Oppdaterte SSA-bestemmelser om data – hva er nytt?
1. Innledning
I mars 2026 oppdaterte Direktoratet for forvaltning og økonomistyring (DFØ) databestemmelsene i de fleste av statens standardavtaler (SSA).
Målet har blant annet vært å tydeliggjøre rettigheter til data, styrke kundens kontroll over egne data og presisere leverandørens bruksrett. Samtidig får leverandøren et klarere – men fortsatt begrenset – handlingsrom til å bruke enkelte datatyper til tjenesteforbedring. Oppdateringen har vært nødvendig, men den fritar ikke partene fra å måtte ta stilling til sentrale spørsmål om bruksrett, kostnader, formatkrav og exit i vedleggene til den enkelte avtale.
Som en del av arbeidet har DFØ også laget en veileder som forklarer hvordan DFØ mener at de oppdaterte bestemmelsene skal forstås.
I denne artikkelen går vi gjennom hovedtrekkene i de oppdaterte bestemmelsene. Vi ser ikke nærmere på endringene i SSA-F.
Illustrasjon: Colourbox / Chat GPT
2. Et område i stadig utvikling
Reguleringen av rettigheter til data er i stadig utvikling, særlig i EU. Et gjennomgående trekk ved kommende lovgivning er økt kontroll over og bedre tilgang til egne data. To sentrale eksempler er Data Act (dataforordningen) og Data Governance Act (dataforvaltningsforordningen), som vil få betydning for regulering av data også i Norge. Begge forordningene er EØS-relevante, men foreløpig ikke gjennomført i norsk rett.
Oppdateringen har vært nødvendig, men den fritar ikke partene fra å måtte ta stilling til sentrale spørsmål om bruksrett, kostnader, formatkrav og exit i vedleggene til den enkelte avtale.
Data Act regulerer blant annet rettigheter til og tilgang til data som skapes ved bruk av tilkoblede produkter og tjenester (Internet of Things), mens Data Governance Act blant har som mål å fremme bedre datahåndtering og -deling i EU.
I veilederen presiserer DFØ at de følger utviklingen tett, og vil vurdere behovet for nye revisjoner når nytt regelverk gjennomføres i norsk rett.
3. Hvordan bør leverandør og kunde håndtere de oppdaterte bestemmelsene?
Leverandører som er avhengige av datatilgang for å videreutvikle tjenestene sine, bør vurdere om de oppdaterte bestemmelsene gir tilstrekkelig bruksrett. Kunder som må sikre kritiske virksomhetsdata, bør på sin side vurdere om bestemmelsene gir tilstrekkelig kontroll og beskyttelse.
Leverandører og kunder med faste avvikskataloger, bør vurdere om disse må oppdateres i lys av endringene. Begge parter bør dessuten avklare hvordan leverandørens utvidede forpliktelser i standardavtalene vil påvirke kostnadsbildet i prosjektet, og hvordan eventuelle økte kostnader skal håndteres. Ved å adressere dette på avtalestadiet får partene bedre forutberegnelighet, og kan redusere risikoen for senere konflikt.
Partene bør også merke seg at SSA-oppdateringene åpner for at «andre reguleringer kan angis av Kunden i Bilag 1», altså i kundens kravspesifikasjon. Vi mener denne formuleringen skaper en uklarhet. Isolert sett kan ordlyden tyde på at bare kunden kan endre standardteksten gjennom bilag 1, med den konsekvens at det er kunden alene som kan foreta slike endringer. Det ville i så fall vært et avvik fra den vanlige forrangstrukturen i SSA-avtalene, hvor leverandørens eksplisitte forbehold i bilag 2 går foran bilag 1. Etter vår vurdering er det likevel klart at dersom leverandør tar et eksplisitt forbehold i bilag 2, som kunden aksepterer, må slike forbehold gå foran i tilfelle motstrid, også når det gjelder datarettighetsbestemmelsene.
4. Hvilke avtaler er endret?
DFØ har oppdatert følgende avtaler:
SSA-D (driftsavtalen)
SSA-L (løpende tjenesteleveranse)
SSA-store sky og SSA-lille sky
SSA-V (vedlikeholdsavtalen)
SSA-B og SSA-B enkel (bistandsavtalene)
SSA-O (oppdragsavtalen)
SSA-T (utviklings- og tilpasningsavtalen)
SSA-S (smidigavtalen)
SSA-F (forskningsavtalen)
SSA-R, som ikke ble endret i denne runden, brukes typisk sammen med en spesifikk leveranseavtale. Rettigheter til data vil da reguleres i det enkelte avrop, og løsningen kan variere med leveransen.
SSA-K er heller ikke endret. Den gjelder kjøp av standardkomponenter som utstyr, programvare og tilhørende komponenter.
