SaaS Agreement Sweden
SAAS-AVTAL (SOFTWARE-AS-A-SERVICE)
Upprättat enligt avtalslagen (1915:218), dataskyddsförordningen (GDPR, EU 2016/679), dataskyddslagen (2018:218) och upphovsrättslagen (1960:729).
Parter
MELLAN UNDERTECKNADE PARTER:
1. [Leverantor Namn], med säte på [Leverantor Adress], organisationsnummer [Leverantor Orgnr], behörigen företrädd av [Leverantor Foretradare], nedan kallad 'Leverantören';
OCH
2. [Kund Namn], med adress [Kund Adress], organisationsnummer [Kund Orgnr], nedan kallad 'Kunden';
HAR PARTERNA INGÅTT FÖLJANDE SAAS-AVTAL:
§ 1 Tjänstebeskrivning
§ 1 TJÄNSTEBESKRIVNING
1.1 Leverantören tillhandahåller Kunden SaaS-tjänsten '[Tjanst Namn]' med följande funktioner: [Tjanst Beskrivning].
1.2 Antal licensierade användare: [Antal Anvandare]. Kunden ansvarar för att inte överstiga avtalat antal användare och för att varje användarkonto används av en unik individ.
1.3 Leverantören tillhandahåller tjänsten via nätverk; Kunden erhåller ingen kopia av programvaran och inga källkods- eller binärkonsrättigheter utöver den åtkomst som är nödvändig för användning av tjänsten.
1.4 Leverantören äger upphovsrätten till SaaS-tjänstens källkod och all ingående teknik; licensen är en begränsad, icke-exklusiv, icke-överlåtbar nyttjanderätt för Kundens interna affärsbehov under avtalstiden.
§ 2 Servicenivåavtal (SLA)
§ 2 SERVICENIVÅAVTAL (SLA)
2.1 Leverantören garanterar en drifttid (uptime) om [Garanterad Drifttid] per kalendermånad, exkl. planerat underhåll (med minst 48 timmars förhandsbesked) och force majeure-situationer.
2.2 Vid SLA-brott erhåller Kunden servicekredit: [Sla Paföljd]. Servicekrediten utgör Kundens exklusiva kompensation för nedetid utöver avtalad drifttid, om inte annat avtalats.
2.3 Leverantören ska skriftligen (e-post) informera Kunden om planerat underhåll minst 48 timmar i förväg och om oplanerad nedetid inom 2 timmar från start. Status rapporteras via statussidan och e-post.
§ 3 Priser och betalning
§ 3 PRISER OCH BETALNING
3.1 Kunden ska erlägga abonnemangsavgift om [Manadsavgift], faktureras [Betalningsperiod]. Faktura ska betalas inom 30 dagar netto; vid försenad betalning utgår dröjsmålsränta enligt räntelagen (1975:635) § 4.
3.2 Prisuppräkning: [Prisjustering]. Utan överenskommelse om prisuppräkning gäller avtalad avgift oförändrad under inledande avtalstid och prisändringar kräver 90 dagars skriftlig varseltid.
3.3 Leverantören har rätt att stänga av Kundens åtkomst om faktura är obetald mer än 14 dagar efter förfallodagen och Kunden trots skriftlig påminnelse underlåtit att betala.
§ 4 Dataskydd och GDPR
§ 4 DATASKYDD (GDPR, EU 2016/679; DATASKYDDSLAGEN 2018:218)
4.1 Leverantörens roll: [Personuppgifts Roll]. Vid roll som personuppgiftsbiträde ska parterna ingå separat personuppgiftsbiträdesavtal (DPA) i enlighet med GDPR art. 28 som bilaga till detta avtal.
4.2 Datalagring: [Dataplatser]. Leverantören ska inte överföra personuppgifter till land utanför EU/EES utan godkänd skyddsåtgärd (EU:s standardavtalsklausuler, GDPR art. 46).
4.3 Säkerhetsåtgärder: Leverantören ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder enligt GDPR art. 32, däribland kryptering av personuppgifter i transit och i vila, åtkomstkontroll, loggning och regelbundna säkerhetskopior.
4.4 Personuppgiftsincidenter: Leverantören ska rapportera incidenter till Kunden inom 24 timmar; Kunden ansvarar för anmälan till Integritetsskyddsmyndigheten (IMY) inom 72 timmar per GDPR art. 33.
4.5 Vid avtalets upphörande: Leverantören ska inom 30 dagar återlämna eller radera Kundens data på Kundens val; Kunden kan begära datautdrag i maskinläsbart format (portabilitet, GDPR art. 20).
