Den nye Data Act vil gøre det lettere at skifte cloud-udbyder
Som led i realiseringen af denne strategi blev der tidligere i år opnået politisk enighed om en ny forordning (”Data Act”), der skal skabe de lovgivningsmæssige rammer for realiseringen af denne strategi.
Forordningen blev endeligt vedtaget af Ministerrådet den 27. november 2023 og vil gælde 20 måneder efter offentliggørelsen i EU-tidende, dvs. fra juli 2025.
Vi har i en række tidligere artikler behandlet udvalgte reguleringstemaer i Data Act Anvendelse af kunstig intelligens i et dataretligt lys, Data Act - Dataadgang versus IP-rettigheder og EU's dataforordning ("Data Act") godkendt af Parlamentet. I denne artikel behandler vi et emne, som vil få stor praktisk betydning for både cloud-udbydere og brugere af cloud-tjenester; nemlig reglerne i Data Act om skifte af cloud-udbyder.
Skifte mellem cloud-leverandører skal være lettere
Et væsentligt formål med Data Act er at gøre det nemmere for virksomheder m.fl. at skifte mellem cloud-udbydere for dermed at øge virksomhedernes adgang til og kontrol over deres data. Eller med medlem af Euro-parlamentet, Morten Løkkegaards ord:
”Cloud-services [..] afgørende for mange virksomheder og vil få større betydning i fremtiden. Derfor er det vigtigt, at vi styrker kunders, særligt virksomheders, muligheder for at skifte cloud-leverandør ved at gøre det nemmere og billigere. Vi liberaliserer markedet for cloud-services og sætter kunden mere i centrum.”
Forordningens kapitel 6 indeholder derfor en både omfattende og kompliceret regulering herom.
Hvem gælder de nye regler for?
Reglerne gælder for udbydere af databehandlingstjenester.
Databehandlingstjenester er i Artikel 22(a) bredt – og ikke videre klart - defineret som en tjeneste
”enabling ubiquitous, and on-demand network access to a shared pool of configurable, scalable and elastic computing resources of a centralised, distributed or highly distributed nature, provided to a customer, that can be rapidly provisioned and released with minimal management effort or service provider interaction.“ (sic!)
Definitionen dækker i hvert fald cloud-leverancemodellerne IaaS og PaaS samt herudover, visse typer af SaaS-løsninger (afhængig af om løsningen er ”skalerbar og elastisk”).
Det er også værd at bemærke, at udtrykket databehandling skal forstås bredt og således ikke er begrænset til kun at gælde for visse typer af data.
Hvad indebærer reglerne?
Data Act skal som nævnt gøre det lettere at flytte data fra én databehandlingstjeneste til en anden, så man som kunde ikke bindes til én leverandør.
Forordningen indfører derfor nogle regler, som skal sikre, at kunderne har mulighed for at skifte fra én databehandlingstjeneste til en anden
- hurtigt
- omkostningsfrit
- uden tab af funktionalitet (krav om teknisk ækvivalens)
- med hjælp fra leverandøren
Herudover indføres (v) en række specifikke krav til leverandørernes aftaler.
Ad (i): Det skal (bare) gå stærkt:
For det første følger det af Artikel 23, at kunden skal have mulighed for at opsige aftalen om en databehandlingstjeneste med et varsel, der som udgangspunkt ikke må overstige 60 dage.
Bindingsperioder og/eller længere opsigelsesvarsler for kunden, som ellers er ganske udbredte i cloud-kontrakter, er derfor ikke lovlige. Dog kan et længere varsel være gyldigt, hvis aftalen har været genstand for ligeværdige forhandlinger, hvilket i praksis stort set aldrig er tilfældet ved køb af cloud-ydelser.
For det andet skal leverandøren gøre det muligt for kunden at skifte til en anden databehandlingstjeneste eller at overføre kundens data, applikationer og digitale aktiver til en ny tjeneste eller on-premise løsning inden for højst 90 kalenderdage.
Ofte vil flytningen af data fra én cloud-tjeneste til en anden være et kompliceret, omfattende og derfor også tidskrævende projekt. I det lys forekommer denne frist vidtgående. Der er af samme grund indført en undtagelse, der muliggør en flytteperiode på op til 9 måneder, hvis det ikke er teknisk muligt at gennemføre flytningen på 90 dage. Det er op til leverandøren at dokumentere, at der foreligger en sådan teknisk umulighed og i givet fald meddele kunden dette.
Ad (ii) Det må som udgangspunkt ikke koste noget:
Et cloud-migreringsprojekt kan være en bekostelig affære. Det er derfor også vidtgående, at der i Artikel 26 indføres en regel om, at leverandøren efter en overgangsperiode på 3 år ikke må opkræves betaling for at assistere med at gennemføre skiftet. I overgangsperioden må leverandøren endvidere alene kræve betaling for de omkostninger, som er forbundet hermed (og alene i b2b-aftaleforhold).
Ad (iv) krav til aftalens indhold:
I Artikel 24 indføres en række krav til indholdet af leverandørernes aftaler – både i b2b og b2c forhold. Det følger heraf, at de rettigheder, kunderne har i medfør af forordningen - om bl.a. at kunne opsige aftalen med et varsel på 60 dage, leverandørens pligt til at medvirke til at gennemføre skiftet og fristen herfor på 90 dage - skal fremgå klart af en skriftlig aftale med kunden. Aftalen skal være lettilgængelig for kunden forud for aftaleindgåelsen.
Herudover skal aftalen indeholde en udtømmende specifikation af kategorier af data og applikationer, der kan eksporteres ved skiftet, herunder som minimum alle data, som kunden importerede ved indgåelsen af aftalen, og alle data og metadata, der er genereret af kunden og ved brug af tjenesten.
Ad (v) Leverandørens pligt til at assistere:
Leverandøren har ifølge de nye regler pligt til at yde aktiv assistance og loyal hjælp til kunden med at gennemføre flytningen. Der indføres derfor en usædvanlig og ny rolle for leverandørerne; nemlig at skulle lette arbejdet for kunderne med at forlade dem(!) - ovenikøbet uden at kunne få dækket sine omkostninger (efter udløbet af overgangsperioden, jf. ovenfor).
En stor udfordring for cloud-udbyderne
Der er som nævnt tale om vidtgående og ambitiøse regler, som vil give i hvert fald nogle udbydere af databehandlingstjenester tekniske og kommercielle udfordringer.
Selvom der stadig er længe til at reglerne finder anvendelse, bør leverandørerne allerede nu begynde at forholde sig til de nye regler. Først og fremmest bør leverandørerne få klarlagt, om de er omfattet af reglerne, dvs. om de leverer databehandlingstjenester i henhold til Data Act’s (ikke videre klare) definition heraf.
Leverandører, som er omfattet af reglerne, bør dernæst inden længe begynde at forberede sig på de nye regler, bl.a. i form af implementering af tekniske foranstaltninger i deres løsninger, der gør det muligt at migrere data fra en kunde til en anden leverandør på kort tid og uden tab af funktionalitet.
Ligeledes skal leverandørerne have opdateret deres kontraktvilkår.
Endelig bør leverandørerne sørge for at tage højde for de nye krav om bl.a. kundens opsigelsesret og pligt til vederlagsfri henholdsvis omkostningsdækket migreringsassistance i prissætningen af deres ydelser.