SaaS-avtale 2026: Komplett guide + mal for norske SaaS-selskaper

SaaS-avtale 2026: Komplett guide + mal for norske SaaS-selskaper — artikkel fra Avtaleverket

SaaS-avtale 2026: Komplett guide + mal for norske SaaS-selskaper

Innledning: Hvorfor SaaS-avtaler er annerledes enn vanlige IT-kontrakter

Programvare har endret seg fundamentalt. I dag kjøper de færreste bedrifter programvare som en pakke de installerer på egne servere. I stedet abonnerer de på skybaserte tjenester -- Software as a Service. Men avtalene har ikke alltid hengt med i denne utviklingen.

En tradisjonell IT-kontrakt handlet om å levere et ferdig produkt. En SaaS-avtale handler om en løpende tjeneste der leverandøren har kontinuerlig kontroll over programvaren, dataene dine lagres i skyen, og tjenesten kan endres når som helst. Det gir helt andre juridiske utfordringer: Hva skjer med dataene dine hvis leverandøren går konkurs? Hvem eier innholdet du legger inn? Hva er garantert oppetid?

Denne guiden gir deg alt du trenger for å forstå, forhandle og utforme en solid SaaS-avtale etter norsk rett. Enten du er SaaS-gründer som trenger kundeavtaler, eller innkjøper som vurderer en ny skyløsning, finner du konkrete svar her.

Hva er en SaaS-avtale?

En SaaS-avtale er en kontrakt som regulerer forholdet mellom en leverandør av skybasert programvare og kunden som bruker tjenesten.

Software as a Service (SaaS) betyr at programvaren drives og vedlikeholdes av leverandøren, og at kunden får tilgang via internett -- typisk gjennom en nettleser. Kunden installerer ingenting lokalt. I stedet betaler kunden et løpende abonnement for tilgang til tjenesten.

Denne avtaletypen skiller seg fra en vanlig programvareavtale på tre sentrale punkter:

  1. Ingen eierskap til programvaren. Kunden kjøper ikke programvaren, men får en begrenset bruksrett så lenge abonnementet løper.
  2. Data lagres hos leverandøren. Kundens data ligger på leverandørens servere (eller hos en skytjenesteleverandør som AWS, Azure eller Google Cloud), noe som krever klare regler for datasikkerhet og personvern.
  3. Tjenesten er levende. Leverandøren oppdaterer, endrer og vedlikeholder programvaren løpende. Avtalen må regulere hva som skjer ved endringer, nedetid og feil.

Typiske SaaS-løsninger i Norge inkluderer regnskapssystemer som Fiken og Tripletex, HR-verktøy som Simployer, prosjektstyringsverktøy som Smartdok, og kommunikasjonsverktøy som Slack og Teams.

Forskjell mellom SaaS-avtale, programvarelisensavtale og EULA

Mange blander disse tre avtaletypene. Her er en oversikt over de viktigste forskjellene:

SaaS-avtale Programvarelisensavtale EULA
Leveringsmodell Skybasert tilgang via internett Installasjon på kundens servere/maskin Installasjon eller nettbasert
Eierskap Ingen -- bruksrett så lenge abonnementet varer Lisens (tidsbegrenset eller evigvarende) Lisens til sluttbruker
Betaling Løpende abonnement Engangskjøp eller årlig lisens Inkludert i kjøp eller gratis
Datalagring Hos leverandør/skyplattform Hos kunden selv Varierer
Oppdateringer Inkludert og styrt av leverandør Ofte separat vedlikeholdsavtale Sjelden regulert
GDPR-relevans Høy -- krever databehandleravtale Lav til middels Lav
SLA/oppetid Vesentlig -- må reguleres Normalt ikke relevant Normalt ikke inkludert
Forhandlingsrom Gjensidig forhandlet (B2B) Gjensidig forhandlet Ensidig -- ta det eller la være
Typisk bruk Bedriftsabonnement på skytjeneste Kjøp av spesialprogramvare Forbrukerprogramvare

Hvis du selger SaaS, er det SaaS-avtalen som er riktig avtaletype. En ren programvarelisensavtale dekker ikke de skyspesifikke elementene, og en EULA gir deg ikke den gjensidige reguleringsrammen du trenger for B2B-forhold.

