IT Managed Services Agreement Norway
DRIFTSAVTALE FOR IT-SYSTEMER (MANAGED SERVICES)
Inngått i henhold til avtaleloven (1918), personopplysningsloven (2018), GDPR (EU 2016/679) og kjøpsloven (1988).
Partene
MELLOM:
1. [Drifts Leverandor Navn], organisasjonsnummer [Drifts Leverandor Orgnr], med forretningssted [Drifts Leverandor Adresse], heretter kalt «Leverandøren»;
OG
2. [Drifts Kunde Navn], organisasjonsnummer [Drifts Kunde Orgnr], med adresse [Drifts Kunde Adresse], heretter kalt «Kunden»;
HAR PARTENE INNGÅTT FØLGENDE DRIFTSAVTALE:
§ 1 Driftsomfang
§ 1 DRIFTSOMFANG
1.1 Leverandøren overtar det operative driftsansvaret for følgende IT-systemer: [Drifts Systemer], lokalisert ved: [Drifts Lokasjoner].
1.2 Driftsmodell: [Drifts Modell].
1.3 Inkluderte driftstjenester: proaktiv systemovervåking 24/7, OS- og applikasjonssikkerhetsoppdateringer, kapasitetsadministrasjon, brukertilgangsstyring, brannmuradministrasjon, daglig sikkerhetskopiering med minimum 30 dagers oppbevaring, og månedlig driftsrapport.
§ 2 Driftsgaranti og SLA
§ 2 DRIFTSGARANTI OG SLA
2.1 Leverandøren garanterer oppetid på: [Drifts Oppetid]. Nedetid måles per kalendermåned og beregnes eksklusiv planlagt vedlikehold.
2.2 Responstid ved kritisk driftssvikt: [Drifts Respons Tid]. «Kritisk driftssvikt» er definert som: systemet er helt utilgjengelig, sikkerhetshendelse er under utvikling, eller mer enn 25 % av brukerne er berørt.
2.3 Planlagt vedlikeholdsvindu: [Drifts Vedlikeholdsvindu].
2.4 SLA-brudd gir Kunden rett til kreditering av 5 % av månedlig vederlag per prosentpoeng nedetid over garantinivået, begrenset til 50 % av månedlig vederlag totalt.
§ 3 Vederlag og betaling
§ 3 VEDERLAG OG BETALING
3.1 Kunden betaler månedlig driftsvederlag på [Drifts Mnd Vederlag] eksklusive MVA. Merverdiavgift på 25 % legges til etter merverdiavgiftsloven (2009).
3.2 Engangskostnad for oppsett og migrering: [Drifts Oppsett Kostnad] eksklusive MVA, faktureres ved oppstart.
3.3 Betalingsfrist: [Drifts Betalingsfrist] fra fakturadato. Forsinkelsesrente etter forsinkelsesrenteloven (1976) ved forsinket betaling.
§ 4 Personvern og GDPR
§ 4 PERSONVERN OG GDPR
4.1 Leverandøren er databehandler etter GDPR (EU 2016/679) art. 4 nr. 8 for personopplysninger Leverandøren behandler på vegne av Kunden i forbindelse med driftstjenestene. Kunden er behandlingsansvarlig.
4.2 Partene inngår separat databehandleravtale etter GDPR art. 28 som vedlegg til denne avtalen. Leverandøren behandler personopplysninger kun innenfor EØS, med mindre Kunden skriftlig har godkjent overføring til tredjeland på grunnlag av EU-standardkontraktklausuler etter GDPR art. 46.
4.3 Leverandøren varsler Kunden senest 24 timer etter oppdaget personvernbrudd for å gi Kunden mulighet til å oppfylle 72-timersfristen for varsling til Datatilsynet etter GDPR art. 33.
