COVID-19: Særlige forhold for IT-virksomheder

Det gælder for leverandører af teknologiløsninger som for alle andre, at coronavirus kan medføre, at det bliver sværere at levere eller levere til tiden. Underleverandører kan ikke levere hardware til tiden, teknikere må ikke rejse over landegrænser, og kunden kan ikke medvirke i nødvendigt omfang, fordi de skal arbejde hjemmefra, og dermed ikke kan give adgang til fysiske lokationer.

Forsinkelse

Som udgangspunkt, er man som leverandør forpligtet til at levere til den aftalte tid. Det kan nu blive udfordret af, at leverandørens supply chain knækker, f.eks. fordi fabrikkerne ikke kan levere med vanlig kadence, varerne ikke bliver fragtet, eller pga. manglende mulighed for at IT-konsulenterne kan møde op. 

 

Hvis en leverandørs leverance vedrører varer, der kan substitueres ved brug af alternative leveringskanaler, dvs. ikke-unikke varer, så skal leverandøren bruge disse. Dette gælder også, selvom de alternative leveringskanaler måtte medføre øgede omkostninger eller tab for leverandøren. Årsagen er, at man som leverandør ifølge dansk ret forventes at kunne overkomme sådanne leveringsudfordringer. Leverandøren kan altså ikke undskylde sig med, at en underleverandør er blevet forsinket som følge af coronavirus. 

 

Der er dog en grænse for, hvor meget leverandøren skal gøre, og der vil i disse ganske ekstraordinære tider være situationer, hvor levering reelt er umulig eller særligt byrdefuld for leverandøren. Hvis en underleverandør ikke kan levere til tiden, er det afgørende, at leverandøren undersøger alle alternative muligheder for levering. Samtidig bør leverandøren holde en tæt dialog med den pågældende underleverandør om, hvorvidt de sammen kan overkomme underleverandørens leveringsvanskeligheder. 

 

Forsinkelsen kan skyldes personelle udfordringer hos både leverandøren og kunden. Hos leverandøren kan det være en udfordring, at projektmedarbejdere i udviklingsprojekter eksempelvis ikke kan møde på et givent sted, da det kan medføre, at et eventuelt implementeringsarbejde går i stå. Årsagen kan skyldes sygdom, restriktioner udstedt af myndighederne og interne restriktioner, som leverandøren pålægger sig selv af hensyn til både samfundet og den pågældende virksomheds fortsatte drift. Leverandøren har selvsagt ansvaret for de selvbestaltede restriktioner, som iværksættes, mens myndighedsrestriktioner kan være en force majeure situation, som beskrevet nedenfor.

 

Eftersom leverandøren har et ansvar for at levere i henhold til sine indgåede aftaler, vil leverandøren skulle finde måder at overkomme sådanne udfordringer på. Hvis en teknisk ansvarlig ikke kan være fysisk til stede, må det undersøges, om vedkommende kan guide de tilstedeværende via en telefon- eller videoforbindelse. Hvis det kræver, at der er en teknisk kyndig person på stedet, og leverandøren ikke selv kan stille med sådant personale på det pågældende sted grundet rejserestriktioner, må leverandøren undersøge muligheden for at få lokale tredjeparter i form af eksempelvis konsulenter eller vikarer ud i sit sted. Planlægning af sådanne foranstaltninger bør foregå i samarbejde med kunden. 

 

Det kan også være kundens forhold, der forhindrer levering. Kunden kan måske ikke medvirke i nødvendigt omfang, fordi medarbejdere er syge, skal være hjemme med deres børn, eller fordi alle medarbejdere er sendt hjem fra arbejdspladserne, som eksempelvis i store dele af den offentlige sektor og efterhånden også den private sektor. Det er vigtigt, at leverandøren gør opmærksom på de konsekvenser, sådan manglende deltagelse fra kundens side kan have for levering, så kunden har mulighed for at reagere på passende vis eller indstille sig på - og acceptere - en forsinkelse på den baggrund. 

 

Det er kundens ansvar at medvirke i det omfang, der er forudsat i aftalen. Når kundens forhold bevirker, at leverandøren ikke kan levere, risikerer kunden at skulle dække leverandørens omkostninger herved - på samme måde som leverandøren risikerer at skulle  dække kundens omkostninger, hvis leverandøren er årsag til den manglende levering. I sidste ende kan kunden risikere at skulle betale leverandøren aftalens pris, selvom der endnu ikke er leveret, men det afhænger dog i høj grad af de konkrete omstændigheder. Under de nuværende omstændigheder er der dog stor risiko for at begge parter kan have problemer, og at der derfor opstår strid om, hvem af parterne der først kom i misligholdelse. 

 

Både som kunde og som leverandør bør det straks overvejes, hvordan værdispild og tvister kan undgås ved hurtig og proaktivt at indgå i en dialog om, hvordan et givent projekt bedst kan videreføres under de nye og konstant skiftende ydre rammer. 


