SaaS-avtaler
Sist oppdatert 6. juni 2026
|
Kort fortalt
|
Hva er en SaaS-avtale – og hvorfor er forhandling viktig?
En SaaS-avtale gir deg tilgang til programvare som leverandøren drifter og vedlikeholder, mot et løpende abonnement – i motsetning til tradisjonell lisens, der programvaren installeres og driftes hos deg selv. Modellen er praktisk og skalerbar, men flytter kontrollen over til leverandøren.
Forskjellen har viktige rettslige konsekvenser. Du eier ikke en kopi av programvaren, men er avhengig av at leverandøren holder tjenesten oppe. Dataene dine ligger hos leverandøren. Og fordi tjenesten oppdateres løpende, kan funksjonaliteten endres i avtaleperioden. Det gjør kjøperen sårbar på tre punkter: tilgjengelighet, kontroll med egne data, og muligheten til å komme seg ut igjen. Nettopp derfor er det verdt å forhandle de punktene som styrer disse tre forholdene.
Oppetid og servicenivå (SLA)
Servicenivåavtalen (SLA) fastsetter hvor tilgjengelig tjenesten skal være, og hva som skjer når den ikke er det. For forretningskritisk programvare er dette ofte det viktigste enkeltpunktet.
Se nærmere på hvordan oppetiden måles, og hva som holdes utenfor – planlagt vedlikehold trekkes gjerne fra, slik at en garanti på «99,9 %» i praksis er svakere enn den ser ut. Den vanligste beføyelsen ved brudd er servicekreditter, men disse er ofte små og angitt som kundens eneste misligholdsbeføyelse. Her bør du forhandle: krev en reell oppetidsgaranti, at kreditter ikke utelukker andre beføyelser, og en hevingsrett dersom tjenesten svikter vedvarende. Avklar samtidig responstider for support og en eskaleringsvei ved alvorlige feil.
Exit-rettigheter og overgang
Det vanskeligste tidspunktet i et SaaS-forhold er ofte slutten. Lange bindingstider, automatisk fornyelse og manglende overgangsbistand kan gjøre det dyrt og risikabelt å bytte leverandør.
Forhandle derfor inn tydelige exit-rettigheter: rimelig oppsigelsesadgang, varsling før automatisk fornyelse, en plikt for leverandøren til å yte overgangsbistand, og et definert tidsvindu etter opphør der du fortsatt har tilgang til å hente ut dataene dine.
På dette punktet har EU Data Act (forordning (EU) 2023/2854) endret styrkeforholdet. Kapittel VI gir kunder av skytjenester en lovfestet rett til å bytte leverandør, med en oppsigelsesfrist på høyst to måneder og en overgangsperiode på normalt 30 dager (utvidbar til inntil sju måneder der det er teknisk nødvendig). Leverandøren må fjerne hindringer for bytte og bistå overgangen. Byttegebyrer – inkludert gebyrer for å hente ut data (egress) – kan i en overgangsfase bare kreves til selvkost, og fra 12. januar 2027 er de helt forbudt. Reglene gjelder i EU fra 12. september 2025, også for avtaler inngått tidligere. Merk at proporsjonale gebyrer for å avslutte en avtale før tiden fortsatt er tillatt – forbudet mot byttegebyrer er ikke det samme som et forbud mot oppsigelsesgebyr.
Dataportering, dataeierskap og innelåsing
Dataene dine skal forbli dine. Likevel er det avtalen – ikke en selvfølge – som avgjør i hvilket format og innen hvilken frist du faktisk får dem ut.
Sørg for at avtalen slår fast at kunden eier sine data, og at de kan eksporteres i et strukturert, alminnelig brukt og maskinlesbart format – ikke et proprietært format som i praksis låser deg til leverandøren. Reguler også sletting og tilbakelevering ved opphør. Data Act styrker dette: leverandører av SaaS og PaaS må tilby åpne grensesnitt og eksport i maskinlesbart format, og kunden kan ta med seg både data og «digitale ressurser» som konfigurasjon og tilgangsrettigheter. Plikten til å slette eller tilbakelevere personopplysninger ved opphør følger dessuten allerede av databehandleravtalen.
Behandlingsansvar og personvern
Når SaaS-tjenesten behandler personopplysninger, må avtalen avklare personvernrollene. I de fleste tilfeller er kunden behandlingsansvarlig og leverandøren databehandler.
