Systemanvändningsavtal
SYSTEMANVÄNDNINGSAVTAL
Behörighetsavtal och säkerhetsregler för [System Namn]
1. AVTALETS PARTER
Systemägare: [Ag Namn], organisationsnummer [Ag Orgnr], [Ag Adress], systemansvarig: [Ag Kontakt] (nedan 'Systemägaren').
Användare: [Anv Namn], personnummer [Anv Personnr], roll: [Anv Roll], organisation: [Anv Organisation] (nedan 'Användaren').
2. SYSTEM OCH BEVILJAD BEHÖRIGHET
System: [System Namn]. Beviljad behörighetsnivå: [Behorighets Niva]. Detaljerad beskrivning av beviljad behörighet: [Behorighets Detaljer]. Behörighetens giltighetstid: [Behorighets Period]. Systemägaren förbehåller sig rätten att ändra, begränsa eller återkalla behörigheten med omedelbar verkan vid säkerhetsskäl eller vid Användarens avtalsbrott.
3. TILLÅTET ANVÄNDNINGSÄNDAMÅL
Behörigheten beviljas uteslutande för fullgörande av Användarens arbetsuppgifter eller uppdragsspecifika uppgifter enligt gällande anställningsavtal eller uppdragsavtal. Privat användning av systemet är förbjuden. Systemet och dess data ska inte användas för kommersiella ändamål utanför Systemägarens verksamhet, för konkurrensaktiviteter, eller för att bereda sig otillbörlig fördel. Lag (1974:984) om anställningsskydd (LAS) och lagen (2022:459) om skydd för arbetstagare som slår larm om missförhållanden (visselblåsarlagen) är tillämpliga om Användaren är anställd.
4. SÄKERHETSREGLER OCH SKYLDIGHETER
Lösenords- och inloggningsregler: [Losenords Regler]. Rapporteringsskyldighet: [Rapporterings Skyldighet]. Användaren åtar sig dessutom att: (a) inte installera obehörig programvara på systemet; (b) inte ansluta systemet till oskyddade externa nätverk utan Systemägarens godkännande; (c) logga ut och låsa datorstationen vid frånvaro; (d) inte spara systemets data på externa lagringsmedier (USB, privat molntjänst) utan uttryckligt tillstånd; och (e) inte röja inloggningsuppgifter eller autentiseringstoken till tredje part.
5. PERSONUPPGIFTER OCH GDPR
Om systemet innehåller personuppgifter är Användaren skyldig att behandla dessa i enlighet med GDPR (EU) 2016/679 och dataskyddslagen (2018:218). Principerna om uppgiftsminimering (art. 5.1c), ändamålsbegränsning (art. 5.1b) och lagringsminimering (art. 5.1e) gäller. Dataintrång och personuppgiftsincidenter ska rapporteras till Systemägarens systemansvarig och vid behov till IMY (Integritetsskyddsmyndigheten) inom 72 timmar (GDPR art. 33). Kränkning av GDPR kan ge Systemägaren rätt att säga upp behörigheten omedelbart och kräva skadestånd. Offentliga myndigheter och bolag hanterar personuppgifter enligt offentlighets- och sekretesslagen (2009:400).
6. SEKRETESS
Användaren förbinder sig att inte röja konfidentiell information tillgänglig via systemet till obehöriga, inklusive affärshemligheter som skyddas av lag (2018:558) om företagshemligheter. Sekretesskyldigheten kvarstår i fem år efter att behörigheten upphört. Kommunala och statliga tjänstemän är dessutom bundna av offentlighets- och sekretesslagen (2009:400) i relevant del. Vid tveksamt fall om sekretess ska råd inhämtas från systemansvarig.
7. ANSVAR OCH PÅFÖLJDER VID MISSBRUK
Obehörig åtkomst till informationssystem kan utgöra dataintrång (brottsbalken 4 kap. 9c §) med straff upp till 2 års fängelse. Obehörigt röjande av företagshemligheter kan ge skadeståndsskyldighet under lag (2018:558) om företagshemligheter. Användaren ansvarar för all aktivitet utförd med sina inloggningsuppgifter. Systemägaren har rätt att revidera och logga Användarens systemaktivitet för säkerhetsändamål, i enlighet med lag (2003:389) om elektronisk kommunikation 6 kap. 22 § och GDPR art. 6.1f (berättigat intresse).
