Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
    • Praxisdagen • 4 nov 2025 • Stockholm
    • Praxisdagen • 11 nov 2025 • Göteborg
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Molntjänster och avtalsfrågor

Peter Nordbeck går igenom några avtalsfrågor som dyker upp vid en upphandling av molntjänster. Före upphandlingen måste man göra en risk- och sårbarhetsanalys för att bedöma de risker som finns med att lägga ut en viss verksamhet i molnet.

| 2020-05-08

I min förra expertkommentar berörde jag en särskild aspekt av molntjänster, nämligen den amerikanska Cloud Act-lagstiftningen. Frågan var om och på vilket sätt uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen, OSL, kan göras tillgängliga för en it-leverantör som omfattas av Cloud Act.

Jag fortsätter på temat molntjänster och går översiktligt igenom ett urval av de avtalsfrågor som dyker upp i samband med upphandling av molntjänster. I kommande kommentarer kommer jag att belysa några av dem mera i detalj.

Risk- och sårbarhetsanalys
Innan en kommun, region eller myndighet upphandlar en molntjänst ska man göra en risk- och sårbarhetsanalys för att bedöma de risker som finns med att lägga ut viss verksamhet i molnet.

Den legala risk- och sårbarhetsanalysen utgör en del av det förarbete som måste göras och innebär att den upphandlande enheten går igenom och bedömer avtalsvillkoren och gör en legal bedömning i övrigt.

Övriga frågor som måste analyseras juridiskt är bland annat behandling av personuppgifter och utlämnande av uppgifter enligt OSL.

Här följer exempel på frågeställningar som bör analyseras i risk- och sårbarhetsanalysen.

Tillämplig lag
De utländska molntjänstleverantörernas avtal styrs ofta av lagen i leverantörens land. Att svensk rätt inte gäller för avtalet innebär problem, särskilt i förhållande till säkerhets- och sekretesslagstiftningen.

Den upphandlade enheten bör därför säkerställa att det görs ett undantag av innebörd att svensk säkerhets- och sekretesslagstiftning ska gälla.

När det gäller frågan om behandling av personuppgifter blir svensk lag – GDPR och kompletterande svensk dataskyddslagstiftning – tillämplig. I övriga avtalsfrågor får en bedömning göras om det är lämpligt att ett annat lands lag än svensk lag gäller.  

Ansvarsbegränsning
Är ansvaret enligt avtalet fördelat och begränsat på ett rimligt sätt? Ofta är leverantörens ansvar enligt molntjänstavtalet begränsat till ett relativt lågt belopp. Risken är därmed att den upphandlande enheten inte får full ersättning för skador som leverantören eventuellt orsakar under avtalet.

Utrymmet för att avvika från molntjänstleverantörernas bestämmelser om ansvarsbegränsning är dock litet, åtminstone när det gäller de stora molntjänstleverantörerna.

Servicenivåer
På samma sätt som beträffande ansvarsbegränsning, finns det ofta små möjligheter att förändra de servicenivåer som leverantören har som standard i molntjänstavtalet.

Den upphandlande enheten måste dock bedöma om de servicenivåer som leverantören erbjuder är tillräckliga för de tjänster som man planerar att lägga ut.

Kontroll av efterlevnad av avtalet
Molntjänstavtalet kan ha bestämmelser om att leverantören har rätt att kontrollera kundens efterlevnad av avtalet, bland annat genom att göra inspektioner. En sådan bestämmelse kan strida mot säkerhets- och sekretesslagstiftningen och jag hänvisar till avsnittet om tillämplig lag ovan.

Ändringar i tjänsten och i avtalet
Många molntjänstavtal har bestämmelser som ger leverantören en omfattande rätt att ensidigt ändra tjänsten och avtalet.

Den upphandlande enheten måste noggrant analysera innebörden av dessa bestämmelser. En del avtal innehåller skrivningar om att leverantören inte kommer att göra väsentliga ändringar av innehållet och säkerheten i tjänsterna etcetera.

 En sådan bestämmelse bör man se upp med, eftersom den öppnar för att andra ändringar än de som är väsentliga får göras. 

Rätt att stänga av tjänsten
Man bör vara uppmärksam på bestämmelser som ger leverantören en rätt att stänga av tjänsten, eftersom en sådan möjlighet givetvis innebär en mycket stor risk för den upphandlande enheten.

Samverkansmodell
En förutsättning för ett hållbart avtal är att det finns en samverkansmodell där parterna träffas i olika konstellationer för att diskutera de frågor som dyker upp under avtalstiden. Generellt är detta dock inte något som erbjuds som standard i molntjänstavtalen.

Exit
En förutsättning för att en upphandlande enhet ska kunna lägga ut verksamhet till en molntjänstleverantör är att den i framtiden ska kunna lämna tjänsten på ett tryggt sätt. Det får inte finnas någon möjlighet för leverantören att hålla inne kundens data. Avtalet ska även innehålla ett åtagande från leverantören att hjälpa den upphandlande enheten vid en exit.    

Hantering av personuppgifter
Molntjänstavtalen har typiskt sett anpassats till GDPR, men villkoren för personuppgiftsbehandling är snåriga i många avtal.

Molntjänstleverantören är som huvudregel personuppgiftsbiträde till den upphandlande enheten och en analys måste göras av att avtalet uppfyller kraven på ett biträdesavtal i artikel 28 i GDPR.

