Web Hosting Agreement Norway
HOSTINGAVTALE
Inngått i henhold til avtaleloven (1918), personopplysningsloven (2018), GDPR (EU 2016/679) og ekomloven (2003).
Partene
MELLOM:
1. [Hosting Leverandor Navn], organisasjonsnummer [Hosting Leverandor Orgnr], med forretningssted [Hosting Leverandor Adresse], e-post: [Hosting Leverandor Epost], heretter kalt «Leverandøren»;
OG
2. [Hosting Kunde Navn], org.-/fødselsnummer [Hosting Kunde Orgnr], med adresse [Hosting Kunde Adresse], heretter kalt «Kunden»;
HAR PARTENE INNGÅTT FØLGENDE HOSTINGAVTALE:
§ 1 Hostingtjeneste og spesifikasjon
§ 1 HOSTINGTJENESTE OG SPESIFIKASJON
1.1 Leverandøren leverer hostingtjeneste av typen: [Hosting Type], med følgende teknisk spesifikasjon: [Hosting Spesifikasjon].
1.2 Kundens data lagres i datasenter lokalisert i: [Datasenter Lokasjon]. Leverandøren lagrer ikke Kundens data utenfor angitt lokasjon uten skriftlig samtykke fra Kunden.
§ 2 Tilgjengelighetsgaranti (SLA)
§ 2 TILGJENGELIGHETSGARANTI (SLA)
2.1 Leverandøren garanterer månedlig oppetid på: [Hosting Oppetid]. Nedetid beregnes eksklusiv planlagt vedlikehold.
2.2 Planlagt vedlikeholdsvindu: [Hosting Vedlikeholdsvindu]. Forhåndsvarsel gis til Kundens registrerte e-postadresse.
2.3 SLA-brudd gir Kunden rett til kreditering av 1/30 av månedlig hostingpris per dag med brudd ut over garantinivået. Kreditering fremmes skriftlig innen 30 dager etter SLA-bruddet.
§ 3 Pris og betaling
§ 3 PRIS OG BETALING
3.1 Kunden betaler månedlig hostingpris på [Hosting Mnd Pris] eksklusive MVA, fakturert: [Hosting Fakturering]. Merverdiavgift på 25 % legges til etter merverdiavgiftsloven (2009).
3.2 Betalingsfrist er 14 dager fra fakturadato. Forsinkelsesrente etter forsinkelsesrenteloven (1976) ved forsinket betaling. Leverandøren kan suspendere tjenesten ved betalingsforsinkelse over 30 dager etter skriftlig varsel.
§ 4 Kundens plikter og akseptabel bruk
§ 4 KUNDENS PLIKTER OG AKSEPTABEL BRUK
4.1 Kunden er ansvarlig for innholdet som lagres og publiseres på hostinginfrastrukturen. Forbudt innhold og aktiviteter: ulovlig innhold etter norsk rett, spam-distribusjon, phishing, cryptocurrency mining uten skriftlig samtykke, portskanning og angrep mot tredjeparter, og lagring av materiale som krenker opphavsrettigheter etter åndsverkloven (2018).
4.2 Kunden overholder ekomloven (2003) og datatilsynets krav for tjenester rettet mot norske brukere.
4.3 Kunden er ansvarlig for sikker håndtering av innloggingsopplysninger. Kunden varsler Leverandøren umiddelbart ved mistenkt sikkerhetsbrudd.
§ 5 Personvern og GDPR
§ 5 PERSONVERN OG GDPR
5.1 Leverandøren er databehandler etter GDPR (EU 2016/679) art. 4 nr. 8 for personopplysninger Kunden lagrer på hostinginfrastrukturen. Kunden er behandlingsansvarlig. Partene inngår separat databehandleravtale etter GDPR art. 28 som vedlegg til denne avtalen.
5.2 Leverandøren lagrer Kundens data innen EØS og varsler Kunden senest 24 timer etter oppdaget personvernbrudd for å gi Kunden mulighet til å oppfylle 72-timersfristen til Datatilsynet etter GDPR art. 33.
