Få veiledning til bestemmelsen om rettigheter til data i SSA-ene, blant annet forklaring om hvem som får rettigheter til data i avtalen, og i hvilke situasjoner leverandøren kan bruke kundens data.
Bakgrunnen for revisjon
I 2025 gjennomførte DFØ en revisjon av SSA-ene sin bestemmelse om rettigheter til data. Revisjonen har bakgrunn i tildelingsbrevet fra Digitaliserings- og forvaltningsdepartementet og til DFØ. Som en del av revisjonen er det gjennomført møter med referansegruppen for SSA, og det er gitt mulighet til å komme med skriftlig innspill fra gruppen.
Det er foretatt endringer i alle avtalene, utenom SSA-K og SSA-R.
I arbeidet har kundens rett til egne data og leverandørens bruksrett blitt tydeliggjort. Blant annet er det presisert i avtalene at leverandøren har rett til å bruke prosjektdata om kunden. Der det er relevant, presiserer avtalene hvordan data skal håndteres ved avtalens opphør. Dette omfatter blant annet krav om tilbakelevering av all kundedata til kunden og etterfølgende sletting hos leverandøren. Ordlyden sikrer også at kunden til enhver tid har tilgang til egne data. DFØ har utarbeidet denne veiledningen for oppdragsgivere og leverandører for å støtte bruken av bestemmelsen.
Siden virkeområdet i de ulike SSA-avtalene er ulikt, vil behovet for konkret regulering i den enkelte avtalen variere noe. Ved utformingen av bestemmelsene har DFØ derfor søkt å ivareta disse ulikhetene samtidig som vi har søkt å harmonisere bestemmelsene. En viktig vesensforskjell mellom avtalene er omfanget av data som generes eller behandles. En annen sentral faktor som påvirker behovet for, og detaljinnholdet i en bestemmelse om, rettigheter til data er hvorvidt data som skapes i leveransene, lagres på kunden eller leverandørens miljøer, dvs. hvem som har løpende kontroll på dataene. Noen avtaler har også klausuler om utlevering av kundens data fra før, som det har vært relevant å se til i arbeidet med nye avtaleklausuler.
Forholdet mellom avtaletekst og veiledningen
Veiledningen er ikke juridisk bindende, og er kun ment som bistand når bestemmelsen tas i bruk. Brukeren av avtalene er selv ansvarlig for å sette seg inn i ordlyden i avtalene, og benytte bilagene til å supplere og justere ordlyden ved behov.
DFØ oppfordrer brukerne av avtalen til å lese gjennom denne veiledningen før de tar avtalene i bruk.
Oversikt over avtaletekst i avtalene som regulerer rettigheter til data
| Avtale | Tidligere avtaletekst | Ny avtaletekst |
|---|---|---|
| SSA-K | Ingen regulering | Ingen endring |
| SSA-R | Ingen regulering | Ingen endring |
| SSA-T punkt 8.3 | Kunden (og dennes rettighetsgivere) beholder rettighetene til alle data som samles inn, overføres, bearbeides, lagres eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultatet av behandling av slike data.
Leverandøren har tilgang til data som nevnt ovenfor utelukkende i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen.
Leverandøren kan benytte aggregerte, anonymiserte data til å forbedre sine tjenester, med mindre Kunden har tatt forbehold om det i bilag 1.
Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. |
Kunden (og dennes rettighetshavere) beholder rettigheter til de data som tilgjengeliggjøres for Leverandøren og får rettighetene til de data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater av slik behandling av slike data. |
| SSA-S | Ingen regulering | Nytt punkt 10.1 Kunden (og dennes rettighetshavere) beholder rettigheter til de data som tilgjengeliggjøres for Leverandøren og får rettighetene til de data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater av slik behandling av slike data. Leverandøren skal ha tilgang og bruksrett til data som nevnt ovenfor i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Kunden skal til enhver tid ha tilgang til data som Kunden har rettighetene til, og resultatet av Leverandørens behandling av disse. Dersom ikke annet fremgår av Bilag 1, skal Leverandøren innen utløpet av garantiperioden, slette alle egne kopier av Kundens data. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. Bestemmelsen er ikke til hinder for at Leverandøren kan benytte innsamlede eller genererte data knyttet til prosjektgjennomføringen til å forbedre sine tjenester. Dette gjelder eksempelvis data fra testresultater, feillogger, estimeringsdata, utviklingsinnsikt, prosjektrapporter mv., forutsatt at dette ikke er knyttet til Kundens virksomhetsdata, sikkerhetsmessige aspekter eller andre forhold som er underlagt taushetsplikt etter Avtalen eller begrensninger i lov og forskrift. Andre reguleringer kan angis av Kunden i Bilag 1. |
| SSA-D punkt 8.3 | Kunden (og dennes rettighetsgivere) beholder rettighetene til alle data som samles inn, overføres, bearbeides, lagres eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultatet av behandling av slike data. Leverandøren har tilgang til data som nevnt ovenfor utelukkende i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. |
Kunden (og dennes rettighetshavere) beholder rettigheter til de data som tilgjengeliggjøres for Leverandøren og får rettighetene til de data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater av slik behandling av slike data. |
| SSA-L punkt 7.2 | Kunden beholder eiendomsrett til alle data som overlates til Leverandøren for behandling, og som lagres eller prosesseres ved hjelp av tjenestene under denne avtalen. Det samme gjelder resultatet av Leverandørens behandling av slike data. Leverandøren har tilgang til data som nevnt ovenfor utelukkende i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til avtalen. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. | Kunden (og dennes rettighetshavere) beholder rettigheter til de data som tilgjengeliggjøres for Leverandøren og får rettighetene til de data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater av slik behandling av slike data. Leverandøren skal ha tilgang og bruksrett til data som nevnt ovenfor i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Kunden skal til enhver tid ha tilgang til data som Kunden har rettighetene tilog resultatet av Leverandørens behandling av disse dataene. Leverandøren skal ved avtalens opphør tilgjengeliggjøre data til Kunden eller den Kunden utpeker på et allment tilgjengelig og maskinleselig format, med opprinnelige strukturer og metadata intakt, jf. også Avtalen punkt 5.3. Dersom ikke annet fremgår av Bilag 1, skal Leverandøren ved Avtalens opphør slette alle egne kopier av Kundens data. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. Leverandøren kan benytte anonymiserte data angående Kundens bruk av tjenesten til å forbedre sine tjenester, med mindre Kunden har tatt forbehold om det i Bilag 1. Bestemmelsen er ikke til hinder for at Leverandøren kan benytte innsamlede eller genererte data knyttet til etablering til å forbedre sine tjenester. Dette gjelder eksempelvis data om testresultater, feillogger, estimeringsdata, utviklingsinnsikt, prosjektrapporter mv, forutsatt at dette ikke er knyttet til Kundens virksomhetsdata, sikkerhetsmessige aspekter eller andre forhold som er underlagt taushetsplikt etter Avtalen eller begrensninger i lov og forskrift. Andre reguleringer kan angis av Kunden i Bilag 1. |
| SSA-lille sky punkt 8.3.1 | Kunden (og dennes rettighetsgivere) beholder rettighetene til alle data som samles inn, overføres, bearbeides, lagres eller på annen måte behandles på vegne av Kunden i henhold til denne Avtalen. Det samme gjelder resultatet av behandling av slike data. Leverandøren har tilgang til data som nevnt ovenfor utelukkende i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. | Kunden (og dennes rettighetshavere) beholder rettigheter til de data som tilgjengeliggjøres for Leverandøren og får rettighetene til de data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater av slik behandling av slike data. Leverandøren skal ha tilgang og bruksrett til data som nevnt ovenfor i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Kunden skal til enhver tid ha tilgang til data som Kunden har rettighetene tilog resultatet av Leverandørens behandling av disse dataene. Leverandøren skal ved avtalens opphør tilgjengeliggjøre data til Kunden eller den Kunden utpeker på et allment tilgjengelig og maskinleselig format, med opprinnelige strukturer og metadata intakt, jf. også Avtalen punkt 2.6. Dersom ikke annet fremgår av Bilag 1, skal Leverandøren ved Avtalens opphør slette alle egne kopier av Kundens data. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. Leverandøren kan benytte anonymiserte data angående Kundens bruk av tjenesten til å forbedre sine tjenester, med mindre Kunden har tatt forbehold om det i Bilag 1. Bestemmelsen er ikke til hinder for at Leverandøren kan benytte innsamlede eller genererte data knyttet til etablering til å forbedre sine tjenester. Dette gjelder eksempelvis data om testresultater, feillogger, estimeringsdata, utviklingsinnsikt, prosjektrapporter mv, forutsatt at dette ikke er knyttet til Kundens virksomhetsdata, sikkerhetsmessige aspekter eller andre forhold som er underlagt taushetsplikt etter Avtalen eller begrensninger i lov og forskrift. Andre reguleringer kan angis av Kunden i Bilag 1. |
| SSA-store sky punkt 8.3.1 | Kunden (og dennes rettighetsgivere) beholder rettighetene til alle data som samles inn, overføres, bearbeides, lagres eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultatet av behandling av slike data. Leverandøren har tilgang til data som nevnt ovenfor utelukkende i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Leverandøren kan benytte aggregerte, anonymiserte data til å forbedre sine tjenester, med mindre Kunden har tatt forbehold om det i bilag 1. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. | Kunden (og dennes rettighetshavere) beholder rettigheter til de data som tilgjengeliggjøres for Leverandøren og får rettighetene til de data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater av slik behandling av slike data. Leverandøren skal ha tilgang og bruksrett til data som nevnt ovenfor i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Kunden skal til enhver tid ha tilgang til data som Kunden har rettighetene til og resultatet av Leverandørens behandling av disse dataene. Leverandøren skal ved avtalens opphør tilgjengeliggjøre data til Kunden eller den Kunden utpeker på et allment tilgjengelig og maskinleselig format, med opprinnelige strukturer og metadata intakt, jf. også Avtalen punkt 2.4.4 nr.3. Dersom ikke annet fremgår av Bilag 1, skal Leverandøren ved Avtalens opphør slette alle egne kopier av Kundens data. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. Leverandøren kan benytte anonymiserte data angående Kundens bruk av tjenesten til å forbedre sine tjenester, med mindre Kunden har tatt forbehold om det i Bilag 1. Bestemmelsen er ikke til hinder for at Leverandøren kan benytte innsamlede eller genererte data knyttet til etablering til å forbedre sine tjenester. Dette gjelder eksempelvis data om testresultater, feillogger, estimeringsdata, utviklingsinnsikt, prosjektrapporter mv, forutsatt at dette ikke er knyttet til Kundens virksomhetsdata, sikkerhetsmessige aspekter eller andre forhold som er underlagt taushetsplikt etter Avtalen eller begrensninger i lov og forskrift. Andre reguleringer kan angis av Kunden i Bilag 1. |
| SSA-V punkt 8.2 | Kunden (og dennes rettighetsgivere) beholder rettighetene til alle data som samles inn, overføres, bearbeides, lagres eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultatet av behandling av slike data. Leverandøren har tilgang til data som nevnt ovenfor utelukkende i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. | Kunden (og dennes rettighetshavere) beholder rettigheter til de data som tilgjengeliggjøres for Leverandøren og får rettighetene til de data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater av slik behandling av slike data. Leverandøren skal ha tilgang og bruksrett til data som nevnt ovenfor i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Kunden skal til enhver tid ha tilgang til data som Kunden har rettighetene til og resultatet av Leverandørens behandling av disse dataene. Leverandøren skal ved avtalens opphør tilgjengeliggjøre data til Kunden eller den Kunden utpeker på et allment tilgjengelig og maskinleselig format, med opprinnelige strukturer og metadata intakt, jf. også Avtalen punkt 2.6.3, tredje avsnitt. Dersom ikke annet fremgår av Bilag 1, skal Leverandøren ved Avtalens opphør slette alle egne kopier av Kundens data. Leverandøren har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. Leverandøren kan benytte anonymiserte data angående Kundens bruk av tjenesten til å forbedre sine tjenester, med mindre Kunden har tatt forbehold om det i Bilag 1. Bestemmelsen er ikke til hinder for at Leverandøren kan benytte innsamlede eller genererte data knyttet til etablering til å forbedre sine tjenester. Dette gjelder eksempelvis data om testresultater, feillogger, estimeringsdata, utviklingsinnsikt, prosjektrapporter mv, forutsatt at dette ikke er knyttet til Kundens virksomhetsdata, sikkerhetsmessige aspekter eller andre forhold som er underlagt taushetsplikt etter Avtalen eller begrensninger i lov og forskrift. Andre reguleringer kan angis av Kunden i Bilag 1. |