§ 5 Sikkerhet
§ 5 SIKKERHET
5.1 Leverandøren gjennomfører tekniske og organisatoriske sikkerhetstiltak etter GDPR art. 32 og NSM (Nasjonal sikkerhetsmyndighet) grunnprinsipper for IKT-sikkerhet, herunder kryptering, tilgangskontroll med MFA, logging og hendelsesrespons.
5.2 Leverandøren utfører sårbarhetsskanninger kvartalsvis og penetrasjonstesting minst én gang per år. Resultatene deles med Kunden.
5.3 Leverandøren har beredskapsplan (Disaster Recovery Plan) og Business Continuity Plan som sikrer gjenoppretting av kritiske systemer innen avtalte RTO (Recovery Time Objective) og RPO (Recovery Point Objective).
§ 6 Konfidensialitet og forretningshemmeligheter
§ 6 KONFIDENSIALITET
6.1 Leverandøren forplikter seg til å bevare taushet om Kundens systeminformasjon, forretningsdata, kundeopplysninger og forretningshemmeligheter etter forretningshemmelighetsloven (2020). Konfidensialitetsplikten overlever avtalens opphør i fem år.
§ 7 Ansvarsbegrensning
§ 7 ANSVARSBEGRENSNING
7.1 Leverandørens samlede erstatningsansvar er begrenset til det totale månedlige driftsvederlaget betalt de siste tolv månedene, med unntak for forsett og grov uaktsomhet.
7.2 Indirekte tap – driftsavbrudd, tapte inntekter, tapte kontrakter, omdømmetap – erstattes ikke, med unntak for forsett og grov uaktsomhet.
§ 8 Varighet, oppsigelse og avvikling
§ 8 VARIGHET, OPPSIGELSE OG AVVIKLING
8.1 Driftsavtalen løper i: [Drifts Avtale Periode].
8.2 Oppsigelse: [Drifts Oppsigelsesfrist] skriftlig varsel.
8.3 Avviklingsplan: Leverandøren bistår Kunden med avviklingsplan og dataeksport i maskinlesbart format i minimum 60 dager etter avtalens opphør. Avviklingsbistand faktureres til avtalt timepris.
§ 9 Lovvalg og tvister
§ 9 LOVVALG OG TVISTER
9.1 Avtalen er underlagt norsk rett, herunder avtaleloven (1918), personopplysningsloven (2018) og GDPR (EU 2016/679).
9.2 Uløste tvister avgjøres av kompetent norsk tingrett etter tvisteloven (2005).
Signering
SIGNERING
Denne driftsavtalen er utferdiget i to likelydende eksemplarer og undertegnet i [Drifts Signerings Sted] den [Drifts Signerings Dato].
Leverandøren: __________________________ Kunden: __________________________
[Drifts Leverandor Navn] [Drifts Kunde Navn]
Leverandøren
________________
Signature
Kunden
________________
Signature
What Is a IT Managed Services Agreement Norway?
An IT Managed Services Agreement (Driftsavtale IT) in Norway is a contract under which an IT provider takes over the full operational responsibility for a customer's IT systems — including servers, networks, cloud services and software — for a recurring monthly fee. Unlike a maintenance agreement, the provider proactively monitors, manages and optimises the systems 24/7. Norwegian law governs these agreements through avtaleloven (1918), kjøpsloven (1988), personopplysningsloven (2018) and GDPR (EU 2016/679). A mandatory GDPR data processing agreement (DPA) under Article 28 is required since the provider processes personal data. Key elements are uptime SLA, response times, security measures, data processing terms and an exit/migration plan. Disputes go before a Norwegian tingrett.
When Do You Need a IT Managed Services Agreement Norway?
Driftsavtale IT i Norge er nødvendig i følgende situasjoner der virksomheter setter bort den operative IT-driften.
SMB-er uten intern IT-avdeling. Den vanligste brukssituasjonen er SMB-er med 5-100 ansatte som ikke har kapasitet eller kompetanse til å drifte sin IT-infrastruktur internt. En driftsavtale gir dem tilgang til profesjonell 24/7 drift, sikkerhetsovervåking og support til en fast månedspris. Alternativet – å ansette egne IT-ansatte – er vesentlig dyrere og gir ikke tilsvarende bredde i kompetanse.