§ 6 Sikkerhetskopiering
§ 6 SIKKERHETSKOPIERING
6.1 Leverandøren gjennomfører daglig automatisk sikkerhetskopiering av Kundens data med minimum 14 dagers oppbevaring, lagret geografisk redundant.
6.2 Kunden er anbefalt å gjennomføre egne sikkerhetskopier i tillegg til Leverandørens backup. Leverandøren er ikke ansvarlig for datatap som skyldes feil utenfor Leverandørens kontroll (force majeure, Kundens egne feil).
§ 7 Ansvarsbegrensning
§ 7 ANSVARSBEGRENSNING
7.1 Leverandørens samlede erstatningsansvar er begrenset til det månedlige hostingvederlaget betalt de siste tolv månedene, med unntak for forsett og grov uaktsomhet. Indirekte tap erstattes ikke.
§ 8 Oppsigelse og dataeksport
§ 8 OPPSIGELSE OG DATAEKSPORT
8.1 Avtalen sies opp med: [Hosting Oppsigelse] skriftlig varsel. Leverandøren kan heve avtalen med øyeblikkelig virkning ved vesentlig mislighold (ulovlig innhold, gjentatt betalingssvikt).
8.2 Ved opphør gir Leverandøren Kunden 30 dager til å laste ned og eksportere alle data. Etter eksportperioden slettes alle Kundens data sikkert og permanent.
§ 9 Lovvalg og tvister
§ 9 LOVVALG OG TVISTER
9.1 Avtalen er underlagt norsk rett, herunder avtaleloven (1918), personopplysningsloven (2018), GDPR (EU 2016/679) og ekomloven (2003).
9.2 Uløste tvister avgjøres av kompetent norsk tingrett etter tvisteloven (2005). Forbrukere kan klage til Forbrukertilsynet (forbrukertilsynet.no).
Signering
SIGNERING
Denne hostingavtalen er utferdiget i to likelydende eksemplarer og undertegnet i [Hosting Signerings Sted] den [Hosting Signerings Dato].
Leverandøren: __________________________ Kunden: __________________________
[Hosting Leverandor Navn] [Hosting Kunde Navn]
Leverandøren
________________
Signature
Kunden
________________
Signature
What Is a Web Hosting Agreement Norway?
A Web Hosting Agreement (Hostingavtale) in Norway is a contract under which a hosting provider grants a customer server resources, storage, bandwidth and related infrastructure services for running websites, web applications or digital services. Norwegian law governs through avtaleloven (1918) for contract formation, personopplysningsloven (2018) and GDPR (EU 2016/679) since the provider processes personal data, and ekomloven (2003) for electronic communications security. Key elements are hosting type (shared, VPS, dedicated, cloud), technical specification, uptime SLA, acceptable use policy, GDPR data processing agreement, daily backups, and data export procedure at termination. Disputes go before a Norwegian tingrett; consumers may complain to Forbrukertilsynet.
When Do You Need a Web Hosting Agreement Norway?
Hostingavtale i Norge er nødvendig i alle situasjoner der en virksomhet leier serverressurser fra en ekstern leverandør.
Nettsteder og nettbutikker. Norske virksomheter fra enkle presentasjonsnettsteder til komplekse nettbutikker (WooCommerce, Shopify, Magento) trenger en hostingavtale som regulerer oppetid, backup, GDPR-etterlevelse og hva som skjer med nettstedsdataene ved opphør. Enhver norsk nettbutikk som behandler kundeopplysninger er behandlingsansvarlig etter GDPR og plikter å ha databehandleravtale med hostingleverandøren.
Webapplikasjoner og SaaS-plattformer. Norske programvareselskaper som kjører sine SaaS-applikasjoner på ekstern hostinginfrastruktur (VPS, dedikert server, cloud) trenger en hostingavtale som regulerer ytelse, SLA, sikkerhetsoppdateringer av serverinfrastruktur og GDPR-krav for alle sluttbrukerdata som behandles på infrastrukturen.
