Hva er forskjellen mellom en vedlikeholdsavtale og en driftsavtale for IT?

En vedlikeholdsavtale IT regulerer leverandørens forpliktelse til å holde eksisterende systemer i orden: installere sikkerhetsoppdateringer, fikse feil, utføre preventivt vedlikehold og gi teknisk support. Kunden eier og drifter systemene selv – leverandøren er en «reparatør og vedlikeholder». En driftsavtale IT (også kalt managed services-avtale) går lenger: leverandøren overtar det operative ansvaret for å kjøre systemene på vegne av kunden. Leverandøren overvåker systemene proaktivt, skalerer ressurser, administrerer brukertilganger og er ansvarlig for systemets totale ytelse. Driftsavtalen inkluderer typisk elementer av vedlikeholdsavtalen, men strekker ansvaret til å dekke hele driftsoperasjonen. I praksis er grensen flytende, og mange IT-leverandører tilbyr kombinerte vedlikeholds- og driftsavtaler (MSP – Managed Service Provider). Det avgjørende er hva som er skriftlig avtalt: hvilke oppgaver leverandøren skal utføre, og hvilke resultater leverandøren garanterer.

Hva skjer dersom IT-leverandøren overskrider SLA-responstiden?

Dersom IT-leverandøren overskrider de avtalte SLA-responstidene, er Kunden berettiget til de rettsmidlene vedlikeholdsavtalen fastsetter – typisk kreditering av en andel av månedlig vederlag. Vedlikeholdsavtaler angir normalt en fast krediteringsmodell, f.eks. 1/30 av månedlig vederlag per dag med SLA-brudd. For gjentatte eller alvorlige SLA-brudd kan Kunden ha rett til å heve avtalen som vesentlig mislighold etter avtaleloven (1918). Hevingsrett forutsetter normalt at Kunden har gitt skriftlig varsel og rimelig tid (typisk 30 dager) til å rette forholdet uten at leverandøren har greid det. For P1-feil der systemet er helt utilgjengelig og leverandøren ikke respondere, vil Kunden normalt ha rett til erstatning for dokumenterte direkte tap (tapte inntekter, overtidsarbeid for egne ansatte) etter kjøpsloven (1988) analogt. Indirekte tap (tapte kontrakter, omdømmetap) er normalt ekskludert i ansvarsbegrensningsklausulen.

Må vedlikeholdsavtalen ha en databehandleravtale (GDPR) som vedlegg?

Ja, dersom vedlikeholdsarbeidet innebærer at leverandøren får tilgang til systemer som behandler personopplysninger. Leverandøren er da databehandler etter GDPR art. 4 nr. 8, og kunden er behandlingsansvarlig. GDPR art. 28 nr. 3 stiller absolutt krav om skriftlig databehandleravtale. Databehandleravtalen skal regulere: behandlingens formål, varighet og omfang; kategorier av personopplysninger og registrerte; leverandørens plikt til å behandle kun på Kundens instruks; sikkerhetstiltak; bruk av underleverandører; bistand til de registrertes rettigheter; sletting ved opphør. Datatilsynet (datatilsynet.no) anbefaler at databehandleravtalen er inntatt som en del av eller vedlegg til tjenesteavtalen. Manglende databehandleravtale er ett av Datatilsynets hyppigste funn og kan utløse overtredelsesgebyr.

Kan IT-leverandøren bruke underleverandører (sub-kontraktører) uten å informere kunden?

Det avhenger av hva vedlikeholdsavtalen sier, men for GDPR-formål er svaret nei dersom underleverandøren får tilgang til personopplysninger. GDPR art. 28 nr. 2 krever at databehandleren (IT-leverandøren) ikke engasjerer en annen databehandler (underleverandør) uten forhåndsgodkjenning fra behandlingsansvarlig (kunden). Leverandøren kan velge mellom generell godkjenning (kunden godkjenner bruk av kategorier av underleverandører, f.eks. serverhotell) eller spesifikk godkjenning (kunden godkjenner navngitte underleverandører). Ved endring i underleverandørbruk skal Kunden informeres med rimelig varsel og ha rett til å motsette seg endringen. Utenfor GDPR-sammenheng: vedlikeholdsavtalen bør angi om leverandøren har rett til å bruke underleverandører generelt, og om leverandøren forblir ansvarlig for underleverandørens arbeid. Leverandøren forblir fullt ansvarlig overfor kunden for underleverandørens arbeid.