8. UPPHÖRANDE OCH ÅTERLÄMNING
Behörigheten upphör automatiskt vid: (a) anställningens eller uppdragets avslutande, (b) behörighetsperiodens utgång, (c) Systemägarens återkallelse av behörighet, eller (d) Användarens avtalsbrott. Vid upphörande ska Användaren omedelbart upphöra att använda systemet och återlämna alla eventuella fysiska autentiseringsenheter (smartcard, hårdvarutoken). Systemägaren rensar Användarens konto inom 5 arbetsdagar efter behörighetens upphörande. Avtalet styrs av svensk lag och tvister avgörs i Systemägarens hemortens tingsrätt.
9. UNDERSKRIFTER
Användaren bekräftar att denne läst och förstått systemanvändningsavtalet och åtar sig att följa samtliga i avtalet angivna regler och skyldigheter.
Systemägare
________________
Signature
Användare
________________
Signature
Vad är Systemanvändningsavtal?
Systemanvändningsavtal i Sverige är ett IT-säkerhets- och behörighetsdokument som upprättas när en organisation beviljar en namngiven användare tillgång till ett specifikt IT-system. Avtalet specificerar exakt vilken behörighetsnivå som beviljas, för vilket ändamål, under vilken period, och vilka säkerhetsregler och rättsliga skyldigheter som gäller. Systemanvändningsavtal fungerar som ett nyckelverktyg i organisationens informationssäkerhetsarbete och implementerar principen om minsta privilegium (least privilege) — en fundamental säkerhetsprincip som innebär att varje användare enbart ska ha den minsta möjliga behörighet som krävs för att utföra sina arbetsuppgifter.
Dataskyddslagen (2018:218) implementerar GDPR (EU) 2016/679 i Sverige och ger IMY (Integritetsskyddsmyndigheten) tillsynsbefogenheter. GDPR kräver att organisationer vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder (art. 32), inklusive behörighetsstyrning och dokumenterade åtkomstpolicyer. Brottsbalken (1962:700) 4 kap. 9c § kriminaliserar dataintrång med straff upp till 2 års fängelse — ett systemanvändningsavtal klargör gränsen mellan auktoriserad och obehörig åtkomst.
Lag (2018:558) om företagshemligheter ger stärka skyddsmekanismer mot obehörigt röjande av konfidentiell systeminformation. Offentliga myndigheter regleras dessutom av offentlighets- och sekretesslagen (2009:400). Lag (2003:389) om elektronisk kommunikation reglerar loggning och övervakning av systemaktivitet. Forms-legal.com tillhandahåller en mall för systemanvändningsavtal anpassad till svenska GDPR- och informationssäkerhetskrav.
När behöver du Systemanvändningsavtal?
Systemanvändningsavtal i Sverige är nödvändiga i ett antal typiska situationer. Det primära behovet uppstår när en organisation onboardar en ny medarbetare eller extern konsult som ska få tillgång till affärskritiska IT-system: CRM-system, ERP-system (Visma, SAP), personalhanteringssystem (Heroma, Agresso), e-hälsosystem (TakeCare, Cosmic), ekonomisystem eller dokument-hanteringsplattformar med känsliga data.
Externa konsulter och leverantörer är ett kritiskt scenario. När en IT-konsult, revisor eller systemleverantör ges åtkomst till interna system för underhåll eller projekt är ett formellt systemanvändningsavtal obligatoriskt — dels för att tydliggöra behörighetsomfattningen, dels för att etablera GDPR-ansvaret (konsulten agerar personuppgiftsbiträde om personuppgifter berörs), och dels för att kriminalisera eventuellt missbruk under brottsbalken 4 kap. 9c §. Utan ett avtal är det juridiskt osäkert om åtkomst utanför det specifika uppdraget är 'obehörig' i brottsbalklagens mening.
