SaaS-mallit ovat yleisiä hyvin erityyppisissä palveluissa

Vanhan viidakon sananlaskun mukaan ei ajokortilla autoa ajeta. Samaan tapaan ei sopimuksillakaan tarjota SaaS-palvelua. Mutta siinä missä ajokortti auttaa selviämään liikenteessä, hyvin rakennettu SaaS-sopimus auttaa sopimuksen osapuolia selviämään pitkäkestoisesta sopimussuhteesta.

SaaS-palvelut eroavat merkittävästi perinteisestä on-premise-pohjaisista ohjelmistoista. Siinä missä on-premise-ohjelmiston hallinta on käyttäjän omissa järjestelmissä, SaaS-pohjaisessa toteutuksessa koko ohjelmiston tuotantoprosessi annetaan palveluntarjoajan käsiin. Selvää on tällöin se, että luottamus paitsi itse palveluun, myös palveluntarjoajaan ja tämän kykyihin tulee olla korkealla.

SaaS-pohjainen toimintatapa on yleistynyt myös hyvin liiketoimintakriittisten toimintojen yhteydessä (esim. ERP- ja HR-ratkaisut). Mitä liiketoimintakriittisempi toiminto on kyseessä, sitä suurempi intressi asiakkaalla on kuitenkin huolehtia siitä, että palvelu kykenee jatkuvasti täyttämään niitä tarpeita, joita varten se on hankittu, tietoturvaa ja jatkuvuudenhallintaa unohtamatta.

Palveluntarjoajan kokonaisvastuu

SaaS-palveluissa palveluntarjoajalla on yleensä kokonaisvastuu palvelun tuottamisesta suhteessa asiakkaaseen riippumatta siitä, mitä konepellin alla on. Yksi olennainen sovittava asia onkin, vastaako palveluntarjoaja sopimuksellisesti myös palveluunsa mahdollisesti sisältyvien kolmansien osapuolten ohjelmistoista ja moduuleista.

SLA eli palvelutasosopimus

SaaS-sopimuksissa palvelutasot ja niiden mittaaminen ovat olennaisessa asemassa. Tyypillisiä palvelun saatavuutta ja käytettävyyttä koskevia kriteereitä voivat olla mm. minimi uptime, maksimi downtime, vasteajat (ja mahdolliset ratkaisuajat, jotka tosin ovat verrattain harvinaisia) ja asiakastyytyväisyys. Palvelutasot määrittävät mm., voiko palvelu olla alhaalla tai toimia virheellisesti ilman sopimuksellisia seuraamuksia.

Varsinkaan vakiomuotoisissa SaaS-palveluissa palveluntarjoaja ei mielellään anna ratkaisuaikoja virheenkorjaukselle, sillä korjaukset tulevat yleensä kaikkien asiakkaiden saataville samanaikaisesti. Sen sijaan palvelun normaali saatavuus ja käytettävyys ovat kriteereitä, joiden kautta palvelun sopimuksenmukaisuutta edelleen varsin tyypillisesti seurataan. Sopimukset sisältävät myös toisinaan erillisen kuvauksen jatkuvuuden varmistamisesta (mm. palautumissuunnitelma / disaster recovery, jota on nykyään myös saatavilla palveluna, ns. Disaster Recovery as a Service / DRaaS-mallilla).

Tietoturva ja tietosuoja

SaaS-palveluissa säilytetään ja käsitellään tyypillisesti runsaasti henkilötietoja. Kummankin osapuolen intressissä onkin sopia palvelun tietoturvasta ja datan (henkilötiedot mukaan lukien) käsittelystä. Palvelussa käsiteltävän datan omistajuudesta, pääsystä siihen sekä datan palautuksesta ja siirtoapuvelvoitteesta on myös syytä sopia. Henkilötietojen osalta tilanne sopimisen suhteen on vähän selkeämpi, kiitos GDPR:n käsittelysopimuksia koskevien lakisääteisten vaatimusten.

Sopimus on osa riskienhallintaa

Sopimus on keskeinen mutta vain yksi väline hallinnoida SaaS-palveluihin liittyviä riskejä. Sopimusteksti usein unohdetaan sen jälkeen, kun nimet on paperissa. Paitsi jos asiat menevät pieleen. Digimaailmassa kaikkea voi tapahtua, eikä kaikkeen voi eikä tarvitse sopimuksin varautua. Asiakkaan kannalta yksi olennaisimpia riskienhallintakeinoja onkin varmistua palvelun (ja palveluntarjoajan) luotettavuudesta ennen palvelun hankintaa, ja vastaavasti palveluntarjoajan intressissä on huolehtia tämän luotettavuuden rakentamisesta ja ylläpitämisestä. Koska SaaS-palvelut ovat tyypillisesti massaluonteisia, käyttäjäkokemuksilla on olennainen merkitys palvelun houkuttelevuuteen ja menestykseen.

