Cloud Services Agreement Sweden
MOLNTJÄNSTEAVTAL
Upprättat enligt avtalslagen (1915:218), dataskyddsförordningen (GDPR, EU 2016/679), dataskyddslagen (2018:218) och cybersäkerhetslagen (2023) som implementerar EU:s NIS 2-direktiv (2022/2555).
Parter
MELLAN UNDERTECKNADE PARTER:
1. [Leverantor Namn], med säte på [Leverantor Adress], organisationsnummer [Leverantor Orgnr], behörigen företrädd av [Leverantor Foretradare], nedan kallad 'Leverantören';
OCH
2. [Kund Namn], med adress [Kund Adress], organisationsnummer [Kund Orgnr], nedan kallad 'Kunden';
HAR PARTERNA INGÅTT FÖLJANDE MOLNTJÄNSTEAVTAL:
§ 1 Tjänstebeskrivning och tjänstetyp
§ 1 TJÄNSTEBESKRIVNING OCH TJÄNSTETYP
1.1 Leverantören tillhandahåller molntjänster av typen [Moln Tjanst Typ] med följande specifikation: [Tjanst Beskrivning].
1.2 All kunddata lagras och behandlas: [Datalocering]. Leverantören ska utan skriftligt godkännande från Kunden inte flytta kunddata till annan geografisk plats.
1.3 Vid tjänstetyp IaaS är Kunden ansvarig för operativsystemets säkerhet, applikationslager, brandväggsregler och patchning; Leverantören ansvarar för hypervisor-lagret, nätverksinfrastrukturen och fysisk säkerhet. Vid SaaS/PaaS ansvarar Leverantören för hela teknologistacken inklusive OS och applikation.
§ 2 SLA och drifttid
§ 2 SERVICENIVÅAVTAL (SLA)
2.1 Garanterad drifttid: [Uptime Garantti] per kalendermånad, exklusive planerat underhåll (minst 72 timmars förhandsbesked) och force majeure.
2.2 Katastrofåterställning (DR): [Rto Rpo]. Leverantören ska upprätthålla alternativ driftsmiljö med automatisk failover inom angiven RTO.
2.3 Servicekredit: [Servicekredit Molnt]. Kunden ansöker om servicekredit inom 30 dagar från incidenten via skriftlig begäran med bevis på nedetid; servicekrediten krediteras nästkommande faktura.
§ 3 Priser och fakturering
§ 3 PRISER OCH FAKTURERING
3.1 Prismodell: [Prismodell]. Avgift: [Pris Belopp]. Fakturering månadsvis i förskott med 30 dagars betalningsfrist; dröjsmålsränta enligt räntelagen (1975:635) § 4 vid sen betalning.
3.2 Vid förbrukningsbaserad prissättning tillhandahåller Leverantören kostnadsdashboard och e-postaviseringar vid 80% av avtalat kostnadstak; Leverantören ska inhämta Kundens godkännande innan utgifterna överstiger taket.
3.3 Prisuppräkning med max 5% per år med 90 dagars förhandsbesked; prisändring gäller inte inom inledande avtalstid.
§ 4 Dataskydd (GDPR) och NIS 2-säkerhet
§ 4 DATASKYDD (GDPR, EU 2016/679) OCH CYBERSÄKERHET (NIS 2)
4.1 Leverantören agerar som personuppgiftsbiträde enligt GDPR art. 4(8) och parterna ingår separat personuppgiftsbiträdesavtal (DPA) per GDPR art. 28 som bilaga 1 till detta avtal.
4.2 Säkerhetsåtgärder per GDPR art. 32 och NIS 2 (cybersäkerhetslagen 2023): kryptering i transit (TLS 1.3) och i vila (AES-256), nätverkssegmentering, intrångsdetekteringssystem (IDS/IPS), regelbundna penetrationstester (minst 1 gång per år), ISO 27001-certifiering (eller liknande), dagliga säkerhetskopior med verifiering, disaster recovery-test (minst 1 gång per år).
4.3 Incidentrapportering: Leverantören rapporterar cybersäkerhetsincidenter och personuppgiftsincidenter till Kunden inom 4 timmar; Leverantören rapporterar signifikanta incidenter till MSB inom 24 timmar per NIS 2; Kunden ansvarar för anmälan till IMY inom 72 timmar per GDPR art. 33.
§ 5 Avtalstid och uppsägning
§ 5 AVTALSTID OCH UPPSÄGNING
5.1 Avtalet träder i kraft den [Ingangsdatum] och löper: [Avtalstid Moln].
5.2 Kunden har rätt att häva avtalet med omedelbar verkan vid allvarlig säkerhetsbrist som inte åtgärdats inom 48 timmar, vid Leverantörens konkurs, eller vid upprepade SLA-brott (mer än 3 månader med SLA-brott under 12-månadsperiod).