Publikasjoner og medier. Norske aviser, blogger, fagpublikasjoner og podcastplattformer trenger hostingavtaler som regulerer innholdseierskap, båndbredde for topp-trafikk, CDN-integrering og oppetidsgaranti for redaksjonelt innhold. Pressefrihetsloven og norsk presserett stiller ikke særskilte krav til hosting, men åndsverkloven (2018) og straffbarhetstesting for ytringer er relevante.
Offentlige etater og kommuner. Norske kommuner og statlige etater som benytter ekstern hosting for sine nettsteder og borgertjenester er underlagt anskaffelsesloven (2016) og Nasjonal sikkerhetsmyndighets (NSM) retningslinjer for offentlig IKT-infrastruktur. Statens standardavtale SSA-L (løpende tjenester) er relevant for hosting-anskaffelser i offentlig sektor. Sensitive offentlige data bør lagres i Norge eller EØS.
Helse- og omsorgsvirksomheter. Helseforetak, legekontorer, tannleger og omsorgsinstitusjoner som driver nettsteder som behandler pasientopplysninger, er underlagt Normen (Norm for informasjonssikkerhet i helse- og omsorgssektoren) og GDPR art. 9 (særlige kategorier). Hosting for helsedata krever særlige sikkerhetstiltak og norsk eller EØS-basert datasenterplassering.
Fintech og betalingstjenester. Norske fintech-selskaper og betalingstjenesteleverandører er underlagt PCI DSS (Payment Card Industry Data Security Standard) for hosting av betalingskortdata, og Finanstilsynets krav til robust IT-infrastruktur. Hostingavtalen bør inneholde dokumentasjon for leverandørens PCI DSS-sertifisering.
What to Include in Your Web Hosting Agreement Norway
En rettslig solid hostingavtale for Norge inneholder følgende nøkkelelementer etter avtaleloven (1918), GDPR og ekomloven (2003).
Nøyaktig teknisk spesifikasjon. Hostingavtalen bør spesifisere: CPU-ressurser (vCPU, kjernetype), RAM, lagringstype og -kapasitet (NVMe SSD anbefales for ytelse), månedlig trafikk-inklusiv (og prisen for overbruk), operativsystem og versjon, kontrollpanel (cPanel, Plesk, ISPmanager, eller ingen), SSL-sertifikat (inkludert eller tillegg), e-posttjenester og e-postbegrensninger. Vag spesifikasjon («standard hosting») er ikke tilstrekkelig.
SLA med oppetidsgaranti. Oppetidsprosent per måned (typisk 99,5-99,9 % for norske hostingleverandører) med klar definisjon av nedetid og eksklusjoner (planlagt vedlikehold, force majeure). Planlagt vedlikeholdsvindu med minstevarselfrist (48 timer). Krediteringsmodell ved SLA-brudd. Norske nettbutikker under handelssesonger (Black Friday, jul) har særlig behov for garantert oppetid.
Datasenter-lokasjon og GDPR-overholdelse. Eksplisitt angivelse av datasenterets geografiske plassering. Leverandørens forpliktelse til å lagre Kundens data innen EØS (eventuelt spesifikt innen Norge for sensitive bransjer). Forbud mot dataoverføring til tredjeland uten Kundens skriftlige samtykke og GDPR-godkjent overføringsgrunnlag (EU-standardkontraktklausuler etter art. 46 nr. 2).
GDPR-databehandleravtale. Leverandøren er databehandler etter GDPR art. 4 nr. 8 for alle personopplysninger lagret på hostinginfrastrukturen. Obligatorisk databehandleravtale etter GDPR art. 28 regulerer formål, sikkerhetstiltak, varsling ved personvernbrudd (senest 24 timer til Kunden for å gi tid til 72-timers varsling til Datatilsynet etter art. 33), sub-prosessorer og sletting ved opphør. Datatilsynet (datatilsynet.no) fører tilsyn.
Akseptabel brukspolitikk. Klare regler for hva Kunden kan og ikke kan bruke hostinginfrastrukturen til: forbud mot spam, phishing, ulovlig innhold, cryptocurrency mining, portskanning og tjenesteangrep. Leverandørens rett til å suspendere tjenesten ved brudd, med og uten forhåndsvarsel avhengig av alvorlighetsgrad.