Overvej, hvordan parternes digitale platforme kan understøtte et fortsat effektivt projektarbejde. Et aftalt stop af et projekt kan også være den rigtige løsning, men samfunds- og projektmæssigt kan der være meget vundet ved at søge et samarbejde, som holder hjulene og projekterne i gang fremfor stilstand og afskedigelser.  

Force majeure

Hvis samarbejdstilgangen fejler bliver juraen desværre hurtigt relevant.

Mange af de førnævnte udfordringer og problemstillinger kan være omfattet af en force majeure-klausul i de respektive aftaler, hvorved der kan blive tale om ansvarsfrihed for manglende overholdelse af en aftale. 

 

Det er derfor relevant at undersøge, 1) hvorvidt de relevante aftaler indeholder force majeure-klausuler, og 2) hvordan de i så fald er formuleret. I forhold til indholdet af klausulen er det centralt, om klausulen udtømmende oplister de begivenheder, der kan karakteriseres som force majeure-begivenheder, eller om der blot er oplistet eksempler på force majeure-begivenheder. Dog er det ikke nok, at en aftalt begivenhed faktisk er indtruffet; det skal også kunne påvises, at det er umuligt at opfylde aftalen som følge af den begivenhed. 

 

Det vil afhænge af den konkrete situation, om det er muligt at påberåbe sig force majeure. Vi har tidligere beskrevet, hvem der bærer ansvaret for manglende opfyldelse af allerede indgåede aftaler, og senere om, hvorvidt der på nuværende tidspunkt foreligger force majeure: COVID-19: Opdatering - foreligger der nu force majeure?

Overskridelser af SLA og andre KPI'er

Situationen skaber også udfordringer for driftsleverandører. Mange it-systemer er spidsbelastede, herunder i særdeleshed cloud-baserede løsninger. Med en rekordstor andel af danskerne sendt på hjemmearbejde oplever virksomhederne, at "VPN" og "fjernforbindelse" bliver husholdningsterminologi. Det er helt afgørende for den fortsatte drift i både den offentlige og private sektor, at driften kører stabilt trods de ganske usædvanlige omstændigheder. 

Hostingselskaber oplever også, at belastningen er væsentligt forøget på visse hjemmesider, herunder enkelte statslige hjemmesider, regionernes informationssider og sider for udbydere af digitale værktøjer. 

 

Det betyder for manges vedkommende, at det bliver svært eller umuligt at overholde de aftalte service level agreements (SLA'er) eller andre key performance indicators (KPI'er). Presset på løsningerne er steget som følge af udefrakommende omstændigheder - eksempelvis pres på kommunikationslinjerne - og det kan der være taget højde for i parternes aftale. For det første kan der være tale om force majeure, hvilket afhængig af de indgåede aftaler kan give ansvarsfrihed som beskrevet ovenfor. Kontrakten kan også indeholde undtagelser i særligt spidsbelastede situationer, der giver leverandøren ret til at leve op til nogle nedjusterede SLA'er eller til at overskride de aftalte SLA'er. Der kan også i aftalen være en dynamisk skalering, sådan at det øgede pres medfører en øget betaling til leverandøren. I så fald skal leverandøren dog stadig kunne overholde sine SLA'er, uanset at belastningen er opstået med kort varsel, og kan ophøre lige så hurtigt. 

 

Som leverandør er det vigtigt at være opmærksom på, om man er forpligtet til at skalere op, sådan at systemerne stadig kører - og eventuelt stadig lever op til de aftalte SLA'er. Også her anbefales det at holde tæt kontakt med sine underleverandører for at være helt opdateret på, hvordan situationen ser ud. 

Det er ligeledes vigtigt at holde sine kunder informeret om, hvordan situationen er, og hvilke konsekvenser man som leverandør forventer eller allerede oplever. Det er vores oplevelse, at alle er ret forstående og pragmatiske i deres tilgang. Det kan dog ikke forventes, at kunden (som sandsynligvis også er under pres) udviser storsind over for enhver misligholdelse, og derfor er den gode dialog afgørende for det videre samarbejde. 

 

Ingen har som udgangspunkt interesse i at starte konflikter, og derfor skal fokus være på at finde løsninger. Nogle kontrakter indeholder princippet om "fix first, settle later", hvorefter der her og nu skal findes løsninger, og så må man efterfølgende enes om, hvordan den kommercielle og kontraktuelle konsekvens af den løsning skal være. Selvom kontrakten ikke indeholder dette princip, så vil det i nogen grad følge af den almindelige, ulovbestemte loyalitetsforpligtelse, som påhviler både kunden og leverandøren. Dette betyder, at en kunde og leverandør skal holde hinanden loyalt informerede, ligesom de skal gøre deres for at begrænse deres eget og i et vidst omfang hinandens tab. I modsat fald risikerer man som kunde eller leverandør at måtte bære en del af det tab, som kunne være undgået. 

