API-vilkår er et juridisk dokument som regulerer hvordan tredjeparter får tilgang til og kan bruke et programmeringsgrensesnitt (API). Norske virksomheter som tilbyr et API til eksterne utviklere, partnere eller kunder trenger slike vilkår for å beskytte tjenesten sin, avklare ansvar og sikre at personopplysninger håndteres i tråd med gjeldende lovgivning.
Legal basis: Avtaleloven (1918); Åndsverkloven (2018); Personopplysningsloven (2018); GDPR (EU 2016/679); Ekomloven (2003)
api vilkar — free, fillable template; download as PDF or Word.
Hva er API-vilkår?
Et API lar eksterne systemer kommunisere med din plattform og hente eller sende data automatisk. API-vilkår er avtalen som setter rammene for dette samarbeidet. Dokumentet fastslår hvem som har rett til å bruke API-et, hva det kan brukes til, og hvilke begrensninger som gjelder.
I norsk rettslig sammenheng er API-vilkår en avtale som bindes av Avtaleloven (1918). Det innebærer at vilkårene må aksepteres av brukeren på en klar og etterprøvbar måte — enten ved aktiv klikk-aksept eller ved at brukeren tar API-nøkkelen i bruk. Passiv aksept der brukeren knapt legger merke til vilkårene, kan svekke håndhevbarheten.
Dersom API-et gir tilgang til digitalt innhold som tekster, bilder, databaser eller programvare, vil Åndsverkloven (2018) også spille inn. Rettighetshaveren kan gjennom API-vilkårene definere hvilke lisensbetingelser som gjelder for det beskyttede materialet som overføres via grensesnittet.
Når trenger du API-vilkår?
Behovet oppstår så snart du gjør API-et tilgjengelig for andre enn deg selv. Noen typiske situasjoner:
- Du lanserer et offentlig eller halvåpent API som tredjepartsutviklere kan integrere mot.
- Du inngår en partneravtale der en ekstern aktør henter data fra dine systemer.
- Du tilbyr en betalt API-abonnementstjeneste til bedriftskunder.
- Ditt API overfører personopplysninger om sluttbrukere.
Det siste punktet er særlig viktig. Personopplysningsloven (2018) gjennomfører GDPR (EU 2016/679) i norsk rett. Dersom API-kall innebærer overføring av personopplysninger — for eksempel navn, e-postadresser, brukeradferd eller annen identifiserbar informasjon — stiller regelverket strenge krav. Uten tydelige vilkår risikerer du brudd på GDPR og tilhørende ansvar etter Personopplysningsloven (2018).
Ekomloven (2024) er relevant dersom tjenesten din formidler elektronisk kommunikasjon eller innebærer behandling av trafikkdata. Den nye ekomloven (lov 13. desember 2024 nr. 76), som trådte i kraft 1. januar 2025 og avløste 2003-loven, utvider regelverket til også å omfatte meldingstjenester i internettbaserte applikasjoner. Virksomheter i telekommunikasjonssektoren eller plattformer som håndterer meldingstjenester bør merke seg denne loven særskilt.
Sentrale klausuler i API-vilkårene
Et gjennomarbeidet sett med API-vilkår bør dekke følgende hovedelementer:
Tillatelse og lisens. Vilkårene bør presisere at du som tilbyder gir en begrenset, ikke-eksklusiv og ikke-overførbar bruksrett til API-et. Lisensen bør avgrense hva brukeren kan gjøre: hente data, integrere i egne produkter, eventuelt videredistribuere. Åndsverkloven (2018) beskytter det underliggende innholdet, og lisensbetingelsene setter rammene for lovlig utnyttelse.
Forbudte bruksområder. Dokumentet bør eksplisitt liste hva som ikke er tillatt — for eksempel å selge videre API-tilgang, bruke tjenesten til å trene konkurrerende maskinlæringsmodeller, eller forsøke å omgå tekniske begrensninger. Klare forbud gjør håndhevelse enklere.
Personopplysninger og databehandleransvar. Dersom API-et overfører personopplysninger, må vilkårene avklare hvem som er behandlingsansvarlig og hvem som er databehandler etter GDPR (EU 2016/679). Ofte vil API-tilbyderen opptre som behandlingsansvarlig for egne data, mens API-konsumenten kan behandle disse dataene i sin egen kontekst og dermed ha selvstendige forpliktelser etter Personopplysningsloven (2018). En databehandleravtale kan være nødvendig som tillegg.
Tilgjengelighet og tjenestenivå. Vilkårene bør regulere om du garanterer noen form for oppetid, og hva som skjer ved planlagt eller uplanlagt nedetid. Det er vanlig å ta forbehold om at tjenesten tilbys «som den er», uten garantier for uavbrutt tilgang.
Ansvarsbegrensning. Du bør begrense ditt erstatningsansvar for indirekte tap, tapt fortjeneste eller følgeskader. Slike klausuler er gyldige i norsk rett innenfor rammene av Avtaleloven (1918), men de må formuleres klart og kan ikke fravike ufravikelig lovgivning som gjelder overfor forbrukere.
Oppsigelse og sperring. Vilkårene bør gi deg rett til å suspendere eller avslutte tilgangen ved misbruk, betalingssvikt eller brudd på vilkårene. En lovbestemt oppsigelsesperiode kan komme til anvendelse avhengig av avtalens karakter, så formuler klausulen med nødvendig fleksibilitet. Regelverket skiller gjerne mellom kommersielle og forbrukerforhold — forbrukervern kan stille strengere krav til oppsigelsesvilkår.