Virksomheter med geografisk spredt infrastruktur. Norske virksomheter med lokasjoner i flere byer eller kommuner, eventuelt med fjernarbeidende ansatte, har behov for sentralisert IT-drift og nettverksadministrasjon som sikrer konsistent ytelse, sikkerhet og tilgangsstyring på tvers av lokasjoner.
Overgang til skyen (cloud migration). Virksomheter som migrerer fra on-premises infrastruktur til Azure, AWS eller Google Cloud trenger en driftsavtale som regulerer overgangen og den løpende driften i sky-miljøet. Leverandøren bistår med migreringsplanlegging, gjennomføring og løpende sky-drift etter migrering.
Kritisk infrastruktur og krav til 24/7 drift. Produksjonsbedrifter, sykehus, kommuner, nettbutikker og finansinstitusjoner som ikke tåler driftsavbrudd, krever driftsavtaler med strenge SLA-krav (oppetid 99,9 % eller høyere), korte responstider (15-60 minutter) og 24/7 overvåking. En vedlikeholdsavtale med normale arbeidstidsresponstider er utilstrekkelig for disse virksomhetene.
Sikkerhetsdrift og SOC-tjenester. Norske virksomheter som trenger Security Operations Center (SOC)-tjenester – kontinuerlig overvåking av sikkerhetshendelser, trusseldeteksjon og hendelsesrespons – inngår driftsavtaler med MSP-er som har SOC-kapasitet. NSM (nsm.no) anbefaler at alle virksomheter med kritisk infrastruktur etablerer overvåkede sikkerhetskontroller.
Offentlig sektor med SSA-V-krav. Offentlige virksomheter som setter bort IT-drift er underlagt anskaffelsesloven (2016) og statens standardavtaler for IKT (SSA-D for drift og SSA-V for vedlikehold/forvaltning). Digitaliseringsdirektoratet (digdir.no) publiserer gjeldende SSA-maler.
What to Include in Your IT Managed Services Agreement Norway
En rettslig solid driftsavtale for IT i Norge inneholder følgende nøkkelelementer etter avtaleloven (1918), GDPR og sikkerhetsloven (2018).
Full og presis systemliste. Eksakt beskrivelse av alle hardware, programvare, nettverk og skyabonnementer som er inkludert i driftsomfanget. Inkluder serienumre for hardware, versjonsinformasjon for programvare og abonnementsidentifikatorer for sky-tjenester. Utstyr utenfor listen er ikke dekket av driftsvederlaget.
Klar driftsmodell og ansvarsmatrise. Definer om driften er on-premises, skybasert, hybrid eller colocation. Angi en tydelig RACI-matrise (Responsible, Accountable, Consulted, Informed) for alle driftsoppgaver: hvem som eier hva, hvem som utfører hva, og hvem som godkjenner endringer.
SLA med målbare garantier. Oppetidsprosent (typisk 99,5-99,9 % for norske driftsavtaler), definisjon av nedetid, måleperiode (per kalendermåned), målemetode (ekstern overvåking), planlagt vedlikeholdsvindu med varselfrist, og krediteringsmodell ved SLA-brudd.
GDPR-databehandleravtale. Leverandøren er databehandler etter GDPR art. 4 nr. 8. Obligatorisk databehandleravtale etter GDPR art. 28 som regulerer behandlingens formål, sikkerhetstiltak, sub-prosessorer (underleverandører), datalagring innenfor EØS, varsling ved personvernbrudd innen 24 timer (for å gi kunden mulighet til å overholde 72-timersfristen til Datatilsynet etter art. 33), og sletting av data ved avtalens opphør.
Sikkerhetstiltak og beredskapsplan. Tekniske og organisatoriske sikkerhetstiltak etter GDPR art. 32 og NSM grunnprinsipper, herunder sårbarhetsskanning, penetrasjonstesting, hendelsesrespons (Incident Response Plan), Disaster Recovery Plan (DRP) med RTO og RPO, og Business Continuity Plan (BCP).
Avviklingsplan ved avtalens opphør. Driftsavtaler med lang bindingstid (12-36 måneder) og betydelig migreringskostnad krever en klar avviklingsplan. Reguler: leverandørens plikt til å bistå med migrering til ny leverandør, dataeksport i maskinlesbart standardformat, overlevering av systeminformasjon og dokumentasjon, og faktureringen av avviklingsbistand. Leverandørens «lock-in» – ved at kritiske systemer kun kjører på leverandørens proprietære infrastruktur – er et viktig forhandlingspunkt. Hent driftsavtalemaler for IT og relaterte dokumenter på forms-legal.com.
Prisjustering og endringsordreprosedyre. Angi leverandørens rett til prisjustering (typisk 1 gang per år med 30-60 dagers varsel), tak for prisstigning, og en formell endringsordreprosedyre (change request process) for endringer i driftsomfanget som påvirker vederlaget.
How to Fill Out Your IT Managed Services Agreement Norway
Driftsavtale IT for Norge fylles ut gjennom følgende trinn for fullstendig regulering av det operative driftsansvaret.
Trinn 1 - Identifiser partene. Oppgi Leverandørens og Kundens fulle foretaksnavn og organisasjonsnummer (9 siffer fra Foretaksregisteret hos Brønnøysundregistrene), kontrollert mot brreg.no. Angi fullstendige forretningsadresser og kontaktinformasjon for teknisk kontaktperson på begge sider.
Trinn 2 - Spesifiser driftsomfanget nøyaktig. List alle hardware, programvare og skyabonnementer som inngår i driften. Angi driftsmodell (on-prem, sky, hybrid, colocation). Upresise systemlister er den vanligste kilden til tvister i driftsavtaler.
Trinn 3 - Definer SLA-krav. Angi oppetidsprosent med presisjon (f.eks. 99,7 %), hva som regnes som nedetid, målemetode og planlagt vedlikeholdsvindu. Angi responstid ved kritisk driftssvikt og krediteringsmodell ved SLA-brudd.
Trinn 4 - Fastsett driftsvederlag og engangskostnader. Angi månedlig vederlag i NOK eksklusive MVA (MVA 25 % legges til etter merverdiavgiftsloven 2009). Angi eventuell engangspris for oppsett og migrering. Betalingsfrist og forsinkelsesrente.
Trinn 5 - Inngå databehandleravtale. Driftsavtalen bør eksplisitt fastslå at Leverandøren er databehandler etter GDPR art. 4 nr. 8 og at separat databehandleravtale etter GDPR art. 28 vedlegges. Angi datalagringens geografi (EØS) og varslingsfrist ved personvernbrudd.
Trinn 6 - Reguler sikkerhetstiltak. Angi Leverandørens forpliktelse til sårbarhetsskanning, penetrasjonstesting, DRP og BCP. Jo mer spesifikt, desto lavere risiko ved en sikkerhetshendelse.
Trinn 7 - Avvikling og migrering. Angi avviklingsperiode (minimum 60 dager), dataeksportformat, og leverandørens vederlag for avviklingsbistand. En driftsavtale uten avviklingsplan kan låse kunden inn hos leverandøren.
Trinn 8 - Angi oppsigelsesvarsel og bindingstid. Driftsavtaler har typisk 12-36 måneders bindingstid og 3-6 måneders oppsigelsesvarsel pga. migreringskostnader.
Trinn 9 - Signer og arkiver. Fyll inn sted og dato (DD.MM.ÅÅÅÅ). Begge parter signerer, to likelydende eksemplarer. Arkiver i avtaleperioden pluss tre år.