Hva MÅ en SaaS-avtale inneholde?

En solid kontrakt for skybasert programvare bør dekke minimum disse tolv kjernelementene:

1. Tjenestebeskrivelse

En presis beskrivelse av hva SaaS-tjenesten faktisk omfatter. Unngå vage formuleringer som "tilgang til plattformen." Spesifiser funksjoner, moduler, integrasjoner og eventuelle begrensninger.

2. Bruksrett og tilgang

Definer hvem som har rett til å bruke tjenesten (navngitte brukere, samtidige brukere, hele organisasjonen), og hva som er tillatt bruk. Angi om bruksretten er eksklusiv eller ikke-eksklusiv.

3. Service Level Agreement (SLA)

Garantert tjenestenivå, inkludert oppetid, responstider og konsekvenser ved brudd. Se egen seksjon nedenfor.

4. Databehandling og personvern

Hvordan personopplysninger behandles, i tråd med GDPR. Krever normalt en egen databehandleravtale som vedlegg.

5. Datasikkerhet

Tekniske og organisatoriske sikkerhetstiltak leverandøren forplikter seg til. Inkluder kryptering, tilgangsstyring, logging og sikkerhetsrevisjoner.

6. Betalingsvilkår

Pris, faktureringsfrekvens, betalingsfrist, indeksregulering og konsekvenser ved forsinket betaling.

7. Immaterielle rettigheter (IP)

Hvem eier hva: leverandøren eier programvaren, kunden eier egne data. Reguler også rettigheter til tilpasninger og integrasjoner.

8. Ansvarsbegrensninger

Tak på erstatningsansvar, unntak for forsett og grov uaktsomhet, og regulering av indirekte tap.

9. Konfidensialitet

Gjensidig taushetsplikt om forretningshemmeligheter og sensitiv informasjon. Kan også reguleres i en separat NDA.

10. Varighet og oppsigelse

Avtaleperiode, oppsigelsesfrister, automatisk fornyelse og vilkår for ekstraordinær oppsigelse (vesentlig mislighold).

11. Dataeksport og sletting

Kundens rett til å få ut egne data ved oppsigelse, format for eksport og frist for sletting hos leverandør.

12. Lovvalg og tvisteløsning

Hvilken lov som gjelder, og hvordan tvister skal løses (forhandling, mekling, voldgift eller alminnelige domstoler).

SLA: Service Level Agreement -- oppetid, responstid og konsekvenser

SLA-en er hjertet i enhver SaaS-kontrakt. Den definerer hva kunden faktisk kan forvente av tjenesten, og hva som skjer når leverandøren ikke leverer.

Oppetidsgaranti

De fleste SaaS-leverandører tilbyr en oppetidsgaranti mellom 99,5 % og 99,9 %. Forskjellen later liten ut, men i praksis betyr det:

Oppetid Tillatt nedetid per år Tillatt nedetid per måned
99,0 % 3,65 dager 7,3 timer
99,5 % 1,83 dager 3,65 timer
99,9 % 8,77 timer 43,8 minutter
99,99 % 52,6 minutter 4,38 minutter

Hva bør SLA-en inneholde?

  • Målemetode: Hvordan oppetid beregnes. Planlagt vedlikehold bør normalt ikke telle som nedetid.
  • Måleperiode: Månedlig eller kvartalsvis måling.
  • Responstider: Hvor raskt leverandøren responderer på feilmeldinger, inndelt etter alvorlighetsgrad (kritisk, høy, normal, lav).
  • Løsningsfrister: Målsatte tider for å faktisk løse problemet.
  • Konsekvenser ved brudd: Automatiske kreditter (service credits), prisavslag, eller hevingsrett ved gjentatte brudd.

En SLA uten konsekvenser er bare en intensjonserklæring. Sørg for at kontrakten din har reelle mekanismer som gir kunden kompensasjon ved brudd. Se også Avtaleverkets dedikerte SLA-mal.

Databehandling og GDPR-forpliktelser

GDPR er kanskje det viktigste enkeltområdet i en moderne SaaS-kontrakt. Nesten alle skybaserte tjenester behandler personopplysninger på vegne av kunden -- det kan være ansattdata, kundelister, e-postadresser eller bruksmønstre.