§ 5 Avtalstid och uppsägning
§ 5 AVTALSTID OCH UPPSÄGNING
5.1 Avtalet träder i kraft den [Ingangsdatum]. Inledande bindningstid: [Inledande Avtalstid]. Därefter löper avtalet tillsvidare med en ömsesidig uppsägningstid om [Uppsagningstid] per skriftlig uppsägning.
5.2 Leverantören har rätt att omedelbart häva avtalet om Kunden missbrukar tjänsten (olaglig användning, skräppost, angrepp mot Leverantörens infrastruktur), vidareförsäljer tillgång utan tillstånd, eller underlåter att betala mer än 60 dagar efter förfallodagen trots två påminnelser.
5.3 Kunden har rätt att häva avtalet med omedelbar verkan vid Leverantörens väsentliga driftstörning som inte åtgärdats inom 7 dagar, vid Leverantörens insolvens eller konkurs, eller vid allvarlig säkerhetsbrist som Leverantören underlåtit att avhjälpa.
§ 6 Ansvarsbegränsning
§ 6 ANSVARSBEGRÄNSNING
6.1 Leverantörens sammanlagda ansvar under detta avtal är begränsat till de avgifter Kunden erlagt under de senaste tolv månaderna, eller det belopp som Leverantörens ansvarsförsäkring täcker.
6.2 Ingen av parterna ansvarar för indirekt skada, följdskada, utebliven vinst eller dataförlust som uppstår i samband med tjänstens tillhandahållande, såvida inte skadan orsakats av grov vårdslöshet eller uppsåt. Ansvarsbegränsningen gäller inte vid personskada eller GDPR-böter ålagda av tillsynsmyndighet (IMY).
§ 7 Tillämplig lag och tvistlösning
§ 7 TILLÄMPLIG LAG OCH TVISTLÖSNING
7.1 Svensk rätt tillämpas. Tvister om detta avtal avgörs av behörig tingsrätt; vid avtal mellan svenska bolag gäller Stockholms tingsrätt som avtalad forum.
7.2 Parterna ska i god anda försöka lösa tvister genom förhandling inom 30 dagar innan talan väcks.
Undertecknande
UNDERTECKNANDE
Detta avtal har upprättats i två likalydande exemplar och undertecknats i [Undertecknande Ort] den [Undertecknande Datum].
Leverantören: __________________________ Kunden: __________________________
[Leverantor Foretradare] [Kund Namn]
Leverantören
________________
Signature
Kunden
________________
Signature
What Is a SaaS Agreement Sweden?
A SaaS Agreement (SaaS-avtal) in Sweden governs access to cloud-based software delivered via a network. Key regulations include GDPR (EU 2016/679), dataskyddslagen (2018:218), upphovsrättslagen (1960:729) and avtalslagen (1915:218). The supplier acts as a data processor (personuppgiftsbiträde) and must comply with GDPR Art. 28, with IMY as supervisory authority.
When Do You Need a SaaS Agreement Sweden?
SaaS-avtal Sverige behövs i alla affärssituationer där ett företag tillhandahåller programvara via nätverk och hanterar kundens data.
Mjukvarubolag och SaaS-startups. Svenska SaaS-bolag som Klarna, Qapital, Detectify, Funnel, Lime Technologies, Oneflow, Planhat och tusentals smaller startups behöver ett välformulerat SaaS-avtal för B2B-kunder. Utan SaaS-avtal uppstår tvister om drifttidsansvar, dataportabilitet vid avtalets upphörande, GDPR-ansvar vid dataintrång, och prisuppräkningsrättigheter vid inflation. Venture capital-investerare kräver vanligtvis att SaaS-bolaget har välformulerade standardvillkor (standard terms) med DPA-bilaga.
ERP- och affärssystemleverantörer. Leverantörer av ERP-system (Fortnox, Visma, Monitor, Pyramid, Jeeves, Microsoft Dynamics 365, SAP S/4HANA) och HR-system (Personio, Workday, Quinyx, Quinyx) har typiskt komplexa SaaS-avtal med implementeringstjänster, utbildning, datamigrering och löpande support. Dessa avtal kombinerar SaaS-villkor med konsultavtals-villkor och kräver detaljerade SLA:er per modul (leverans vs. support vs. integration).