5.3 Vid avtalets upphörande: 30 dagars exportfönster för Kundens data i maskinläsbart format; radering av kunddata inom 60 dagar med skriftligt raderingsintyg.
§ 6 Tillämplig lag och tvistlösning
§ 6 TILLÄMPLIG LAG OCH TVISTLÖSNING
6.1 Svensk rätt tillämpas. Tvister avgörs av behörig tingsrätt i Stockholm, alternativt Stockholms Handelskammares Skiljedomsinstitut (SCC) vid internationella avtal.
Undertecknande
UNDERTECKNANDE
Detta avtal har upprättats i två likalydande exemplar och undertecknats i [Undertecknande Ort] den [Undertecknande Datum].
Leverantören: __________________________ Kunden: __________________________
[Leverantor Foretradare] [Kund Namn]
Leverantören
________________
Signature
Kunden
________________
Signature
What Is a Cloud Services Agreement Sweden?
A Cloud Services Agreement (molntjänsteavtal) in Sweden governs delivery of IaaS, PaaS, or SaaS cloud infrastructure. Key regulations include GDPR (EU 2016/679), dataskyddslagen (2018:218) and cybersäkerhetslagen (2023, implementing NIS 2 Directive 2022/2555). The supplier acts as a data processor (personuppgiftsbiträde) and must file incident reports with MSB within 24 hours.
When Do You Need a Cloud Services Agreement Sweden?
Molntjänsteavtal Sverige behövs i alla situationer där ett företag, myndighet eller organisation outsourcar infrastruktur, plattform eller affärsprogram till en molnleverantör.
Privata företag som migrerar till molnet. Tillverkningsföretag (Volvo, SKF, Sandvik), logistikbolag (DSV, PostNord, DHL Sverige), finansbolag (SEB, Swedbank, Nordea, Handelsbanken), och detaljhandelskedjor (H&M, Coop, ICA) migrerar systematiskt on-premise-infrastruktur till molnet för skalbarhet, kostnadsreduktion och ökad redundans. Molntjänsteavtal med hyperscalers (AWS, Microsoft Azure, Google Cloud) kombineras vanligtvis med leverantörens standardvillkor (AWS Customer Agreement, Microsoft Azure Services Agreement) som kompletteras med ett skräddarsytt tilläggsavtal (enterprise agreement) för priser, SLA-nivåer och DPA-villkor.
Offentlig sektor och myndigheter. Svenska myndigheter (Skatteverket, Försäkringskassan, Arbetsförmedlingen), kommuner (Stockholms stad, Göteborgs stad, Malmö stad) och regioner (Region Stockholm, Västra Götalandsregionen) upphandlar molntjänster via lagen om offentlig upphandling (LOU 2016:1145). Offentliga aktörers molntjänstavtal kräver: datalagring i Sverige eller EU/EES, offentlighetsprincipen-compliance (rätt att begära ut allmänna handlingar), sekretesslagstiftning, NIS 2-certifiering, och ISO 27001-certifierat datacenter. Digg (Myndigheten för digital förvaltning) publicerar riktlinjer för myndigheters molnanvändning; Kammarkollegiets ramavtalssortiment IT-infrastruktur erbjuder förupphandlade molntjänster.
Hälsovård och medicinteknik. Regioner och privata vårdbolag (Capio, Aleris, Praktikertjänst) kräver molntjänsteavtal som uppfyller patientdatalagen (2008:355), Socialstyrelsens föreskrifter (SOSFS 2008:14) och GDPR art. 9 (känsliga hälsopersonuppgifter). Krav: datalagring i Sverige, ISO 27001-certifierat datacenter, behörig tillgångskontroll (role-based access, need-to-know), skärpta SLA:er (99,99% uptime för kritiska journalsystem), och auditloggning med förvaring i minst tio år.
Bank, finans och försäkring. Finansinspektionen (FI) och EU:s DORA-förordning (Digital Operational Resilience Act, EU 2022/2554, gäller från januari 2025) ställer specifika krav på finansiella aktörers molntjänsteavtal: rätt till revision och inspektion av molnleverantören, koncentrationsriskanalys (krav på alternativa leverantörer), exitstrategi och portabilitetskrav, och incidentrapportering till Finansinspektionen och ECB (Europeiska centralbanken) inom 4 timmar. Finansiella aktörer (banker, försäkringsbolag, fondbolag, betaltjänstleverantörer) kräver typiskt DORA-klausul i molntjänsteavtalet.