DFØ har forsøkt å harmonisere endringene på tvers av avtalene. Samtidig påpeker DFØ i veilederen at de ulike avtalene gjelder svært forskjellige leveranser, og at reguleringen på enkelte punkter derfor er ulik.
5. Utgangspunktet: kunden beholder rettigheter til data leverandøren får tilgang til
De oppdaterte SSA-avtalene inneholder i hovedsak likelydende bestemmelser om at kunden «beholder rettigheter til data som tilgjengeliggjøres for Leverandøren». Kunden får også rettighetene til data som «samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles», samt resultatene av slik behandling. Varianter av bestemmelsen fantes også tidligere i de fleste SSA-avtalene. For SSA-B, SSA-B enkel, SSA-O og SSA-S er dette imidlertid nytt.
Formuleringen «beholder sine rettigheter» innebærer, naturlig nok, at avtalene ikke gir kunden videre rettigheter til data enn kunden allerede har. Data kan være underlagt begrensninger etter lov, avtale eller andre tredjepartsrettigheter. Det kan for eksempel følge av konkurransereglene, av at dataene utgjør forretningshemmeligheter eller personopplysninger, eller av at de omfattes av sikkerhetsloven. Data kan også inngå i et åndsverk, eller være strukturert, samlet og bearbeidet på en måte som utløser databasevern. Hvis tredjepart har rettigheter til data leverandøren får tilgang til, endrer ikke SSA-reguleringen det underliggende rettighetsforholdet.
Det sentrale i SSA-sammenheng er likevel at kunden, i forholdet til leverandøren, beholder kontrollen over data som gjøres tilgjengelig for leverandøren. I praksis samsvarer dette med det mange profesjonelle aktører allerede legger til grunn: Data som gjøres tilgjengelig for leverandøren, kan ikke brukes fritt til andre formål enn dem avtalen åpner for. For leverandøren betyr det at nødvendige bruksrettigheter må forankres i avtale.
6. Leverandørens bruksrett
6.1 Leverandøren har begrenset bruksrett til kundens data
Hovedregelen i de oppdaterte avtalene er at leverandøren får den bruksrett som er nødvendig for å oppfylle avtalen.
Leverandøren vil ofte også ønske å bruke data til å videreutvikle egne produkter og tjenester. DFØ har delvis tatt høyde for dette ved i enkelte standardavtaler å regulere leverandørens rett til å bruke (i) anonymiserte bruksdata og (ii) etablerings- og prosjektdata.
Disse bruksrettene er ikke tatt inn i SSA-B, SSA-B enkel og SSA-O, som alle gjelder ulike former for konsulentbistand. I slike leveranser vil det ofte ikke oppstå data det er praktisk behov for å bruke videre, utover knowhow og lignende som leverandøren allerede kan utnytte etter gjeldende bestemmelser.
Hvis leverandøren ønsker en videre bruksrett, for eksempel til demonstrasjon eller markedsføring, må dette reguleres særskilt, enten i bilag 1 eller i egne avtaler om datatilgang. Kunden kan på sin side ønske å begrense bruksretten ytterligere, for eksempel hvis den kan gi leverandøren innsikt i konkurransesensitiv informasjon.
6.2 Leverandørens rett til å bruke anonymisert bruksdata til forbedring av egne tjenester
I standardavtalene for løpende tjenester får leverandøren rett til å bruke anonymiserte data om kundens bruk av tjenesten for å forbedre egne tjenester. Dette gjelder SSA-D, SSA-L, SSA-store sky og -lille sky og SSA-V.
En tilsvarende bestemmelse er ikke tatt inn i SSA-T eller SSA-S, fordi disse avtalene gjelder implementering av en løsning og ikke løpende tjenesteleveranse. Da vil det i utgangspunktet heller ikke oppstå denne typen bruksdata. Hvis behovet likevel oppstår i SSA-T eller SSA-S, må partene regulere dette i bilag 1.
Data om kundens bruk av tjenesten vil typisk kunne gi innsikt i kundens bruks- og handlingsmønstre. Det kan for eksempel være informasjon om volum (antall brukere), hyppighet (hvor ofte) og varighet (hvor lenge) av bruk, hvordan ulike funksjoner brukes, og logger knyttet til sikkerhet og etterlevelse. For leverandøren er slik informasjon ofte verdifull, og noe man ønsker tilgang til, fordi blant annet fordi den viser bruksmønstre, hvilke funksjoner som brukes mest, og hvilke brukertyper som logger seg inn oftest mv.