Branschspecifika SaaS-lösningar under tillsyn. SaaS-tjänster inom hälsovård (journalsystem: Cambio, Tieto Evry, CGM) är underkastade patientdatalagen (2008:355) och Socialstyrelsens föreskrifter (SOSFS 2008:14) utöver GDPR. SaaS-tjänster inom bank och finans (Finansinspektionens tillsyn, PSD2 under PIIS-förordningen EU 2018/389) och försäkring (IDD) har ytterligare regleringskrav på SaaS-leverantörens säkerhetsåtgärder, revisionsrätt och business continuity. SaaS-avtal inom offentlig sektor och kommuner kräver compliance med lagen om offentlig upphandling (LOU 2016:1145) och offentlighetsprincipen.
AI och machine learning som tjänst. SaaS-avtal för AI-tjänster (OpenAI API, Azure AI, Google Vertex AI, AWS Bedrock) eller specialiserade svenska AI-bolag (Peltarion, Annotell, Synthetic AI) kräver särskild hantering av träningsdata, promptbehandling (är kundens prompts personuppgifter?), loggning och modellförbättringar. EU:s AI-förordning (2024/1689, AI Act) ställer krav på leverantörer av högriskAI-system; hänvisning till AI Act compliance i SaaS-avtalet är en ny best practice från 2026.
Marknadsplattformar och API-tjänster. Leverantörer av API-tjänster (betaltjänster, kartor, SMS-API, e-postleverans) tillhandahåller ett SaaS-avtal som täcker rate-limiting, tillgänglighetsgarantier, API-förändringar (deprecation notices) och säkerhetskrav på API-nycklars hantering. Branschexempel: Stripe, Adyen, Twilio, Sendgrid och svenska Bambora/Worldline är relevanta aktörer vars standardavtal fungerar som riktmärke.
Skola, akademi och offentlig sektor. Plattformar för lärhanteringssystem (LMS) som Canvas, Moodle och Schoolsoft, videokonferenstjänster som Zoom och Microsoft Teams, och skoladministrationssystem kräver SaaS-avtal med strikta krav på hantering av minderårigas personuppgifter (GDPR-undantag för barn under 13 år i Sverige kräver föräldrasamtycke), datasekretess och leverantörens begränsade rätt att använda elevdata för produkt-förbättring.
What to Include in Your SaaS Agreement Sweden
Ett välformulerat SaaS-avtal i Sverige innehåller följande element för juridisk rättssäkerhet och praktisk GDPR-compliance.
Exakt tjänstebeskrivning. Programvarans namn, versionsnummer och funktioner ska anges med hänvisning till produktspecifikation som bilaga. Antal licensierade användare (named users vs. concurrent users vs. site license). Tillåten användning: enbart interna affärsbehov? Rätt till API-integration? Rätt att vidareutveckla? Tydlig avgränsning förhindrar tvist om scope creep (kunden börjar använda tjänsten på sätt som inte täcks av abonnemanget).
Servicenivåavtal (SLA) med tydliga mätmetoder. Drifttidsgarantin (uptime) uttryckt i procent per kalendermånad med exkluderingar (planerat underhåll, force majeure, tredjepartsleverantörers avbrott). Mätmetod: kontrollera att uptime mäts från SaaS-infrastrukturens perspektiv, inte från slutanvändarens nätverksanslutning. Underhållsfönster: tidpunkt och varseltid (minst 48 timmar). Servicekreditstruktur: procent av månadsavgiften per timmes nedetid med ett tak. Incidenthantering och kommunikationsflöde: statussida, e-postnotis och telefonnummer vid kritisk nedetid.
GDPR-compliance och DPA-bilaga. GDPR art. 28 kräver skriftligt personuppgiftsbiträdesavtal (DPA) vid behandling av personuppgifter. DPA ska specificera: kategorier av registrerade och personuppgifter, behandlingens syfte och varaktighet, säkerhetsåtgärder (art. 32), dataöverföring utanför EU/EES (standardavtalsklausuler, art. 46), underleverantörer av behandlingstjänster (subprocessorer) och krav på subprocessorers GDPR-compliance, personuppgiftsincidenthantering (rapportering till kunden inom 24 timmar), revisionsrätt för kunden, och raderingsrutiner vid avtalets upphörande. Dataplatserna (Sverige, EU, EES, utomlands) ska anges uttryckligen.
Priser och prisuppräkningsklausul. Klart prissättningsskema med avgift per period, faktureringsmodell och betalningstidpunkt. Prisuppräkningsklausul med tak (KPI-index KPIF + 3 % är vanligt) och minimivarseltid (90 dagar). Avgifter för överskridande av avtalad volym (overage charges); exempeltal: 10 kr/extra användare/månad. Reglering vid valutafluktuationer vid internationella avtal. Se forms-legal.com för kompletterande avtalsmallar för molntjänster och ramavtal.
