SaaS Agreement Norway
SAAS-AVTALE (PROGRAMVARE SOM TJENESTE)
Inngått i henhold til avtaleloven (1918), personopplysningsloven (2018), personvernforordningen (GDPR, EU 2016/679) og åndsverkloven (2018).
Partene
MELLOM:
1. [Leverandor Navn], organisasjonsnummer [Leverandor Orgnr], med forretningssted [Leverandor Adresse], heretter kalt «Leverandøren»;
OG
2. [Kunde Navn], org.-/fødselsnummer [Kunde Orgnr], med adresse [Kunde Adresse], heretter kalt «Kunden»;
HAR PARTENE INNGÅTT FØLGENDE SAAS-AVTALE:
§ 1 Tjenestebeskrivelse og bruksrett
§ 1 TJENESTEBESKRIVELSE OG BRUKSRETT
1.1 Leverandøren leverer følgende SaaS-tjeneste (programvare som tjeneste) via Internett: [Tjeneste Navn] – [Tjeneste Besk].
1.2 Kunden gis en ikke-eksklusiv, ikke-overførbar bruksrett for: [Antall Brukere], begrenset til Kundens interne forretningsformål.
1.3 Bruksretten er underlagt åndsverkloven (2018). Kunden har ikke rett til å kopiere, endre, reverse-engineere, distribuere eller underlisensiere programvaren uten skriftlig samtykke fra Leverandøren.
§ 2 Driftsgaranti og support
§ 2 DRIFTSGARANTI OG SUPPORT
2.1 Leverandøren garanterer følgende oppetid: [Sla Upetid]. Ved brudd på oppetidsgarantien har Kunden rett til forholdsmessig kreditering av månedlig abonnementspris.
2.2 Leverandøren varsler planlagt vedlikehold med minst 48 timers varsel. Planlagt vedlikehold regnes ikke som nedetid ved beregning av oppetidsgarantien.
2.3 Leverandøren yter support til kunden via [e-post/telefon/chat] på norsk i virkedager mellom kl. 08:00 og 17:00 norsk tid.
§ 3 Abonnement og betaling
§ 3 ABONNEMENT OG BETALING
3.1 Kunden betaler abonnementspris på [Abonnements Pris] NOK eksklusive merverdiavgift, med faktureringsperiode og betalingsfrist: [Faktureringsperiode].
3.2 Merverdiavgift på 25 % legges til i henhold til merverdiavgiftsloven (2009). Ved forsinket betaling påløper forsinkelsesrente etter forsinkelsesrenteloven (1976).
3.3 Prisjustering: [Prisd Justering].
§ 4 Behandling av personopplysninger (GDPR)
§ 4 BEHANDLING AV PERSONOPPLYSNINGER (GDPR)
4.1 Kunden er behandlingsansvarlig og Leverandøren er databehandler etter personvernforordningen (GDPR, EU 2016/679) art. 4 og personopplysningsloven (2018). Denne avtalens § 4 utgjør en databehandleravtale etter GDPR art. 28.
4.2 Leverandøren behandler personopplysninger kun på Kundens dokumenterte instruks, og kun i den grad det er nødvendig for å levere tjenesten. Leverandøren behandler og lagrer personopplysninger i følgende land: [Databehandling Land].
4.3 Leverandøren gjennomfører tekniske og organisatoriske sikkerhetstiltak etter GDPR art. 32, herunder kryptering, tilgangskontroll og sikkerhetskopiering. Leverandøren varsler Kunden uten ugrunnet opphold – og senest innen 72 timer – om personvernbrudd som kan kreve melding til Datatilsynet etter GDPR art. 33.
4.4 Leverandøren gir Kunden tilstrekkelig hjelp til å oppfylle sine plikter etter GDPR, herunder svar på de registrertes rettigheter (innsyn, retting, sletting etter artiklene 15-17) og sletting av personopplysninger ved avtalens opphør.
§ 5 Sikkerhet og tilgjengelighet
§ 5 SIKKERHET OG TILGJENGELIGHET
5.1 Leverandøren implementerer industristandardmessige sikkerhetskontroller for å beskytte Kundens data mot uautorisert tilgang, tap og sletting, herunder daglig sikkerhetskopiering med minimum 30 dagers oppbevaring.
5.2 Kunden er ansvarlig for sikker oppbevaring av brukernavn og passord og for at egne ansatte benytter tjenesten i henhold til avtalen og Leverandørens bruksvilkår.
§ 6 Konfidensialitet
§ 6 KONFIDENSIALITET
6.1 Begge parter forplikter seg til å bevare taushet om konfidensielle opplysninger og forretningshemmeligheter etter forretningshemmelighetsloven (2020), herunder teknisk dokumentasjon, priser, kundelister og forretningsvilkår, både under og etter avtalens løpetid.