Startups och scale-ups med hyperscalers. Snabbväxande teknologibolag (Klarna, Spotify, Mojang/Microsoft, Voi, Einride, Northvolt) hanterar molnkostnader via avtal med AWS, Azure och Google Cloud. Tre kritiska avtalspunkter för startups: prismodell (pay-as-you-go vs. reserved instances med 1-3 års bindning för 40-60% rabatt), kostnadsoptimering (committed use discounts, spot instances), och exitplan (dataportabilitet utan lock-in till proprietära tjänster som AWS Lambda, Azure Cosmos DB). Venture capital-investerare granskar molnkostnadsstrukturen som del av due diligence.
Forsk ning och akademi. Universitet (KTH, Chalmers, Stockholm University), Vetenskapsrådet, och forskningsinstitut (RISE, FOI) använder molntjänster för storskaliga beräkningar (HPC, machine learning-träning), datalagring och akademisk samverkan. Molntjänsteavtal för forskning kräver: dataportabilitet (rätt att flytta forskningsdata till annan plattform), bevarandeskyldighet (data ska behållas tillgänglig under projekttiden och fem år efter), kostnadstransparens, och compliance med EU:s öppna vetenskap-policy.
What to Include in Your Cloud Services Agreement Sweden
Ett välformulerat molntjänsteavtal i Sverige innehåller följande element för juridisk rättssäkerhet, GDPR-compliance och NIS 2-uppfyllelse.
Precis tjänstekatalog och ansvarsuppdelning. Detaljerad teknisk specifikation av molntjänsten (resurskonfiguration, geografisk plats, anslutningsbandbredd, redundansnivå). Tydlig ansvarsuppdelning (shared responsibility model) per tjänstetyp: IaaS (leverantören ansvarar för fysisk infrastruktur och hypervisor; kunden för OS uppåt), PaaS (leverantören för plattform inklusive OS; kunden för applikation och data), SaaS (leverantören för hela stacken; kunden för konfiguration och IAM). Utan tydlig ansvarsuppdelning uppstår tvister om vem som ansvarar för en säkerhetsbrist eller konfigurationsfel.
SLA med katastrofåterställning och affärskontinuitet. Drifttidsgarantin uttryckt i procent per kalendermånad med tydliga exkluderingar. RTO (Recovery Time Objective) och RPO (Recovery Point Objective) för DR-scenarion. Planen för affärskontinuitet (BCP) vid katastrofåterställning ska testas minst en gång per år; testresultaten ska göras tillgängliga för kunden. Separata SLA:er för produktionsmiljö, testmiljö och DR-miljö. Servicekreditstruktur med tak och ansökningsprocedur.
NIS 2-säkerhetskrav (cybersäkerhetslagen 2023). Tekniska och organisatoriska säkerhetsåtgärder per NIS 2 artikel 21: kryptering (TLS 1.3 i transit, AES-256 i vila), nätverkssegmentering och mikrosegmentering, intrångsdetekteringssystem (IDS/IPS), säkerhets-informations- och händelsehanteringssystem (SIEM), penetrationstester (minst 1 gång per år), sårbarhetsskanning (minst kvartalvis), flerfaktorsautentisering (MFA) för privilegierade konton, och supply chain-säkerhet (bedömning av subprocessorers säkerhet). Incidentrapportering till MSB inom 24 timmar. Revisionsrätt för kunden och behörig myndighet.
GDPR-compliance och DPA. GDPR art. 28-krav på DPA-bilaga. Datalagringens geografiska plats med hänvisning till standardavtalsklausuler (SCC) vid tredjelandsöverföring. Subprocessorlista med notisrätt. Personuppgiftsincidenthantering. Dataportabilitet och exitplan per GDPR art. 20. Revisionsrätt för kunden. GDPR art. 32-säkerhetsåtgärder.
För offentliga aktörer: compliance med LOU. Kontrollera om molntjänsten faller under Kammarkollegiets förupphandlade ramavtal (IT-infrastruktur, molntjänster) innan separat upphandling. Direktivsuppfyllelse: offentlighetsprincipen, sekretesslagstiftning, och datalagring i Sverige. Se forms-legal.com för kompletterande SaaS-avtal och ramavtalsmallar.
Exit- och portabilitetsklausuler. 30-90 dagars exportfönster efter avtalets upphörande. Maskinläsbart format (CSV, JSON, XML). Leverantörens raderingskyldighet med bevisintygelse. Escrow-lösning vid affärskritiska PaaS-tjänster. Portabilitetskrav som förhindrar vendor lock-in.