Dataportabilitet och exitplan. Kunden ska ha rätt att exportera sina data i maskinläsbart format (CSV, JSON, XML, API-utdrag) under avtalstiden och i minst 30 dagar efter avtalets upphörande (GDPR art. 20 dataportabilitet). Leverantören ska radera kundens data senast 90 dagar efter avtalets upphörande, med skriftlig radering sbetygsrätt på begäran. Escrow-lösning (källkodsdeposition) rekommenderas för affärskritiska SaaS-system: om leverantören råkar i konkurs ges kunden tillgång till källkoden för att fortsätta driften via en tredje part.
Ansvarsbegränsning och försäkring. Leverantörens sammanlagda ansvar begränsas till 12 månaders avgifter (standard i branschen). Undantag: personskada, GDPR-böter, grov vårdslöshet och uppsåt kan inte avtalas bort. Leverantören bör ha cyberförsäkring och ansvarsförsäkring; kunden kan kräva bevis på försäkringens existens och belopp. Friskrivning mot indirekta skador (utebliven vinst, dataförlust, förlorade affärsrelationer) är standard men förhandlas av storkunderna.
Säkerhetsåtgärder och compliance-certifikat. Leverantören ska tillhandahålla beskrivning av tekniska och organisatoriska säkerhetsåtgärder (TOMs) per GDPR art. 32: kryptering i transit (TLS 1.2 +) och i vila (AES-256), åtkomstkontroll med multi-faktor-autentisering, incidenthanteringsplan, penetrationstester (minst årligen), ISO 27001-certifikat eller SOC 2 Type II rapport. Tillgång till revisionsdokumentation på begäran är viktigt för kunder i reglerade branscher.
How to Fill Out Your SaaS Agreement Sweden
SaaS-avtalet i Sverige upprättas i följande steg för att säkerställa juridisk giltighet och praktisk GDPR-compliance.
Steg 1 — Identifiera parterna och produkten. Leverantören: firmanamn, organisationsnummer (XXXXXX-XXXX), adress och behörig firmatecknare. Kunden: firmanamn och organisationsnummer. Tjänstens exakta namn och versionsnummer; bifoga produktspecifikation eller screenshot av tjänstens gränssnitt som bilaga. Antal licensierade användare (namngivna, samtidiga eller organisationsövergripande).
Steg 2 — Välj SLA-nivå och servicekreditstruktur. Välj drifttidsgaranti i förhållande till tjänstens affärskritiska karaktär: 99,9% för produktionssystem i dygnet-runt-drift; 99,5% för kundvårdssystem med normala affärstider; 99,0% för interna verktyg utan kritiska beroendeförhållanden. Definiera servicekrediternas beräkningsmetod och tak tydligt; otydliga SLA:er är en vanlig källa till tvister.
Steg 3 — Bestäm GDPR-roll och DPA-krav. Fastställ om leverantören behandlar personuppgifter på kundens instruktion (personuppgiftsbiträde, vanligast för CRM, HR-system, e-posttjänster) eller om parterna gemensamt bestämmer ändamål och medel (gemensamt ansvariga, ovanligare). Om personuppgiftsbiträde: DPA krävs per GDPR art. 28; inkludera DPA som Bilaga 1 till SaaS-avtalet. Om inga personuppgifter behandlas (ren B2B-dataanalytik utan personidentifierare): DPA ej obligatorisk men rekommenderas ändå.
Steg 4 — Reglera dataplats och dataöverföring. Ange var Kunddata lagras och behandlas. Om data lagras utanför EU/EES: inkludera EU:s standardavtalsklausuler (SCC, antagna 2021-06-04 av EU-kommissionen) som Bilaga 2 till SaaS-avtalet; genomför Transfer Impact Assessment (TIA) för tredjeland per EDPB:s riktlinjer. Lista godkända subprocessorer (underbiträden) som bilaga; ge kunden notisrätt vid nya subprocessorer (minst 30 dagars förhandsbesked).
Steg 5 — Välj pris, faktureringsmodell och bindningstid. Ange månadsavgift, kvartals- eller årsavgift med rabattsats. Reglera prisuppräkningsklausulen med KPI-index-koppling och varseltid. Bindningstid: 12 månader med automatisk förlängning och 90 dagars uppsägningstid är standard. Reglera overage charges (överskridande av avtalat antal användare) med tydlig beräkningsformel.
Steg 6 — Skriv in exitplanen. Reglera kundens rätt att exportera data under avtalstiden (format, frekvens) och vid avtalets upphörande (minst 30 dagars exportfönster, maskinläsbart format). Ange leverantörens raderingskyldighet (tidpunkt, metod, raderingsbevisskyldighet). Escrow-lösning (källkodsdeposition) rekommenderas om tjänsten är affärskritisk.