Legal Requirements for IT Managed Services Agreement Norway
Driftsavtale IT i Norge er underlagt et sammensatt regelverk fra kontraktsretten, personvernretten, sikkerhetsloven og offentlig innkjøpsregulering.
Avtaleloven (1918) og kjøpsloven (1988). Driftsavtaler er tjenestekontrakter regulert av avtaleloven (1918). Kjøpsloven (1988) gjelder analogt for elementene som ligner varekjøp (utstyrsleveranse, installasjon). Manglende overholdelse av SLA-krav og driftsforpliktelser kan utgjøre kontraktsbrudd som gir kunden rettsmidler etter alminnelig kontraktsrett: prisavslag, kreditering, heving og erstatning.
Personvernforordningen (GDPR, EU 2016/679) og personopplysningsloven (2018). IT-driftsleverandøren er databehandler etter GDPR art. 4 nr. 8 for alle personopplysninger i de systemer leverandøren drifter. GDPR art. 28 stiller absolutt krav om skriftlig databehandleravtale. Datatilsynet (datatilsynet.no) kan ilegge overtredelsesgebyr på inntil 20 millioner EUR eller 4 % av global årsomsetning. GDPR art. 32 pålegger leverandøren å gjennomføre egnede tekniske og organisatoriske tiltak for å sikre personopplysningene.
Forretningshemmelighetsloven (2020). Driftsleverandøren som har kontinuerlig tilgang til kundens systemer, databaser og forretningsinformasjon, er underlagt forretningshemmelighetsloven (2020) §§ 2-6. Ulovlig anskaffelse, bruk eller deling av forretningshemmeligheter er straffbart etter straffeloven (2005) § 207.
Sikkerhetsloven (2018) og NSM-krav. Driftsleverandører som leverer IT-drift til virksomheter underlagt sikkerhetsloven (2018) – forsvar, energi, finans, telekommunikasjon, transport – er underlagt krav til sikkerhetsklarering, leverandørvurdering og rapportering. NSM (nsm.no) gir veiledning og varsler om trusler mot norsk kritisk infrastruktur.
NIS2-direktivet (under implementering). EU-direktivet om nettverks- og informasjonssikkerhet (NIS2, 2022/2555) er under implementering i EØS/norsk rett. Direktivet stiller krav til sikkerhetstiltak og hendelsesrapportering for leverandører av digital infrastruktur og essensiell digital tjenester. Driftsavtaler for kritisk infrastruktur bør allerede nå adressere NIS2-kompatible sikkerhetskrav.
Anskaffelsesloven (2016) for offentlig sektor. Offentlige virksomheter som kjøper IT-driftstjenester over terskelverdiene er underlagt anskaffelsesloven (2016). Statens standardavtale for IT-drift (SSA-D) er tilgjengelig fra Digitaliseringsdirektoratet (digdir.no) og anbefales for alle offentlige IT-driftsanskaffelser.
Common Mistakes to Avoid in Your IT Managed Services Agreement Norway
Driftsavtale IT i Norge svekkes av følgende vanlige feil som kan medføre GDPR-bøter, kostbare tvister og leverandørlåsing.
Feil 1 - Uklar grense mellom inkludert drift og tilleggsarbeid. Den vanligste tvistegrunnen er uklarhet om hva det månedlige driftsvederlaget dekker versus hva som faktureres som tilleggsarbeid. «Systemadministrasjon» uten spesifisering av hvilke oppgaver som inngår gir leverandøren rom til å fakturere ekstra for rutinemessige driftsoppgaver. Definer inkluderte tjenester uttømmende.
Feil 2 - Manglende GDPR-databehandleravtale. En driftsavtale uten databehandleravtale er et alvorlig GDPR-brudd – driftsleverandøren har vedvarende tilgang til alle kundenes systemer og data. Datatilsynets veiledning er klar: det må inngås skriftlig databehandleravtale etter GDPR art. 28. Manglende DPA kan utløse betydelige overtredelsesgebyr.