| SSA-B punkt 7 | Ingen regulering | Punkt 7 tilføyes et fjerde avsnitt Kunden (og dens rettighetshavere) beholder sine rettigheter til data som tilgjengeliggjøres for Konsulenten og får rettighetene til data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater fra behandling av slike data. Kunden skal til enhver tid ha tilgang til sine data som er gjort tilgjengelig for Konsulenten, og resultatet av Konsulenten behandling av disse dataene. Konsulenten har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. Dersom Kunden ikke er i besittelse av alle slike data ved avtalens opphør, plikter Konsulenten å tilgjengeliggjøre dataene til Kunden eller den Kunden utpeker i et allment tilgjengelig og maskinleselig format. Andre reguleringer kan angis av Kunden i Bilag 1. |
| SSA-B enkel punkt 7 | Ingen regulering | Punkt 7 tilføyes et fjerde avsnitt Kunden (og dens rettighetshavere) beholder sine rettigheter til data som tilgjengeliggjøres for Konsulenten og får rettighetene til data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater fra behandling av slike data. Kunden skal til enhver tid ha tilgang til sine data som er gjort tilgjengelig for Konsulenten, og resultatet av Konsulenten behandling av disse dataene. Konsulenten har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. Dersom Kunden ikke er i besittelse av alle slike data ved avtalens opphør, plikter Konsulenten å tilgjengeliggjøre dataene til Kunden eller den Kunden utpeker i et allment tilgjengelig og maskinleselig format. Andre reguleringer kan angis av Kunden i Bilag 1. |
| SSA-O punkt 8 | Ingen regulering | Punkt 8 tilføyes et fjerde avsnitt Kunden (og dens rettighetshavere) beholder sine rettigheter til data som tilgjengeliggjøres for Konsulenten og får rettighetene til data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater fra behandling av slike data. Kunden skal til enhver tid ha tilgang til sine data som er gjort tilgjengelig for Konsulenten, og resultatet av Konsulenten behandling av disse dataene. Konsulenten har ikke under noen omstendighet rett til å utøve tilbakeholdsrett i Kundens data. Dersom Kunden ikke er i besittelse av alle slike data ved avtalens opphør, plikter Konsulenten å tilgjengeliggjøre dataene til Kunden eller den Kunden utpeker i et allment tilgjengelig og maskinleselig format. Andre reguleringer kan angis av Kunden i Bilag 1. |
| SSA-F punkt 5.2 | Hvilke regler som skal gjelde i forbindelse med rettighetsspørsmål i avtaleforholdet, kan partene avtale i bilag 6. Hvis ikke annet er avtalt, gjelder følgende: Oppdragstaker beholder rettighetene til resultatene av Oppdraget, med de begrensinger som følger av Oppdragsgivers bruksrett. Oppdragsgiver får rett til å bruke resultatene av Oppdraget i sin virksomhet, og å gi andre en tilsvarende rett til å bruke resultatene. Bruksretten omfatter blant annet rett til å fremstille eksemplarer av eventuell sluttrapport og delutredninger som er frembrakt i Oppdraget, rett til å gjøre resultatene av Oppdraget tilgjengelig for allmennheten i overensstemmelse med pkt. 5.3, og rett til å bruke resultatene i videre forskning og utredning. Bruksretten omfatter ikke kommersiell utnyttelse hvis ikke annet er avtalt. Hvis ikke annet er avtalt i bilag 6, gjelder rettighetene etter andre og tredje ledd også for rådata som fremkommer ved utførelsen av Oppdraget. I forbindelse med Oppdraget kan Oppdragsgiver eller Oppdragstaker bringe inn kunnskap, informasjon og materiale (”bakgrunnskunnskap”) som er beskyttet av eiendomsrett, immaterielle rettigheter eller forretningshemmeligheter, som er frembrakt uavhengig av Oppdraget. Eksempler på bakgrunnskunnskap er analyseverktøy, metodegrunnlag og rådata. Oppdragstaker kan bruke slik beskyttet bakgrunnskunnskap fra Oppdragsgiver i den utstrekning det er nødvendig for å kunne utføre Oppdraget, og kan også benytte Oppdragsgivers rådata i forskning som ikke skjer etter oppdrag fra Oppdragsgiveren. Oppdragsgiver skal kunne benytte slik beskyttet bakgrunnskunnskap fra Oppdragstakeren i den utstrekning det er nødvendig for å utnytte rettighetene til resultatene av Oppdraget etter denne Avtalen. Oppdragsgiver og Oppdragstaker kan ikke bruke resultatene av Oppdraget, bakgrunnskunnskap og rådata på en slik måte at taushetsplikten etter pkt. 3.4 eller lov eller annen avtale blir krenket, eller hvis bruken er i strid med tredjepersons rettigheter. Opphavspersoner har krav på å bli navngitt slik god skikk tilsier, jfr. åndsverkloven § 5. All bruk av resultatene av Oppdraget skal skje innenfor rammen av god forskningsskikk. Oppdragstaker plikter i resultatet også å oppgi i hvilken grad Oppdragsgiver har finansiert oppdraget. | Nytt punkt 5.2 fjerde avsnitt Hvis ikke annet er avtalt i bilag 1, gjelder rettighetene etter andre og tredje ledd også for rådata som fremkommer ved utførelsen av Oppdraget. Dersom bruksretten til rådata etter tredje ledd siste punktum innskrenker Oppdragsgivers rett til deling og viderebruk av rådata på de vilkår som er avtalt i henhold til punkt 5.1, skal Oppdragstaker gi tydelig varsel om dette i bilag 2. |
Dialog med leverandør
Flere av de punktene som er beskrevet i denne veiledningen, knytter seg til temaer/problemstillinger som leverandør kan bistå med svar til. DFØ oppfordrer oppdragsgivere til å ha dialog med leverandørene.