§ 7 Ansvarsbegrensning
§ 7 ANSVARSBEGRENSNING
7.1 Leverandørens samlede erstatningsansvar under denne avtalen er begrenset til det abonnementsbeløpet Kunden har betalt de siste tolv månedene forut for kravet, med unntak for forsett og grov uaktsomhet.
7.2 Ingen av partene er ansvarlige for indirekte tap, herunder tap av fortjeneste, data eller goodwill, med unntak for forsett og grov uaktsomhet. GDPR-bøter fra Datatilsynet følger særreglene i personvernforordningen.
§ 8 Varighet og oppsigelse
§ 8 VARIGHET OG OPPSIGELSE
8.1 Avtalen løper fra signeringsdatoen og kan sies opp av begge parter med følgende varsel: [Oppsigelse Frist Saas].
8.2 Vesentlig mislighold gir begge parter rett til å heve avtalen med øyeblikkelig virkning. Vesentlig mislighold inkluderer manglende betaling i mer enn 30 dager etter purring og gjentatte brudd på bruksvilkårene.
8.3 Ved avtalens opphør av enhver grunn skal Leverandøren tilgjengeliggjøre Kundens data i et standard eksportformat i 30 dager, deretter slettes dataene permanent.
§ 9 Lovvalg og tvister
§ 9 LOVVALG OG TVISTER
9.1 På avtalen anvendes norsk rett, herunder avtaleloven (1918), personopplysningsloven (2018) og åndsverkloven (2018).
9.2 Tvister søkes løst ved forliksrådet og avgjøres deretter av rette tingrett etter tvisteloven (2005), med mulighet for anke til lagmannsrett og endelig Høyesterett.
Signering
SIGNERING
Denne avtalen er utferdiget i to likelydende eksemplarer og undertegnet i [Signering Sted Saas] den [Signering Dato Saas].
Leverandøren: __________________________ Kunden: __________________________
[Leverandor Navn] [Kunde Navn]
Leverandøren
________________
Signature
Kunden
________________
Signature
What Is a SaaS Agreement Norway?
A SaaS Agreement (SaaS-avtale) in Norway is a written contract under which a software provider grants a customer subscription-based access to a cloud-hosted application over the Internet, without the customer installing software locally. Norwegian law governs these agreements through avtaleloven (1918), åndsverkloven (2018) for the software copyright, personopplysningsloven (2018) and GDPR (EU 2016/679) for personal data processing, and merverdiavgiftsloven (2009) for VAT at 25%. A SaaS agreement must include an embedded data processing agreement (DPA) under GDPR Article 28, since the provider processes personal data on behalf of the customer. Key elements are the service description, service level agreement (SLA), subscription fee, GDPR data processing terms, confidentiality, liability limitation and termination. Disputes are resolved before a Norwegian tingrett.
When Do You Need a SaaS Agreement Norway?
SaaS-avtale Norge er nødvendig i alle forretningsmessige relasjoner der en norsk virksomhet leverer eller kjøper programvare som en nettbasert abonnementstjeneste.
Regnskapssystemer og økonomiverktøy. Norske virksomheter som bruker skybaserte regnskapssystemer som Tripletex, Visma.net, Fiken eller Conta abonnerer gjennom SaaS-avtaler. Regnskapssystemer behandler store mengder personopplysninger om ansatte (lønnsdata, fødselsnummer) og kunder (fakturaopplysninger), og krever en fullverdig GDPR-databehandleravtale.
HR- og lønnssystemer. Norske HR-systemer som Simployer, Huma, Personio (tilpasset norsk rett) og Agresso HRM leveres som SaaS. Lønnssystemer behandler særlig sensitive personopplysninger (fagforeningsmedlemskap, sykefravær, lønnsopplysninger) og er underlagt strenge GDPR-krav. Arbeidsmiljøloven (2005) §§ 9-1 og 9-2 begrenser også innsamling av informasjon om ansatte.
CRM og salgssystemer. Salesforce, HubSpot, Pipedrive og norske alternativ som SuperOffice CRM leveres som SaaS og behandler omfattende personopplysninger om kunder og prospekter. Markedsføringsloven (2009) regulerer bruk av personopplysninger til markedsformål, herunder samtykke til e-postmarkedsføring under e-kom-loven.
Prosjektstyrings- og samarbeidsverktøy. Asana, Monday.com, Notion, Teams og lignende verktøy behandler arbeidsdokumenter og kommunikasjonsdata, potensielt med sensitiv forretningsinformasjon. En SaaS-avtale regulerer leverandørens konfidensialitetsforpliktelse og sikkerhetstiltak etter forretningshemmelighetsloven (2020).