Feil 3 - Ingen avviklingsplan. Driftsavtaler uten regulering av avviklingsperiode, dataeksport og migrering til ny leverandør gir leverandøren effektiv «lock-in». Kunden risikerer å bli sittende fast hos en leverandør som ikke lenger er tilfredsstillende fordi alternativet er for kostbart og tidkrevende. Angi alltid minimum 60 dagers avviklingsperiode med Leverandørens bistandsplikt.
Feil 4 - SLA uten effektiv håndhevelsesmekanisme. En SLA som gir kunden kreditering av et symbolsk beløp ved alvorlige brudd, eller som lar leverandøren definere sin egen etterlevelse, er ikke en effektiv garanti. Bruk uavhengig ekstern overvåking (tredjepartsovervåkingsverktøy) som grunnlag for SLA-rapportering, og sett krediteringsbeløpene til et nivå som faktisk motiverer leverandøren.
Feil 5 - Manglende beredskapsplan. Driftsavtaler uten krav om Disaster Recovery Plan (DRP) og Business Continuity Plan (BCP) med målbare RTO (Recovery Time Objective) og RPO (Recovery Point Objective) gir kunden ingen garanti for gjenoppretting etter systemkollaps. For virksomheter som ikke tåler mer enn noen timers driftsavbrudd, er dette kritisk.
Feil 6 - Prisjustering uten tak. Driftsavtaler som gir leverandøren ubegrenset rett til prisjustering med 30 dagers varsel gir kunden ingen kostnadsforutsigbarhet over en 24-36 måneders bindingstid. Angi tak for prisstigning (f.eks. 5-10 % per år) og kundens rett til å si opp ved prisstigning over taksatsen.
Feil 7 - Manglende regulering av underleverandørers (sub-prosessorers) tilgang. Driftsleverandøren bruker typisk underleverandører for skyinfrastruktur (AWS, Azure, Google Cloud), nettverkskomponenter og spesialiserte støttetjenester. GDPR art. 28 nr. 2 krever at alle underleverandører som behandler personopplysninger er godkjent av kunden og bundet av tilsvarende GDPR-krav. Leverandørens sub-prosessorliste bør vedlegges avtalen.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). IT Managed Services Agreement Norway (Norway) [Legal document template]. Forms Legal. https://forms-legal.com/norge/business/services/it-managed-services-agreement
"IT Managed Services Agreement Norway (Norway)." Forms Legal, 2026, https://forms-legal.com/norge/business/services/it-managed-services-agreement.
@misc{formslegal-it-managed-services-agreement,
author = {{Forms Legal}},
title = {IT Managed Services Agreement Norway (Norway)},
year = {2026},
howpublished = {\url{https://forms-legal.com/norge/business/services/it-managed-services-agreement}},
note = {Free legal document template}
}Frequently Asked Questions
En driftsavtale IT (managed services) gjelder leverandørens operative ansvar for å drive kundens egne IT-systemer – servere, nettverk, applikasjoner som kunden eier eller lisenserer. Leverandøren er som en ekstern IT-avdeling: de driver Kundens infrastruktur, ikke sin egen. En SaaS-avtale (Software as a Service) gjelder derimot kundens abonnement på en ferdig applikasjon som leverandøren utvikler, drifter og vedlikeholder på sin egen infrastruktur. Kunden bruker programvaren over Internett uten å eie eller drifte infrastrukturen. Ansvarsfordelingen er vesentlig forskjellig: ved driftsavtale er kunden system-eier og leverandøren driftsoperatør; ved SaaS eier og drifter leverandøren alt, og kunden abonnerer på tilgang. For GDPR-formål er begge leverandørtyper normalt databehandlere, men ansvarsomfanget og kontrollnivået over data er forskjellig.