Ansvarsbegränsning och försäkring. Leverantörens sammanlagda ansvar begränsas till 12-24 månaders avgifter. Undantag: personskada, GDPR-böter, NIS 2-böter, grov vårdslöshet och uppsåt kan inte avtalas bort. Cyberförsäkring (minst 10 MSEK) och ansvarsförsäkring (minst 20 MSEK) är rimliga krav från kunden.
För finansiella aktörer: DORA-klausul. DORA (EU 2022/2554) kräver sedan januari 2025: revisionsrätt och inspektionsrätt av molnleverantören av kunden och Finansinspektionen; exitstrategi och portabilitetskrav; koncentrationsriskanalys; incidentrapportering per DORA-krav; och tillsyn av kritiska tredjepartsleverantörers (CTPPs) molntjänster av ESA (European Supervisory Authorities).
How to Fill Out Your Cloud Services Agreement Sweden
Molntjänsteavtalet i Sverige upprättas i följande steg för att säkerställa teknisk precision, juridisk giltighet och NIS 2/GDPR-compliance.
Steg 1 — Identifiera parterna och tjänstetypen. Leverantören: firmanamn, organisationsnummer (XXXXXX-XXXX), adress och behörig firmatecknare. Kunden: firmanamn och organisationsnummer. Välj rätt tjänstetyp (IaaS, PaaS, SaaS, BaaS, hybrid) och dokumentera ansvarsuppdelningen (shared responsibility model) per tjänstetyp.
Steg 2 — Specificera tjänsten tekniskt. Konkret teknisk specifikation: för IaaS — antal virtuella servrar, vCPU, RAM, lagringskapacitet (SSD/HDD), nätverksbandbredd, lastbalanserare, datacenterplats; för PaaS — plattformsversion, databastyp och version, containermiljö (Docker/Kubernetes-version); för SaaS — programnamn, versionsnummer, antal licenser. Bifoga tjänstekatalog med detaljspecifikation och prislista som bilagor.
Steg 3 — Välj SLA-nivå med DR-krav. Välj drifttidsgaranti baserat på affärskritisk karaktär: 99,99% för produktionssystem i dygnet-runt-drift (bank, hälsovård, e-handel); 99,9% för kundvårdssystem och kontorstillämpningar; 99,5% för interna verktyg och testmiljöer. Ange RTO och RPO för DR-scenarion. Kräv minst 1 DR-test per år med dokumenterade testresultat.
Steg 4 — Inkludera NIS 2-säkerhetskrav. Ange tekniska och organisatoriska säkerhetsåtgärder per NIS 2 art. 21: kryptering, nätverkssegmentering, IDS/IPS, SIEM, penetrationstester (frekvens och scope), sårbarhetsskanning, MFA för privilegierade konton. Kräv ISO 27001-certifiering (eller SOC 2 Type II) och penetrationstestrapport som bilagor till avtalet. Incidentrapporteringsrutin: leverantören rapporterar till kunden inom 4 timmar, till MSB inom 24 timmar.
Steg 5 — Inkludera GDPR-DPA-bilaga. Utarbeta personuppgiftsbiträdesavtal (DPA) per GDPR art. 28 som Bilaga 1 till molntjänsteavtalet. DPA ska inkludera: kategorier av personuppgifter, säkerhetsåtgärder, subprocessorlista, dataöverföring (standardavtalsklausuler om utanför EU/EES), incidenthantering och radering. Ange datalagringens geografiska plats uttryckligen i DPA.
Steg 6 — Reglera prissättning och kostnadshantering. Välj prismodell (fast avgift, pay-as-you-go eller hybrid). Vid pay-as-you-go: ange kostnadstak (spending limit) och kräv automatisk e-postavisering vid 80% av taket; leverantören ska inte automatiskt fakturera utöver taket utan kundens godkännande. Prisuppräkningsklausul med tak och varseltid.
Steg 7 — Skriv in exitplanen. 30-90 dagars exportfönster för kunddata i maskinläsbart format efter avtalets upphörande. Leverantörens raderingskyldighet med skriftlig raderingsintygelse. Escrow-lösning för affärskritiska tjänster. Förbud mot exit fees för dataexport. DORA-klausul om kunden är finansiell aktör.
Steg 8 — Underteckna med behörig firmatecknare och kräv certifikatdokumentation. Kräv kopior av ISO 27001-certifikat, SOC 2 Type II rapport, och senaste penetrationstestrapport från leverantören vid avtalstecknandet. Bevara DPA-bilagan med versionshistorik. Vid offentlig upphandling: säkerställ LOU-compliance och kolla Kammarkollegiets ramavtalssortiment.