Når kreves databehandleravtale?

Etter personopplysningsloven og GDPR artikkel 28 må det foreligge en skriftlig databehandleravtale når en virksomhet (behandlingsansvarlig) lar en annen virksomhet (databehandler) behandle personopplysninger på sine vegne. I et SaaS-forhold er kunden normalt behandlingsansvarlig, og SaaS-leverandøren er databehandler.

Databehandleravtalen bør være et vedlegg til hovedavtalen, og skal minimum inneholde:

  • Formål og varighet for behandlingen
  • Kategorier av personopplysninger som behandles
  • Kategorier av registrerte (ansatte, kunder, brukere)
  • Behandlingens art: Hva leverandøren faktisk gjør med dataene
  • Underleverandører (underdatabehandlere): Liste over og prosedyre for godkjenning av nye
  • Overføringer til tredjeland: Garantier ved overføring utenfor EØS (Schrems II)
  • Tekniske og organisatoriske sikkerhetstiltak
  • Bistandsplikt: Leverandørens plikt til å bistå ved innsynskrav, slettekrav og avvikshåndtering
  • Revisjon og tilsyn: Kundens rett til å gjennomføre eller bestille revisjon av leverandøren
  • Sletting eller tilbakelevering ved opphør av avtaleforholdet

Datatilsynet har publisert veiledning om databehandleravtaler som er nyttig referanse. Avtaleverket tilbyr en ferdig databehandleravtale-mal som er tilpasset norske SaaS-forhold.

Schrems II og overføring utenfor EØS

Dersom SaaS-leverandøren bruker skyinfrastruktur utenfor EØS (for eksempel AWS-regioner i USA), må avtalen inneholde godkjente overføringsmekanismer -- typisk EUs standardavtalevilkår (SCC) og en Transfer Impact Assessment (TIA).

Betalingsvilkår og prismodeller

Avtalen må tydelig regulere pris og betaling. Her er de vanligste prismodellene:

Per bruker (per seat)

Kunden betaler en fast pris per navngitt bruker per måned eller år. Enkelt og forutsigbart. Vanlig for verktøy som Slack, Figma og Salesforce.

Per bruksnivå (usage-based)

Pris basert på faktisk bruk -- for eksempel antall API-kall, lagringsvolum eller antall transaksjoner. Gir lav terskel for oppstart, men kan bli dyrt ved høy bruk. Vanlig for infrastrukturtjenester og dataplattformer.

Tier-basert (pakker)

Kunden velger mellom forhåndsdefinerte pakker med ulike funksjoner og begrensninger. For eksempel "Starter", "Professional" og "Enterprise". Gir forutsigbarhet for begge parter.

Hva bør reguleres om betaling?

  • Faktureringsintervall (månedlig, kvartalsvis, årlig)
  • Betalingsfrist (typisk 14-30 dager)
  • Forsinkelsesrente (forsinkelsesrenteloven)
  • Rett til prisendring og varsel om indeksregulering
  • Konsekvenser ved manglende betaling (stenging av tilgang, oppsigelse)
  • Eventuell minimumsperiode og bindingstid

IP-rettigheter og datatilgang ved oppsigelse

Hvem eier hva?

Hovedregelen er enkel, men viktig å skrive tydelig i kontrakten:

  • Leverandøren eier programvaren, inkludert kildekode, design og underliggende teknologi. Kunden får en begrenset, ikke-eksklusiv bruksrett.
  • Kunden eier egne data -- alt innhold kunden legger inn i tjenesten. Leverandøren har ingen eiendomsrett til kundens data.
  • Tilpasninger og integrasjoner kan være en gråsone. Reguler dette eksplisitt. Hvem eier en tilpasning som er utviklet på bestilling?

Etter åndsverkloven (lov om opphavsrett til åndsverk) har programvareutvikleren opphavsrett til kildekoden. Avtalen bør klargjøre at denne retten forblir hos leverandøren, samtidig som kunden får en ugjenkallelig rett til egne data.

Data ved oppsigelse

En kritisk del av enhver SaaS-kontrakt er hva som skjer med kundens data når avtaleforholdet tar slutt. Uten regulering risikerer kunden å miste tilgang til årsverk av data.