Kort om kommende datadelingslovgivning
DFØ er kjent med at det arbeides med flere regelverk i EU, som kan påvirke bestemmelsen om rettigheter til data. Vi kommer til å følge utviklingen på kommende lovgivning, og vurdere behov for revisjon av bestemmelsen, når kommende regelverk blir innført i norsk rett.
Rettighetene til data
Kunden (og dennes rettighetshavere) beholder rettigheter til de data som tilgjengeliggjøres for Leverandøren og får rettighetene til de data som samles inn, prosesseres, bearbeides, genereres, oppstår eller på annen måte behandles i henhold til denne Avtalen. Det samme gjelder resultater av slik behandling av slike data.
Avtaletekst i avtalen
Ordlyden er foreslått lik for de nevnte avtalene, med unntak av SSA-F. Bestemmelsen slår fast at kunden beholder rettigheter til data som tilgjengeliggjøres for leverandøren, for eksempel data som skal eksporteres i et SSA-T-prosjekt, eller driftes i en SSA-D-avtale. Tilsvarende får kunden rettigheter til alle data som oppstår eller endres i prosjektet/ved bruk av tjenesten.
Hva menes med «data» ?
Det finnes ingen allment akseptert definisjon av data. Data kan for eksempel forstås som enhver digital representasjon av handlinger, fakta eller informasjon og enhver samling av slike handlinger, fakta eller informasjon, inkludert i form av lyd-, bilde- eller audiovisuelle opptak.(([1]^En slik definisjon følger av dataforvaltningsforordningen artikkel 2 nr. 1))
Data som behandles kan være personopplysninger, men dataene vil i stor grad også omfatte data som ikke knytter seg til personer i det hele tatt, som for eksempel virksomhetsopplysninger.
I utgangspunktet er det ingen som eier rettigheter til informasjon og data. Innsamlet og strukturert informasjon kan være beskyttet av lover og regler, for eksempel
- opphavsrett etter åndsverksloven
- regler knyttet til personvern, sikkerhet eller forretningshemmeligheter
- kontraktsbestemmelser, som i SSA-ene
- at en part som sitter i besittelse av data, stiller vilkår for å dele dette videre med andre
Eksempel
Ingen eier rettigheten til å samle inn informasjon om hvordan været har vært i ett år. Men når en aktør har investert arbeid i å strukturere slik værdata, så vil denne aktøren kunne stille vilkår for å gi andre tilgang til denne databasen, om den ikke er offentlig tilgjengelig.
Offentlige tilgjengelige databaser kan være beskyttet av databasevern, om vilkårene for dette er oppfylt.
Om tredjeparters rettigheter til data i avtalene
SSA-enes bestemmelser om rettigheter til data, i form av eierskap og bruksrettigheter til data, er kun et utgangspunkt for bruken og delingen av data mellom kunde og leverandør. Rekkevidden av rettighetene etter avtalen vil påvirkes av tredjeparters rettigheter, og øvrige rettslige begrensninger, som for eksempel sikkerhetsloven, åndsverksloven, forretningshemmelighetsloven og personopplysningsloven. Kunden bør for eksempel påse at de har rett til å tilgjengeliggjøre dataene for leverandøren, da tredjeparter kan ha eierskap til dataene som setter begrensninger for kundens bruk.
Hvordan tredjepartsvilkår blir gjeldende for kunde i SSA-ene
Ved kjøp av tjenester som inkluderer tredjepartsleveranser, vil tredjeparters rettigheter til data og datadelingsforpliktelser fremgå av bilag 9 eller 10 i en SSA. Disse tredjepartsvilkårene kan ha avvikende reguleringer om rettigheter til data enn det som følger av SSA-en. Vilkårene vil enten kunne gjøres gjeldende overfor kunden ved at det inngås en direkteavtale mellom kunden og tredjeparten, eller ved at leverandøren viderefører vilkårene slik at kunden blir indirekte bundet av vilkårene.
Tredjepartsvilkårene kan i større eller mindre grad avvike fra reguleringen i SSA-en. Siden standardvilkårene i praksis gis forrang, kan innholdet i standardvilkårene om rettigheter til data påvirke kundens rettigheter etter SSA-en. Det er derfor viktig at kunden er oppmerksom på reguleringen av rettigheter til data i standardvilkårene, og sjekker at egne rettigheter er tilstrekkelig ivaretatt. Forholdet til tredjeparter er ikke behandlet i denne veiledningen utover det som fremkommer i dette avsnittet.