Hva bør vedlikeholdsavtalen si om sikkerhetskopiering?

Sikkerhetskopiering er en av de viktigste og mest utelatte delene av IT-vedlikeholdsavtaler. Vedlikeholdsavtalen bør klargjøre: (1) Hvem har ansvaret for regelmessig sikkerhetskopiering? Normalt er kunden primær ansvarlig for sine egne data, men leverandøren kan tilby backup som del av vedlikeholdsomfanget. (2) Dersom backup er inkludert: frekvens (daglig, ukentlig), oppbevaringstid (minimum 30 dager anbefales), lagringssted (lokal, ekstern, sky), og krav til kryptert lagring. (3) Testing av gjenopprettingsprosedyrer: leverandøren bør periodisk teste at backupen faktisk kan gjenopprettes, med skriftlig rapport til kunden. (4) Leverandørens ansvarsfraskrivelse for datatap ved Kundens manglende backup. Datatilsynet anser regelmessig sikker backup som en del av tekniske sikkerhetstiltak etter GDPR art. 32.

Kan jeg avslutte vedlikeholdsavtalen dersom IT-systemet byttes ut med skybasert SaaS?

Vedlikeholdsavtalen kan sies opp med avtalens fastsatte oppsigelsesvarsel (typisk 3 måneder) ved overgang til skybaserte løsninger. Dersom det dreier seg om en vesentlig endring i Kundens behov – f.eks. at systemet som vedlikeholdsavtalen dekker avvikles – kan Kunden ha rett til å si opp etter kortere frist basert på en bortfallsklausul i avtalen. Uten slik klausul er Kunden bundet av oppsigelsesfristen uavhengig av driftsmodellendringen, og leverandøren kan kreve vederlaget for oppsigelsesperioden. Anbefaling: inkluder i vedlikeholdsavtalen en klausul som gir Kunden rett til å avslutte med redusert varsel (f.eks. 30 dager) dersom det aktuelle systemet permanent avvikles, og som regulerer eventuell kompensasjon til leverandøren.

Hva er statens standardavtaler for IKT-vedlikehold (SSA-V), og når gjelder de?

Statens standardavtaler for IKT (SSA) er en serie standardiserte kontraktsmaler utarbeidet av Digitaliseringsdirektoratet for offentlige virksomheters anskaffelse av IKT-tjenester. SSA-V (Statens standardavtale for vedlikehold og forvaltning av programvare) er spesifikt beregnet for drift, vedlikehold og forvaltning av programvare og systemer i offentlig sektor. SSA-V er obligatorisk for statlige virksomheter underlagt anskaffelsesloven (2016) ved kjøp av vedlikeholdstjenester over anskaffelsesforskriftens terskelverdier. Kommuner og fylkeskommuner anbefales å bruke SSA-V men er ikke alltid formelt forpliktet. For privat sektor er SSA-V ikke obligatorisk, men kan brukes som startpunkt for forhandlinger. SSA-V inneholder standardiserte SLA-krav, GDPR-bestemmelser, endringsordreprosedyrer og tvisteløsningsmekanismer. Avvik fra SSA-V-standardene i offentlig sektor krever særskilt begrunnelse. Digitaliseringsdirektoratet (digdir.no) tilgjengeliggjør SSA-avtalene gratis.

Vedlikeholdsavtale IT Norge

Vedlikeholdsavtale IT

VEDLIKEHOLDSAVTALE FOR IT-SYSTEMER

Inngått i henhold til avtaleloven (1918), kjøpsloven (1988) og personopplysningsloven (2018).