Ansvarsbegrensninger: Hva kan og ikke kan begrenses etter norsk rett

Ansvarsbegrensninger er et av de mest forhandlede punktene i en SaaS-kontrakt. Leverandøren ønsker å begrense risikoen, kunden ønsker beskyttelse.

Vanlige begrensningsmodeller

  • Beløpsbegrensning: Samlet erstatningsansvar begrenses til et bestemt beløp, typisk 12 måneders abonnement.
  • Unntak for indirekte tap: Leverandøren fraskriver seg ansvar for tapte inntekter, tapt fortjeneste og andre indirekte tap.
  • Unntak for spesifikke hendelser: Ansvarsfritak ved force majeure, tredjepartsfeil eller kundens egen bruk i strid med avtalen.

Begrensninger etter norsk rett

Etter avtaleloven § 36 kan en avtale helt eller delvis settes til side dersom det ville være urimelig å gjøre den gjeldende. Det betyr:

  • Ansvar for forsett og grov uaktsomhet kan ikke fravikes. En klausul som fritar leverandøren for alt ansvar -- også ved grov uaktsomhet -- vil normalt bli satt til side.
  • Ansvarsbegrensninger som uthuler avtalen kan også være urimelige. Hvis leverandørens eneste forpliktelse er å levere en tjeneste, men ansvaret for mangelfull levering er null, har avtalen mistet sitt innhold.
  • GDPR-ansvar kan ikke begrenses mellom behandlingsansvarlig og databehandler på en måte som undergraver de registrertes rettigheter.

En balansert kontrakt inneholder en fornuftig ansvarsbegrensning med tydelige unntak for situasjoner der begrensningen ikke gjelder (datatap grunnet leverandørens uaktsomhet, brudd på konfidensialitet, immaterialrettskrenkelser).

Jurisdiksjon og internasjonale kunder

Mange norske SaaS-selskaper har kunder i flere land. Da melder spørsmålet seg: Hvilket lands lov gjelder?

Lovvalg

Hovedregelen er avtalefrihet -- partene kan avtale hvilket lands lov som skal gjelde. For norske SaaS-leverandører er det normalt fornuftig å velge norsk rett som lovvalg, fordi:

  • Du kjenner regelverket
  • Eventuelle tvister kan løses i Norge
  • Norsk rett gir en balansert ramme for både leverandør og kunde

For enterprise-kunder i andre land kan det være nødvendig å akseptere lovvalg i kundens jurisdiksjon. Vurder da nøye om kontrakten må tilpasses.

Tvisteløsning

Alternativene er alminnelige domstoler, voldgift eller mekling. For SaaS-avtaler anbefales normalt:

  • Alminnelige domstoler med avtalt verneting (for eksempel Oslo tingrett) for standardavtaler
  • Voldgift for større enterprise-avtaler der konfidensialitet og effektivitet er viktig

Oppsigelse og dataeksport

Ordinær oppsigelse

Kontrakten bør regulere:

  • Oppsigelsesvarsel: Typisk 30-90 dager før oppsigelse til utløp av avtaleperioden
  • Automatisk fornyelse: Angi om avtalen fornyes automatisk og med hvilken varighet
  • Oppsigelsesmåte: Skriftlig, per e-post, i plattformen

Ekstraordinær oppsigelse

Begge parter bør ha rett til å heve avtalen ved vesentlig mislighold som ikke rettes innen en rimelig frist (normalt 30 dager). Typiske hevingsgrunner:

  • Gjentatte SLA-brudd
  • Brudd på GDPR-forpliktelser
  • Insolvens eller konkurs
  • Vesentlige sikkerhetsbrudd

Dataeksport

Ved oppsigelse bør kontrakten gi kunden:

  • Eksportperiode: 30-90 dager etter oppsigelse til å hente ut data
  • Format: Standardformat som CSV, JSON eller XML
  • Assistanse: Leverandørens plikt til å bistå med eksport ved behov
  • Sletting: Leverandøren sletter alle kundedata permanent etter eksportperioden, med skriftlig bekreftelse

Uten slike bestemmelser risikerer kunden å bli "låst inne" (vendor lock-in) hos leverandøren.