Skysikkerhet og tilgangsstyring. SaaS-tjenester for IT-sikkerhet, identitets- og tilgangsstyring (IAM), og sikkerhetsovervåking behandler svært sensitive opplysninger om virksomhetens IT-infrastruktur. SaaS-avtalen bør inneholde strenge bestemmelser om leverandørens egne sikkerhetstiltak, sertifiseringer (ISO 27001, SOC 2) og varslingsplikter ved sikkerhetshendelser.
Helseplattformer og medisinsk software. SaaS-tjenester for helsevesenet behandler helseopplysninger som er særlige kategorier etter GDPR art. 9. Disse tjenestene er underlagt Normen (Norm for informasjonssikkerhet i helse- og omsorgssektoren) og Datatilsynets strenge krav for behandling av helseopplysninger. SaaS-avtale for helsetjenester krever spesialisert databehandleravtale.
Pedagogiske plattformer og utdanning. Skoler og universiteter som bruker SaaS-plattformer som Itslearning, Canvas, Feide, Teams for Education behandler personopplysninger om mindreårige og studenter, noe som stiller strengere GDPR-krav om beskyttelse av barn etter GDPR art. 8 og personopplysningsloven (2018) § 5. Datatilsynet har utgitt særskilte veiledere for skoler og barnehager.
Offentlig sektor og anskaffelsesregelverket. Offentlige virksomheter som kjøper SaaS-løsninger er underlagt anskaffelsesloven (2016) og statens standardavtaler for IKT (SSA-L og SSA-K). Disse avtalene inneholder egne GDPR-bestemmelser og krav til norsk datalagring i visse sektorer.
What to Include in Your SaaS Agreement Norway
En rettslig solid SaaS-avtale i Norge inneholder følgende nøkkelelementer for klar regulering etter avtaleloven (1918), personopplysningsloven (2018) og åndsverkloven (2018).
Nøyaktig tjenestebeskrivelse. Konkret beskrivelse av hvilken SaaS-tjeneste kunden abonnerer på: programvarenavn, versjon eller funksjonspakke, integrasjoner, antall brukere, lagringskapasitet og inkludert support-nivå. Vage beskrivelser som «skybasert programvare» uten funksjonsspesifikasjon skaper tvister om hva som er inkludert i abonnementet. Reguler prosedyren for funksjonsendringer: leverandøren bør gi varsel om vesentlige endringer med rimelig frist.
Service Level Agreement (SLA). Oppetidsgarantien definerer leverandørens forpliktelse til tilgjengelighet, målt månedlig eller per kvartal. Typisk garanti for norske SaaS-tjenester er 99-99,5 % månedlig oppetid, eksklusiv planlagt vedlikehold. SLA-en bør spesifisere: definisjon av «nedetid», målemetode (ekstern overvåking), planlagt vedlikeholdsvindu (med minimumsvarsel på 48 timer), og kompensasjon ved brudd (typisk kreditering av 1/30 av månedlig abonnement per dag med brudd). Uten SLA har kunden ingen kontraktsfestet rettighet ved nedetid.
GDPR-databehandleravtale (DPA). GDPR art. 28 stiller absolutt krav om skriftlig databehandleravtale mellom behandlingsansvarlig (kunden) og databehandler (leverandøren). DPA-en skal etter GDPR art. 28 nr. 3 regulere: formål og varighet for behandlingen, type personopplysninger og kategorier av registrerte, leverandørens plikt til å behandle kun på kundens instruks, leverandørens sikkerhetstiltak (tekniske og organisatoriske), bruk av underleverandører (sub-prosessorer), bistand til svar på de registrertes rettigheter, sletting eller retur av data ved opphør, og revisjonsrett. Dataoverføring utenfor EØS krever særskilt grunnlag etter GDPR art. 44-49 (f.eks. EU-standardkontraktklausuler). For en komplett sjekkliste og relaterte maler besøk forms-legal.com.
Abonnementspris og prisjustering. Klar angivelse av abonnementspris i NOK eksklusive MVA, faktureringsperiode (månedlig/kvartalsvis/årlig) og betalingsfrist. MVA på 25 % legges til etter merverdiavgiftsloven (2009). Forsinkelsesrente etter forsinkelsesrenteloven (1976) ved forsinket betaling. Prisjusteringsklausul bør regulere varselfrist (typisk 30 dager) og tak for prisstigning.
