Å tenke på hva som kan gå galt…
Som advokater på teknologiområdet og kontraktsforfattere er det vår oppgave og alltid tenke på hva som kan gå galt. Å forutse hva som kan gå galt er avgjørende for å kunne skrive en kontrakt som fordeler risikoen mellom partene på en fornuftig måte. Avtaler om kjøp av sikkerhetskritisk teknologi reiser noen særlige spørsmål som det kan bli skjebnesvangert å overse.
Stort skadepotensiale
Kunstig intelligens har for eksempel et stort skadepotensiale. Skadepotensialet er knyttet til feil eller mangler ved algoritmene som ligger til grunn for de beslutninger som tas. Skade kan også oppstå som følge av feil eller mangler ved infrastruktur som overfører signaler i det aktuelle nettverket.
Det er bare fantasien som setter grenser for eksemplifiseringen. En feil i programvaren kan føre til at en buss kolliderer, at en pasient får feil injisering av et legemiddel eller at feil ingrediens havner i en matvare som dernest distribueres til et utall butikker.
Skaden eller omfanget av skaden for den saks skyld, er ikke nødvendigvis unik. De samme skadene kan oppstå i dag på grunn av manuell svikt. Det unike ved denne typen skader er derimot knyttet til plassering av ansvar. Hvem er ansvarlig? Dette spørsmålet er for så vidt interessant i seg selv. I et praktisk perspektiv er det imidlertid enda viktigere å stille spørsmålet om hvem som skal ha risikoen for denne typen skader. Hvem er med andre ord nærmest til å dekke det økonomiske tapet som oppstår?
Ansvar i og utenfor kontrakt
Nær sagt alle kontrakter inneholder bestemmelser om ansvarsbegrensning mellom kunde og leverandør. Slike bestemmelser regulerer imidlertid bare ansvar som oppstår i kontraktsforholdet partene imellom, det vil si dersom den ene parten ikke oppfyller sine plikter i henhold til kontrakten. Ansvar som oppstår utenfor kontrakt, slik som krav fra tredjepart som har blitt påført skade, omfattes ikke av en slik ansvarsbegrensning.
En leverandør av programvare som skal benyttes til å utføre oppgaver eller ta beslutninger i kundens virksomhet som potensielt kan påføre tredjeparter skade, vil derfor ikke være godt nok sikret med en slik ansvarsbegrensning. For leverandøren kan en betydelig del av konstraktsrisikoen være knyttet til forhold som ligger utenfor kontrakten.
Fra leverandørens ståsted er det derfor helt avgjørende at kontrakten pålegger kunden å holde leverandøren skadesløs for krav fra tredjeparter i et tilfelle der tredjepart har blitt påført skade på grunnlag av feil eller mangler ved programvaren. Uten en slik klausul risikerer leverandøren å bli møtt med erstatningskrav som vil kunne ramme leverandøren svært hardt og i verste fall slå leverandøren konkurs.
Vi oppfatter at alt for mange slår seg til ro med bestemmelser om ansvarsbegrensning i kontrakten og rett og slett glemmer å tenke på ansvar som kan oppstå utenfor kontrakt. Dette kan bli særlig skjebnesvangert i kontrakter som regulerer programvareleveranser, og hvor skade på omgivelsene langt fra er et utenkelig scenario.
Hva med kunden?
At kunden skal holde leverandøren skadesløs er i praksis den eneste farbare måten å regulere denne typen risiko på, idet kunden har mulighet til å tegne forsikring som dekker skade påført tredjepart relatert til kundens virksomhet. Forsikringene som finnes i markedet er primært et tilbud til kundesiden, og knytter seg til den aktuelle virksomhet, enten dette måtte være transportvirksomhet, konstruksjon eller matproduksjon. Vi tror denne type problemstillinger vil bli mer og mer fremtredende etter hvert som programvare blir den vesentligste komponenten i både produkter og tjenester.
Artikkelen ble første gang publisert i Finansavisen 19. november 2018