På senare tid har även skrivningar dykt upp i avtalen som innebär att leverantören är personuppgiftsansvarig för viss behandling som görs inom ramen för tjänsten. En analys måste göras i syfte att säkerställa att de ändamål för vilka leverantören är personuppgiftsansvarig är legitima.

Dessutom måste avtalets bestämmelser om äganderätten till uppgifterna gås igenom, så att inte leverantören enligt avtalet felaktigt blir ägare till den upphandlande enhetens data, inklusive till metadata som genereras genom användning av tjänsten. 

Offentlighets- och sekretesslagen
En av de viktigaste frågorna att ta ställning till är om det är möjligt och lämpligt att lämna ut uppgifter till molntjänstleverantören med hänsyn till reglerna i OSL.

Den upphandlande enheten måste, mot bakgrund av de uppgifter som blir aktuella att lägga ut i tjänsten, gå igenom vilka sekretessbestämmelser i OSL som blir tillämpliga och bedöma om det går och är lämpligt att överföra uppgifterna till molntjänsten.

Det bör även finnas en strategi för att säkerställa att sekretessbelagd information kan undantas från molntjänsten. Detta kan vara svårt att genomföra i praktiken.

Ovanpå dessa frågor ligger även utmaningarna med Cloud Act, som jag berörde i min förra kommentar.

Det här var en kort genomgång av de avtalsfrågor och andra juridiska frågor som dyker upp i samband med upphandling av molntjänster. Det finns, som sagt, anledning att återkomma till molntjänstavtalet framöver.  

Peter Nordbeck
Advokat, Advokatfirman Delphi

Vill du ställa frågor till Peter Nordbeck? Mejla info@inkopsradet.se

 

Läs mer: Expertkommentar

Peter Nordbeck

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

  • Rekrytera rätt kompetens med Inköpsrådet

Peter Nordbeck

Peter Nordbeck har över tjugo års erfarenhet av att arbeta med it-rättsliga frågor. Han fokuserar på outsourcing, molntjänstavtal och dataskydd och biträder klienter både inom privat och offentlig sektor. Vanliga ärenden är upprättande av avtal vid upphandlingar och risk- och sårbarhetsanalyser när myndigheter och andra enheter inom offentlig sektor tänker anlita molntjänstleverantörer. Han föreläser regelbundet om it-avtal, molntjänster och dataskydd.

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • AI för upphandlare | 27 november
  • LOU på två dagar | 2-3 december
  • Säkerhetsskyddad upphandling | 4 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025
ANNONS FRÅN UPPHANDLING24

Lär dig LOU av en expert

En kursledare med ambitionen att förenkla upphandlarens vardag. Grundläggande LOU med nyheter och praxis. Mathias Sylvan guidar dig rätt i regelverket och djupdyker i valda delar.

Tillämpat krav som inte uttryckligen framgåttTillämpat krav som inte uttryckligen framgått
Hetaste rättsfallen från första kvartaletHetaste rättsfallen från första kvartalet
Mer restriktiv bedömning av avvikelser?Mer restriktiv bedömning av avvikelser?
Bakläxa om utredningsansvarBakläxa om utredningsansvar
Juridisk rapport om miljömärkning i upphandlingJuridisk rapport om miljömärkning i upphandling
Förtroendet för rättskipningen riskerar att urholkasFörtroendet för rättskipningen riskerar att urholkas
Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantagetFörslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
Inga krav som inte uttryckligen följer dokumentInga krav som inte uttryckligen följer dokument

Nytt från Upphandling24

  • Dalatrafik backar från miljardkrav
  • Upphandling tar plats i Almedalen
  • Backa inte – ställ krav på oss!
  • “Fel slå ihop Digg och PTS”
  • Färre väljer valfrihetssystem
  • Låg kickback blir något högre
  • Mössan på med kommunala köp

Kommentarer från läsarna

Fredrik : Hetaste rättsfallen från första kvartalet
Tack för bra "Reader's Digest".
Björn : Förtroendet för rättskipningen riskerar att urholkas
Jag instämmer med slutsatserna. Inte bara att KR tar upp väldigt få mål trots att det svämmar över av domstolsbeslut…
Louise Bylund : Följa upp avtal – en cirkulär process
Hej! Jag har en fundering om den cirkulära modellen har något specifikt namn? Med vänliga hälsningar, Louise, Offentlig upphandlare student.
Marianne Hammarström : Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
Mycket bra. Tack för att ni driver detta och håller med att det är mycket svårtolkat.
Annika S : Hur allvarligt fel krävs för uteslutning?
Hej! Kan ni reda ut den här meningen lite - jag går vilse i olika "inte". Vidare har det förhållandet…
Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…

Senaste inläggen

  • Tillämpat krav som inte uttryckligen framgått
  • Hetaste rättsfallen från första kvartalet
  • Mer restriktiv bedömning av avvikelser?
  • Bakläxa om utredningsansvar
  • Juridisk rapport om miljömärkning i upphandling
  • Förtroendet för rättskipningen riskerar att urholkas
  • Förslag 3: Ta bort verksamhetskriteriet i Hamburg-undantaget
  • Inga krav som inte uttryckligen följer dokument
  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl