har fått kännedom om saken.

(2) I andra fall än ovan i punkt 11(1) avsedda fall är leverantören skyldig att i god tid i förväg informera beställaren om ändringsbehov i programvarutjänsten. Konsekvenserna av ändringen behandlas mellan beställaren och leverantören innan den genomförs. Om den tänkta ändringen har en väsentlig inverkan på tjänstens innehåll eller tjänstnivån, ska leverantören informera beställaren om ändringen skriftligt minst tre (3) månader innan ändringen träder i kraft och beställaren har rätt att säga upp avtalet enligt punkt 16. Överföring av behandlingen av personuppgifter till en underleverantör eller en plats som beställaren av grundad anledning inte godtar, betraktas som en ändring som har en väsentlig inverkan på tjänstens innehåll.

(3) Leverantören ska lämna en ändrad tjänstebeskrivning och bruksanvisning samt leverantörens övriga ändrade material till beställaren.

(4) Leverantören ska sträva efter att beakta beställarens önskningar om tidpunkt för när en ändring i programvarutjänsten tas i bruk. Leverantören ska ge beställaren möjlighet att bekanta sig med ändringarna innan de tas i bruk, om detta skäligen kan ordnas.

(5) Beställaren kan föreslå ändringar i programvarutjänsten. Genomförande av ändringar och ändringarnas kostnadseffekter avtalas separat.

    12 Avbrytande av programvarutjänst

(1) Om inte regelbundna installations-, ändrings- eller underhållsåtgärder för programvarutjänsten har angetts i tjänstebeskrivningen, tillämpas avtalsvillkor enligt denna punkt 12 (1). Leverantören har rätt att avbryta produktionen av programvarutjänsten under rimlig tid från måndag till fredag klockan 18.00-8.00, lördagar, söndagar eller allmän ledig dag, om det är nödvändigt för installations-, ändrings- eller underhållsåtgärder på programvarutjänsten och installationen, ändringen eller underhållet inte med skäliga kostnader kan genomföras utan att avbryta programvarutjänstens produktion. Om leverantören avbryter produktionen av programvarutjänsten av skäl som nämns här i punkt 12 (1), ska leverantören (a) informera beställaren i god tid i förväg om avbrottet i programvarutjänsten och dess varaktighet; (b) sträva efter att olägenheterna på grund av avbrottet blir så små som möjligt; och (c) på beställarens skriftliga begäran ersätta beställaren enligt avtal för det underskridande av tjänstnivån som avbrottet orsakat.

(2) Leverantören har rätt att avbryta produktionen av programvarutjänsten på grund av installations-, ändrings- eller underhållsåtgärder i det allmänna datanätet eller på grund av allvarligt datasäkerhetshot riktat mot programvarutjänsten eller om lagen eller en myndighetsföreskrift kräver detta eller på grund av oöverstigligt hinder. Om leverantören avbryter produktionen av programvarutjänsten av orsak som nämns här i punkt 12 (2) ska leverantören meddela beställaren om avbrottet och avbrottets förmodade varaktighet i god tid i förväg, eller om detta inte skäligen är möjligt, omedelbart efter att leverantören har fått kännedom om saken.

(3) Leverantören har rätt att utan att höra beställaren hindra beställarens åtkomst till programvarutjänsten, om leverantören på goda grunder misstänker att beställaren i strid med avtalet belastar eller använder programvarutjänsten på ett sätt som äventyrar produktionen av programvarutjänsten för andra användare. Leverantören ska utan onödigt dröjsmål meddela beställaren om skälen för att hindra åtkomst. Om beställaren visar att programvarutjänsten använts avtalsenligt, har leverantören skyldighet att enligt avtal ersätta det underskridandet av tjänstnivå som åsamkats beställaren genom att åtkomsten hindrats eller så har beställaren rätt till prisavdrag för avbrottstiden.

    13 Informationssäkerhet och dataskydd

(1) Avtalsparterna förbinder sig att var och en för sin del sörja för och ansvara för datasäkerheten samt integritetsskyddet enligt den lagstiftning som gäller i Finland. Vid behov avtalas närmare om ansvarsfördelning mellan avtalsparterna gällande datasäkerhet och dataskydd.

(2) Båda avtalsparterna svarar för informationssäkerheten i det egna kommunikationsnätet. Ingendera av avtalsparterna ansvarar för informationssäkerheten i det allmänna internet-nätet eller för eventuella störningar i det eller för andra faktorer utanför de egna påverkansmöjligheterna som försvårar användningen av programvarutjänsten eller för de skador de ger upphov till.

(3) En avtalspart har rätt att vidta åtgärder för att förhindra kränkningar av informationssäkerheten och för att undanröja störningar i informationssäkerheten. Avtalsparten ska dimensionera åtgärderna efter allvaret i den störning som ska undanröjas och avsluta dessa omedelbart när det inte finns grund för att vidmakthålla dem.

(4) Avtalsparterna avtalar skriftligen om huruvida beställaren överför personuppgifter till leverantören. Beställaren ansvarar som registeransvarig för dessa personuppgifter. Beställaren ansvarar för att beställaren har rätt att överföra ifrågavarande personuppgifter till leverantören för behandling enligt avtalet. Leverantören ska iaktta vad som i lagstiftningen föreskrivs om god behandling av personuppgifter och bestämmelser om behandling och skydd av uppgifterna. Leverantören behandlar personuppgifter endast enligt avtalet och de skriftliga anvisningar som beställaren lämnat. Leverantören verkställer de tekniska och organisatoriska åtgärder som man har kommit överens om.