Sikkerhetstiltak. Leverandøren bør forpliktes til industristandardmessige sikkerhetskontroller: kryptering i overføring (TLS) og lagring, tilgangskontroll med multifaktorautentisering, daglig sikkerhetskopiering med 30-dagers oppbevaring, og regelmessig sikkerhetsrevisjon. Varsling om personvernbrudd til kunden innen 72 timer etter GDPR art. 33.
Konfidensialitet. Gjensidig taushetsplikt etter forretningshemmelighetsloven (2020) for konfidensiell informasjon: kundens data, forretningshemmeligheter, teknisk dokumentasjon og forretningsvilkår. Taushetsplikten overlever avtalens opphør.
Ansvarsbegrensning. Leverandørens samlede erstatningsansvar begrenses til abonnementsbeløpet siste tolv måneder, med unntak for forsett og grov uaktsomhet. Indirekte tap (tap av fortjeneste, data, goodwill) ekskluderes. GDPR-bøter fra Datatilsynet følger særreglene i personvernforordningen og kan ikke kontraktuelt begrenses.
Datautlevering og sletting ved opphør. Kunden skal ha rett til å eksportere alle data i et maskinlesbart standardformat i 30-60 dager etter opphør. Etter eksportperioden skal leverandøren slette alle data sikkert og bekrefte slettingen skriftlig. GDPR art. 28 nr. 3 bokstav g krever sletting etter oppdragets avslutning.
How to Fill Out Your SaaS Agreement Norway
SaaS-avtale Norge fylles ut gjennom følgende trinn for fullstendig regulering av abonnementsforholdet og GDPR-etterlevelse.
Trinn 1 - Identifiser partene. Oppgi leverandørens og kundens fulle firmanavn og organisasjonsnummer (9 siffer fra Foretaksregisteret hos Brønnøysundregistrene). For privatpersoner: fullt navn og fødselsnummer (11 siffer). Kontroller opplysningene mot brreg.no.
Trinn 2 - Beskriv tjenesten og bruksrettens omfang. Oppgi det fulle produktnavnet og en konkret beskrivelse av funksjonaliteten kunden har tilgang til. Angi antall lisensierte brukere (navngitte brukere, samtidige brukere eller ubegrenset). Vage beskrivelser skaper tvister; bruk gjerne produktspesifikasjonen fra leverandørens nettsted som vedlegg.
Trinn 3 - Definer SLA og oppetidsgaranti. Angi den garanterte månedlige oppetiden i prosent (f.eks. 99,5 %). Definer hva som regnes som nedetid og eksklusjoner (planlagt vedlikehold, force majeure). Angi kompensasjonen ved brudd på SLA-en (f.eks. kreditering av abonnement). En tydelig SLA gir kunden forutsigbarhet og leverandøren incentiv til å prioritere stabilitet.
Trinn 4 - Fastsett abonnementspris og prisjustering. Angi prisen i NOK eksklusive MVA, faktureringsperiode og betalingsfrist. Reguler prisjusteringsretten med varselfrist og eventuelt tak. Påmin om at MVA på 25 % pålegges etter merverdiavgiftsloven (2009) og vil legges til den angitte ekskl.-MVA-prisen.
Trinn 5 - Fyll ut GDPR-databehandleravtalen. Angi hvilke land personopplysninger behandles og lagres i. Bekreft at overføring utenfor EØS eventuelt skjer på grunnlag av EU-standardkontraktklausuler (SCC) etter GDPR art. 46 nr. 2 bokstav c. Beskrev kundens rett til å varsles om personvernbrudd innen 72 timer, rett til å revidere leverandørens GDPR-etterlevelse, og kravene til underleverandørers (sub-prosessorer) bruk.
Trinn 6 - Inkluder sikkerhetstiltak. Beskriv leverandørens konkrete sikkerhetstiltak: kryptering (TLS/AES-256), tilgangskontroll (MFA), sikkerhetskopiering (daglig, 30 dagers oppbevaring), sikkerhetsrevisjon (ISO 27001 eller SOC 2) og varsling ved personvernbrudd. Jo mer konkret beskrivelse, desto lavere risiko for tvist ved en sikkerhetshendelse.
Trinn 7 - Reguler oppsigelse og datautlevering. Angi oppsigelsesvarsel (typisk 30 dager skriftlig, med virkning fra utløp av faktureringsperiode). Angi kundens rett til dataeksport i et standard format i 30-60 dager etter oppsigelse, og leverandørens plikt til permanent sletting av data etter eksportperioden med skriftlig bekreftelse.