Sikkerhetskopiering og datagjenoppretting. Frekvens for automatisk backup (daglig anbefalt), oppbevaringstid (minimum 14 dager), lagringssted for backup (geografisk redundant, kryptert), og prosedyre for gjenoppretting. Kunden bør anbefales å ta egne backup-kopier i tillegg. For nettbutikker og databaser: angi om backup inkluderer databasedumper i tillegg til filsystemet. Hent hostingavtale og relaterte dokumenter på forms-legal.com.
Dataeksport og sletting ved opphør. Kundens rett til å eksportere alle data (filsystem, databaser, e-post) i et standardformat i minimum 30 dager etter opphør. Leverandørens plikt til sikker sletting av data etter eksportperioden, med skriftlig bekreftelse. Særlig viktig for GDPR-etterlevelse etter GDPR art. 28 nr. 3 bokstav g.
How to Fill Out Your Web Hosting Agreement Norway
Hostingavtale for Norge fylles ut gjennom følgende trinn for fullstendig regulering av hostingforholdet.
Trinn 1 - Identifiser partene. Oppgi Leverandørens og Kundens fulle foretaksnavn og organisasjonsnummer (9 siffer fra Foretaksregisteret hos Brønnøysundregistrene), kontrollert mot brreg.no. Angi e-postadresse for support og GDPR-henvendelser.
Trinn 2 - Velg og beskriv hostingtypen. Velg riktig hostingtype (delt, VPS, dedikert, sky, colocation). Angi teknisk spesifikasjon: CPU, RAM, lagring, trafikk, OS og inkluderte tjenester. Jo mer presis spesifikasjon, desto enklere å reklamere ved manglende leveranse.
Trinn 3 - Angi datasenter-lokasjon. Oppgi nøyaktig datasenter-adresse og land. For norske virksomheter med personopplysningsdata: velg EØS-basert datasenter og angi dette i avtalen. Uten eksplisitt angivelse kan Leverandøren flytte data til mer kosteffektive datasentre utenfor EØS.
Trinn 4 - Definer SLA og vedlikeholdsvindu. Angi oppetidsprosent (typisk 99,9 % for VPS og dedikert), definisjon av nedetid, planlagt vedlikeholdsvindu og varslingskrav. Angi krediteringsmodell ved SLA-brudd.
Trinn 5 - Fastsett pris og faktureringsperiode. Angi månedlig pris i NOK eksklusive MVA (MVA 25 % legges til). Velg faktureringsperiode. Angi betalingsfrist og forsinkelsesrente.
Trinn 6 - Inngå GDPR-databehandleravtale. Angi eksplisitt i hostingavtalen at Leverandøren er databehandler og at separat databehandleravtale etter GDPR art. 28 vedlegges. Angi varslingsplikt ved personvernbrudd (24 timer til Kunden).
Trinn 7 - Reguler akseptabel bruk. Inkluder klare regler for forbudt innhold og aktiviteter, og Leverandørens suspensjonsrett ved brudd.
Trinn 8 - Sikkerhetskopiering og dataeksport. Angi backup-frekvens, oppbevaringstid og gjenopprettingsprosedyre. Reguler Kundens dataeksportrett ved opphør (minimum 30 dager).
Trinn 9 - Signer og arkiver. Fyll inn sted og dato (DD.MM.ÅÅÅÅ). Begge parter signerer to likelydende eksemplarer. Arkiver i avtaleperioden pluss tre år.
Legal Requirements for Web Hosting Agreement Norway
Hostingavtale i Norge er underlagt et sammensatt regelverk fra kontraktsretten, personvernretten og elektronisk kommunikasjonsrett.
Avtaleloven (1918). Hostingavtaler er tjenestekontrakter regulert av avtaleloven (1918) for avtaleinngåelse, standardvilkår og gyldighet. Avtaleloven § 36 kan sette til side urimelige standardvilkår. Standardvilkår i B2C-hostingavtaler er underlagt Forbrukertilsynets tilsyn etter markedsføringsloven (2009) § 22.