Offentlig sektor i Sverige har strikta krav: DIGG (Myndigheten för digital förvaltning) och MSB (Myndigheten för samhällsskydd och beredskap) ger ut vägledningar som kräver dokumenterade behörighetsavtal för alla system med klassificerad information. Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering inom hälso- och sjukvården kräver formella behörighetsavtal för alla som hanterar patientjournaler. NIS2-direktivet (EU) 2022/2555, implementerat i Sverige 2024, kräver formell åtkomsthantering hos operatörer av samhällsviktig infrastruktur.
Vad ska Systemanvändningsavtal innehålla
Systemanvändningsavtal i Sverige måste innehålla ett antal kritiska element. Det viktigaste är en exakt definition av beviljad behörighet: specificera inte bara behörighetsnivå (läs/skriv/admin) utan även exakt vilka moduler, register och datakategorier som ingår och vilka som uttryckligen utesluts. Vaga behörighetsbeskrivningar som 'tillgång till personaldata' skapar juridisk osäkerhet — vad menas med personaldata? Löner? Sjukfrånvaro? Prestationsdata?
Principen om minsta privilegium (least privilege) är central och bör explicit anges i avtalet. GDPR art. 5.1c (uppgiftsminimering) kräver att personuppgifter begränsas till vad som är nödvändigt för ändamålet. En systemanvändare bör aldrig ha bredare åtkomst än vad arbetsuppgifterna kräver. ISO/IEC 27001 och NCSC:s riktlinjer rekommenderar regelbunden omprövning av behörigheter (minst halvårsvis).
Behörighetens giltighetstid är en kritisk klausul som ofta saknas. Permanenta behörigheter för externa konsulter eller projektdeltagare som aldrig återkallas skapar zombie-konton som är en välkänd säkerhetsvektor. Specificera: projektperiodsbegränsad behörighet med automatisk upphörning, eller tills-vidare-behörighet med obligatorisk 6-månaders omprövning.
Säkerhetsreglerna bör specificera: lösenordsstyrka och bytefrekvens (NCSC rekommenderar >12 tecken och MFA), hantering av autentiseringsuppgifter, loggutfallskrav, åtgärder vid misstänkt intrång och rapporteringsskyldighet. GDPR-klausulen klargör Användarens roll som biträde om personuppgifter hanteras och de specifika skyldigheter detta innebär. Ansvarsparagrafen hänvisar till brottsbalken 4 kap. 9c § och lagen om företagshemligheter för att tydliggöra de straffrättsliga konsekvenserna av missbruk.
Så fyller du i Systemanvändningsavtal
Systemanvändningsavtal i Sverige fylls korrekt i genom att följa dessa steg. Börja med en behovsanalys: exakt vilka systemfunktioner behöver Användaren för att utföra sina uppgifter? Tala med ansvarig chef och systemadministratör. Applicera principen om minsta privilegium strängt — tilldela enbart den minimiåtkomst som krävs och dokumentera logiken bakom behörighetsnivån.
Specificera behörigheten i detalj. Undvik vaga formuleringar. Skriv exakt: 'Läsåtkomst till kundregister för kunder i region Nord. Ingen åtkomst till betalningsinformation, personnummer eller medicinsk historik.' Om systemet använder rollbaserad åtkomststyrning (RBAC), ange den exakta rollen som tilldelas (exempelvis 'Read-Only Analyst role i Salesforce').
Sätt en konkret slutdatum för projektbegränsade uppdrag. För löpande anställda: ange en omprövningsperiod (var 6:e månad) och namn på vem som ansvarar för omprövningen. Inför ett rutinmässigt kvartalsbokslut av alla aktiva behörigheter i systemet — detta är en best practice rekommenderad av CIS Controls och NCSC.