Partene

MELLOM:

1. [Leverandor Navn], organisasjonsnummer [Leverandor Orgnr], med forretningssted [Leverandor Adresse], heretter kalt «Leverandøren»;

2. [Kunde Navn], org.-/fødselsnummer [Kunde Orgnr], med adresse [Kunde Adresse], heretter kalt «Kunden»;

HAR PARTENE INNGÅTT FØLGENDE VEDLIKEHOLDSAVTALE:

§ 1 Tjenestenes omfang

§ 1 TJENESTENES OMFANG

1.1 Leverandøren leverer vedlikehold av følgende IT-systemer: [System Besk], lokalisert ved: [Installasjons Adr].

1.2 Vedlikeholdstjenestene inkluderer: preventivt vedlikehold (oppdateringer, sikkerhetsoppdateringer, ytelsesjusteringer), korrektivt vedlikehold (feilretting og gjenoppretting), og rådgivning om systemoppgraderinger.

1.3 Arbeid som ikke er eksplisitt inkludert i § 1.2 utgjør tilleggsarbeid og faktureres etter timsatsen i § 4.2.

§ 2 Tjenestenivåavtale (SLA) og responstider

§ 2 TJENESTENIVÅAVTALE (SLA) OG RESPONSTIDER

2.1 Leverandøren garanterer følgende responstider basert på feilens alvorlighetsgrad:

Kritisk feil (P1 – systemet er utilgjengelig eller produksjon er stoppet): [Respons Tid Kritisk].

Alvorlig feil (P2 – vesentlig funksjonalitet svekket): [Respons Tid Alvorlig].

Normal feil (P3 – mindre problem): [Respons Tid Normal].

2.2 Planlagt vedlikeholdsvindu: [Vedlikeholdsvindu]. Planlagt vedlikehold med gitt forhåndsvarsel regnes ikke som brudd på SLA-en.

2.3 SLA-brudd gir Kunden rett til kreditering av 1/30 av månedlig vederlag per dag med brudd. Kreditering er Kundens eneste rettsmiddel ved SLA-brudd, med mindre bruddet utgjør vesentlig mislighold etter avtaleloven (1918).

§ 3 Kundens plikter

§ 3 KUNDENS PLIKTER

3.1 Kunden gir Leverandøren rimelig tilgang til systemene, inkludert fjernpålogging, nødvendige systemrettigheter og fysisk adgang til installasjonslokasjonen ved behov.

3.2 Kunden varsler Leverandøren skriftlig om feil og avvik snarest mulig. Sen varsling som forverrer feilen kan redusere Kundens rettsmidler forholdsmessig.

3.3 Kunden sikkerhetskopierer sine data regelmessig og er ansvarlig for at backup-rutiner er på plass. Leverandøren er ikke ansvarlig for datatap som skyldes Kundens manglende sikkerhetskopiering.

§ 4 Vederlag og betaling

§ 4 VEDERLAG OG BETALING

4.1 Kunden betaler månedlig vedlikeholdsvederlag på [Mnd Vederlag] eksklusive MVA. Merverdiavgift på 25 % legges til etter merverdiavgiftsloven (2009).

4.2 Tilleggsarbeid faktureres til [Ekstratime Sats] per time eksklusive MVA. Hasteassistanse utenfor normal arbeidstid faktureres til 1,5 × timesatsen.

4.3 Betalingsfrist: [Betalingsfrist Vh] fra fakturadato. Forsinkelsesrente påløper etter forsinkelsesrenteloven (1976) ved forsinket betaling.

§ 5 Konfidensialitet og personvern

§ 5 KONFIDENSIALITET OG PERSONVERN

5.1 Leverandøren behandler Kundens tekniske systeminformasjon, kundeopplysninger og forretningshemmeligheter konfidensielt etter forretningshemmelighetsloven (2020). Konfidensialitetsplikten overlever avtalens opphør i fem år.

5.2 Dersom Leverandøren i utføringen av vedlikeholdet får tilgang til personopplysninger, behandles disse som databehandler etter GDPR (EU 2016/679) art. 28 og personopplysningsloven (2018). Partene inngår separat databehandleravtale ved behov.

§ 6 Ansvarsbegrensning

§ 6 ANSVARSBEGRENSNING

6.1 Leverandørens samlede erstatningsansvar under denne avtalen er begrenset til det månedlige vederlaget betalt de siste tolv månedene, med unntak for forsett og grov uaktsomhet.