Legal Requirements for Cloud Services Agreement Sweden
Molntjänsteavtal Sverige regleras av ett komplext samspel av cybersäkerhetslagstiftning, dataskyddsrätt och allmän avtalsrätt.
Cybersäkerhetslagen (2023) och NIS 2-direktivet (EU 2022/2555). Cybersäkerhetslagen implementerar EU:s NIS 2-direktiv och gäller för leverantörer av digitala infrastrukturtjänster, molntjänster och hanterade tjänster med mer än 50 anställda eller mer än 10 MEUR omsättning. Skyldigheterna inkluderar: registrering hos MSB; riskhanteringssystem (art. 21); incidentrapportering till MSB inom 24 timmar (initial rapport) och 72 timmar (fullständig rapport) för signifikanta incidenter; supply chain-riskhantering; tekniska åtgärder (kryptering, MFA, loggning, sårbarhetsskanning, penetrationstester); och kontinuitetsplanering. Böter vid NIS 2-brott: upp till 10 miljoner EUR eller 2% av global omsättning utdömt av MSB (essentiella entiteter) eller 7 miljoner EUR eller 1,4% av omsättning (viktiga entiteter).
Dataskyddsförordningen (GDPR, EU 2016/679). Se fullständig beskrivning under SaaS-avtalets rättsliga krav; samma GDPR-regelverk gäller för alla molntjänsttyper. Stödfunktioner: EDPB:s riktlinjer (06/2020 om dataöverföring, 02/2022 om TIA), IMY:s vägledning för molntjänster (2022), Digg:s riktlinjer för myndigheters molnanvändning.
DORA (EU 2022/2554) — finansiell sektor. DORA, som gäller sedan januari 2025 för banker, försäkringsbolag, värdepappersföretag, fondbolag och betaltjänstleverantörer, kräver: ingående av ICT-tredjepartsleverantörsavtal med specificerade krav (DORA art. 30); rätt till revision och inspektion av ICT-leverantörer (art. 31); exitstrategi och portabilitetskrav (art. 28(8)); koncentrationsriskanalys (art. 29); och incidentrapportering per DORA-krav. Molntjänsteavtal med finansiella aktörer bör innehålla DORA-bilaga med samtliga obligatoriska avtalsklausuler per art. 30.
Lagen om offentlig upphandling (LOU 2016:1145). Offentliga aktörers upphandling av molntjänster regleras av LOU; direktupphandling under tröskelvärdet (för varor och tjänster: 700 000 SEK inklusive moms) är tillåten. Ramavtalsupphandlingar för IT och molntjänster genomförs via Kammarkollegiet och är tillgängliga för alla myndigheter och kommuner. Offentlighetsprincipen: molntjänstleverantörens datalagring av offentliga handlingar kan innebära att handlingarna är offentliga per tryckfrihetsförordningens (1949:105) regler om allmänna handlingars offentlighet.
Aktiobolagslagen (2005:551) och Bolagsverkets krav. Bolag med verksamhetskritiska molntjänster ska dokumentera molnstrategi och riskhantering i styrelseprotokoll; styrelsen har ett aktivt tillsynsansvar för väsentliga IT-risker. KPMG, EY och Deloitte erbjuder molnriskgranskningar till styrelsenivå.
Patientdatalagen (2008:355) och hälso- och sjukvårdsregeln. Molntjänster som hanterar patientjournaler och hälsodata regleras av patientdatalagen, Socialstyrelsens föreskrifter (SOSFS 2008:14 om informationssäkerhet) och GDPR art. 9 (känsliga hälsopersonuppgifter). Krav: auditloggning i minst tio år, behörig rollbaserad åtkomstkontroll, datalagring i Sverige (Socialstyrelsen rekommenderar).
Common Mistakes to Avoid in Your Cloud Services Agreement Sweden
Följande misstag begås ofta vid upprättande av molntjänsteavtal i Sverige och kan leda till NIS 2-böter, GDPR-sanktioner och affärskontinuitetsrisker.
Misstag 1 — Saknad ansvarsuppdelning (shared responsibility model). Molntjänsteavtal utan tydlig ansvarsuppdelning per tjänstetyp (IaaS/PaaS/SaaS) leder till kritiska säkerhetsluckor: kunden antar att leverantören ansvarar för OS-patchning (IaaS) när kunden i verkligheten ansvarar; leverantören antar att kunden konfigurerar brandväggen korrekt. Vid säkerhetsincident uppstår tvist om vem som ansvarar för skadan. Korrekt: explicit ansvarsuppdelning per tjänstetyp som bilaga till avtalet.