Trinn 8 - Angi ansvarsbegrensning. Begrens leverandørens totale ansvar til abonnementsbeløpet siste tolv måneder, ekskluder indirekte tap, men behold fullt ansvar for forsett og grov uaktsomhet. Minn om at GDPR-bøter fra Datatilsynet er en offentligrettslig sanksjon som ikke kan begrenses kontraktuelt.
Trinn 9 - Signer og arkiver. Fyll inn sted og dato for signering i norsk datoformat (DD.MM.ÅÅÅÅ). Begge parter signerer, og avtalen utferdiges i to likelydende eksemplarer. Arkiver signerte eksemplarer sikkert; SaaS-avtaler med GDPR-DPA bør oppbevares i avtaleperioden pluss tre år.
Legal Requirements for SaaS Agreement Norway
SaaS-avtale Norge er underlagt et regelverk fra avtalerett, personvernrett, immaterialrett og forbrukerrett.
Personvernforordningen (GDPR, EU 2016/679) og personopplysningsloven (2018). GDPR er det dominerende regelverket for SaaS-tjenester som behandler personopplysninger. GDPR art. 28 stiller absolutt krav om skriftlig databehandleravtale mellom behandlingsansvarlig og databehandler. Datatilsynet fører tilsyn og kan ilegge overtredelsesgebyr på inntil 20 millioner EUR eller 4 % av global årsomsetning for brudd, herunder manglende databehandleravtale, ulovlig overføring av personopplysninger til tredjeland etter art. 44-49, og mangelfull respons på de registrertes rettigheter etter artiklene 15-22. Personopplysningsloven (2018) supplerer GDPR for norske forhold, herunder § 5 om aldersgrense for barns samtykke (15 år).
Åndsverkloven (2018). Programvaren som leveres via SaaS er beskyttet som opphavsrettslig verk etter åndsverkloven (2018). Kunden mottar en begrenset bruksrett og har ikke rett til å kopiere, endre, reverse-engineere eller distribuere programvaren uten samtykke. Åndsverkloven § 26 tillater likevel brukeren å ta sikkerhetskopi for eget bruk og å observere, undersøke og prøve programvarens funksjonalitet.
Foretaksregisterloven (1985) og markedsføringsloven (2009). SaaS-leverandøren som retter seg mot norske forbrukere er underlagt markedsføringsloven (2009) og forbrukerkjøpsloven (2002). Angrerettloven (2014) gir forbrukere 14 dagers angrefrist for digitale tjenesteavtaler inngått på nett, med unntak for tjenester som er fullstendig levert med forbrukerens samtykke.
E-handelsloven (2003). SaaS-leverandøren som er etablert i Norge og leverer informasjonssamfunnstjenester er underlagt e-handelsloven (2003), som regulerer krav til teknisk informasjon, ordrebehandling og elektronisk avtaleinngåelse.
Merverdiavgiftsloven (2009). SaaS-tjenester er avgiftspliktige etter merverdiavgiftsloven med alminnelig sats 25 %. For elektroniske tjenester levert fra utlandet til norske forbrukere gjelder VOEC-ordningen (VAT on Electronic Commerce) under Skatteetaten.
Anskaffelsesregelverket for offentlig sektor. Offentlige virksomheter som kjøper SaaS-løsninger er underlagt anskaffelsesloven (2016) og anskaffelsesforskriften. Statens standardavtaler for IKT (SSA-L for løpende tjenester og SSA-K for kjøp) inneholder egne GDPR-bestemmelser og krav til norsk datalagring i visse sektorer. Klage over offentlig anbudsprosess kan rettes til Klagenemnda for offentlige anskaffelser (KOFA).
NIS2-direktivet (Nettverks- og informasjonssikkerhetsdirektivet). NIS2-direktivet, som er under implementering i norsk rett gjennom sikkerhetsloven og ny regulering, stiller krav til sikkerhetstiltak og hendelsesrapportering for leverandører av digital infrastruktur og viktige digital tjenester, herunder SaaS-leverandører for kritisk infrastruktur.
Common Mistakes to Avoid in Your SaaS Agreement Norway
SaaS-avtale Norge svekkes av følgende vanlige feil som kan medføre GDPR-bøter, tvister om tjenestekvalitet eller tap av data.
Feil 1 - Manglende GDPR-databehandleravtale. Den vanligste og alvorligste feilen er at SaaS-avtalen ikke inneholder en fullstendig databehandleravtale (DPA) etter GDPR art. 28. Datatilsynet gjennomfører regelmessig tilsyn og har ilagt gebyr for virksomheter som bruker SaaS-tjenester uten DPA. En DPA er obligatorisk uavhengig av hvor lite sensitiv informasjonen tilsynelatende er – selv en enkel kontaktliste med navn og e-postadresser utgjør personopplysninger. Inkluder alltid DPA som del av SaaS-kontrakten.