Personvernforordningen (GDPR, EU 2016/679) og personopplysningsloven (2018). Hostingleverandøren som lagrer Kundens data – herunder personopplysninger om nettstedets besøkende – er databehandler etter GDPR art. 4 nr. 8. GDPR art. 28 krever skriftlig databehandleravtale. Datatilsynet (datatilsynet.no) kan ilegge overtredelsesgebyr på inntil 20 millioner EUR eller 4 % av global årsomsetning for brudd, herunder manglende databehandleravtale og lagring av personopplysninger utenfor EØS uten grunnlag. GDPR art. 32 pålegger leverandøren å gjennomføre tekniske og organisatoriske sikkerhetstiltak.
Ekomloven (2003). Tilbydere av elektroniske kommunikasjonstjenester er underlagt ekomloven (2003), som stiller krav til sikkerhet og konfidensialitet i elektronisk kommunikasjon. Nasjonal kommunikasjonsmyndighet (nkom.no) fører tilsyn. Ekomloven § 2-7 stiller krav til beskyttelse av kommunikasjonens konfidensialitet.
Ansvarsfrihetsdirektivet (ehandelsloven 2003, direktiv 2000/31/EF). Hostingleverandører er etter ehandelsloven (2003) § 18 ansvarsfrie for tredjepartsinnhold lagret på Kundens hosting-område, forutsatt at leverandøren ikke har kjennskap til ulovlig innhold og handler raskt for å fjerne det etter varsel (notice-and-takedown). Digital Services Act (EU 2022/2065), under implementering i EØS, skjerper kravene for større plattformer.
Skatteloven (1999) og bokføringsloven (2004). Fakturering for hostingtjenester er avgiftspliktig med 25 % MVA etter merverdiavgiftsloven (2009). Fakturaer må oppfylle bokføringsloven (2004) § 10 (fakturakrav). Hostingleverandøren som tilbyr tjenester til utenlandske kunder kan ha VOEC-forpliktelser (VAT on Electronic Commerce) under Skatteetatens ordning.
Common Mistakes to Avoid in Your Web Hosting Agreement Norway
Hostingavtale i Norge svekkes av følgende vanlige feil som kan medføre GDPR-bøter, datatap og uventede kostnader.
Feil 1 - Manglende databehandleravtale. Den vanligste og alvorligste feilen er at hostingavtalen ikke inneholder eller refererer til en databehandleravtale etter GDPR art. 28. Alle hostingleverandører som lagrer norske nettsteder med besøkendes personopplysninger (IP-adresser, cookies, kontaktskjemadata) er databehandlere. Datatilsynet har gjennomført tilsyn som avdekker at mange norske SMB-er mangler databehandleravtale med sin hostingleverandør.
Feil 2 - Uklar datasenter-lokasjon. Hostingavtaler som ikke angir eksplisitt hvor Kundens data lagres, gir leverandøren frihet til å flytte data til mer kosteffektive datasentre i land utenfor EØS – noe som kan utgjøre et GDPR-brudd. Krev alltid eksplisitt angivelse av datasenterland og forbud mot dataoverføring uten samtykke.
Feil 3 - Ingen SLA eller symbolsk kreditering. En hostingavtale uten oppetidsgaranti gir Kunden ingen kontraktsmessig beskyttelse ved nedetid. Mange norske nettbutikker taper titusener av kroner per time med nedetid under Black Friday eller juleshoppingen. Krev eksplisitt SLA (99,9 % for kritiske nettbutikker) og en meningsfull krediteringsmodell ved brudd.
Feil 4 - Akseptabel bruk ikke regulert. Hostingavtaler som ikke angir forbudt innhold og aktiviteter, etterlater Leverandøren uten kontraktsrettslig hjemmel til å suspendere Kunden ved misbruk. Samtidig gir uklar AUP (Acceptable Use Policy) Kunden rett til å bestride suspensjon. Definer forbudt aktivitet uttømmende.