Misstag 2 — Ingen NIS 2-klausul för reglerade verksamheter. Molntjänsteavtal utan NIS 2-säkerhetskrav är otillräckliga för verksamheter som faller under cybersäkerhetslagen (2023). MSB kan inleda tillsyn och ålägga böter om en leverantör (eller kund) inte uppfyller NIS 2:s krav på riskhantering, incidentrapportering och tekniska åtgärder. Rekommendation: inkludera NIS 2-klausul med krav på registrering hos MSB, incidentrapporteringsprocedur och tekniska åtgärder.
Misstag 3 — Avsaknad av DORA-bilaga vid finansiell kund. Finansiella aktörer (banker, försäkringsbolag, fondbolag, betaltjänstleverantörer) som tecknar molntjänsteavtal utan DORA-specifika klausuler per EU 2022/2554 art. 30 riskerar tillsynsingripanden från Finansinspektionen. DORA art. 30 kräver obligatoriska klausuler: revisionsrätt, exitstrategi, koncentrationsriskanalys och incidentrapportering.
Misstag 4 — Otydliga DR-krav och saknad av DR-test. Molntjänsteavtal med SLA men utan definierade RTO och RPO och utan krav på regelbundna DR-tester ger kunden ingen garanti för affärskontinuitet vid katastrof. Leverantören kan ha en katastrofåterställningsplan på papper som aldrig testats i verkligheten. Rekommendation: kräv RTO/RPO-specifikation, minst 1 DR-test per år med dokumenterade testresultat tillgängliga för kunden.
Misstag 5 — Pay-as-you-go utan kostnadstak. Molntjänsteavtal med förbrukningsbaserad prissättning (pay-as-you-go) utan avtalat kostnadstak och utan automatisk avisering vid budgetöverskridande kan leda till oväntade jättefakturor. 'Cloud bill shock' — månadsräkningar som plötsligt exploderar på grund av felbegränsad konfiguration, DDoS-attack mot kundmiljö, eller felaktig automatisk skalning — är ett välkänt problem. Rekommendation: avtalat kostnadstak (spending limit) med automatisk e-postavisering vid 80% av taket och krav på leverantörens godkännandeprocess innan taket överstigs.
Misstag 6 — Ingen exitplan och vendor lock-in i proprietära tjänster. Molntjänsteavtal som inte reglerar exitplanen (dataportabilitet, raderingskyldighet, exportfönster) och som kombineras med intensiv användning av leverantörens proprietära tjänster (AWS Lambda, Azure Cosmos DB, Google BigQuery) skapar kostsam vendor lock-in. En exitmigrering kan kosta 5-10× mer än den ursprungliga migreringen. Rekommendation: förhandla exporträttighetsklausulen tidigt och minimera beroendet av proprietära tjänster utan öppen standard.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Cloud Services Agreement Sweden (Sweden) [Legal document template]. Forms Legal. https://forms-legal.com/sverige/business/contracts/cloud-services-agreement
"Cloud Services Agreement Sweden (Sweden)." Forms Legal, 2026, https://forms-legal.com/sverige/business/contracts/cloud-services-agreement.
@misc{formslegal-cloud-services-agreement,
author = {{Forms Legal}},
title = {Cloud Services Agreement Sweden (Sweden)},
year = {2026},
howpublished = {\url{https://forms-legal.com/sverige/business/contracts/cloud-services-agreement}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
Molntjänsteavtalet i Sverige täcker tre huvudtyper av molntjänster med olika ansvarsuppdelning. IaaS (Infrastructure-as-a-Service) innebär att leverantören tillhandahåller virtuella servrar, lagring och nätverk; kunden ansvarar för operativsystem, applikationer, databashantering och brandväggsregler. Exempel: AWS EC2, Azure Virtual Machines, Google Compute Engine. PaaS (Platform-as-a-Service) innebär att leverantören tillhandahåller plattformen inklusive operativsystem och middleware; kunden ansvarar för applikation och datakonfiguration. Exempel: AWS Elastic Beanstalk, Azure App Service, Google App Engine. SaaS (Software-as-a-Service) innebär att leverantören ansvarar för hela teknologistacken; kunden ansvarar enbart för konfiguration av tjänstens inställningar och identitetshantering. Exempel: Microsoft 365, Salesforce, Slack. Ansvarsuppdelningen (shared responsibility model) avgör vem som ansvarar för en säkerhetsbrist vid en incident: vid IaaS är OS-patchning kundens ansvar; vid SaaS är det leverantörens ansvar. Dokumentera ansvarsuppdelningen uttryckligen i molntjänsteavtalet för att undvika tvister.