Versjonskontroll og endringsvarsel. API-et og forretningsmodellen din vil endre seg over tid. Vilkårene bør angi en prosedyre for oppdatering: du varsler brukerne om endringer med rimelig frist, og fortsatt bruk av API-et etter fristens utløp regnes som aksept. Dette er i tråd med avtalepraksis etter Avtaleloven (1918) og gir deg handlefrihet uten å etterlate brukerne uten forutsigbarhet.
Lovvalg og verneting. Det er vanlig å velge norsk rett og norske domstoler. For internasjonale brukere kan det være aktuelt å vurdere voldgift som tvisteløsningsmekanisme, særlig dersom API-konsumentene befinner seg i jurisdiksjoner med svak norsk domstolsdekning.
Slik fyller du ut API-vilkårene
En strukturert fremgangsmåte gjør prosessen enklere:
- Kartlegg datastrømmene. Gå gjennom hva slags data API-et faktisk eksponerer. Skiller du mellom åpne data uten personopplysninger og endepunkter med sensitiv informasjon, kan du tilpasse vilkårene deretter.
- Definer brukergrupper. Er API-et åpent for alle, kun for registrerte partnere, eller begrenset til betalende kunder? Definisjonene setter grunnlaget for lisensbetingelsene.
- Vurder GDPR-rollen din. Dersom personopplysninger flyter gjennom API-et, ta stilling til om du trenger en separat databehandleravtale etter kravene i GDPR (EU 2016/679) og Personopplysningsloven (2018).
- Skriv klart og presist. Bruk et språk som er forståelig for tekniske brukere uten juridisk bakgrunn. Definer sentrale begreper — «API», «API-nøkkel», «endepunkt» — i en innledende definisjonsklausul.
- Bruk en kvalitetssikret mal. Du kan laste ned en gjennomarbeidet API-vilkår Norge-mal som utgangspunkt, og tilpasse den til din virksomhets konkrete behov.
- Sørg for sporbar aksept. Teknisk implementasjon bør loggføre når og av hvem vilkårene ble akseptert. En akseptert versjonsdato gjør det enklere å bevise avtaleforholdet ved en eventuell tvist.
Personvern og ekomloven
Personvern fortjener særskilt oppmerksomhet. GDPR (EU 2016/679) art. 28 krever at behandlingsansvarlige kun benytter databehandlere som gir tilstrekkelige garantier for forsvarlig behandling. Dersom API-konsumenten behandler personopplysninger på vegne av deg, er en databehandleravtale obligatorisk.
Ekomloven (2024) stiller krav til konfidensialitet for elektronisk kommunikasjon. Tilbyr du et API for meldingstjenester eller VoIP, kan du ha plikter knyttet til trafikkdata som går utover det generelle GDPR-regelverket.
Krav til informasjonssikkerhet etter Personopplysningsloven (2018) gjelder uansett. API-vilkårene kan med fordel inneholde en klausul som pålegger API-konsumenten å gjennomføre rimelige tekniske og organisatoriske sikkerhetstiltak, for eksempel sikker lagring av API-nøkler og kryptert overføring. Dersom et sikkerhetshendelse fører til uautorisert tilgang til personopplysninger, gjelder varslingspliktene i GDPR (EU 2016/679) fullt ut — begge parter bør ha klare rutiner for håndtering og rapportering av brudd.
Vanlige feil å unngå
Kopierte vilkår fra utenlandske plattformer. Mange norske virksomheter bruker oversatte engelske maler som ikke tar hensyn til Avtaleloven (1918) eller Personopplysningsloven (2018). Resultatet kan være vilkår som er delvis ugyldige eller som ikke dekker norsk rettslig risiko.
Manglende avklaring av databehandlerrollen. Å overse GDPR-rollene er en klassisk feil. Dersom begge parter behandler personopplysninger, men ingen har påtatt seg ansvaret som behandlingsansvarlig, kan tilsynsmyndigheten holde begge ansvarlige.
Vilkår som ikke oppdateres. API-et utvikler seg, og vilkårene bør følge etter. Legg inn en klausul om at du kan oppdatere vilkårene med rimelig varsel, og sørg for et versjonskontrollsystem som viser hvilke vilkår som gjaldt til enhver tid.
Uklare ansvarsbegrensninger. Generelle formuleringer som «vi er ikke ansvarlige for noe» holder sjelden i norsk rett. Ansvarsbegrensningen bør være konkret og ikke fravike ufravikelig lovgivning.
Mangelfull akseptmekanisme. Uten dokumentert aksept er det vanskelig å påvise at brukeren faktisk har bundet seg til vilkårene, slik Avtaleloven (1918) forutsetter.
Avsluttende råd
API-vilkår er ikke et skjemadokument du setter opp én gang og glemmer. God praksis innebærer løpende revisjon i takt med regelverksendringer og teknisk utvikling. Norske virksomheter bør særlig holde øye med oppdateringer i GDPR (EU 2016/679)-regelverket og veiledninger fra Datatilsynet. Kombinasjonen av en solid mal og tilpasning til virksomhetens faktiske dataflyt gir det beste utgangspunktet for et robust og håndhevbart dokument.
Need the document itself? Download the free template →
This article is general information, not legal advice — see our accuracy & editorial policy. Confirm the cited law is current before relying on it.