At bruksdataene bare kan brukes til å «forbedre egne tjenester», omfatter for eksempel formål som tjeneste- og produktforbedringer, videreutvikling av funksjoner, feilretting og annen optimalisering. Kommersielle formål som markedsføring, prisstrategi eller utvikling av tjenester utenfor avtalen faller antagelig utenfor.
Bestemmelsen er likevel vid. Bruksdata kan i noen tilfeller enten inneholde, eller gjøre det mulig å utlede, forretningssensitiv informasjon om kundens økonomi, ressursbruk eller strategiske prioriteringer. Kunden bør derfor vurdere om det er nødvendig å avgrense eller presisere rammene for leverandørens bruksrett i bilag 1.
For at leverandøren skal kunne bruke slik bruksdata, må de være anonymisert. DFØ viser her til anonymiseringsbegrepet i personvernforordningen. Det innebærer at fysiske personer ikke lenger er identifiserte eller identifiserbare, verken direkte eller indirekte, jf. artikkel 4 nr. 1 og fortalepunkt 26.
6.3 Etablerings- og prosjektdata
Alle de oppdaterte avtalene, unntatt SSA-B, SSA-B enkel og SSA-O, gir også leverandøren rett til å bruke «innsamlede eller genererte data knyttet til etablering for å forbedre sine tjenester». I SSA-T og SSA-S er «etablering» erstattet med «prosjektgjennomføring».
For avtalene som også gir bruksrett til anonymiserte bruksdata, presiserer bestemmelsene at de to bruksrettene gjelder side om side.
Ordlyden er ikke helt klar, men omfatter trolig data om testresultater, feillogger, estimeringsdata, utviklingsinnsikt og prosjektrapporter mv. Det forutsettes samtidig at disse dataene ikke inneholder kundens virksomhetsdata, sikkerhetsmessige forhold, taushetsbelagte opplysninger eller andre data underlagt lovbestemte begrensninger. Hvis dataen inneholder slik informasjon, kan leverandøren likevel ikke bruke dem til tjenesteforbedring.
7. Kundens kontroll over egne data
7.1 En kjent utfordring – kunden mister oversikt over egen data
I langvarige IT-leveranser er det en kjent utfordring at kunden gradvis mister oversikt og kontroll over egne data. Dette kan skape problemer underveis i avtaleforholdet, men blir ofte særlig tydelig i en exit-situasjon eller ved konflikt. Kunden forbereder et leverandørskifte, og innser at det er vanskelig å få oversikt over hva leverandøren faktisk gjør, og hvilke data leverandøren har tilgang til. Det kan igjen gjøre det vanskelig å koordinere overgangen til ny leverandør og å utforme en presis kravspesifikasjon.
Situasjonen kan også svekke kundens forhandlingsposisjon overfor leverandøren. Hvis avtalen i tillegg er uklar, blir det vanskeligere for kunden å stille tydelige og konkrete krav – både ved exit og ellers.
De oppdaterte SSA-avtalene skal motvirke denne typen situasjoner ved å gi kunden bedre kontroll over egne data. Det skjer blant annet ved at leverandøren ikke kan holde tilbake data, og ved at leverandøren får en løpende plikt til å gjøre data tilgjengelig. Reguleringen følger den generelle utviklingen mot sterkere kontroll over egne data, samtidig som den legger et betydelig ansvar på leverandøren.
7.2 Ingen tilbakeholdsrett, og løpende plikt til utlevering av data på forespørsel
I avsnittet om leverandørens bruksrett og tilgang til data heter det blant annet at «Kunden skal til enhver tid ha tilgang til data som Kunden har rettighetene til, og Leverandørens behandling av disse.».
Bestemmelsen sier imidlertid lite om hva denne tilgangsretten konkret innebærer. Hvis det er viktig for kunden å få data utlevert i bestemte formater, med bestemt hyppighet eller på andre nærmere vilkår, bør dette presiseres i bilag 1. Partene bør videre sikre at kostnader ved slik utlevering håndteres på en fornuftig måte. Desto mer spesifikke krav som stilles fra kunden, desto viktigere blir denne typen avklaringer for leverandør.
Videre slår avtalene fast at leverandøren under ingen omstendighet kan utøve tilbakeholdsrett i kundens data. Bestemmelsen styrker kundens vern ved konflikt eller uenighet om for eksempel endringsregimet, og hindrer at leverandøren bruker kundens data som pressmiddel.
For leverandøren betyr dette at databehandlingen bør innrettes slik at krav om tilgjengeliggjøring kan oppfylles uten unødige kostnader og forsinkelser. Gode forberedelser kan redusere både arbeidsomfanget og kostnadene ved formattilpasning og annen bearbeidelse før utlevering.
7.3 Leverandørens plikt til å tilgjengeliggjøre data ved avtalens opphør
Det er også innført en ny bestemmelse om tilgjengeliggjøring av data ved avtalens opphør.