Feil 5 - Backup ikke spesifisert. Mange hostingavtaler nevner «daglig backup» uten å spesifisere oppbevaringstid, lagringssted, gjenopprettingstid og om backup er kryptert og geografisk redundant. Kunden oppdager svakhetene ved backup-løsningen når den allerede har mistet data. Krev at backup-spesifikasjonen er en del av hostingavtalen.
Feil 6 - Ingen dataeksportklausul ved opphør. Hostingavtaler uten eksplisitt regulering av Kundens rett til å eksportere data ved opphør risikerer at Kunden mister tilgang til alle data umiddelbart etter avtalens opphør. For nettbutikker med hundretusenvis av kundeordrehistorikk kan dette være katastrofalt. Angi alltid minimum 30 dagers eksportperiode med Leverandørens bistandsplikt.
Feil 7 - Manglende regulering av overbruk-prising. Hostingavtaler med månedlig trafikk-inklusiv uten klar angivelse av overbruksprisen gir Leverandøren rom til å fakturere høye overbruksgebyrer ved trafikk-topper. En norsk nettbutikk som lanserer viral markedsføringskampanje og opplever 10× normal trafikk, risikerer en overraskende regning. Angi alltid overbrukspris per GB ekstra trafikk.
Sources & Citations
Statutory citations link to official government sources.
- Digital Services ActEU official
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Web Hosting Agreement Norway (Norway) [Legal document template]. Forms Legal. https://forms-legal.com/norge/business/services/web-hosting-agreement
"Web Hosting Agreement Norway (Norway)." Forms Legal, 2026, https://forms-legal.com/norge/business/services/web-hosting-agreement.
@misc{formslegal-web-hosting-agreement,
author = {{Forms Legal}},
title = {Web Hosting Agreement Norway (Norway)},
year = {2026},
howpublished = {\url{https://forms-legal.com/norge/business/services/web-hosting-agreement}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
Delt hosting (shared hosting): mange kunder deler de samme serverressursene (CPU, RAM, lagring). Billigst (NOK 29-199/mnd), men ytelse kan påvirkes av nabokunder («noisy neighbour»-effekt). Egnet for enkle nettsteder med lav trafikk. VPS (Virtuell Privat Server): en fysisk server deles mellom kunder, men via virtualiseringsteknologi (VMware, KVM, Hyper-V) er ressursene isolert. Garanterte CPU- og RAM-ressurser. Pris: NOK 100-1 000/mnd. Egnet for SMB-er med moderate trafikkbehov. Dedikert server: Kunden leier en hel fysisk server eksklusivt. Maksimal ytelse, full konfigurasjonsfrihet og ingen ressursdeling. Dyreste alternativ (NOK 2 000-15 000/mnd). Egnet for ressurskrevende applikasjoner og virksomheter med kritiske ytelseskrav. Skybasert hosting (cloud): skalerbar infrastruktur der ressurser kan skaleres opp og ned på minutter (AWS, Azure, Google Cloud, DigitalOcean). Forbruksbasert prising. Egnet for applikasjoner med variabel last og vekstbehov. For GDPR-formål er alle fire modellene likestilte; det avgjørende er datasenterets geografiske plassering og Leverandørens GDPR-overholdelse.
Ja – du kan kontraktuelt kreve at Leverandøren lagrer dine data i Norge. Et slikt krav bør fremgå eksplisitt av hostingavtalen: «Kundens data lagres utelukkende i datasenter lokalisert i Norge». Det finnes ikke et generelt lovkrav om norsk datalagring for private virksomheter, men Datatilsynet og NSM anbefaler norsk eller EØS-basert lagring for sensitive data. Norske datasenter: Digiplex (Ulven, Oslo), Green Mountain (Rennesøy og Valle), Lefdal Mine Datacenter (Måløy) og Bulk Infrastructure er blant de største norske datasenteroperatørene. For offentlig sektor gjelder strengere krav: Nasjonal sikkerhetsmyndighet (NSM) og Digitaliseringsdirektoratets retningslinjer anbefaler norsk lokalisering for kritiske offentlige data. For helsedata under Normen og finansdata under Finanstilsynet kan det finnes sektorspesifikke krav. Norske datasenter er underlagt norsk lov og fysisk rettshåndhevelse, noe som gir bedre beskyttelse mot utenlandsk myndighetstilgang enn utenlandsk hosting.