Informationssikkerhed 

Sikkerhed i IT-løsninger bliver på ingen måde mindre relevant af, at der er udbrudt en pandemi, eller de forholdsregler der følger med. Sikkerheden skal stadig være i orden. Det betyder eksempelvis, at man ikke kan sende vagten hjem fra kontoret, da man stadig skal holde hånd i hanke med, hvem der fysisk kommer og går fra arbejdspladsen, så man forhindrer fysiske angreb. Det betyder også, at man ikke med rette kan pege på et uforudset angreb, hvis ens tjenester er utilgængelige på grund af øget trafik. 

 

I de fleste IT-kontrakter er IT-sikkerheden leverandørens ansvar i et eller andet omfang. DDoS-angreb er en i forvejen kendt risiko, og det enorme pres fra brugerne af leverandørens servere vil have lignende effekt. Eftersom leverandøren allerede har skullet tage højde for risikoen ved DDoS-angreb, kan man næppe undskylde sig med, at systemerne er overbelastet af brugere som følge af et coronaudbrud. De kumulative effekter er muligvis ekstraordinære, men beredskaber for informationssikkerhed er ofte de samme, som netop bør tage højde for sådanne situationer. 

 

Se også vores særskilte beskrivelse af den aktuelle cybertrussel og sikkerhed i forbindelse med hjemmearbejde.

Kritisk infrastruktur

Særligt for kritisk infrastruktur er den nuværende situation krævende. Udbydere af kritisk infrastruktur er pålagt en forpligtelse til at sikre, at heller ikke ekstraordinære situationer medfører, at danskerne ikke har adgang til den nødvendige infrastruktur, herunder telenettet, internettet, elnettet og meget andet. 

 

For mange udbydere er den nuværende situation en test af de beredskabsplaner, virksomhederne har udarbejdet som følge af lovkravet fastsat i de såkaldte NIS-love, hvorunder udbyderne også skal tage højde for "beredskabssituationer og andre ekstraordinære situationer". Hvis man endnu ikke har fået implementeret NIS-lovene, bør man arbejde på højtryk på at få det færdiggjort i disse dage og sikre at såvel sikkerhed som tilgængelighed kan sikres under en krisesituation.

Medarbejdere

Det er afgørende, at du som leverandør fortsat har de nødvendige medarbejderressourcer til at levere som ovenfor skitseret. Derfor kan det være nødvendigt at tage særlige forholdsregler vedrørende kritiske medarbejdere, såsom teknikkere og andre, der ikke kan undværes, uden at virksomheden derved lider tab. 

 

I lyset af regeringens opfordring om, at private arbejdsgivere skal lade deres medarbejdere arbejde hjemme i det omfang, det er muligt, har mange arbejdsgivere inden for IT-sektoren givetvis allerede instrueret sine medarbejdere i så vidt muligt at arbejde hjemmefra fra den 12. marts 2020 og foreløbigt to uger frem. 

 

Det er leverandøren, der som arbejdsgiver bestemmer, hvilke medarbejdere, der kan arbejde hjemme, og hvilke medarbejdere, f.eks. teknikere, der er behov for fortsat har en fysisk tilstedeværelse på arbejdspladsen. Hvis en leverandør kræver, at (visse) medarbejdere arbejder fysisk på arbejdspladsen, skal der tages nødvendige forholdsregler for at inddæmme smitterisikoen på arbejdspladsen, herunder fx at medarbejderne skal opholde sig adskilt og ikke må være tæt sammen, men at alle samtaler/møder skal foregå telefonisk. Tilsvarende kan det fastsættes, at kollektive faciliteter på arbejdspladsen, såsom f.eks. kantinen, lukkes ned for en periode. Hvis leverandørens medarbejdere løser opgaver hjemmefra (eller andre steder uden for leverandørens normale arbejdssteder) skal det sikres, at der er tilstrækkelig sikkerhed ved hjemmearbejdet - og at kontraktmæssige forpligtelser fra kunderne ikke hindrer dette.

 

 

De senest indførte begrænsninger på rejsemønstre kan rumme særlige udfordringer for IT-leverandører, der benytter sig af udenlandsk arbejdskraft. Se hertil også de af politiet udstukne retningslinjer, hvorefter ikke alene danske statsborgere, men også medarbejdere, der lovligt bor og arbejder i Danmark, angives at have et anerkendelsesværdigt formål med at indrejse til Danmark. Samme gælder for personer med en gyldig, men endnu ikke udnyttet arbejdstilladelse i Danmark.

 

Vi har tidligere skrevet om vigtige ansættelses- og databeskyttelses­retlige aspekter af coronaudbruddet og de følgende foranstaltninger, ligesom du kan orientere dig i vores engelske nyhedsbrev om "Employment law aspects of the current lock-down situation in Denmark"