Etter bestemmelsen skal leverandøren «ved avtalens opphør [skal] tilgjengeliggjøre data til Kunden eller den Kunden utpeker på et allment tilgjengelig og maskinleselig format, med opprinnelige strukturer og metadata intakt.»
Tilpassede varianter av bestemmelsen er tatt inn i SSA-D, SSA-L, SSA-store sky, SSA-lille sky, SSA-V, SSA-B, SSA-B enkel og SSA-O. Bestemmelsen er derimot ikke tatt inn i SSA-T og SSA-S, fordi databehandlingen der normalt skjer i kundens egne miljøer. Leverandøren vil da som utgangspunkt ikke sitte med data som skal leveres tilbake. Hvis prosjekt- eller utviklingsmiljøer unntaksvis leveres gjennom leverandøren, bør partene ta høyde for dette i bilagene.
Bestemmelsen gir kunden en rett og leverandøren en plikt til å gjøre data tilgjengelige ved avtalens opphør. «Den kunden utpeker» kan for eksempel være en ny systemleverandør, integrator eller andre tredjeparter.
Bestemmelsen stiller også noen konkrete krav til format og datakvalitet.
For det første skal dataene gjøres tilgjengelige i et «allment tilgjengelig» format. DFØ presiserer at dette innebærer at formatet må være åpent. Formatet må være dokumentert, og dokumentasjonen må være fritt tilgjengelig.
For det andre må dataene gjøres tilgjengelige i et «maskinleselig format», altså i et format som annen programvare kan gjenkjenne og viderebehandle. Som DFØ påpeker, kan et maskinleselig format være både åpent og lukket. Det er derfor ikke automatisk overlapp mellom de to kravene, og de må leses i sammenheng.
For det tredje må dataene gjøres tilgjengelige «med opprinnelige strukturer og metadata intakt». Det betyr at struktur, sammenhenger og beskrivende informasjon ikke skal gå tapt. Leverandøren kan med andre ord ikke nøye seg med å levere rådata løsrevet fra sin sammenheng.
Disse kravene skal sikre at kunden faktisk får data som er brukbare ved videre bruk. Bestemmelsen er ment å motvirke leverandørinnlåsing, og styrke kundens digitale handlefrihet. Selv om bestemmelsen gir et betydelig minimumsvern, bør kunden vurdere om det er behov for mer detaljerte krav til format eller kvalitet i bilag 1.
Data skal gjøres tilgjengelige «ved avtalens opphør», men dette er neppe ment som en absolutt frist. DFØ skriver at hvor raskt data kan gjøres tilgjengelige, vil bero på blant annet datamengde, format og tekniske løsninger. For å unngå uklarhet anbefaler vi likevel at partene i bilag spesifiserer hva som ligger i «ved avtalens opphør», eller avtaler en konkret frist som hensyntar relevante forhold ved leveransen.
Det er bare SSA-D, SSA-store sky og SSA-T som uttrykkelig krever en avslutningsplan for bistand ved avtalens opphør. En tilsvarende ordning kan likevel være hensiktsmessig også i andre leveranser. En overordnet exit-plan, utarbeidet tidlig, kan gi begge parter bedre forutsigbarhet og struktur når leveransen går inn i avslutningsfasen.
Kravene til tilgjengeliggjøring av data vil antagelig medføre økte kostnader for leverandør. Et praktisk viktig spørsmål er hvem som skal dekke disse kostnadene. I SSA-D er det lagt opp til at bistand til dette skal skje på medgått tid. Alternativet er å prise dette som en del av produktet eller den løpende tjenesten.
7.4 Krav om sletting av data fra leverandørens systemer
Flere av avtalene pålegger leverandøren en automatisk plikt til å slette data ved avtalens opphør eller ved utløpet av garantiperioden.
DFØ legger til grunn at data først er slettet når de er fjernet fra leverandørens databaser og systemer på en måte som utelukker gjenoppretting. Plikten omfatter også sletting av kopier og at leverandørens tilgang til dataene opphører.
Bestemmelsen sier imidlertid ikke nærmere når slettingen skal skje. Kunden bør derfor presisere at sletting først skal skje etter at kunden har fått tilgang til de aktuelle dataene.
Selv om en slik sletteplikt ikke er uvanlig, kan fullstendig sletting av kundedata fra leverandørens systemer være både ressurs- og kostnadskrevende. Også på dette punkt bør derfor partene bli enig i hvordan kostnadene skal dekkes.
Det må dessuten tas høyde for at leverandøren i enkelte tilfeller kan ha lovpålagt plikt til å bevare visse kategorier av data, for eksempel etter bokføringsloven eller hvitvaskingsloven.