Steg 7 — Underteckna med behörig firmatecknare och bevara. Säkerställ att behörig firmatecknare (kontrollera vid Bolagsverket) undertecknar avtalet för leverantören. Kunden bör kontrollera leverantörens GDPR-compliance och certifikat (ISO 27001, SOC 2) innan undertecknande. Bevara DPA-bilagan separat med versionshistorik; uppdatera DPA vid ändringar av subprocessorlistan eller behandlingens karaktär.
Legal Requirements for SaaS Agreement Sweden
SaaS-avtal Sverige regleras av ett komplext samspel av dataskyddsrätt, IT-rätt och allmän avtalsrätt.
Dataskyddsförordningen (GDPR, EU 2016/679) och dataskyddslagen (2018:218). GDPR art. 28 är det centrala legala kravet för SaaS-avtal: varje personuppgiftsansvarigt bolag (kunden) måste ingå ett skriftligt DPA med varje personuppgiftsbiträde (leverantören). DPA:et ska reglera: behandlingens föremål, varaktighet, karaktär och ändamål; kategorier av personuppgifter och registrerade; leverantörens skyldigheter (säkerhet, loggning, incidenthantering, radering); rätten för kunden att utfärda instruktioner; subprocessorhantering; revisionsrätt. Integritetsskyddsmyndigheten (IMY) kan ålägga böter upp till 20 miljoner EUR eller 4% av global omsättning vid DPA-brister.
Upphovsrättslagen (1960:729) och programvarurätt. Upphovsrätten till SaaS-tjänstens källkod kvarstår hos leverantören; kunden erhåller enbart nyttjanderätt under avtalstiden. Tvingande undantag för dekompilering (§ 26e) gäller oavsett avtalsvillkor. Vid avtalets upphörande upphör nyttjanderätten omedelbart; leverantören har inte rätt att kräva betalning för åtkomst till kundens egna exporterbara data.
Avtalslagen (1915:218) och konsumenttjänstlagen (1985:716). SaaS-avtal mellan bolag regleras av avtalslagen och tillåter ansvarsbegränsningar, vitesklausuler och force majeure-klausuler. Vid B2C-avtal (konsument som kund) gäller konsumenttjänstlagen som delvis är tvingande till konsumentens förmån: leverantören kan inte avtala bort rätten till prisavdrag vid fel (§ 21) eller skadestånd vid dröjsmål (§ 31). Konsumentavtal kan dessutom prövas mot marknadsföringslagen (2008:486) och lagen om avtalsvillkor i konsumentförhållanden (1994:1512).
NIS 2-direktivet (EU 2022/2555) och cybersäkerhetslagen. Från oktober 2024 gäller EU:s NIS 2-direktiv (implementerat i Sverige via cybersäkerhetslagen 2023) för leverantörer av digitala tjänster (molntjänster, marknadsplatser, sökmotorer) med mer än 50 anställda eller mer än 10 MEUR omsättning. NIS 2-skyldigheterna inkluderar: tekniska säkerhetsåtgärder, incidentrapportering till MSB (Myndigheten för samhällsskydd och beredskap) inom 24 timmar, supply chain-riskhantering och revisionsrätt. SaaS-avtal bör innehålla NIS 2-compliance-klausul vid tillämpliga tjänster.
EU:s AI-förordning (2024/1689, AI Act) — ny reglering från 2026. SaaS-tjänster som inkorporerar AI-komponenter (automatiserade beslutsfattande, personrisksättning, ansiktsigenkänning) kan klassificeras som högrisk-AI-system under AI Act. Leverantören ska i dessa fall följa tilläggsreglerna: konformitetsbedömning, CE-märkning, loggning och transparenskrav. Kunden ska i SaaS-avtalet säkerställa att leverantören deklarerar AI Act-klassificering och compliance.
Räntelagen (1975:635) — dröjsmålsränta. Vid försenad fakturabelaing löper dröjsmålsränta automatiskt från förfallodagen (referensränta + 8 procentenheter) utan att påminnelse krävs, om parterna inte avtalat annat. Inkassolagen (1974:182) reglerar inkassobolagets krav om kunden inte betalar.
Common Mistakes to Avoid in Your SaaS Agreement Sweden
Följande misstag begås ofta vid upprättande av SaaS-avtal i Sverige och kan leda till GDPR-böter, kundförlust och tvister.