    14 Hantering av kränkningar av informationssäkerheten

(1) En avtalspart har skyldighet att utan onödigt dröjsmål meddela den andra avtalsparten om observerade väsentliga förändringar av informationssäkerhetsläget som äventyrar programvarutjänsten eller dess användning och om ökade informationssäkerhetsrisker, risker för skyddet av personuppgifter, informationssäkerhets- eller personuppgiftsincidenter eller misstankar om sådana.

(2) En avtalspart ska för sin del omedelbart vidta åtgärder för att undanröja eller minska konsekvenserna av ovannämnda incidenter. Särskilda åtgärder för att hantera informationssäkerhetsrisker avtalas separat.

(3) Avtalsparterna är skyldiga att bidra till utredning av informationssäkerhets- och personuppgiftsincidenter.

    15 Platsen där programvarutjänsten produceras

(1) Leverantören kan tillhandahålla hela programvarutjänsten eller en del av den antingen från Finland eller från något annat land, under förutsättning att leverantören i övrigt uppfyller avtalsvillkoren. Om leverantören erbjuder sin tjänst från en plats utanför Europeiska ekonomiska samarbetsområdet, ska leverantören ansvara för att en eventuell överföring av personuppgifter genomförs i enlighet med lagstiftningen.

(2) Den geografiska platsen för de serverhallar och administrationstjänster som används för att producera tjänsten liksom den geografiska platsen för lagrad information ska uppges i tjänstebeskrivningen. Leverantören är skyldig att anmäla eventuella ändringar av läget.

    16 Giltighetstid och uppsägning

(1) Ett avtal för viss tid om programvarutjänst upphör utan uppsägning när den utsatta tiden löpt ut. Beställaren kan dock säga upp ett avtal som gäller för viss tid i en situation som avses i punkt 11 (2) genom att meddela detta skriftligt till leverantören varvid avtalet upphör tre (3) månader efter anmälan.

(2) Om det inte skriftligt har avtalats om något annat kan ett avtal som gäller tills vidare sägas upp skriftligt till att upphöra, från beställarens sida efter tre (3) månader och från leverantörens sida efter sex (6) månader från uppsägningen. Dessutom är uppsägning möjlig enligt punkt 11 (2). Uppsägningstiden räknas från den sista dagen i den kalendermånad under vilken avtalet har sagts upp.

(3) Om beställaren har betalat en serviceavgift gällande en viss tidsperiod i förskott och avtalet upphör i förtid av orsak som inte beror på beställaren, har beställaren rätt att som återbetalning få gottgörelse för sin förskottsbetalning motsvarande den tidsperiod som inte blev levererad.

    17 Biståndsskyldighet när avtalet upphör

(1) Leverantören förbinder sig att när programvarutjänsten eller en del av den upphör bistå beställaren med att överföra den tjänst som upphör på en tredje part eller att själv överta ansvaret för den. Som ett led i biståndsskyldigheten är leverantören skyldig att på beställarens begäran vidta följande åtgärder:

      1. Leverantören ska fortsätta att leverera tjänster till beställaren enligt villkoren i avtalet och i den omfattning beställaren begär till dess att avtalet upphör.
      2. Leverantören ska i den omfattning som beställaren begär bistå vid utförandet av de uppgifter som behövs för en överföring och ta del i den genom att tillhandahålla information, material, stöd, utbildning och konsultation och samarbeta med beställaren och beställarens övriga tjänsteproducenter. Detta ska utföras till leverantörens avtalsenliga priser, eller om inga priser är avtalade, till priser enligt leverantörens allmänna prislista.

(2) Biståndsskyldigheten inträder redan innan avtalet löper ut, om avtalet har sagts upp eller hävts för att upphöra eller om beställaren meddelar sig inleda upphandling som gäller tjänster som omfattas av avtalet. Skyldigheten fortgår högst till dess det har gått tre (3) månader från det att avtalet upphörde.

(3) Leverantörens skyldighet att bevara beställarens material upphör sextio (60) dagar efter att avtalet upphört, varefter leverantören har skyldighet att på egen bekostnad förstöra beställarens material, såvida inte beställaren innan detta har begärt att materialet återlämnas enligt punkt 17 (4) . Ifall beställaren begär att materialet återlämnas, ska leverantören till beställaren återlämna det av beställarens överlämnade, uppdaterade materialet, eller beställarens övriga material gällande tjänsten. Leverantören har dock rätt att förstöra eller bevara beställarens material till de delar som leverantören är skyldig att göra detta med lagen eller myndighetsföreskrift som grund.

(4) Om inget annat har avtalats skriftligt, återlämnar leverantören beställarens material till beställaren inom trettio (30) dagar från beställarens skriftliga begäran enligt öppenhetskravet för informationsmaterial eller i överenskommen form. I samband med att beställarens material lämnas ska leverantören också lämna en databeskrivning som uppfyller öppenhetskravet på datamaterial. Leverantören har inte rätt att separat debitera för leverans av beställarens material eller databeskrivning, om inget annat har avtalats.

(5) Leverantören har inte i punkt 17(1) avsedd biståndsskyldighet om avtalet upphör på grund av väsentligt avtalsbrott av beställaren. Om leverantören har hävt avtalet på grund av att beställaren inte har betalat avgifter gällande användning av tjänsten, har leverantören dock i punkt 17(1) avsedd biståndsskyldighet, om beställaren betalar de förfallna avgifterna till leverantören och ställer en godtagbar säkerhet för betalning av framtida avgifter.

Alaviitteet

1) Texten stöder sig på dokumentet The NIST Definition of Cloud Computing, Special Publication 800-145, National Institute of Standards and Technology, U.S. Department of Commerce, 2011.