Brexit-kaislikossa suhisee jälleen kiivaasti, kun Iso-Britannia (UK) ja Euroopan unioni (EU) kipuilevat Brexit-järjestelyjen kanssa. Tässä vaiheessa näyttäisi siltä, että enemmän tai vähemmän kaoottinen Brexit tulisi toteutumaan lokakuun 2019 lopussa. Jos UK ja EU eivät pääse sopuun irtautumisen ehdoista, niin kutsuttu ”Hard Brexit” on villeimpien brittipoliitikkojen mukaan myös vaihtoehto. Hard Brexitiä voisi suoraan verrata vastasyntyneen napanuoran leikkaamiseen. Siinä tapauksessa tilanne eron hetkellä UK:lle olisi, kuten kätilö puolivitsikkäästi totesi ko. tilanteessa tyttäreni syntyessä, ”onneksi olkoon, olet nyt omillasi”.

Muiden vaikutusten ohella Hard Brexitillä olisi olennaisia vaikutuksia myös EU:n laajuisiin immateriaalioikeuksiin (kuten tavaramerkit ja desiginit) sekä henkilötietojen käsittelyyn.

EU-tavaramerkit ja yhteisömallit

EU-tavaramerkkien ja yhteisömallien osalta lähtökohtana on, että ne ovat voimassa yhtenäisenä koko EU:n alueella, eli yksinoikeus kattaa aina kaikki EU-maat. UK:n erotessa EU:sta se ei enää luonnollisestikaan ole EU-maa, jolloin kyseisten EU:n laajuisten oikeuksien voimassaolo UK:ssa lakkaa, ja näitä koskevat hakemuksetkin supistuvat koskemaan vain EU:hun jääviä jäsenvaltioita. Samoin sellaiset Madridin järjestelmän mukaiset kansainväliset rekisteröinnit, joissa suoja on haettu kattamaan koko EU:n alueen, eivät enää koske UK:ta. EU:n komissiokin on valveutuneena antanut aiheesta tiedonannon.

Lienee selvää, että tämä voi aiheuttaa harmaita hiuksia niille suomalaisille(kin) yrityksille, joilla on liiketoimintaa UK:ssa, sillä niiden EU:n laajuinen yksinoikeus ei olisi enää voimassa UK:n alueella. Tilanne voisi pahimmillaan johtaa merkittävään kilpailuedun menetykseen, jos paikallinen UK:ssa operoiva kilpailija saisi hankittua yksinoikeuden vaikkapa toisen aiemmin UK:ssa EU-tavaramerkillä suojattuun tavaramerkkiin.  

UK:n hallinto on kuitenkin tiedostanut ongelman ja ohjeistanut, että Brexit-hetkellä voimassa oleville rekisteröidyille EU-tavaramerkeille ja EU-designeille annetaan vastaava UK:n kansallinen rekisteröinti ”minimaalisella hallinnollisella taakalla”. Oikeudet olisivat siis voimassa edelleen saman laajuisina myös UK:ssa, mutta EU-oikeudesta itsenäisenä. Tämä tarkoittaa sitä, että esim. uusimiseen ja valvontaan liittyvät seikat toteutetaan UK:n asianomaisten lakien mukaisesti ja UK:n viranomaisvalvonnassa. Toisaalta oikeudet olisivat myös siirrettävissä ja muuten hyödynnettävissä itsenäisesti. Yrityksen on näin ollen pidettävä tarkempaa kirjaa IPR-portfoliostaan ja portfolion hallinnointi jonkin verran monimutkaistuu.

Jos oikeus sen sijaan on hakemusvaiheessa, edellytetään uuden UK-hakemuksen tekemistä, jos UK halutaan sisällyttää yksinoikeuden kattamaan alueeseen. Tällekin hakemukselle annetaan tosin samat hakemus-, etuoikeus- ym. päivämäärät kuin mitä EU-hakemuksessa, mutta kuten edellä, oikeus olisi sen myöntämisen jälkeen UK:n lainsäädännön alainen.