Vanlige feil i norske SaaS-kontrakter

Etter å ha gjennomgått hundrevis av SaaS-kontrakter, ser vi de samme feilene gang på gang. Her er de syv vanligste:

1. Manglende eller vag SLA

Mange kontrakter lover "høy tilgjengelighet" uten å definere hva det betyr. Uten konkret oppetidsprosent og konsekvenser ved brudd, har kunden ingen reell beskyttelse.

2. Ingen databehandleravtale

Overraskende mange norske SaaS-selskaper mangler en gyldig databehandleravtale. Dette er et direkte brudd på GDPR artikkel 28 og kan medføre overtredelsesgebyr fra Datatilsynet.

3. Uklar dataeierskap

"Vi eier alle data i plattformen." Nei. Kundens data tilhører kunden. En SaaS-avtale som gir leverandøren eierskap til kundedata er både urimelig og et kommersielt dødsstøt.

4. Ingen regulering av dataeksport

Når kunden sier opp, hva skjer da? Uten en eksportklausul kan kunden miste årsverk av data -- og leverandøren får et urimelig pressmiddel.

5. Ensidig endringsrett uten varsling

"Vi kan endre vilkårene når som helst." Etter norsk avtalerett må vesentlige endringer varsles og aksepteres. En ensidig endringsrett uten rimelig varsel og mulighet til å si opp er problematisk.

6. Ansvarsbegrensning som dekker alt -- inkludert grov uaktsomhet

Som nevnt over: etter avtaleloven § 36 kan en total ansvarsfraskrivelse settes til side. En ansvarsbegrensning må ha fornuftige unntak.

7. Manglende exit-strategi

Hva skjer hvis leverandøren legges ned, kjøpes opp eller bytter plattform? En god SaaS-avtale har klausuler for escrow av kildekode, dataeksport og overgangsstøtte.

SaaS-avtale for leverandør vs. kjøper

En SaaS-kontrakt ser forskjellig ut avhengig av hvilken side av bordet du sitter på.

Leverandørens perspektiv

Som SaaS-leverandør ønsker du en avtale som:

  • Begrenser ditt ansvar til en fornuftig ramme
  • Gir deg rett til å oppdatere og endre tjenesten
  • Definerer klare betalingsvilkår og konsekvenser ved manglende betaling
  • Beskytter dine immaterielle rettigheter
  • Regulerer akseptabel bruk for å unngå misbruk

Praktisk eksempel: Et norsk SaaS-selskap med 200 bedriftskunder trenger en standardavtale som er balansert nok til at de fleste kunder aksepterer den uten større forhandlinger, men som gir tilstrekkelig beskyttelse.

Kjøperens perspektiv

Som innkjøper av en SaaS-løsning ønsker du en avtale som:

  • Garanterer oppetid og ytelse gjennom en konkret SLA
  • Sikrer at dine data er dine -- både under og etter avtaleforholdet
  • Gir deg eksportmuligheter og beskyttelse mot vendor lock-in
  • Regulerer databehandling i tråd med GDPR
  • Gir deg rett til å revidere leverandørens sikkerhetspraksis

Praktisk eksempel: En norsk kommune som skal anskaffe et SaaS-basert saksbehandlingssystem, vil stille strengere krav til datalagring innenfor EØS, tilgangsstyring og revisjonsmuligheter enn et lite konsulentselskap som kjøper et prosjektstyringsverktøy.

Balansepunktet

Den beste kontrakten er balansert. En avtale som er for leverandørvennlig skremmer bort seriøse kunder. En avtale som er for kundevennlig gir leverandøren uhåndterlig risiko. Avtaleverkets SaaS-avtale mal er utformet for å treffe dette balansepunktet -- med justeringsmuligheter for begge sider.

Ofte stilte spørsmål om SaaS-avtaler

Hva er en SaaS-avtale?

En SaaS-avtale er en kontrakt som regulerer forholdet mellom en leverandør av skybasert programvare (Software as a Service) og kunden som abonnerer på tjenesten. Den dekker tilgang, oppetid, databehandling, betaling og rettigheter ved oppsigelse.