6.2 Indirekte tap – herunder driftsavbrudd, tapt fortjeneste, datatap og tapte kontrakter – erstattes ikke, med unntak for forsett og grov uaktsomhet.

§ 7 Varighet og oppsigelse

§ 7 VARIGHET OG OPPSIGELSE

7.1 Avtalen løper i: [Avtale Periode Vh].

7.2 Oppsigelsesvarsel: [Oppsigelsesfrist Vh] skriftlig varsel fra begge parter.

7.3 Vesentlig mislighold gir begge parter rett til heving med øyeblikkelig virkning etter skriftlig varsel og rimelig reparasjonsfrist.

§ 8 Lovvalg og tvister

§ 8 LOVVALG OG TVISTER

8.1 Avtalen er underlagt norsk rett, herunder avtaleloven (1918) og kjøpsloven (1988) for tjenesteelementer.

8.2 Uløste tvister avgjøres av kompetent norsk tingrett etter tvisteloven (2005).

Signering

SIGNERING

Denne vedlikeholdsavtalen er utferdiget i to likelydende eksemplarer og undertegnet i [Signering Sted Vh] den [Signering Dato Vh].

Leverandøren: __________________________ Kunden: __________________________

[Leverandor Navn] [Kunde Navn]

Leverandøren

________________

Signature

Kunden

________________

Signature

Vedlikeholdt av Vladislav Sergienko, grunnlegger·Mal sist endret: 2026-06-23·Rapporter en feil

Hva er Vedlikeholdsavtale IT Norge?

Vedlikeholdsavtale IT i Norge er en skriftlig tjenesteavtale der en IT-leverandør forplikter seg til å vedlikeholde, oppdatere og reparere en kundes hardware, programvare og nettverkssystemer mot et løpende vederlag. Avtalen dekker tjenestens omfang, SLA-responstider, planlagt vedlikeholdsvindu, månedlig pris og GDPR-krav.

IT-vedlikehold er en kritisk tjeneste for norske virksomheter som er avhengige av stabil og sikker IT-infrastruktur for å drive virksomheten. En profesjonell vedlikeholdsavtale sikrer at systemene holder seg oppdaterte med sikkerhetsoppdateringer, at feil rettes innen avtalte frister, og at kunden har juridisk beskyttelse dersom vedlikeholdet svikter. Uten en skriftlig vedlikeholdsavtale er partenes rettigheter og plikter uklar, og tvister om hva som inngår i vedlikeholdet og hvem som er ansvarlig for systemfeil er vanlige.

IT-vedlikeholdsavtaler reguleres primært av avtaleloven (1918) og kjøpsloven (1988), som setter rammene for tjenesteyterens plikter, mangelansvar og erstatning. For vedlikehold av systemer som behandler personopplysninger gjelder personvernforordningen (GDPR, EU 2016/679) og personopplysningsloven (2018): IT-leverandøren er databehandler etter GDPR art. 4 nr. 8, og kunden er behandlingsansvarlig. En separat databehandleravtale er påkrevd etter GDPR art. 28.

Service Level Agreement (SLA) er kjernen i vedlikeholdsavtalen. SLA-en definerer responstidene basert på feilens alvorlighetsgrad: kritiske feil (P1) der systemet er helt utilgjengelig, alvorlige feil (P2) der vesentlig funksjonalitet er svekket, og normale feil (P3) der det er et mindre problem. Responstiden angir ikke når feilen er løst, men når leverandøren begynner å arbeide med den. Et planlagt vedlikeholdsvindu (typisk natt til lørdag) angir perioder der nedetid kan forekomme uten å telle som SLA-brudd.

Vederlaget består typisk av et fast månedlig beløp som dekker definerte vedlikeholdstjenester, pluss en timepris for ekstra arbeid ut over det avtalte omfanget. Merverdiavgiftsloven (2009) pålegger 25 % MVA på vedlikeholdstjenester. Forsinkelsesrenteloven (1976) regulerer rente ved forsinket betaling.

Konfidensialitet er særlig viktig i IT-vedlikeholdsavtaler fordi leverandøren typisk får tilgang til kundens forretningssystemer, databaser og potensielt sensitiv informasjon. Forretningshemmelighetsloven (2020) beskytter kundens tekniske og forretningsmessige hemmeligheter, og leverandøren forpliktes til taushetsplikt under og etter avtalens løpetid.