Det utløser krav om en databehandleravtale etter personvernforordningen artikkel 28, med blant annet regulering av underleverandører, sikkerhet (artikkel 32) og sletting ved opphør. To forhold fortjener særlig oppmerksomhet: leverandørens bruk av underdatabehandlere, og om dataene – eller tilgangen til dem – havner utenfor EØS. Selv om dataene lagres i et europeisk datasenter, kan en leverandør som er underlagt et tredjelands jurisdiksjon være forpliktet til å utlevere dem. Begge deler behandler vi nærmere på våre sider om databehandleravtaler og overføring til tredjeland.
Prisregulering
SaaS-avtaler løper over tid, og prisen kan endres underveis. Hvordan prisreguleringen er utformet, avgjør hvor forutsigbar kostnaden blir.
Vær særlig oppmerksom på klausuler som gir leverandøren rett til ensidig prisøkning, eller som knytter økningen til en udefinert «markedsjustering». Forhandle i stedet inn en objektiv indeksering – for eksempel konsumprisindeksen – med et tak, varslingsplikt i god tid, og en rett til å si opp avtalen dersom økningen overstiger en avtalt terskel. Pass også på prishopp ved fornyelse, og på bruksbasert prising som vokser med forbruket uten en avtalt grense.
Andre sentrale punkter
Utover de fem temaene over bør særlig ansvarsbegrensningen vurderes. Leverandørens standard har gjerne et lavt ansvarstak – typisk tolv måneders vederlag – og vide fraskrivelser for indirekte tap. Her bør du kreve unntak fra taket for sikkerhetsbrudd, brudd på konfidensialitet og krenkelse av tredjeparts immaterielle rettigheter, og en skadesløsholdelse for immaterialrettskrenkelser. Avklar videre eierskapet til immaterielle rettigheter og til egne tilpasninger, en ordnet prosess for endringer i tjenesten, krav til informasjonssikkerhet og revisjon, samt lovvalg og verneting. For regulerte sektorer kan det komme tilleggskrav – for finansforetak stiller DORA (fra 17. januar 2025) egne krav til IKT-avtaler, blant annet om exit-strategier.
Forhandlingspunktene oppsummert
Tabellen viser hvor leverandørens standardvilkår typisk ligger, og hvilken posisjon en kjøper bør strekke seg etter:
| Tema | Typisk leverandørstandard | Anbefalt forhandlingsposisjon |
|---|---|---|
| Oppetid (SLA) | Lav reell garanti; servicekreditter som eneste beføyelse | Reell garanti; kreditter ikke eneste beføyelse; hevingsrett ved vedvarende svikt |
| Exit og overgang | Lang binding, automatisk fornyelse, begrenset overgangsbistand | Fleksibel oppsigelse, overgangsbistand og definert datauttrekksvindu (styrket av Data Act) |
| Dataportering | Eksport i leverandørens format, sletting på leverandørens vilkår | Strukturert, maskinlesbart format; dokumentert sletting; ingen innelåsing. Sørg for å angi at overføringen skal kunne skje over nett. |
| Behandlingsansvar | Standard databehandlervilkår, åpen underdatabehandlerliste | Databehandleravtale etter art. 28; kontroll med underleverandører og tredjelandsoverføring |
| Prisregulering | Ensidig prisøkning eller udefinert indeksering | KPI-basert indeksering med tak; varslingsplikt; hevingsrett ved økning over terskel |
| Ansvar | Lavt ansvarstak, vide ansvarsfraskrivelser | Balansert tak; unntak for sikkerhetsbrudd, konfidensialitet og IP-krenkelse |
|
Slik kan Nordia bistå Nordia gjennomgår og forhandler SaaS- og skytjenesteavtaler for kjøpere i hele Norden – med vekt på oppetid og SLA, exit-rettigheter og overgang, prisregulering, behandlingsansvar og dataportering. Vi vurderer avtalen opp mot EU Data Act og personvernregelverket, og hjelper deg å flytte de punktene som faktisk betyr noe for risikoen og bunnlinjen. Ta kontakt med vårt teknologiteam · Se hele tilbudet innen teknologikontrakter |
Kilder: Personvernforordningen artikkel 28 og 32; EU Data Act (forordning (EU) 2023/2854), særlig kapittel VI; Europakommisjonen om Data Act; avtaleloven § 36; DORA (forordning (EU) 2022/2554) for finansforetak.