EU:s NIS 2-direktiv (2022/2555), implementerat i Sverige via cybersäkerhetslagen (2023), gäller för molntjänstleverantörer (IaaS, PaaS, SaaS) med mer än 50 anställda eller mer än 10 MEUR omsättning. NIS 2-skyldigheterna inkluderar: registrering hos Myndigheten för samhällsskydd och beredskap (MSB) senast oktober 2024; riskhanteringssystem för cybersäkerhetsrisker per art. 21; incidentrapportering — initial rapport till MSB inom 24 timmar, fullständig rapport inom 72 timmar, slutrapport inom en månad för signifikanta incidenter; tekniska säkerhetsåtgärder (kryptering, MFA, åtkomstkontroll, loggning, penetrationstester, sårbarhetsskanning); supply chain-säkerhet (bedömning av subprocessorer och underleverantörer); och kontinuitetsplanering. MSB kan ålägga böter upp till 10 miljoner EUR eller 2% av global omsättning vid NIS 2-brott för essentiella entiteter (banker, energi, transport) och 7 miljoner EUR eller 1,4% för viktiga entiteter (molntjänstleverantörer i allmänhet).
Svenska myndigheter kan anlita utländska molntjänstleverantörer, men det finns viktiga rättsliga hinder att beakta. Offentlighetsprincipen: handlingar i myndighetens besittning är i princip allmänna handlingar per tryckfrihetsförordningens (1949:105) regler; om molntjänstleverantören lagrar myndighetsdokument i sin infrastruktur kan dessa handlingar vara tillgängliga för utländska rättsliga myndigheter via det landets lagstiftning (exv. USA:s CLOUD Act för AWS, Azure och Google Cloud). EU:s GDPR kräver att personuppgifter inte överförs till länder utanför EU/EES utan lämpliga skyddsåtgärder (standardavtalsklausuler, GDPR art. 46). Säkerhetskänslig verksamhet: verksamheter som är säkerhetskänsliga (försvarsmyndigheter, underrättelsetjänster) kräver att data hanteras i Sverige av leverantörer utan utländskt ägarinflytande (inga Kina-, Rysslands- eller USA-CLOUD Act-risker). Digg publicerar riktlinjer för myndigheters molnanvändning; Kammarkollegiet tillhandahåller förupphandlade molntjänster med LOU-compliance.
EU:s DORA-förordning (Digital Operational Resilience Act, EU 2022/2554), gällande sedan januari 2025, ålägger finansiella aktörer (banker, försäkringsbolag, värdepappersföretag, fondbolag, betaltjänstleverantörer, kryptotillgångsleverantörer) att ingå molntjänsteavtal med specifika DORA-klausuler per art. 30. Obligatoriska klausuler inkluderar: fullständig beskrivning av tjänster och subprocessorer; servicenivåer med prestandaindikatorer och rapporteringsfrekvens; beskrivning av datalagringens plats och säkerhetsåtgärder; assistansrätt — leverantören ska hjälpa kunden vid ICT-incidenter; revisionsrätt — kunden och behörig tillsynsmyndighet (Finansinspektionen) har rätt att inspektera leverantören; exitstrategi och portabilitetsplan; begränsning av ytterligare underleverantörer (subprocessorer) av kritiska tjänster; och incidentrapportering per DORA-krav. ESA (European Supervisory Authorities: EBA, ESMA, EIOPA) kan utse kritiska molnleverantörer (CTPPs, Critical Third-Party Providers) som därmed är underkastade direkt europeisk tillsyn. Finansiella aktörer som inte inkluderar DORA-klausuler i sina ICT-tredjepartsleverantörsavtal riskerar tillsynsingripanden från Finansinspektionen.
Cloud bill shock uppstår vid förbrukningsbaserad (pay-as-you-go) prissättning när en oväntad händelse orsakar explosivt ökad resursförbrukning: DDoS-attack mot kundmiljön som överstiger inkluderat skydd; felbegränsad auto-skalning (infinite scaling loop); dataintrång som orsakar massiv datatransfer; eller felkonfiguration av databaser som replikerar data oändligt. Fem skyddsåtgärder i molntjänsteavtalet: för det första avtalat kostnadstak (spending limit) med leverantörens skyldighet att begränsa resursförbrukning vid taket och kräva kundens godkännande för överskridande; för det andra e-postavisering vid 50% och 80% av månadens budgetallokering; för det tredje DDoS-skyddsklausul — leverantören inkluderar grundläggande DDoS-skydd (vanligtvis AWS Shield Standard, Azure DDoS Basic, Google Cloud Armor) utan extra avgift och aktiverar automatisk trafikbegränsning vid angrepp; för det fjärde auditlogg och kostnadsdashboard — realtidstillgång till resursförbruknings-dashboard med alertsystem; för det femte månadsgaranti — leverantören garanterar att faktureringen inte överstiger avtalat max utan kundens skriftliga godkännande per e-post.