Dersom IT-driftsleverandøren går konkurs, er kundens systemer og data i en kritisk situasjon. Norsk konkurslovgivning (konkursloven 1984) gir konkursboet rett til å videreføre eller avslutte løpende avtaler, men i praksis vil IT-driften bli avviklet raskt. Kunden bør forberede seg med følgende tiltak i avtalen: (1) Avviklingsklausul ved insolvens som gir kunden rett til umiddelbar dataeksport og tilgang til konfigurasjonsdata ved betalingsinnstilling eller konkurs. (2) Datadeponering: kritisk konfigurasjonsdokumentasjon, kildekode for skreddersydde løsninger og API-nøkler deponeres hos en uavhengig tredjepart (escrow). (3) Exitplan: regelmessig oppdatert migreringsplan som kan aktiveres på 1-2 uker. (4) Redundans: dual-sourcing av kritiske systemer der mulig. GDPR art. 28 nr. 3 bokstav g pålegger databehandleren å returnere alle personopplysninger ved oppdragets avslutning, men håndhevelse mot et konkursbo er krevende.
Ja, men med GDPR-krav. AWS, Microsoft Azure og Google Cloud driver datasentre i Europa (herunder i Sverige, Nederland, Irland og Frankfurt) som plasserer data innenfor EØS. Drift innenfor EØS er i utgangspunktet GDPR-konformt. Dersom data overføres til USA-baserte datasentre (f.eks. for backup, analyser eller support), krever GDPR art. 44-49 et særskilt overføringsgrunnlag. Det vanligste grunnlaget er EU-standardkontraktklausuler (SCC), vedtatt av EU-kommisjonen i 2021. AWS, Azure og Google tilbyr alle SCC som del av sine databehandleravtaler. Etter Schrems II-dommen (C-311/18, 2020) og den påfølgende EU-US Data Privacy Framework (DPF, 2023), er overføring til DPF-sertifiserte amerikanske leverandører (herunder AWS, Microsoft, Google) igjen tillatt. Kunden bør i driftsavtalen kreve: EØS-datalagring som standard, dokumentert SCC-grunnlag for enhver overføring til tredjeland, og en oppdatert sub-prosessorliste med geografisk plassering av data.
RTO (Recovery Time Objective) er den maksimale akseptable nedtiden fra et systemsvikt inntrer til systemet er gjenopprettet og operativt igjen. RPO (Recovery Point Objective) er det maksimale akseptable datatapet, målt i tid: altså hvor gammel den siste gjenopprettbare backupen kan være ved et svikt. Eksempel: RTO = 4 timer betyr at systemet skal være oppe igjen innen 4 timer etter en total kollaps. RPO = 1 time betyr at maksimalt 1 time med data kan gå tapt (backupen kjøres minst hver time). I en driftsavtale reguleres RTO og RPO typisk som en del av SLA-klausulen eller i en separat Disaster Recovery Plan (DRP). Kunden bør fastsette konkrete RTO og RPO basert på forretningsmessig kritikalitet: for en nettbutikk kan RTO = 2 timer og RPO = 15 minutter være nødvendig; for et internt administrasjonssystem kan RTO = 24 timer og RPO = 4 timer være akseptabelt. Leverandøren priser driftsvederlaget etter de angitte RTO/RPO-kravene – stramme krav krever kostbar redundant infrastruktur.
SSA-D (Statens standardavtale for kjøp av driftstjenester) er en kontraktsmal utarbeidet av Digitaliseringsdirektoratet for norsk offentlig sektors anskaffelse av IT-driftstjenester. SSA-D dekker: driftsomfang og systemspesifikasjon, SLA-krav og driftsgarantier, sikkerhets- og konfidensialitetskrav, endringsordreprosedyre, GDPR-databehandlerbestemmelser, prising og fakturering, og avviklingsbestemmelser. SSA-D er ikke obligatorisk for private virksomheter, men er et anerkjent bransjestandard-dokument som kan brukes som startpunkt for forhandlinger mellom private aktører. For statlige virksomheter er SSA-D anbefalt ved driftsanskaffelser over terskelverdiene; for helseforetak, kommuner og universiteter er det varierende praksis. Digitaliseringsdirektoratet (digdir.no) tilgjengeliggjør alle SSA-maler gratis, inkludert veiledere og kommentarer.