Vaikka UK:n EU-napanuora katkaistaisiinkin, säilyy UK tavaramerkkien osalta edelleen normaalisti Madridin järjestelmän mukaisessa kansainvälisessä rekisteröintijärjestelmässä. Jos siis yrityksesi liiketoiminnan kansainvälistyessä haluat esim. laajentaa Suomessa rekisteröimäsi tavaramerkin kattamaan muita maita, UK:n osalta on Brexitin jälkeen huomioitava, että rekisteröinti täytyy tehdä EU:lle ja UK:lle erikseen.

Vaikutukset henkilötietojen käsittelyyn

UK:laiset yritykset valmistautuivat varmasti vähintäänkin yhtä suurella pieteetillä lempilapsemme GDPR:n implementointiin kuin EU:hun jäävät valtiot. Oletettavaa on, että sana ”kiitollisuus” kuvaa hyvin sitä tunnetta, joka näiden yritysten johtoportaissa vallitsee, kun tietosuojarumba on aloitettava osittain uudestaan, mikäli EU:n kansalaisten henkilötietoja mielitään vielä Brexitin jälkeen käsitellä.

Henkilötietojen siirto EU-maiden välillä voi tapahtua vapaasti, mutta kun EU-napanuora katkeaa, poistuu myös tämä mahdollisuus. Brexitin myötä UK:sta tulee nimittäin tietosuojamielessä ns. kolmas maa, mikä tarkoittaa sitä, että henkilötietojen siirtoon UK:n alueelle tulee vastaisuudessa olla erityinen, GDPR:n V luvun mukainen peruste. Näistä voi tässä yhteydessä mainita esim. EU-komission päätöksen tietosuojan tason riittävyydestä tai erityisten suojatoimien implementoinnin, kuten komission mallilausekkeet (Standard Contractual Clauses, SCC) tai konserneissa yritystä sitovat säännöt (Binding Corporate Rules, BCR). Noista ensiksi mainittu, eli komission päätös, ei tosin tule kyseeseen, sillä sellaista ei ole tehty. On vähän jopa huvittavaa, ettei komissio ole tässä parin vuoden aikana saanut aikaiseksi em. päätöstä (esim. pöytälaatikkoon), vaikka UK:n tietosuojaviranomaiset ovat moneen otteeseen toitottaneet, että he jatkavat GDPR:n periaatteiden noudattamista ja heidän kansallinen täydentävä lainsäädäntönsä vastaa tällä hetkellä GDPR:n vaatimuksia (ja osin on vastannut jo aiemmin).

Jos siis yrityksesi käyttää vaikkapa UK:ssa sijaitsevaa palvelinkapasiteettia tai hankkii muita henkilötietojen käsittelyä sisältäviä palveluita, Brexitin toteuduttua pelkkä tietojenkäsittelysopimus (data processing agreement, DPA) palveluntarjoajan kanssa ei enää riitä, vaan ko. palveluntarjoajan kanssa on tehtävä esim. komission mallilausekkeiden mukainen sopimus tietojen siirrosta (jos muita suojatoimia ei ole käytettävissä).

Ei liene kovin kaukaa haettua, että Brexitin toteutuessa UK menettänee vetovoimaansa henkilötietojen käsittelyä sisältävien palveluiden hankintamaana lisääntyneen byrokratian ansiosta. Tällä taas on myös suoria taloudellisia vaikutuksia sekä rekisterinpitäjille (palveluntarjoajan vaihtoon liittyvät kustannukset) että UK:ssa toimiville käsittelijöille (no money, no honey).

Jos yritys kuitenkin haluaa edelleen hankkia henkilötietojen käsittelyä sisältäviä palveluita UK:laiselta toimijalta (ja miksi ei haluaisi, asiantuntemusta ja käyttökelpoista teknologiaa siellä edelleen kuitenkin on), on syytä huomioida, että GDPR:n mukaisten siirrot kolmansiin maihin mahdollistavien suojatoimien tulee olla paikoillaan heti Brexitin hetkellä. Muuten siirto on GDPR:n vastainen ja voi johtaa sanktioihin.

Tietosuojaliitännäisten vaikutusten huomiointi edellyttää toki myös yrityksen sisäisten dokumenttien päivitystä, tarkoittaen esim. tietosuojalausekkeiden päivittämistä siltä osin kuin tietoja siirretään edelleen UK:n alueelle, eli Brexitin jälkeen EU:n ulkopuolelle. Euroopan tietosuojaneuvoston ohjeistus aiheesta on luettavissa täältä.

Brexit-kaislikon suhina todennäköisesti jatkuu lähiaikoina entistä kovempana, joten myös me Iconicsilla seuraamme mielenkiinnolla, mitä pusikosta loppujen lopuksi paljastuu.