Tilgang og bruksrett til data
Leverandør skal ha tilgang til og bruksrett til data som nevnt ovenfor i den utstrekning som er nødvendig for at Leverandøren skal kunne oppfylle sine forpliktelser i henhold til Avtalen. Kunden skal til enhver tid ha tilgang til data som Kunden har rettighetene til, og Leverandørens behandling av disse.
Avtaletekst i avtalen
Kundens tilgang til data underveis i avtalen
Ordlyden slår også fast at kunden til enhver tid skal ha tilgang til data som kunden har rettighetene til, og resultatet av leverandørens behandling av disse. Dette sikrer kundens tilgang til egne data, også der disse er endret gjennom leverandørens behandling.
Hvordan kundens data skal tilgjengeliggjøres, er ikke regulert i avtalen. Dette gjelder hverken format, frekvens, teknisk tilgjengeliggjøring eller lignende. Dersom kunden har spesifikke krav om dette, bør det angis i bilag 1. Tilgjengeliggjøring av data kan være mer eller mindre ressurskrevende for leverandøren, avhengig av hvilke data det gjelder, og hvilke krav som stilles.
Avtaleteksten regulerer ikke vederlag knyttet til kundens tilgang til data. Kunden bør derfor vurdere hvordan slike kostander skal håndteres konkret i den enkelte anskaffelsen. DFØ gjør oppmerksom på at krav til format og frekvens for tilgang til og utlevering av data kan være kostnadsdrivende.
Hva kan leverandøren gjøre med kundens data?
Ordlyden slår fast at leverandøren kun har bruksrett og tilgang til kundens data så langt det er nødvendig for at leverandøren skal få utført sine leveranser/tjenester etter avtalen.
Overføring av data ved avtalens opphør
Leverandøren skal ved avtalens opphør tilgjengeliggjøre data til Kunden eller den Kunden utpeker på at et allment tilgjengelig og maskinleselig format, med opprinnelige strukturer og metadata intakt.
Avtaletekst i avtalen
Aktuelle avtaler
Avtaleteksten finnes, i ulike varianter, i følgende avtaler:
- SSA-D
- SSA-L
- SSA-store sky
- SSA-lille sky
- SSA-V
- SSA-B
- SSA-B enkel
- SSA-O
Bestemmelsen er ikke tatt inn i SSA-T og SSA-S. I utgangspunktet skjer behandlingen av data normalt i kundens egne prosjektmiljøer når disse avtalene benyttes, og leverandøren har derfor ikke data å levere tilbake. I enkelte tilfeller er det unntak fra dette, for eksempel dersom prosjekt- og utviklingsmiljøer leveres gjennom leverandøren. I slike tilfeller kan kunde og leverandør endre standardteksten i avtalen, eller beskrive det i bilagene slik at det passer med anskaffelsen.
Sammenheng med annen avtaletekst i de ulike avtalene
Ordlyden slår fast at leverandøren skal tilgjengeliggjøre kundens data for kunden, eller den kunden utpeker ved avtalens opphør. Denne plikten er også regulert andre steder i de løpende avtalene som har tilsvarende plikter med enkelte forskjeller, og bestemmelsen må ses i sammenheng:
- I SSA-D foreligger det en eksplisitt plikt for leverandøren til å tilgjengeliggjøre all data som tilhører kunden ved opphør gjennom referansen til 2.5.3, fjerde avsnitt, nr. 1 og nr. 5.
- I SSA-L fremkommer det en tilsvarende plikt for leverandøren å tilgjengeliggjøre kundens data ved opphør av 5.3, tredje avsnitt nr. 1 og nr. 5.
- I SSA-store sky følger det et minimumskrav i avslutningsplanen til å overføre data, jf. 2.4.4 andre avsnitt
- I SSA-lille sky 2.6 første avsnitt har leverandøren ved avtalt tilleggstjenester en bistandsplikt som kan inkludere bistand med tilbakeføring av data ved opphør.
- I SSA-V 2.6.3 tredje avsnitt har leverandøren en eksplisitt plikt til å overføre kundens data ved avtalens slutt.
Allment tilgjengelig og maskinleselig format
For å kunne utveksle data mellom systemer må dataene organiseres på en måte som begge systemene forstår. Avtaleteksten stiller derfor krav til leverandøren om at data skal tilbakeleveres på et «maskinleselig format». Maskinleselig format er ikke definert i norsk lov, men kan beskrives som et filformat som er strukturert slik at programvare enkelt kan identifisere, gjenkjenne og hente ut bestemte data og deres interne struktur. Dette er for å sikre at data tilgjengeliggjøres og overleveres fra leverandøren til kunden på en måte som gjør kunden i stand til å lese, forstå og bruke dataene. Dette kan eksempelvis være strukturerte dataformater som JSON, CSV, XML. Et maskinleselig format kan være åpent eller ((proprietært+ Proprietært betyr at noe er eid og kontrollert av en bestemt aktør.)), og de kan enten være formelle standarder eller ikke.
