Skyavtaler og datalokasjon
Sist oppdatert 6. juni 2026
|
Kort fortalt
|
Hva er en skyavtale – og hvilke krav må den oppfylle?
En skyavtale regulerer kjøp av databehandlings- og lagringstjenester som driftes av leverandøren – fra ren infrastruktur (IaaS) via plattform (PaaS) til ferdige applikasjoner (SaaS). Felles for dem er at virksomhetens data og drift flyttes ut til en ekstern leverandør, ofte en stor internasjonal aktør.
De kommersielle vilkårene – oppetid, exit og prisregulering – behandler vi på vår side om SaaS-avtaler. Denne siden ser på det som er særegent for skytjenester med internasjonale leverandører: hvor dataene befinner seg, om de er underlagt et tredjelands rett, hvilken innsynsrett du har i leverandørens sikkerhet, og hvordan ansvaret fordeles når noe går galt. Bakteppet er at en skyavtale må oppfylle flere regelverk samtidig:
| Regelverk | Hvem det gjelder | Hva det betyr for skyavtalen |
|---|---|---|
| GDPR | Alle som behandler personopplysninger | Databehandleravtale (art. 28), sikkerhet (art. 32) og gyldig overføringsgrunnlag ved tredjelandsoverføring |
| Digitalsikkerhetsregelverket (NIS) | Samfunnsviktige og digitale tjenester | Krav til risikostyring og hendelseshåndtering; NIS1 gjelder i dag, NIS2 ventes innført i Norge i 2026 |
| DORA | Finansforetak og deres IKT-leverandører | Krav til IKT-avtaler, inkludert tilgangs- og revisjonsrett og exit-strategier (gjelder fra 17. januar 2025) |
| Sektorregler | Blant annet helse og offentlig sektor | Særkrav til behandling, lagring og sikkerhet (for eksempel Normen i helsesektoren) |
Datalokasjon – hvor ligger dataene, og er det nok?
Datalokasjon angir hvor dataene lagres og behandles. Mange leverandører tilbyr nå en EØS-region, slik at dataene fysisk holdes innenfor EØS. Det er et godt utgangspunkt – men ikke hele svaret.
Norge har som hovedregel ikke et generelt krav om at data må lagres i landet. Enkelte sektorer og sikkerhetsgraderte opplysninger har likevel særkrav til lokasjon og håndtering, og for personopplysninger styrer GDPR hvor og hvordan dataene kan behandles. Det viktigste forbeholdet er at fysisk lokasjon ikke er det samme som rettslig beskyttelse: en leverandør som er underlagt et tredjelands jurisdiksjon, kan være forpliktet til å utlevere data selv om de ligger i et europeisk datasenter. Dette behandler vi nærmere på vår side om databehandleravtaler. I avtalen bør du derfor både feste datalokasjonen kontraktuelt og vurdere hvem som faktisk kontrollerer leverandøren – og ved sensitive eller kritiske data vurdere en EØS-kontrollert eller «suveren» løsning.
Tredjelandsoverføring
Bruk av internasjonale skytjenester innebærer ofte en overføring av personopplysninger til tredjeland – også når dataene lagres i EØS. Det er nok at noen utenfor EØS får tilgang, for eksempel ved support, drift eller fjerntilgang.
Da kreves et gyldig overføringsgrunnlag – typisk standard personvernbestemmelser (SCC) med en overføringsvurdering, eller en adekvansbeslutning der den finnes. Vi går grundig gjennom mekanismene og statusen for de enkelte landene på vår side om overføring til tredjeland. I skyavtalen bør overføringsgrunnlaget og eventuelle tilleggstiltak være uttrykkelig regulert, og leverandøren bør forplikte seg til å varsle om endringer i hvor – og av hvem – dataene behandles.
Revisjonsrett
For å kunne stå inne for at leverandøren faktisk oppfyller sikkerhets- og personvernkravene, trenger du en form for innsyn. Personvernforordningen artikkel 28(3)(h) gir den behandlingsansvarlige rett til å revidere databehandleren – men i praksis motsetter de store skyleverandørene seg fysiske revisjoner på egne anlegg.