Patientdatalagen (2008:355) och Socialstyrelsens föreskrifter (SOSFS 2008:14) ställer specifika krav på molntjänsteavtal för system som hanterar patientjournaler och hälsodata. Sju kritiska krav: för det första datalagring i Sverige — Socialstyrelsen rekommenderar att patientuppgifter lagras i Sverige (utländsk lagring tillåts men kräver stärka skyddsåtgärder per GDPR art. 46); för det andra auditloggning i minst tio år — alla åtkomster till patientjournalen ska loggas och loggarna ska bevaras i minst tio år; för det tredje rollbaserad åtkomstkontroll (RBAC) — enbart behörig hälso- och sjukvårdspersonal med aktiv behandlingsrelation till patienten ska ha åtkomst per patientdatalagen § 4 kapitel 4; för det fjärde skärpt SLA — kritiska journalsystem (akutsjukvård, intensivvård) kräver 99,99% uptime med RTO under 2 timmar; för det femte GDPR art. 9 — hälsodata är känsliga personuppgifter som kräver uttryckligt samtycke eller lagstadgad grund per GDPR art. 9(2); för det sjätte personuppgiftsbiträdesavtal (DPA) per GDPR art. 28 med hänvisning till patientdatalagen; och för det sjunde incidentrapportering till Integritetsskyddsmyndigheten (IMY) och Inspektionen för vård och omsorg (IVO) vid intrång som berör patientdata.
Kundens äganderätt till sina data i molntjänsten vid leverantörens konkurs regleras av konkurslagen (1987:672) och avtalet. Fyra risker och skyddsåtgärder: för det första data som bolagsföremål — vid konkurs ingår kundens data i konkursboet som leverantörens affärshemliga information; konkursförvaltaren kan sälja bolagets verksamhet inklusive kunddata till ny ägare, om avtalet tillåter. Skyddsåtgärd: explicit äganderättsklausul (kunden äger sina data, leverantören har enbart tillståndet att behandla dem); för det andra åtkomstbegränsning vid konkurs — leverantörens infrastruktur kan stängas av omedelbart vid konkurs, vilket kan innebära att kunden förlorar åtkomst till sina data. Skyddsåtgärd: konkursklausul som ger kunden rätt att omedelbart exportera data vid konkurs, med 30 dagars förlängd åtkomstperiod; för det tredje escrow-lösning — källkodsdeposition hos neutral tredje part (software escrow) ger kunden tillgång till källkod och kunddata vid leverantörens konkurs; för det fjärde dataportabilitetsklausul — rätten att exportera data i maskinläsbart format utan extra avgift är kritisk vid konkurs. Inkludera alla fyra skyddsåtgärder i molntjänsteavtalet för affärskritiska system.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
SaaS-avtal Sverige
Skriftligt SaaS-avtal (Software-as-a-Service) för tillhandahållande av molnbaserad programvara via nätverk. Täcker SLA, GDPR/personuppgiftsbiträdesavtal, priser, drifttid, dataportabilitet och ansvarsbegränsning enligt dataskyddsförordningen (GDPR) och avtalslagen (1915:218).
Sekretessavtal (NDA) Sverige
Skriftligt sekretessavtal (NDA) mellan parter för skydd av affärskänslig information, källkod, kunduppgifter och företagshemligheter. Regleras av avtalslagen (1915:218), företagshemlighetslagen (2018:558) och skadeståndslagen (1972:207).
Ramavtal Sverige
Skriftligt ramavtal för löpande leverans av varor och tjänster via avropsorder. Täcker prislista, avropsprocess, leveransvillkor och prisuppräkning. Används inom privat sektor och offentlig upphandling enligt lagen om offentlig upphandling (LOU 2016:1145) och avtalslagen (1915:218).
Licensavtal Sverige
Skriftligt licensavtal för upplåtelse av immateriella rättigheter: mjukvara, patent, varumärke, upphovsrättsverk och know-how. Regleras av upphovsrättslagen (1960:729), patentlagen (1967:837), varumärkeslagen (2010:1877) och avtalslagen (1915:218).