Ved SLA-brudd (nedetid over garantinivået) har Kunden normalt rett til kreditering av en andel av det månedlige hostingvederlaget, i henhold til hostingavtalens krediteringsmodell. En typisk norsk hostingavtale gir kreditering tilsvarende 1/30 av månedlig pris per dag med SLA-brudd. For å motta kreditering: fremsett kravet skriftlig (e-post) innen 30 dager etter SLA-bruddet med dokumentasjon (nedetidslogs, skjermbilder). Leverandøren plikter å svare innen rimelig tid. For alvorlige SLA-brudd: dersom Leverandøren gjentatte ganger ikke overholder SLA-garantien, kan dette utgjøre vesentlig kontraktsbrudd som gir rett til heving av hostingavtalen. Heving krever skriftlig varsel og rimelig rettingsfrist. For nettbutikker og SaaS med direkte inntektstap fra nedetiden: erstatning ut over SLA-kreditering kan kreves dersom Kundens tap er dokumentert og skyldtes Leverandørens uaktsomhet. Ansvarsbegrensningsklausulen i hostingavtalen (normalt 12 månedspriser som tak) er relevant.
Kravene til backup i en norsk hostingavtale bør dekke: Frekvens: daglig backup er standard for de fleste hostingtyper. For forretningskritiske systemer: real-time backup eller minimum hvert 4. time. Oppbevaringstid: minimum 14 dager, helst 30 dager. Lagringssted: geografisk adskilt fra primær lagring (redundant), helst i et annet datasenter eller annen brannsone. GDPR-krav: backup-lagringssted må oppfylle samme GDPR-krav som primærdata (EØS-lokasjon). Kryptering: backup bør krypteres (AES-256) for å hindre uautorisert tilgang ved eksponering av backup-mediet. Gjenopprettingstesting: Leverandøren bør periodisk teste at backup faktisk kan gjenopprettes (Restore Testing), og dokumentere RTO (Recovery Time Objective) for ulike feilscenarier. Omfang av backup: sørg for at backup inkluderer både filsystem (nettsidesfiler, konfigurasjonsfiler) og databaser (MySQL/PostgreSQL-dumper). Kunden er anbefalt å gjennomføre egne sikkerhetskopier i tillegg, uavhengig av Leverandørens backup. GDPR art. 32 krever tekniske tiltak som sikrer «tilgjengelighet og motstandsdyktighet» i behandlingssystemer og tjenester, noe som inkluderer backup-rutiner.
En akseptabel brukspolitikk (Acceptable Use Policy, AUP) er de kontraktsrettslige reglene som definerer hva Kunden kan og ikke kan gjøre med hostinginfrastrukturen. En AUP i en norsk hostingavtale bør eksplisitt forby: Ulovlig innhold: barnepornografi (straffbart etter straffeloven 2005 § 311), opphavsrettskrenkende innhold uten tillatelse (åndsverkloven 2018 §§ 2 og 79), hat-ytringer i strid med straffeloven § 185, og hets mot folkegrupper. Spam: utsendelse av masseunsolicited e-post (spam) i strid med markedsføringsloven (2009) § 15 og ekomloven (2003) § 2-13 (krav til samtykke for elektronisk markedsføring til forbrukere). Skadevare og phishing: distribusjon av virus, malware, ransomware, phishing-sider og andre skadelige programmer. Ressursmisbruk: cryptocurrency mining uten skriftlig samtykke, DDoS-angrep (straffbart etter straffeloven § 201), portskanning og automatiserte angrep mot tredjeparter. AUP-brudd: Leverandøren bør ha rett til umiddelbar suspensjon ved alvorlige brudd (ulovlig innhold, angrep) og varslet suspensjon (30 dager varsel) ved gjentatte mindre brudd.