Løsningen er sjelden en ubetinget rett til å møte opp i datasenteret. I stedet bør avtalen sikre tilgang til uavhengige sertifiseringer og revisjonsrapporter – som ISO 27001, SOC 2 og ISAE 3402 – en rett til ytterligere revisjon ved konkrete hendelser eller mistanke om brudd, og at tilsynsmyndigheter kan utøve sine revisjonsrettigheter. For regulerte sektorer er dette skjerpet: DORA krever at finansforetak sikrer reelle tilgangs-, inspeksjons- og revisjonsrettigheter overfor sine IKT-leverandører, også der tjenesten leveres gjennom underleverandører.
Ansvar ved sikkerhetshendelser
Når en sikkerhetshendelse inntreffer, avgjør avtalen hvem som skal gjøre hva – og hvem som bærer kostnaden. Dette er ofte svakt regulert i leverandørens standardvilkår.
Sørg først for at sikkerhetskravene er konkrete: GDPR artikkel 32 krever egnede tekniske og organisatoriske tiltak, og avtalen bør vise til anerkjente standarder. Reguler deretter varslingskjeden. En databehandler skal varsle den behandlingsansvarlige om brudd uten ugrunnet opphold (artikkel 33(2)), slik at den behandlingsansvarlige rekker sin egen frist på 72 timer til Datatilsynet (artikkel 33(1)). For virksomheter under digitalsikkerhetsregelverket kommer i tillegg krav om rask hendelsesrapportering til myndighetene.
Til slutt kommer ansvarsfordelingen. Leverandørens standard har gjerne et lavt ansvarstak og vide fraskrivelser som også fanger opp sikkerhetsbrudd. Her bør du forhandle inn konkrete varslings- og bistandsplikter ved hendelser, en plikt til å samarbeide om gransking og kommunikasjon, og unntak fra ansvarstaket for tap som følge av sikkerhetsbrudd og brudd på personvernforpliktelsene.
Sjekkliste for skyavtaler
Punktene under er det vi går gjennom når vi vurderer eller forhandler en skyavtale:
| Tema | Hva avtalen bør sikre |
|---|---|
| Datalokasjon | Kontraktsfestet lagrings- og behandlingssted i EØS, og en vurdering av hvem som kontrollerer leverandøren |
| Tredjelandsoverføring | Gyldig overføringsgrunnlag (SCC eller adekvans), tilleggstiltak og varsling ved endringer |
| Behandlingsansvar | Databehandleravtale etter artikkel 28, med kontroll over underleverandører |
| Revisjonsrett | Tilgang til sertifiseringer og revisjonsrapporter, utvidet revisjon ved hendelser, og tilsynsmyndighetenes rettigheter |
| Sikkerhet | Konkrete sikkerhetskrav etter artikkel 32 og henvisning til anerkjente standarder |
| Sikkerhetshendelser | Varsling uten ugrunnet opphold, samarbeid om gransking, og ansvar uten lavt tak for sikkerhetsbrudd |
| Exit og dataportering | Datauttrekk i maskinlesbart format, sletting ved opphør og byttebistand (styrket av Data Act) |
|
Slik kan Nordia bistå Nordia bistår virksomheter i hele Norden med å vurdere og forhandle skyavtaler – med vekt på datalokasjon, tredjelandsoverføring, revisjonsrett og ansvar ved sikkerhetshendelser. Vi kartlegger hvilke regelverk som gjelder for nettopp din virksomhet – GDPR, NIS og NIS2, DORA og sektorregler – og sikrer at avtalen oppfyller norske og europeiske krav. Ta kontakt med vårt teknologiteam · Se hele tilbudet innen teknologikontrakter |
Kilder: Personvernforordningen artikkel 28, 32 og 33; digitalsikkerhetsloven (NIS1) og NIS2-direktivet (EU) 2022/2555; DORA (forordning (EU) 2022/2554); EU Data Act (forordning (EU) 2023/2854); Europakommisjonen om Data Act.