En godt utformet driftsavtale skal sikre at kunden alltid eier sine data og kan eksportere dem ved leverandørbytte. Prinsippet om dataeierskap tilsier at kunden eier alle data som er lagret i systemene leverandøren drifter, uavhengig av på hvilken infrastruktur de er lagret. I praksis kan leverandørlåsing oppstå dersom: (1) data er lagret i proprietære formater som ikke enkelt eksporteres, (2) driften er avhengig av leverandørspesifikke teknologier, (3) avviklingsperioden er for kort for en forsvarlig migrering. Avviklingsklausulen bør sikre: minimum 60-90 dagers avviklingsperiode fra oppsigelse, leverandørens bistandsplikt med migrering, eksport av alle data i åpne standardformater (JSON, CSV, SQL-dump, OVF for VM-er), overlevering av teknisk dokumentasjon og konfigurasjonsinformasjon, og et rimelig avviklingsvederlag. GDPR art. 28 nr. 3 bokstav g stiller krav om retur eller sletting av data ved oppdragets avslutning.
Norske IT-driftsleverandører bør oppfylle følgende sikkerhetsstandarder og rammeverk: ISO/IEC 27001 (Informasjonssikkerhetsstyring): den mest anerkjente internasjonale sikkerhetsstandarden. ISO 27001-sertifisering dokumenterer at leverandøren har et systematisk informasjonssikkerhetsstyringssystem (ISMS). SOC 2 Type II: en amerikansk revisjonsstandard (AICPA) som vurderer sikkerhet, tilgjengelighet, prosessintegritet, konfidensialitet og personvern. SOC 2 Type II-rapport (basert på observasjoner over minimum 6 måneder) er høyt verdsatt av internasjonale kunder. NSM Grunnprinsipper for IKT-sikkerhet: Nasjonal sikkerhetsmyndighets (nsm.no) rammeverk for norsk IKT-sikkerhet, tilpasset norske trusselbilde og regulatoriske krav. CIS Controls (Center for Internet Security): en prioritert liste over 18 kritiske sikkerhetskontroller som gir praktisk veiledning. GDPR art. 32 stiller krav om «egnet» sikkerhetsnivå tilpasset risikoen – for driftsleverandører innebærer dette minimum kryptering, tilgangskontroll, logging, backup og hendelsesrespons.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Vedlikeholdsavtale IT Norge
Skriftlig vedlikeholdsavtale for IT-systemer i Norge, regulert av avtaleloven (1918) og kjøpsloven (1988). Dekker SLA-responstider, vedlikeholdsomfang, vederlag og ansvarsbegrensning for hardware, programvare og nettverkssystemer.
SaaS-avtale Norge
Skriftlig SaaS-avtale (programvare som tjeneste) mellom en norsk tjenesteleverandør og kunde, med innebygd GDPR-databehandleravtale etter GDPR art. 28. Regulert av avtaleloven (1918), personopplysningsloven (2018), åndsverkloven (2018) og merverdiavgiftsloven (2009).
Databehandleravtale Norge
Databehandleravtale som regulerer behandling av personopplysninger på vegne av behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018). Fastsetter instrukser, taushetsplikt, sikkerhetstiltak, underdatabehandlere, avviksmeldeplikt og sluttbehandling av opplysninger.
Skytjenesteavtale Norge
Skriftlig skytjenesteavtale for IaaS, PaaS og skylagring mellom norsk skyleverandør og kunde, med innebygd GDPR-databehandleravtale. Regulert av avtaleloven (1918), personopplysningsloven (2018) og GDPR (EU 2016/679).