Når trenger du Vedlikeholdsavtale IT Norge?

Vedlikeholdsavtale IT i Norge er nødvendig i en rekke situasjoner der virksomheter er avhengige av stabil og sikker IT-infrastruktur.

SMB-er med ekstern IT-leverandør. Små og mellomstore bedrifter (SMB-er) som ikke har egne IT-avdelinger, setter typisk bort all IT-drift og vedlikehold til en ekstern IT-leverandør. En vedlikeholdsavtale er da det primære juridiske dokumentet som regulerer hva leverandøren skal gjøre, til hvilken pris og med hvilke garantier. Uten en skriftlig avtale er kunden uten kontraktsmessig beskyttelse dersom leverandøren leverer mangelfulle tjenester.

Virksomheter med kritisk IT-infrastruktur. Produksjonsbedrifter, helsevirksomheter, finansinstitusjoner og handel som er avhengige av kontinuerlig IT-drift (24/7) trenger vedlikeholdsavtaler med strenge SLA-krav, herunder korte responstider (30 min til 2 timer) for kritiske feil og tilgang til hasteassistanse utenom normal arbeidstid.

Offentlig sektor og Digitaliseringsdirektoratets krav. Offentlige virksomheter som kjøper IT-vedlikeholdstjenester er underlagt anskaffelsesloven (2016) og må bruke statens standardavtaler for IKT (SSA-V for vedlikehold og forvaltning). SSA-V inneholder standardiserte SLA-krav, GDPR-bestemmelser og prosedyrer for avvikshåndtering.

Hardwarevedlikehold og garantioppfølging. Norske virksomheter med serverpark, nettverksinfrastruktur, skrivere og annen hardware har behov for vedlikeholdsavtaler som regulerer preventivt vedlikehold (støvrens, diagnostikk, utskifting av slitedeler), garantioppfølging mot hardwareprodusentenes warranties, og raskt bytte av defekt hardware.

Programvarevedlikehold og sikkerhetsoppdateringer. Norske virksomheter som bruker on-premise programvare (ERP-systemer som SAP, Visma Business, Tripletex on-premise) trenger vedlikeholdsavtaler som dekker installasjon av sikkerhetsoppdateringer, versjonshåndtering og kompatibilitetstesting. Datatilsynet anbefaler at sikkerhetsoppdateringer installeres snarest mulig etter tilgjengeliggjøring, og manglende oppdatering kan utgjøre brudd på GDPR art. 32 (sikkerhetstiltak).

Nettverksovervåking og -vedlikehold. IT-leverandører som tilbyr nettverksovervåking (Network Operations Center, NOC) og administrasjon av brannmurer, VPN, Cisco/Juniper-switcher og ruterinfrastruktur inngår vedlikeholdsavtaler som regulerer overvåkingsnivå, hendelsesrespons og rapportering.

Hva bør Vedlikeholdsavtale IT Norge inneholde

En rettslig solid vedlikeholdsavtale for IT i Norge inneholder følgende nøkkelelementer etter avtaleloven (1918), kjøpsloven (1988) og GDPR.

Nøyaktig beskrivelse av dekket utstyr og programvare. En fullstendig og detaljert liste over all hardware, programvare, nettverkskomponenter og skyabonnementer som er dekket av vedlikeholdsavtalen. Dekket utstyr bør inkludere serienumre for hardware og lisensidentifikatorer for programvare. Utstyr som ikke er listet, er ikke dekket, og leverandøren kan fakturere ekstra for vedlikehold av ikke-listet utstyr.

Service Level Agreement (SLA) med klar prioritetsinndeling. SLA-en bør definere minimum tre prioritetsnivåer: P1 (kritisk: systemet utilgjengelig, produksjon stoppet – respons innen 1-4 timer), P2 (alvorlig: vesentlig funksjonalitet svekket – respons innen 4-8 arbeidstimer), P3 (normal: mindre problem – respons innen neste virkedag). Definer klart hva «respons» betyr: kontaktopprettelse, igangsetting av feilretting, eller løst problem. Leverandøren bør varsle Kunden om fremdrift for alle P1- og P2-feil hvert 2. time inntil feilen er løst.