GDPR-genomgång: kontrollera om systemet innehåller personuppgifter. Om ja: fastslå rollfördelningen (Användaren är medhjälpare/biträde under er personuppgiftsbehandling), inkludera referens till er personuppgiftspolicy, och säkerställ att Användaren fått relevant GDPR-utbildning. Offentliga myndigheter: kontrollera sekretessklassificering för aktuella uppgifter mot offentlighets- och sekretesslagen (2009:400).
Juridiska krav för Systemanvändningsavtal
Systemanvändningsavtal i Sverige regleras av ett brett lagstiftningskomplex. GDPR (EU) 2016/679 art. 32 kräver att personuppgiftsansvariga implementerar 'lämpliga tekniska och organisatoriska säkerhetsåtgärder', inklusive behörighetskontroll och dokumenterade åtkomstpolicyer. Dataskyddslagen (2018:218) kompletterar GDPR i Sverige. IMY kan genomföra tillsynsbesök och utdöma sanktionsavgifter upp till 4% av global omsättning (art. 83.5 GDPR) vid allvarliga brister i behörighetsstyrning.
Brottsbalken (1962:700) 4 kap. 9c § kriminaliserar dataintrång: den som olovligen bereder sig tillgång till uppgift som är avsedd för automatiserad behandling döms till böter eller fängelse upp till 2 år. Grov dataintrång (4 kap. 9c § 2 st) ger upp till 4 års fängelse. Systemanvändningsavtalet definierar vad som är 'lovlig' respektive 'olovlig' åtkomst.
Lag (2018:558) om företagshemligheter implementerar EU-direktiv 2016/943 och ger skydd för konfidentiella affärsinformation mot obehörigt röjande. Brott mot sekretessklausulen i systemanvändningsavtalet kan ge rätt till skadestånd och vitesföreläggande. Lag (2003:389) om elektronisk kommunikation 6 kap. 22 § reglerar arbetsgivarens rätt att i säkerhetsändamål övervaka elektronisk kommunikation i arbetet — detta måste kommuniceras till den anställde.
NIS2-direktivet (EU) 2022/2555, implementerat i Sverige 2024, kräver av operatörer av samhällsviktig infrastruktur och viktiga tjänster att formellt hantera åtkomstkontroll och rapportera incidenter till NCSC. MSB:s föreskrifter (MSBFS 2020:6) om informationssäkerhet för statliga myndigheter kräver dokumenterade behörighetshanteringsprocesser. Säkerhetsskyddslagen (2018:585) kräver för säkerhetskänslig verksamhet ännu strängare behörighetskontroller inklusive säkerhetsprövning av personal.
Vanliga misstag i Systemanvändningsavtal
Systemanvändningsavtal i Sverige innehåller ofta ett antal kritiska misstag. Det vanligaste är att behörigheten aldrig återkallas när anställningen eller uppdraget avslutas. Studier visar att upp till 30% av IT-konton tillhör tidigare anställda eller slutförda projekt. Dessa zombie-konton är en välkänd säkerhetsvektor för dataintrång — angripare som komprometterar ett inaktivt konto kan operera i systemet under lång tid utan att väcka misstanke. Inför en automatisk avaktiveringsprocedur kopplad till HR-offboarding.
Ett annat vanligt misstag är orealistiskt generösa behörigheter: 'full admin-åtkomst' till alla som behöver lite extra för ett enstaka uppdrag. Principen om minsta privilegium (least privilege) kräver att åtkomst begränsas till det absolut nödvändiga för varje roll. GDPR art. 25 (inbyggt dataskydd och dataskydd som standard) stödjer denna princip: minimera åtkomsten till personuppgifter till de användare som faktiskt behöver den.
Tredje vanliga felet är avsaknad av GDPR-klausul för externa konsulter. Om en extern konsult ges åtkomst till personuppgifter utan ett formellt personuppgiftsbiträdesavtal (GDPR art. 28) befinner sig organisationen i GDPR-brott. IMY har sanktionerat svenska organisationer för just detta.