Feil 2 - Ingen SLA eller vag oppetidsgaranti. En SaaS-avtale uten SLA gir kunden ingen kontraktsfestet rettighet ved nedetid. Vage formuleringer som «vi streber etter høy oppetid» er ikke rettslig bindende. Angi en konkret prosent (f.eks. 99,5 % månedlig), definisjon av nedetid, og kompensasjonsmodell ved brudd. Uten SLA er kunden overlatt til å bevise konkret tap ved leverandørens mislighold.
Feil 3 - Manglende regulering av dataoverføring utenfor EØS. Mange SaaS-leverandører benytter underleverandører (sub-prosessorer) utenfor EØS – for eksempel AWS us-east-1 eller Google Cloud us-central1 – uten å informere kunden om dette. GDPR art. 44-49 krever særskilt grunnlag for overføring av personopplysninger til tredjeland. Manglende regulering er et alvorlig GDPR-brudd. SaaS-avtalen bør liste opp godkjente sub-prosessorer og overføringsmekanismer (EU-standardkontraktklausuler, BCR).
Feil 4 - Ingen regulering av dataeksport og sletting ved opphør. Uten eksplisitt regulering av dataeksport og sletting risikerer kunden å miste tilgang til sine data umiddelbart etter oppsigelse, uten mulighet til å eksportere dem til et nytt system. GDPR art. 28 nr. 3 bokstav g stiller krav om sletting ved oppdragets avslutning. Krev alltid minimum 30 dagers eksportperiode og skriftlig bekreftelse på sikker sletting.
Feil 5 - Ubegrenset ansvarsbegrensning for leverandøren. En ansvarsbegrensning som setter leverandørens ansvar til null for alle tap – herunder tap av kundedata ved et sikkerhetsbrudd – kan undergrave formålet med SaaS-avtalen. Norsk rettspraksis setter grenser for urimelige ansvarsbegrensninger etter avtaleloven (1918) § 36. Begrens ansvaret til et rimelig beløp (abonnement siste 12 måneder) og unnta forsett og grov uaktsomhet.
Feil 6 - Manglende prisjusteringsregulering. En SaaS-avtale som gir leverandøren ubegrenset rett til å justere prisen uten varsel gir kunden ingen forutsigbarhet. Kunden kan plutselig møte vesentlige prisøkninger midt i kontraktsperioden. Angi maksimal varselfrist (30 dager) og tak for prisstigning (f.eks. 10 % per år), og kundens rett til å si opp dersom prisjusteringen overstiger taksatsen.
Feil 7 - Ingen Sub-prosessor-liste. GDPR art. 28 nr. 3 bokstav d krever at databehandleren (leverandøren) ikke engasjerer underleverandør (sub-prosessor) uten forhåndsgodkjenning fra behandlingsansvarlig (kunden). Leverandøren bør ved avtaleinngåelse oppgi en liste over godkjente sub-prosessorer og informere om endringer med tilstrekkelig varsel. Manglende sub-prosessor-liste er et hyppig GDPR-funn ved Datatilsynets tilsyn.
Feil 8 - Ikke tilpasset norsk MVA-praksis. En SaaS-avtale som angir priser inkludert MVA uten å spesifisere at kunden kan fradragsføre inngående MVA etter merverdiavgiftsloven (2009), skaper forvirring for kundens regnskapsavdeling. Angi alltid prisen eksklusive MVA med tillegg av 25 % MVA, og opplys om Skatteetatens krav til fakturering.
Sources & Citations
Statutory citations link to official government sources.
- GDPR Article 28EU – GDPR
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). SaaS Agreement Norway (Norway) [Legal document template]. Forms Legal. https://forms-legal.com/norge/business/contracts/saas-agreement-norway
"SaaS Agreement Norway (Norway)." Forms Legal, 2026, https://forms-legal.com/norge/business/contracts/saas-agreement-norway.
@misc{formslegal-saas-agreement-norway,
author = {{Forms Legal}},
title = {SaaS Agreement Norway (Norway)},
year = {2026},
howpublished = {\url{https://forms-legal.com/norge/business/contracts/saas-agreement-norway}},
note = {Free legal document template}
}
Frequently Asked Questions
Nei, men en SaaS-avtale bør inkludere en databehandleravtale (DPA) som en integrert del. SaaS-avtalen er den kommersielle kontrakten som regulerer abonnementet, betalingen, tjenestens omfang og ansvarsbegrensning. Databehandleravtalen er det juridiske instrumentet etter GDPR art. 28 som regulerer behandlingen av personopplysninger. GDPR stiller krav om at databehandleravtalen er skriftlig og inneholder en rekke obligatoriske elementer: formål og varighet for behandlingen, type personopplysninger og kategorier av registrerte, leverandørens plikt til å behandle kun på kundens instruks, bistand til å oppfylle de registrertes rettigheter, krav til sikkerhetstiltak, regulering av underleverandører (sub-prosessorer), og sletting av personopplysninger ved avtalens opphør. Mange norske SaaS-leverandører har standardiserte DPA-er tilgjengelig som vedlegg til abonnementsavtalen. Dersom leverandøren ikke tilbyr en DPA, er kunden som behandlingsansvarlig forpliktet til å be om og inngå en.