Planlagt vedlikeholdsvindu med varselfrist. Angi tidspunktet for planlagt vedlikehold – typisk en fast ukedag natt/morgen med minst 48 timers forhåndsvarsel. Definer eksplisitt at planlagt vedlikehold med gitt forhåndsvarsel ikke regnes som brudd på SLA-garantier.

Vederlag og timepris for tilleggsarbeid. Fast månedlig vederlag som dekker definerte vedlikeholdstjenester. Separat timepris for arbeid ut over det avtalte omfanget, med overtidstillegg (typisk 50 %) for hasteassistanse utenfor normal arbeidstid. Klar definisjon av hva som regnes som tilleggsarbeid versus inkludert i månedsprisen (f.eks. reparasjon kontra utvidelse).

Sikkerhetskopiering og dataansvar. Kunden er ansvarlig for regelmessig sikkerhetskopiering av sine data. Leverandøren har ikke ansvar for datatap med mindre dette skyldes leverandørens uaktsomhet. Angi om vedlikeholdsavtalen inkluderer backup-administrasjon og testing av gjenopprettingsprosedyrer.

Konfidensialitetsplikt. Leverandøren har tilgang til Kundens forretningssystemer og potensielt sensitive data. Forretningshemmelighetsloven (2020) §§ 2-3 gir rettslig grunnlag for konfidensialitetskravet. Konfidensialitetsplikten bør overleve avtalens opphør i minst fem år.

GDPR-behandleravtale. Dersom vedlikeholdsarbeidet innebærer tilgang til personopplysninger, er Leverandøren databehandler etter GDPR art. 4 nr. 8. Partene plikter å inngå en databehandleravtale etter GDPR art. 28 som dekker behandlingens formål, sikkerhetstiltak, bruk av underleverandører og sletting etter oppdragets avslutning. Manglende databehandleravtale er et Datatilsynet-funn. Hent maler for vedlikeholdsavtaler og relaterte dokumenter på forms-legal.com.

Hevingsrett ved vesentlig mislighold. Kunden bør ha rett til å heve avtalen med øyeblikkelig virkning dersom Leverandøren ikke retter vesentlig mislighold innen 30 dager etter skriftlig varsel. Vesentlig mislighold inkluderer gjentatte SLA-brudd (f.eks. mer enn tre P1-brudd i samme kvartal) og manglende respons innen dobbelt SLA-tid.

Slik fyller du ut Vedlikeholdsavtale IT Norge

Vedlikeholdsavtale IT for Norge fylles ut gjennom følgende trinn for fullstendig kontraktuell regulering.

Trinn 1 - Identifiser partene. Oppgi Leverandørens og Kundens fulle foretaksnavn og organisasjonsnummer (9 siffer fra Foretaksregisteret hos Brønnøysundregistrene), kontrollert mot brreg.no. Angi fullstendige forretningsadresser.

Trinn 2 - Spesifiser dekket IT-utstyr nøyaktig. List opp all hardware (server, PC, bærbar, nettverksbrytere, printere), programvare (ERP, OS, antivirus) og skyabonnementer som dekkes. For hardware: oppgi merke, modell og serienummer. For programvare: oppgi produktnavn, versjon og lisensidentifikator. Vag beskrivelse («IT-systemene») skaper tvister om omfanget.

Trinn 3 - Definer SLA-responstider. Angi responstider for P1 (kritisk), P2 (alvorlig) og P3 (normal) eksplisitt. Angi om P1-respons er 24/7 eller kun i arbeidstid. Angi planlagt vedlikeholdsvindu med varslingsplikt. Definisjon av «respons» bør fremgå tydelig.

Trinn 4 - Fastsett vederlag og timepris. Angi månedlig vederlag i NOK eksklusive MVA (MVA 25 % legges til etter merverdiavgiftsloven 2009). Angi timepris for tilleggsarbeid og eventuelt overtidstillegg. Betalingsfrist og forsinkelsesrente etter forsinkelsesrenteloven (1976).