Misstag 1 — Avsaknad av DPA-bilaga. Det vanligaste och mest allvarliga misstaget: SaaS-avtal utan personuppgiftsbiträdesavtal (DPA) enligt GDPR art. 28. Integritetsskyddsmyndigheten (IMY) har i flera tillsynsärenden (Capio, Google Analytics, Facebook Pixel) ålagt böter enbart för avsaknad av DPA. Utan DPA saknar kunden reglerade säkerhetskrav, subprocessorlista och incidentrapporteringsrutiner — allt som krävs av GDPR. Lösning: bifoga DPA som Bilaga 1 och uppdatera vid ändringar av subprocessorlistan.
Misstag 2 — Vag SLA-definition utan tydlig mätmetod. SLA med formulering som '99,9% uptime' utan definition av vad som mäts (infrastrukturens sida? Slutanvändarens applikation?) och utan undantagsklausuler (planerat underhåll, tredjepartsberoenden) skapar tolkningstvister vid nedetid. Kunden anser sig ha rätt till servicekredit vid varje störning; leverantören hävdar att underhållsfönstret undantar nedetiden. Tydlighet om mätmetod, undantag och servicekreditberäkning förhindrar tvisten.
Misstag 3 — Ingen exitplan och dataportabilitetsklausul. Utan exitplansklausul saknar kunden rätt att exportera data vid avtalets upphörande; leverantören kan hålla kunden inlåst (vendor lock-in) och tvinga förnyelse av avtal vid hot om dataförlust. Kunden ska alltid förhandla fram rätten att exportera data i maskinläsbart format (CSV, JSON, XML) utan extra avgift, vid avtalets upphörande och under avtalstiden, och en tydlig leverantörens raderingskyldighet med bevisskyldighet.
Misstag 4 — Prisuppräkningsklausul utan tak. SaaS-avtal med obegränsad prisuppräkningsklausul ('Leverantören kan justera priset med skälig varsel') ger kunden inget skydd mot aggressiva prisökningar. Kunder som tecknat treårigt avtal utan pristaksklausul kan drabbas av 30-50% prisökning under avtalstiden. Rekommendation: prisuppräkning begränsad till KPI-index KPIF + 2-3% per år.
Misstag 5 — Underförsäkrad leverantör. SaaS-leverantörer med begränsade resurser som saknar cyberförsäkring och ansvarsförsäkring kan inte täcka skador vid driftstörningar, dataintrång eller GDPR-böter. En kunds förlorade intäkter vid allvarlig SaaS-störning kan vida överstiga leverantörens 12-månaders avgifter som ansvarstaket. Rekommendation: kunden bör kräva bevis på cyberförsäkring (minst 5 MSEK) och ansvarsförsäkring (minst 10 MSEK) som villkor för avtalstecknande.
Misstag 6 — Felaktig hantering av subprocessorer. SaaS-leverantörer som anlitar underbiträden (subprocessorer — molnleverantörer som AWS, Azure, Google Cloud; betalningsleverantörer; kommunikationsleverantörer) utan att inkludera dem i DPA:ts subprocessorlista och utan att meddela kunden om förändringar i subprocessorlistan bryter mot GDPR art. 28(2). Integritetsskyddsmyndigheten (IMY) kan ålägga böter för bristfällig subprocessorhantering. Rekommendation: offentlig subprocessorlista med automatisk e-postnotis vid ändringar.
Sources & Citations
Statutory citations link to official government sources.
- GDPR Art. 28EU – GDPR
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). SaaS Agreement Sweden (Sweden) [Legal document template]. Forms Legal. https://forms-legal.com/sverige/business/contracts/saas-agreement
"SaaS Agreement Sweden (Sweden)." Forms Legal, 2026, https://forms-legal.com/sverige/business/contracts/saas-agreement.
@misc{formslegal-saas-agreement,
author = {{Forms Legal}},
title = {SaaS Agreement Sweden (Sweden)},
year = {2026},
howpublished = {\url{https://forms-legal.com/sverige/business/contracts/saas-agreement}},
note = {Free legal document template}
}
Frequently Asked Questions
SaaS-avtalet och mjukvarulicensavtalet skiljer sig på tre avgörande punkter: vid SaaS erhåller kunden enbart nättillgång till programvaran via webbläsare eller API — inga installerbara kopior, ingen källkod, inget lokalt ägande av programvaran. Leverantören driftar infrastrukturen; kunden betalar löpande abonnemangsavgift. Vid traditionell mjukvarulicens erhåller licenstagaren installerbara kopior (on-premise eller hybrid) och betalar engångslicensavgift eller löpande underhållsavgift; licenstagaren driftar infrastrukturen. Från juridisk synpunkt har SaaS-avtalet ett tyngre GDPR-inslag: leverantören behandlar kundens data i sin infrastruktur och utgör personuppgiftsbiträde per GDPR art. 4(8); separat DPA är obligatoriskt per GDPR art. 28. Traditionell mjukvarulicensavtal utan moln-driftkomponent utlöser inte GDPR art. 28-kravet. SLA:erna är också olika: SaaS-leverantören ansvarar för drifttiden och infrastrukturens tillgänglighet; vid on-premise-licens ansvarar kunden själv för serverdrift och underhåll.