SLA (Service Level Agreement) er den delen av SaaS-avtalen som definerer tjenesteleverandørens forpliktelse til tilgjengelighet og ytelse. En typisk SLA for norske SaaS-tjenester garanterer 99 til 99,5 prosent månedlig oppetid, noe som tilsvarer henholdsvis maksimalt 7,2 og 3,6 timer nedetid per måned. SLA-en definerer hva som regnes som nedetid (typisk: tjenesten er utilgjengelig for alle brukere, eksklusiv planlagt vedlikehold), målemetode og kompensasjonsmodell. Vanlige kompensasjonsmodeller er kreditering av abonnementet med en forholdsmessig del per time eller dag med brudd, eskalerende til hel månedskreditering ved alvorlig brudd. Kunden bør sørge for at SLA-en inneholder: konkret prosent, tydelig definisjon av nedetid, planlagt vedlikeholdsvindu med varselfrist på minimum 48 timer, rapporteringsprosedyre for nedetid, og kompensasjonsmodell. SLA-kreditering er normalt kundens eneste rettsmiddel ved nedetid; for å kreve erstatning ut over kreditering må kunden bevise konkret tap.
Ja, en norsk virksomhet kan kontraktuelt kreve at personopplysninger og forretningsdata lagres i Norge eller innenfor EØS-området. Det er ikke noe generelt lovkrav om norsk datalagring for private virksomheter, men visse sektorer er underlagt særskilte krav. Offentlig sektor: Direktoratet for forvaltning og IKT (Digitaliseringsdirektoratet) anbefaler at personopplysninger i offentlig forvaltning lagres i Norge eller EØS, og statsforvaltningen er bundet av retningslinjer om dette. Helse- og omsorgssektoren: Normen (Norm for informasjonssikkerhet i helse- og omsorgssektoren) stiller krav om godkjent datalagring for sensitive helseopplysninger. For alle øvrige virksomheter: GDPR gjelder fullt ut, og lagring i EØS gir presumptivt tilstrekkelig vern. Lagring utenfor EØS – for eksempel i USA, India eller Kina – krever særskilt overføringsgrunnlag etter GDPR art. 44-49. Det vanligste grunnlaget er EU-standardkontraktklausuler (SCC), vedtatt av EU-kommisjonen i 2021. For sensitive bransjer bør kunden ved avtaleinngåelse eksplisitt kreve EØS-lagring og en liste over godkjente sub-prosessorer og deres datasentre.
Dersom SaaS-leverandøren går konkurs er kundens data i fare for å bli utilgjengelige eller slettet uten varsel. Lovgivningen gir lite automatisk vern: kundens data lagres typisk i leverandørens skyinfrastruktur, og infrastrukturen kan bli avviklet raskt ved konkurs. For å beskytte seg bør kunden: (1) Inkludere en dataeksportklausul som gir kunden rett til umiddelbar eksport av alle data i et standard format ved leverandørens insolvens eller vesentlige betalingsproblemer. (2) Vurdere escrow-løsning for kritisk kildekode, slik at kunden kan kjøre systemet selv dersom leverandøren faller bort. (3) Gjennomføre regelmessige eksporter av sine data til lokal backup, uavhengig av leverandørens sikkerhetskopiering. (4) Inkludere en bestemmelse om at ved konkursbehanlding eller avvikling har kunden prioritert rett til sine egne data. GDPR art. 28 nr. 3 bokstav g pålegger databehandleren å returnere eller slette alle personopplysninger etter oppdragets avslutning, men i praksis er det krevende å håndheve dette overfor en konkursbo. Datatilsynet kan bistå ved åpenbare GDPR-brudd knyttet til datatap.
