IT-avtal
När du ska köpa/sälja hårdvara, molntjänster, onlineverktyg eller annat
IT-avtal är ett samlingsnamn för köpeavtal inom IT-branschen. När ditt företag ska köpa eller sälja molntjänster, onlineverktyg, hårdvara och andra lösningar behöver ni ett avtal. Avtalet ska reglerar installation, leveransen, resultatet, äganderätten, nyttjanderätten samt villkoren för driften och om något går fel. Dessutom ska IT-avtalet vara väldigt tydlig när det gäller GDPR eftersom leverantörer av IT-system ofta hanterar personuppgifter
Nedan går vi igenom de viktigaste punkterna du bör tänka på när du behöver ett IT-avtal. Kontakta oss om du behöver hjälp!
Clara – jurist inom IT-rätt, dataskydd och GDPR
Vi hjälper dig med:
- Kostnadsfri första kontakt
- IT-avtal till fast pris
- Upprättande och granskning
Ta kontakt
Fri första kontakt med jurist. Fortsatt hjälp alltid till fast pris efter överenskommelse.
Vad är ett IT-avtal?
Begreppet ”IT-avtal” är ett samlingsnamn för ett flertal avtal på IT-området. IT-avtal kan reglera exempelvis systemupphandling, outsourcing och programvarulicenser.
Vad ska ett IT-avtal reglera?
Exakt vad ett IT-avtal ska reglera skiljer sig från fall till fall och är beroende på vilken typ av IT-avtal det handlar om, vad kundens behov är samt vilken inköpsmodell kunden väljer. Om avtalet till exempel gäller tillhandahållandet av ett IT-system är upphovsrätten och nyttjanderätten till systemet extremt viktigt att reglera i avtalet. Ett IT-avtal kan innehålla allt från regler om leverans och installation, nyttjande- och upphovsrätt, ansvar för fel och dröjsmål, sekretessfrågor, utbildning av personal samt hur personuppgifter hanteras enligt GDPR.
Hur ska ett IT-avtal reglera underhåll?
Frågor om drift och underhåll regleras med fördel i ett separat drift- och underhållsavtal eftersom dessa avtal ofta är mycket omfattande, behöver specificeras och vara anpassade till företagets behov och intressen.
Hur ska ett IT-avtal reglera dataintrång?
Dataintrång är ett brott enligt svensk lag och innebär att någon olovligen får tillgång till ett datorsystem där data blir behandlad, lagrad eller överförs elektroniskt. Om ett företag blir utsatt för dataintrång ska det genast göras en polisanmälan. Företaget måste ni även enligt GDPR:s regler informera samtliga berörda om intrånget om det finns en risk för id-stöld eller bedrägeri. Dessutom måste sådana incidenter dokumenteras och sparas internt samt rapporteras till Integritetsskyddsmyndigheten inom 72 timmar.
Enligt GDPR måste varje företag som tillhandahåller personuppgifter ha en plan för hur framtida incidenter ska kunna förhindras. Dessutom måste det finnas en personuppgiftspolicy som beskriver hur personuppgifter lagras, hanteras och till vilket syfte.
Om ert företag har en underleverantör som sköter driften av IT-systemet innebär det ofta att företaget behandlar personuppgifterna för ert företags räkning. I ett sådant fall så krävs det enligt lag att ni tecknar ett personuppgiftsbiträdesavtal där ni som personuppgiftsansvariga ställer krav på IT-säkerheten hos underleverantören samt förtydligar underleverantörens ansvar samt skyldigheter enligt GDPR.
Hur ska ett IT-avtal beröra avvikelser från förväntat resultat?
Ibland kan det uppkomma situationer där en levererad tjänst eller vara inte stämmer överens med kundens förväntningar. I dessa fall är det viktigt att ni redan innan, i ett IT-avtal, har reglerat hur sådana situationer ska lösas. Oavsett om du är en köpare eller säljare av en IT-produkt eller IT-tjänst, är det viktigt att se till att båda parterna är införstådda med vad köparen har för förväntningar på slutprodukten eftersom detta har betydelse för när en vara anses vara felaktig.
Att ni redan innan har avtalat om dessa situationer innebär att ni på ett smidigt sätt kan bespara båda parter onödiga och kostsamma juridiska processer vid en tvist.
Ett exempel: Företaget X har beställt en mjukvara från företaget Y. Vid leverans upptäcks ett fel. I IT-avtalet har parterna reglerat att företaget Y ska vara skyldig att på egen bekostnad avhjälpa felet i programvaran så att den överensstämmer med kundens beställning och förväntningar på produkten. Eftersom lösningen på denna problematik redan har avtalats om, uppkommer inga större olägenheter för parterna.
Är det rekommenderat att använda standardavtalen?
På IT-området finns ett flertal standardavtal där de mest använda är IT och Telekomföretagens standardavtal, bland annat Avtal 90. Dessa standardavtal är allmänt hållna och det är därför viktigt att dessa kompletteras med specifika bestämmelser som ska gälla mellan köpare och säljare: exempelvis vad som ska gälla vid försening, fel, skador samt hur eventuella avtalsbrott ska hanteras. Därför rekommenderar vi att ni inte använder er av ett standardavtal helt utan vidare, utan att dessa i sådana fall används som underlag men att ni sedan, med hjälp av en jurist, fyller ut avtalet med specifika bestämmelser som är anpassade efter den typ av verksamhet som ert företag bedriver.
Hur ska ett IT-avtal reglera personuppgiftshantering (exempelvis för molntjänster)?
Enligt GDPR måste alla fysiska och juridiska personer som behandlar personuppgifter redogöra för hur du hanterar dessa personuppgifter. Det vill säga, i IT-avtalet ska det finnas information om hur inhämtningen av personuppgifterna går till, till vilket syfte de inhämtas och hur dessa lagras.
Eftersom det i många projekt är underleverantörer av IT-system som tillhandahåller tjänsterna är det inte ovanligt att ett IT-avtal måste kompletteras med en personuppgiftbiträdesavtal. I vissa fall måste även personuppgiftspolicys uppdateras för att säkerställa full regelefterlevnad. Det är även viktigt att reflektera över var i världen servrarna som hostar IT-systemet ligger, eftersom de av säkerhetsskäl bör ligga inom EU.