Fjärde felet rör loggning och revision. Utan aktiverad och bevarad åtkomsloggning är det omöjligt att i efterhand bevisa eller motbevisa obehörig åtkomst. GDPR-ansvar och brottsutredning kräver spårbarhet — säkerställ att systemet loggar alla åtkomsthändelser och att loggarna bevaras i minst 1 år. Slutligen: glöm inte att informera Användaren om loggningen i enlighet med GDPR:s transparensprincip (art. 13/14) och lag (2003:389) om elektronisk kommunikation.
Citera den här sidan
Hänvisa till den här gratismallen i en artikel, kursplan eller forskningsanteckning:
Forms Legal. (2026). Systemanvändningsavtal (Sverige) [Legal document template]. Forms Legal. https://forms-legal.com/sv/sverige/business/services/systemanvandningsavtal
"Systemanvändningsavtal (Sverige)." Forms Legal, 2026, https://forms-legal.com/sv/sverige/business/services/systemanvandningsavtal.
@misc{formslegal-systemanvandningsavtal,
author = {{Forms Legal}},
title = {Systemanvändningsavtal (Sverige)},
year = {2026},
howpublished = {\url{https://forms-legal.com/sv/sverige/business/services/systemanvandningsavtal}},
note = {Free legal document template}
}Vanliga frågor
Anställningsavtalet reglerar det generella anställningsförhållandet, men specificerar normalt inte vilka IT-system den anställde får använda och under vilka villkor. Systemanvändningsavtalet fyller tre kritiska funktioner: (1) klargör exakt vad som är tillåten åtkomst och vad som är dataintrång under brottsbalken 4 kap. 9c §; (2) etablerar GDPR-skyldigheter specifikt för det aktuella systemet och dess personuppgifter; och (3) dokumenterar behörighetsomfattningen för intern revision och vid incidentutredning. MSB och DIGG rekommenderar systemanvändningsavtal som en obligatorisk del av informationssäkerhetsarbetet.
Principen om minsta privilegium (least privilege) innebär att varje användare enbart ska ha den minsta möjliga behörighet som krävs för att utföra sina arbetsuppgifter — inga fler, inga färre. Principen är viktig av tre skäl: (1) säkerhet — om ett konto komprometteras begränsas skadan till de data kontot har åtkomst till; (2) GDPR-efterlevnad — GDPR art. 5.1c (uppgiftsminimering) och art. 25 (inbyggt dataskydd) kräver begränsning av åtkomst till personuppgifter; och (3) intern kontroll — minsta privilegium är en grundläggande kontrollmekanism mot insiderbrott. CIS Controls och ISO/IEC 27001 listar principen som obligatorisk säkerhetsåtgärd.
Ja, men med begränsningar. Lag (2003:389) om elektronisk kommunikation 6 kap. 22 § tillåter arbetsgivare att behandla trafikdata i säkerhetsändamål. GDPR art. 6.1f (berättigat intresse) kan ge rättslig grund för säkerhetsövervakning. Arbetsgivaren måste dock: (1) informera anställda om loggningen (GDPR art. 13/14 — transparensprincipen), typiskt via en IT-policy eller systempolicy; (2) begränsa loggningen till vad som är nödvändigt för säkerhetsändamålet; och (3) inte använda loggar för ändamål utanför informationssäkerhetsarbetet. IMY har utfärdat vägledning om arbetsgivarens personuppgiftsbehandling som bör beaktas.
Missbruk av systemåtkomst kan ge flera rättsliga konsekvenser: (1) straffrättsligt ansvar för dataintrång under brottsbalken (1962:700) 4 kap. 9c § (böter eller fängelse upp till 2 år; grovt brott: upp till 4 år); (2) civilrättsligt skadeståndsansvar för de skador missbruket orsakar, inklusive GDPR-skadestånd till drabbade registrerade; (3) arbetsrättsliga konsekvenser (varning, avsked) under lagen om anställningsskydd (1982:80); och (4) skadeståndsansvar under lag (2018:558) om företagshemligheter vid obehörigt röjande av konfidentiell information. Systemanvändningsavtalet stärker bevisläget vid straffrättsliga utredningar och civilrättsliga krav.