En norsk hostingleverandør som lagrer personopplysninger på vegne av Kunden, er databehandler etter GDPR (EU 2016/679) art. 4 nr. 8. GDPR-kravene er: Databehandleravtale: skriftlig databehandleravtale etter GDPR art. 28 er obligatorisk. Datatilsynet (datatilsynet.no) tilbyr en veiledende DPA-mal. Sikkerhetstiltak: tekniske og organisatoriske tiltak etter GDPR art. 32: kryptering (data i overføring og lagring), tilgangskontroll, logging, backup, sårbarhetsskanning. Geografisk begrensning: ikke overføre personopplysninger til land utenfor EØS uten Kundens samtykke og GDPR-godkjent overføringsgrunnlag (EU-standardkontraktklausuler etter art. 46 nr. 2). Hendelsesrespons: varsle Kunden innen 24 timer ved oppdaget personvernbrudd (for å gi Kunden mulighet til å varsle Datatilsynet innen 72-timersfristen etter GDPR art. 33). Sletting ved opphør: returnere eller slette alle personopplysninger ved avtalens opphør etter GDPR art. 28 nr. 3 bokstav g. Sub-prosessorer: gi Kunden informasjon om alle underleverandører (sub-prosessorer) og ikke engasjere nye uten Kundens godkjenning. Datatilsynet kan ilegge hostingleverandøren overtredelsesgebyr ved brudd på GDPR-forpliktelsene.
En norsk hostingavtale bør regulere følgende ved oppsigelse: Eksportperiode: Kunden har rett til å laste ned og eksportere alle data (nettsidesfiler, databaser, e-post) i minimum 30 dager etter oppsigelsens effektive dato. Leverandøren skal opprettholde normal tilgang til kontrollpanelet i eksportperioden. Leverandørens bistandsplikt: ved spesifikke dataformatsproblemer (f.eks. proprietære databaseformater) bør Leverandøren gi teknisk bistand med konvertering til standardformat (CSV, SQL-dump) mot avtalte priser. Sletting av data: etter eksportperiodens utløp sletter Leverandøren alle Kundens data sikkert (overskriving etter NIST SP 800-88 eller tilsvarende standard) og bekrefter slettingen skriftlig. GDPR art. 28 nr. 3 bokstav g pålegger databehandleren å returnere eller slette alle personopplysninger ved oppdragets avslutning. Domene og DNS: hostingavtalen bør regulere overføring av domenenavn og DNS-konfigurasjon til ny leverandør. Domenet eies av Kunden (via domeneregistraret), men teknisk overføring krever samarbeid fra Leverandøren. Sikkerhetskopier etter opphør: Leverandørens egne sikkerhetskopier slettes normalt ved samme tid som primærdata; avklar dette eksplisitt i avtalen.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
SaaS-avtale Norge
Skriftlig SaaS-avtale (programvare som tjeneste) mellom en norsk tjenesteleverandør og kunde, med innebygd GDPR-databehandleravtale etter GDPR art. 28. Regulert av avtaleloven (1918), personopplysningsloven (2018), åndsverkloven (2018) og merverdiavgiftsloven (2009).
Driftsavtale IT Norge
Skriftlig driftsavtale (managed services) for IT-systemer i Norge. Leverandøren overtar operativt driftsansvar for hardware, programvare og nettverk. Dekker oppetidsgaranti, SLA, GDPR-databehandleravtale og avviklingsplan etter avtaleloven (1918) og personopplysningsloven (2018).
Databehandleravtale Norge
Databehandleravtale som regulerer behandling av personopplysninger på vegne av behandlingsansvarlig etter personvernforordningen (GDPR) artikkel 28 og personopplysningsloven (2018). Fastsetter instrukser, taushetsplikt, sikkerhetstiltak, underdatabehandlere, avviksmeldeplikt og sluttbehandling av opplysninger.
Skytjenesteavtale Norge
Skriftlig skytjenesteavtale for IaaS, PaaS og skylagring mellom norsk skyleverandør og kunde, med innebygd GDPR-databehandleravtale. Regulert av avtaleloven (1918), personopplysningsloven (2018) og GDPR (EU 2016/679).