Personuppgiftsbiträdesavtalet (DPA) enligt GDPR art. 28 måste innehålla: för det första en beskrivning av behandlingens föremål, varaktighet, karaktär och ändamål, typ av personuppgifter och kategorier av registrerade; för det andra leverantörens skyldigheter att behandla personuppgifter enbart på kundens dokumenterade instruktioner; för det tredje krav på konfidentialitet för de anställda som behandlar personuppgifterna; för det fjärde tekniska och organisatoriska säkerhetsåtgärder (GDPR art. 32) — kryptering, åtkomstkontroll, loggning, incidenthanteringsplan; för det femte reglering av subprocessorer (underbiträden) — kunden ska godkänna subprocessorer, informeras om ändringar med minst 30 dagars förhandsbesked och kunna invända; för det sjätte skyldighet att bistå kunden vid fullgörande av de registrerades rättigheter (tillgång, rättelse, radering, portabilitet, GDPR art. 15-20); för det sjunde skyldighet att anmäla personuppgiftsincidenter till kunden inom 24 timmar; för det åttonde revisionsrätt för kunden (rätt att granska eller anlita revisor för granskning av leverantörens GDPR-åtgärder); för det nionde radering eller återlämnande av personuppgifter vid avtalets upphörande.
En SaaS-kund (personuppgiftsansvarig) som anlitar en SaaS-leverantör (personuppgiftsbiträde) utan att ingå ett personuppgiftsbiträdesavtal (DPA) per GDPR art. 28 riskerar böter utdömda av Integritetsskyddsmyndigheten (IMY) upp till 20 miljoner EUR eller 4% av global årsomsättning — beroende på vilket belopp som är störst. Konkreta svenska rättsfall: IMY ålade Capio St Görans sjukhus böter för otillräckliga DPA-villkor med journalsystemleverantörer; IMY utredde Google Analytics-användning hos flera svenska myndigheter och webbplatser för saknad DPA-reglering av dataöverföring till USA. Utöver böter kan IMY utfärda förbud mot databehandlingen och kräva omedelbart upphörande med behandlingen — vilket i praktiken kan innebära att kunden måste sluta använda SaaS-tjänsten omedelbart. Civilrättsliga krav kan dessutom riktas mot kunden av registrerade vars uppgifter behandlats utan korrekt DPA.
Vendor lock-in uppstår när en kund fastnat i en leverantörs ekosystem och inte utan stor kostnad eller datatförlust kan byta till alternativ. Fem skyddsåtgärder i SaaS-avtalet mot vendor lock-in: för det första exporträttighetsklausul — rätt att exportera all data i öppet maskinläsbart format (CSV, JSON, XML) utan extra avgift, både under avtalstiden och minst 30 dagar efter avtalets upphörande; för det andra API-åtkomst — rätt att använda API:et för dataexport och integration med tredje parts system under avtalstiden; för det tredje dataportabilitetsrätt per GDPR art. 20 — rätt till portabilitetsuttag för personuppgifterna; för det fjärde escrow-avtal — källkodsdeposition hos neutral tredje part (ett s.k. software escrow) för att ge kunden tillgång till källkoden vid leverantörens konkurs eller upphörande av verksamheten; för det femte exitavgiftsförbud — förbjud 'exit fees' för dataexport och säkerställ att rådata exporteras utan extra kostnad. Rekommendation: förhandla dessa rättigheter innan avtalstecknande, inte vid avtalets upphörande.