Trenger jeg en egen SaaS-avtale, eller holder en standard lisensavtale?

Ja. En tradisjonell programvarelisensavtale dekker ikke skyspesifikke elementer som oppetidsgarantier, datalagring hos leverandør og løpende GDPR-forpliktelser. Disse elementene er unike for SaaS-modellen og krever en dedikert avtale.

Må en SaaS-avtale ha databehandleravtale?

Ja, i nesten alle tilfeller. Dersom SaaS-leverandøren behandler personopplysninger på vegne av kunden, krever GDPR artikkel 28 at det foreligger en skriftlig databehandleravtale. Mangel på databehandleravtale er et lovbrudd.

Hva er forskjellen på en SaaS-avtale og en EULA?

En EULA er en ensidig lisensavtale for sluttbrukere, typisk "klikk og aksepter." En SaaS-avtale er en gjensidig forhandlet kontrakt mellom leverandør og kunde med balanserte rettigheter og plikter. For B2B-SaaS er dette riktig avtaletype.

Hva bør en SLA i en SaaS-avtale inneholde?

Minimum garantert oppetid (typisk 99,5--99,9 %), måleperiode, definisjoner av nedetid, responstider inndelt etter alvorlighetsgrad, eskaleringsprosedyre og reelle konsekvenser ved brudd som prisavslag eller kreditter.

Kan en SaaS-leverandør begrense ansvaret sitt fullstendig?

Nei. Etter norsk rett (avtaleloven § 36) kan urimelige ansvarsbegrensninger settes til side. Ansvar for forsett og grov uaktsomhet kan ikke fravikes.

Hva skjer med dataene mine når jeg sier opp en SaaS-avtale?

Dette bør reguleres i avtalen. Best practice er en eksportperiode på 30-90 dager, data i standardformat, og permanent sletting fra leverandørens systemer med skriftlig bekreftelse.

Hvilken lov gjelder for SaaS-avtaler i Norge?

Forholdet reguleres av avtaleloven, kjøpsloven (analogisk), åndsverkloven (opphavsrett) og personopplysningsloven/GDPR. Det finnes ingen egen SaaS-lov, så kontrakten selv er det styrende dokumentet.

Bør jeg bruke SSA-avtalene fra Anskaffelser.no?

SSA-avtalene er utformet for offentlige anskaffelser og er ofte for omfattende for private selskaper. For kommersielle SaaS-forhold anbefales en skreddersydd kontrakt tilpasset din forretningsmodell.

Hvor mye koster en SaaS-avtale mal?

Profesjonelle maler koster typisk mellom 1.500 og 5.000 kr. Å lage en SaaS-avtale fra bunnen med advokat koster raskt 20.000-50.000 kr. Avtaleverkets SaaS-avtale mal er tilgjengelig fra 1.499 kr.

Konklusjon: Slik sikrer du en solid SaaS-avtale

En gjennomtenkt SaaS-kontrakt er ikke bare et juridisk dokument -- det er fundamentet for et velfungerende kundeforhold. Den bygger tillit, forebygger konflikter og beskytter begge parter.

Enten du er SaaS-leverandør som trenger profesjonelle kundeavtaler, eller innkjøper som skal kvalitetssikre en ny skytjeneste, er det noen grep som alltid lønner seg:

  1. Start med en profesjonell mal. En SaaS-avtale må dekke spesifikke forhold som ikke finnes i vanlige kontrakter. Bruk en mal som er utformet for nettopp dette formålet.
  2. Prioriter SLA og databehandling. Disse to områdene gir opphav til de fleste tvister i SaaS-forhold.
  3. Tenk på exit fra dag en. Dataeksport, sletteplikt og overgangsperiode bør være på plass før du signerer.
  4. Tilpass til ditt behov. En mal er et utgangspunkt. Juster til din forretningsmodell, dine kunder og din risikoprofil.

Avtaleverkets SaaS-avtale mal er utarbeidet av jurist med spesialisering innen IT-kontrakter og kommersiell avtalerett, og er tilpasset norsk rett og GDPR. Malen dekker alle kjernelementene i denne guiden og kan tilpasses både leverandør- og kjøpersiden.

Se også våre relaterte maler:

0 kommentarer

Skriv en kommentar