Offentliga myndigheter i Sverige regleras av offentlighets- och sekretesslagen (2009:400) utöver GDPR. Systemanvändningsavtal för myndigheter måste beakta sekretessklassificering av systemdata och Riksarkivets föreskrifter om arkivering. MSB:s föreskrifter MSBFS 2020:6 kräver att statliga myndigheter dokumenterar behörighetshanteringsprocesser i sin ISMS (Information Security Management System). Säkerhetsskyddslagen (2018:585) kräver säkerhetsprövning av personal med tillgång till säkerhetskänslig verksamhet. DIGG (Myndigheten för digital förvaltning) erbjuder vägledning och ramverk för statliga myndigheters IT-säkerhetsarbete, inklusive behörighetsstyrning.
Bevaringstiden för åtkomsloggar är en avvägning mellan GDPR:s lagringsminimeringsprincip (art. 5.1e) och informationssäkerhetsbehov. GDPR kräver att personuppgifter (inklusive loggar med persondata) inte lagras längre än nödvändigt för ändamålet. Praktisk riktlinje: säkerhetsloggar bör bevaras 12-24 månader för att möjliggöra utredning av incidenter och dataintrång som kan ha pågått länge utan att upptäckas. NIS2-direktivet (EU) 2022/2555 kräver av kritisk infrastruktur-operatörer att bevara loggdata tillräckligt länge för incidentutredning. Specificera bevaringstiden i systemanvändningsavtalet och i er personuppgiftspolicy. Loggar som inte längre behövs ska raderas säkert.
Externa konsulters systemåtkomst kräver extra omsorg jämfört med anställdas åtkomst. Utöver systemanvändningsavtalet behövs: (1) ett separerat sekretessavtal (NDA) om konsultavtalet inte täcker konfidentialitet; (2) ett personuppgiftsbiträdesavtal (PUB-avtal) om konsulten hanterar personuppgifter (GDPR art. 28 — obligatoriskt); (3) en tidsbestämd behörighet kopplad till uppdragslängden med automatisk återkallelse; och (4) separata inloggningsuppgifter — konsulten ska aldrig dela konto med anställda. Principen om minsta privilegium är ännu viktigare för externa konsulter: de ska enbart ha åtkomst till det data och de moduler som är direkt nödvändiga för uppdraget. Övervägning: VPN-krav för fjärråtkomst och MFA är standard för externa anslutningar.
Denna mall tillhandahålls endast i informationssyfte och utgör inte juridisk rådgivning. Lagar varierar mellan jurisdiktioner och ändras över tid. Rådfråga en kvalificerad jurist för rådgivning som är specifik för din situation.Fullständig ansvarsfriskrivning
Hittade du ett fel? Berätta för ossRelated Documents
You may also find these documents useful:
Sekretessavtal (NDA) Sverige
Skriftligt sekretessavtal (NDA) mellan parter för skydd av affärskänslig information, källkod, kunduppgifter och företagshemligheter. Regleras av avtalslagen (1915:218), företagshemlighetslagen (2018:558) och skadeståndslagen (1972:207).
Konsultavtal Sverige
Skriftligt konsultavtal mellan uppdragsgivare och självständig konsult med F-skatt, för IT-utveckling, affärsstrategi, M&A-rådgivning eller annan professionell tjänst. Regleras av avtalslagen (1915:218), inkomstskattelagen (1999:1229), mervärdesskattelagen (1994:200) och företagshemlighetslagen (2018:558).
Integritetspolicy Sverige (GDPR-kompatibel)
Mall för Integritetspolicy enligt Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning samt lag (2003:389) om elektronisk kommunikation. Innefattar artikel 13 och 14 GDPR informationskrav, cookies enligt LEK, registrerades rättigheter samt eskaleringsväg till Integritetsskyddsmyndigheten (IMY).
Anställningsavtal Tillsvidare Sverige
Skriftligt anställningsavtal för tillsvidareanställning enligt lagen om anställningsskydd (1982:80) §§ 4, 6c och 7. Tillsvidareanställning är huvudregeln på svensk arbetsmarknad och kräver saklig grund för uppsägning.