Nei. Etter angrerettloven (2014) § 3 har forbrukere 14 dagers angrefrist for digitale tjenesteavtaler inngått elektronisk (herunder SaaS-abonnementer). Unntaket i angrerettloven § 22 bokstav o gjelder kun dersom: forbrukeren har gitt uttrykkelig samtykke til at levering av tjenesten starter umiddelbart i angrefristen, og forbrukeren erkjenner at angreretten dermed bortfaller når tjenesten er fullt levert. For SaaS-abonnementer som starter umiddelbart etter betaling kan leverandøren bruke dette unntaket, men da bare dersom forbrukeren aktivt samtykker i et eget avkrysningsfelt under bestilling. En SaaS-avtale som automatisk starter levering uten slikt samtykke gir forbrukeren fullt 14-dagers angrefrist. Forbrukerkjøpsloven (2002) gjelder ikke direkte for digitale tjenester (kun for varer), men angrerettlovens forbrukerbeskyttelse er ufravikelig til forbrukerens skade. Profesjonelle kunder (næringsdrivende) har ingen lovpålagt angrefrist og er bundet av kontrakten fra signering.
GDPR art. 32 pålegger databehandleren (SaaS-leverandøren) å gjennomføre tekniske og organisatoriske tiltak som er egnet til å sikre et sikkerhetsnivå som er hensiktsmessig med hensyn til risikoen. I en SaaS-avtale bør følgende dokumenteres: kryptering av data i overføring (TLS 1.2 eller høyere) og lagring (AES-256 eller tilsvarende), tilgangskontroll med multifaktorautentisering (MFA) for systemtilgang, daglig automatisk sikkerhetskopiering med minimum 30 dagers oppbevaring og dokumentert gjenopprettingsprosedyre, sårbarhetsskanninger og penetrasjonstesting minst én gang per år, hendelsesresponsplan med varslingsplikt til kunden senest 72 timer etter oppdaget personvernbrudd etter GDPR art. 33, og leverandørens eventuelle sikkerhetsertifisering (ISO 27001, SOC 2 Type II). For virksomheter i kritisk infrastruktur (helse, finans, energi) stiller Datatilsynet og Nasjonal sikkerhetsmyndighet (NSM) i tillegg krav etter sikkerhetsloven (2018) og sektorspesifikke reguleringer. NSM utgir anbefalte sikkerhetsprinsipper for norske virksomheter.
En SaaS-avtale (Software as a Service) gjelder spesifikt abonnement på en ferdig programvareapplikasjon som leveres via Internett, uten at kunden installerer eller drifter noe selv – eksempler er Tripletex (regnskap), Salesforce (CRM) og Office 365 (kontorprogramvare). Kunden har ikke tilgang til eller kontroll over den underliggende infrastrukturen. En skytjenesteavtale dekker bredere skyinfrastruktur-tjenester og inkluderer i tillegg IaaS (Infrastructure as a Service: virtuelle servere, lagringstjenester, nettverksressurser – for eksempel AWS EC2, Azure VM) og PaaS (Platform as a Service: utviklingsplattformer og databaser – for eksempel Azure App Service, Google App Engine). Ved IaaS og PaaS har kunden mer kontroll og mer ansvar for egne applikasjoner og data enn ved SaaS. I praksis brukes «skytjenesteavtale» og «SaaS-avtale» av og til om hverandre, men det er viktig å skille dem da omfanget av partenes plikter – særlig i GDPR-sammenheng – varierer etter hvilken tjenesteleveransemodell som gjelder. For IaaS og PaaS vil kunden ha mer ansvar for GDPR-etterlevelse av de applikasjoner som kjøres på infrastrukturen.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Skytjenesteavtale Norge
Skriftlig skytjenesteavtale for IaaS, PaaS og skylagring mellom norsk skyleverandør og kunde, med innebygd GDPR-databehandleravtale. Regulert av avtaleloven (1918), personopplysningsloven (2018) og GDPR (EU 2016/679).
Lisensavtale Norge
Skriftlig lisensavtale for bruk av immaterialrettigheter i Norge, herunder opphavsrett, patent, varemerke, design og programvare. Regulert av åndsverkloven (2018), patentloven (1967), varemerkeloven (2010) og avtaleloven (1918).
Personvernerklæring Norge
Personvernerklæring for nettsteder og virksomheter etter personvernforordningen (GDPR) artiklene 13 og 14, personopplysningsloven (2018) og ekomloven. Beskriver behandlingsansvarlig, kategorier av opplysninger, rettslige grunnlag, lagringstid, de registrertes rettigheter, informasjonskapsler og klage til Datatilsynet.
Konfidensialitetsavtale (NDA) Norge
Skriftlig konfidensialitetsavtale (NDA) mellom parter for vern av forretningssensitiv informasjon, kildekode, kundeopplysninger og forretningshemmeligheter. Regulert av avtaleloven (1918), forretningshemmelighetsloven (2020) og personopplysningsloven (2018).