Et maskinleselig format er ikke nødvendigvis allment tilgjengelig. Avtaleteksten presiserer derfor at formatet må være allment tilgjengelig. Begrepet "allment tilgjengelig" betyr at formatet dataene leveres i, må være åpent. Det innebærer at formatet må være dokumentert, og dokumentasjonen må være fritt tilgjengelig for alle. Formater som er definert i internasjonale standarder (ISO og EN), eller nasjonale standarder som SOSI-standarden for utveksling av geografisk data, er eksempler på åpne tilgjengelige formater. Dette til forskjell fra formater som er lukket (proprietær), fordi informasjon om formatets oppbygging er lite tilgjengelig, eller fordi formatet er beskyttet av lisens.
Hva menes med opprinnelige strukturer og metadata intakt?
Ordlyden stiller krav om at dataene som tilgjengeliggjøres, skal ha «opprinnelige strukturer og metadata intakt». Det betyr at dataene som skal leveres tilbake, som minimum må være av samme kvalitet som de dataene leverandøren har tilgjengelig. Opprinnelige strukturer refererer til dataenes innbyrdes sammenhenger (relasjoner), hierarki, og feltdefinisjoner. Dette kan eksempelvis være dataformater som JSON, CSV, XML eller ren tekst. Det stilles også krav til metadata, som er data som definerer dataenes struktur, datatyper, og kodeverdier.
Dersom kunden har særskilte krav til format, kan dette avtales og beskrives i bilag 1. Det kan også vurderes om det skal stilles krav om bruk av anerkjente åpen og maskinleselig format etter internasjonale standarder (ISO/EN) eller nasjonale bransjestandarder.
Kostnader ved tilbakelevering av data
Leverandøren kan prise plikten til å utlevere data som del av produkt og løpende tjenestepris. Dette betyr at det ikke nødvendigvis må faktureres separat for selve utleveringen av data, men at det kan inngå i den totale prisen for tjenesten.
I de aktuelle SSA-ene fremgår det at leverandøren kan få betalt for bistand med å gi tilgang til data, typisk på løpende timer. Dette er regulert i bestemmelser om rettigheter til data og avslutning av avtalen, som i SSA-D punkt 2.5.3.
Når skal leverandøren tilgjengeliggjøre data?
Ifølge avtaleteksten skal data tilgjengeliggjøres «ved avtalens opphør». Utover dette er det ingen tidsangivelse på når eller hvor raskt det skal skje. Hvor raskt data kan tilgjengeliggjøres, avhenger av en rekke faktorer, blant annet mengden data, dataformat og tekniske løsninger. Det kan være aktuelt at kunde og leverandør avtaler dette på forhånd, men det er ingen krav.
Foruten SSA-D, SSA-store sky og SSA-T stiller ikke avtaleteksten i de øvrige SSA-ene plikt til å utforme en avslutningsplan. Det vil si at det ikke kreves en plan som beskriver konkrete tiltak leverandøren skal bistå med ved avtalens opphør. Selv om det ikke foreligger en formell plikt til å utarbeide en avslutningsplan i de øvrige SSA-ene, kan det likevel være fordel at kunde og leverandør i god tid før avtaleslutt samarbeider om å utforme en plan om hvordan data skal tilgjengeliggjøres. Dette kan bidra til mer forutsigbarhet og struktur i avslutningsfasen, og mer klarhet i, for eksempel, kostnadene tilgjengeliggjøring kan medføre.
Eksempel på avslutningsplan
En avslutningsplan kan for eksempel inneholde disse punktene:
- ((Omfanget+ Omfanget kan vurderes basert på historiske data, hvilket behov kunden har for de ulike typer data, og om noen data kanskje ikke behøves og kan utelates, for eksempel gamle data som ikke lenger har relevans)) og tidspunktet for eksport av data
- ((Tidspunktet eller tidspunktene for utlevering+Ofte kalles det «migrering» når en flytter data fra ett system til et annet. Det kan være aktuelt å gjøre én eller flere prøvemigreringer, før den endelige migreringen gjøres, for å unngå hull i dataene når kunden skifter fra gammelt til nytt system.)) er viktig å definere
- Dataformat og behov for metadata
- Hvilke verktøy som skal brukes for uttrekk og eksport
- Hvilke uttrekksprogrammer som må lages
- Hvilke kvalitetskrav dataene skal tilfredsstille, f.eks. om det må utføres datavask
- Hvilke kvalitetssjekker og tester som skal gjøres av uttrekket
- Estimering av kostnad for design-build-test av eksport
- Plan for design, bygg, test av det overstående
- Beskrive design, bygging og testing
- Prosessen for uttrekket og overlevering til kunde
- Hvordan det skal verifiseres at dataene er lesbare for kunden
- Hvordan data skal slettes i leverandørens system
Sletting av data ved avtalens opphør
Dersom ikke annet fremgår av Bilag 1, skal Leverandøren [«innen utløpet av garantiperioden» for SSA-T og SSA-S] [«ved avtalens opphør» for SSA-D osv.], slette alle egne kopier av Kundens data.