Incidenthanteringsklausulen i SaaS-avtalet reglerar hur parterna samverkar vid dataintrång. Fem obligatoriska element per GDPR och best practice: för det första leverantörens snabbrapporteringsskyldighet — leverantören ska informera kunden inom 24 timmar (SaaS-branschen har gått mot 12-timmars standard) om varje dataintrång som påverkar kundens personuppgifter; GDPR art. 33 kräver att kunden anmäler till IMY inom 72 timmar — det kräver snabb information från leverantören; för det andra incidentrapportens minimiinnehåll — karaktären av intrånget, berörda registrerade och personuppgiftskategorier, sannolika konsekvenser, vidtagna åtgärder; för det tredje leverantörens utrednings- och åtgärdsskyldighet — leverantören ska genomföra forensisk utredning, begränsa spridning, radera illegitimata kopior och ge kunden löpande statusuppdateringar; för det fjärde parternas kommunikation mot registrerade — kunden (inte leverantören) ansvarar för information till registrerade per GDPR art. 34 om intrånget sannolikt medför hög risk för individer; för det femte kostnadsfördelning vid intrång — leverantören bär kostnad för intrång som orsakas av brister i leverantörens säkerhetsåtgärder; kunden bär kostnad om intrånget beror på kundens felkonfiguration eller anställdas åtgärder.
SaaS-leverantörens rätt att höja priset under avtalstiden regleras av avtalet. Utan prisuppräkningsklausul: priset är avtalat till ingångspriset under hela avtalstiden; leverantören kan enbart ändra priset efter nytt avtal eller avtalsperiodens slut. Med prisuppräkningsklausul kopplad till KPI-index (KPIF, konsumentprisindex med fast ränta): indexhöjning med angiven varseltid (90 dagar rekommenderas) är tillåten. Tak på prisuppräkning (exempeltal: KPIF + 3%) skyddar kunden mot aggressiva höjningar. Utan tak: en 12% prisökning per år kan dubblera kostnaden på sex år. Ändring av prenumerationsplan (uppgradering av funktioner) kräver nytt skriftligt tillägg till SaaS-avtalet; leverantören kan inte tvinga kunden att betala för funktioner kunden inte beställt. Viktigt: kunden bör vid 12-månaders avtal med automatisk förlängning sätta kalenderpåminnelse 90 dagar innan förlängningen aktiveras; missad uppsägning innebär automatisk bindning för ytterligare 12 månader.
EU:s NIS 2-direktiv (2022/2555), implementerat i Sverige via cybersäkerhetslagen (2023), gäller för leverantörer av digitala infrastrukturtjänster och molntjänster som uppfyller tröskelvärdena: mer än 50 anställda eller mer än 10 miljoner EUR omsättning (medelstora och stora företag). NIS 2-skyldigheter för SaaS-leverantörer inkluderar: registrering hos MSB (Myndigheten för samhällsskydd och beredskap); riskhantering — bedömning och hantering av cybersäkerhetsrisker; incidentrapportering till MSB inom 24 timmar för signifikanta incidenter (som påverkar tjänstens tillgänglighet eller säkerhet i väsentlig utsträckning), med uppföljande fullständig rapport inom 72 timmar; supply chain-säkerhet — riskhantering av tredjepartskomponenter (öppen källkod, subprocessorer, API-beroenden); tekniska åtgärder — kryptering, åtkomstkontroll, penetrationstester, backup, sårbarhetsskanning; revisionsrättigheter — IMI (Internal Market Information System) och nationella myndigheter kan granska SaaS-leverantörers NIS 2-efterlevnad. SaaS-avtalet bör från 2026 innehålla en NIS 2-compliance-klausul för att signalera leverantörens regelefterlevnad till affärskritiska kunder.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Molntjänsteavtal Sverige
Skriftligt molntjänsteavtal för IaaS, PaaS och SaaS-tjänster med SLA, GDPR-compliance, NIS 2-säkerhetsåtgärder och katastrofåterställning (DR). Regleras av avtalslagen (1915:218), dataskyddsförordningen (GDPR) och cybersäkerhetslagen (2023).
Licensavtal Sverige
Skriftligt licensavtal för upplåtelse av immateriella rättigheter: mjukvara, patent, varumärke, upphovsrättsverk och know-how. Regleras av upphovsrättslagen (1960:729), patentlagen (1967:837), varumärkeslagen (2010:1877) och avtalslagen (1915:218).
Sekretessavtal (NDA) Sverige
Skriftligt sekretessavtal (NDA) mellan parter för skydd av affärskänslig information, källkod, kunduppgifter och företagshemligheter. Regleras av avtalslagen (1915:218), företagshemlighetslagen (2018:558) och skadeståndslagen (1972:207).
Ramavtal Sverige
Skriftligt ramavtal för löpande leverans av varor och tjänster via avropsorder. Täcker prislista, avropsprocess, leveransvillkor och prisuppräkning. Används inom privat sektor och offentlig upphandling enligt lagen om offentlig upphandling (LOU 2016:1145) och avtalslagen (1915:218).