Trinn 5 - Vurder GDPR-krav. Dersom vedlikeholdsarbeidet innebærer tilgang til systemer med personopplysninger (HR-systemer, CRM, kundesystemer): inngå separat databehandleravtale etter GDPR art. 28. Angi i vedlikeholdsavtalen at separat databehandleravtale skal inngås.

Trinn 6 - Avtalens varighet og oppsigelse. Angi bindingstid og automatisk fornyelsesperiode. Angi oppsigelsesvarsel (typisk 3 måneder) og krav til skriftlig oppsigelse. Reguler hevingsretten ved vesentlig mislighold.

Trinn 7 - Ansvarsbegrensning. Begrens Leverandørens samlede ansvar til det månedlige vederlaget for de siste 12 månedene. Ekskluder indirekte tap, men behold ansvar for forsett og grov uaktsomhet.

Trinn 8 - Signer og arkiver. Fyll inn sted og dato (DD.MM.ÅÅÅÅ). Begge parter signerer, to likelydende eksemplarer. Arkiver signert avtale i avtaleperioden pluss tre år etter foreldelsesloven (1979).

Juridiske krav til Vedlikeholdsavtale IT Norge

Vedlikeholdsavtale IT i Norge er underlagt et regelverk fra kontraktsretten, personvernretten og offentlig innkjøpsregulering.

Avtaleloven (1918) og kjøpsloven (1988). IT-vedlikeholdsavtaler er tjenestekontrakter regulert av avtaleloven (1918) for avtaleinngåelse og gyldighet, og kjøpsloven (1988) analogt for mangelspørsmål ved tjenesteyting. Manglende overholdelse av SLA-forpliktelsene kan utgjøre kontraktsbrudd som gir kunden rett til prisavslag, kreditering, heving og erstatning etter alminnelige kontraktsrettslige regler.

Personvernforordningen (GDPR) og personopplysningsloven (2018). IT-leverandøren som i vedlikeholdsarbeid får tilgang til systemer med personopplysninger, er databehandler etter GDPR art. 4 nr. 8. Partene plikter å inngå skriftlig databehandleravtale etter GDPR art. 28. Datatilsynet (datatilsynet.no) fører tilsyn og kan ilegge overtredelsesgebyr på inntil 20 millioner EUR eller 4 % av global årsomsetning. Leverandøren plikter å varsle kunden innen 72 timer ved personvernbrudd etter GDPR art. 33.

Forretningshemmelighetsloven (2020). IT-leverandøren som i vedlikeholdsarbeid får kjennskap til kundens forretningshemmeligheter – herunder kildekode, systemarkitektur, kundedata og forretningsstrategi – er forpliktet etter forretningshemmelighetsloven (2020) §§ 2 og 6 til å bevare disse hemmelighetene. Brudd på lovens §§ 3-5 er straffbart etter straffeloven (2005) og kan gi erstatningsplikt.

Sikkerhetsloven (2018) og NSM-krav. IT-leverandører som vedlikeholder systemer i virksomheter underlagt sikkerhetsloven (2018) – forsvar, energi, finans, telekommunikasjon – er underlagt særskilte krav til sikkerhetsklarering, leverandørvurdering og rapportering til Nasjonal sikkerhetsmyndighet (NSM). Vedlikeholdsavtalen bør referere til disse kravene.

Merverdiavgiftsloven (2009). IT-vedlikeholdstjenester er avgiftspliktige med alminnelig sats 25 % etter merverdiavgiftsloven (2009). Fakturaer skal oppfylle kravene i bokføringsloven (2004) og merverdiavgiftsloven.

Anskaffelsesloven (2016) for offentlig sektor. Offentlige virksomheter som kjøper IT-vedlikehold er underlagt anskaffelsesloven (2016) og anskaffelsesforskriften, herunder plikten til konkurranseutsetting over terskelverdier. Statens standardavtaler for IKT (SSA-V) anbefales for offentlig IKT-vedlikehold. Klager behandles av Klagenemnda for offentlige anskaffelser (KOFA).

Vanlige feil i Vedlikeholdsavtale IT Norge

Vedlikeholdsavtale IT i Norge svekkes av følgende vanlige feil som kan medføre tvister, uforutsette kostnader eller rettslig ansvar.

Feil 1 - Upresis beskrivelse av dekket utstyr. Den vanligste kilden til tvister i IT-vedlikeholdsavtaler er uklart avgrensede systemlister. «Alle IT-systemer» eller «serverpark og nettverksinfrastruktur» uten spesifisering av merke, modell og serienummer gir leverandøren rom til å ekskludere utstyr fra vedlikeholdsomfanget. List opp alt dekket utstyr eksplisitt med identifikasjonsinformasjon.

Feil 2 - SLA uten definisjon av «respons». En SLA som lover «svar innen 2 timer» uten å definere om dette betyr første kontaktopprettelse, igangsetting av feilretting eller løst problem, er for vag til å være håndhevbar. Definer respons i klartekst: «leverandøren kontakter kunden og bekrefter at arbeidet er igangsatt».

Feil 3 - Manglende databehandleravtale. IT-leverandøren som vedlikeholder systemer med personopplysninger er databehandler etter GDPR art. 4 nr. 8 og plikter å inngå skriftlig databehandleravtale etter GDPR art. 28. Mange vedlikeholdsavtaler glemmer dette. Manglende databehandleravtale er ett av Datatilsynets hyppigste funn ved tilsyn av IT-virksomheter.

Feil 4 - Ingen regulering av sikkerhetskopiering. Vedlikeholdsavtaler som ikke eksplisitt regulerer hvem som er ansvarlig for sikkerhetskopiering, skaper tvister om ansvar for datatap ved systemfeil. Kunden bør ansvaret for backup fastsatt i avtalen; leverandøren bør fritas for tap som skyldes Kundens manglende backup.

Feil 5 - Ubegrenset ansvarsbegrensning. Vedlikeholdsavtaler som begrenser leverandørens ansvar til null for alle typer tap – inkludert datatap ved forsømmelig vedlikehold – risikerer å bli kjent urimelige etter avtaleloven (1918) § 36, særlig dersom tapet er vesentlig og skyldes leverandørens grov uaktsomhet. Begrens ansvaret til et rimelig tak (12 måneders vederlag) og unnta forsett og grov uaktsomhet.

Feil 6 - Manglende regulering av tilleggsarbeid. Vedlikeholdsavtaler som er uklare på hva som er inkludert i månedsprisen versus faktureres som tilleggsarbeid, gir rom for uventede fakturaer. Definer eksplisitt hva som er inkludert (preventivt vedlikehold, sikkerhetsoppdateringer) og hva som er tilleggsarbeid (ny installasjon, feil forårsaket av Kunden).

Feil 7 - Ingen reguleringen av eskalerings- og varslingsprosedyrer. En vedlikeholdsavtale uten prosedyrer for hvem som varsles ved kritiske feil, hvilken kommunikasjonskanal som benyttes, og hvem som er eskaleringsansvarlig, resulterer i kaotisk håndtering av systemkrise. Definer en tydelig varslingslinje og eskaleringsmatrise.

Siter denne siden

Henvis til denne gratis malen i en artikkel, et pensum eller en forskningsnotat:

APA

Forms Legal. (2026). Vedlikeholdsavtale IT Norge (Norge) [Legal document template]. Forms Legal. https://forms-legal.com/nb/norge/business/services/vedlikeholdsavtale-it

MLA

"Vedlikeholdsavtale IT Norge (Norge)." Forms Legal, 2026, https://forms-legal.com/nb/norge/business/services/vedlikeholdsavtale-it.

BibTeX

@misc{formslegal-vedlikeholdsavtale-it,
  author       = {{Forms Legal}},
  title        = {Vedlikeholdsavtale IT Norge (Norge)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/nb/norge/business/services/vedlikeholdsavtale-it}},
  note         = {Free legal document template}
}

Ofte stilte spørsmål

Mal med lovhenvisninger — Malen ble sist endret juni 2026

Denne malen leveres kun til informasjonsformål og utgjør ikke juridisk rådgivning. Lover varierer mellom jurisdiksjoner og endres over tid. Rådfør deg med en kvalifisert advokat for råd som er spesifikke for din situasjon.Fullstendig ansvarsfraskrivelse

Fant du en feil? Gi oss beskjed