Avtaletekst i avtalen
Når anses data som slettet?
Avtaleteksten slår fast at kundens data ikke skal være tilgjengelig for leverandør etter kontraktsperioden. Leverandøren skal slette alle kopier av kundens data ved avtalens opphør eller innen utløpet av garantiperioden. Unntaket er dersom det er avtalt noe annet i Bilag 1.
Data anses typisk som slettet når data er fjernet fra databasen eller systemet til leverandøren slik at data ikke kan gjenopprettes. Dette kalles ofte sikker sletting eller hard delete. Metoden for sletting vil variere, avhengig av kundens krav og hvilke tekniske løsninger leverandøren bruker.
Kravene til sletting gjelder likevel ikke dersom lover og regler pålegger leverandøren datalagringsforpliktelser. For eksempel må regnskapsdata oppbevares i et visst antall år etter bokføringsforskriften. Tilsvarende krav finnes også i hvitvaskingsloven, som stiller krav til hvor lenge virksomheter skal lagre bestemte typer opplysninger.
Godkjenning fra kunden før sletting av data
Avtaleteksten krever ikke at leverandøren må få godkjenning av kunden før leverandøren sletter alle kopier av kundens data. I enkelte tilfeller kan det være hensiktsmessig å stille krav til en godkjenning i bilag 1 eller i en avslutningsplan. Dette er for å sikre at data ikke går tapt før kunden har verifisert og sikret at de har tilgang til kundens egne data.
Leverandørens rett til å bruke bruksdata og prosjektdata/etableringsdata
Leverandøren kan benytte anonymiserte data angående Kundens bruk av tjenesten til å forbedre sine tjenester, med mindre Kunden har tatt forbehold om det i Bilag 1.
Bestemmelsen er ikke til hinder for at Leverandøren kan benytte innsamlede eller genererte data knyttet til [«prosjektgjennomføringen» i SSA-T og SSA-S] [«etablering» i de løpende SSA-ene] til å forbedre sine tjenester. Dette gjelder eksempelvis data om testresultater, feillogger, estimeringsdata, utviklingsinnsikt, prosjektrapporter mv, forutsatt at dette ikke er knyttet til Kundens virksomhetsdata, sikkerhetsmessige aspekter eller andre forhold som er underlagt taushetsplikt etter Avtalen eller begrensninger i lov og forskrift.
Avtaletekst i avtalen
SSA-ene avtaleteksten gjelder for
Første setning i avtaleteksten som er gjengitt ovenfor, finnes kun i avtalene for løpende tjenester, ikke SSA-T og SSA-S. For løpende tjenester har leverandøren som utgangspunkt rett til å benytte data om kundens bruk av tjenestene for interne forretningsformål (dvs. å forbedre egne tjenester).
SSA-T og SSA-S har ikke en bestemmelse som gir leverandøren rett til å bruke anonymiserte data angående kundens bruk av tjenesten. Dette skyldes at avtalene har som mål å implementere en løsning og ikke å levere en løpende tjeneste. En slik bestemmelse kan i noen sammenhenger likevel tenkes være relevant, spesielt dersom det avtales en lengre godkjenningsperiode hvor det løpende leveres en tjeneste. I så fall kan bestemmelsen tas inn via endringsbilaget til standardavtalen.
Hva menes med data om kundens bruk?
Med "data knyttet til kundens bruk" menes informasjon om hvordan kunden bruker leverandørens produkt eller tjeneste. Data om kundens bruk kan blant annet være:
- Kvantitative målinger (som volum, hyppighet og varighet av bruk)
- Informasjon om hvordan tjenester eller funksjoner blir brukt
- Brukerforløp, enheter og plattformer
- Geografisk kontekst og demografiske forhold
- Logger knyttet til sikkerhet og etterlevelse
Data om kundens bruk av leverandørens tjeneste vil gi innsikt i kundens bruks- og handlingsmønstre. I enkelte tilfeller kan slike data være sensitive. Dette kan for eksempel gjelde i tilfeller hvor data om kundens bruk kan gi innsikt i virksomhetens aktiviteter, som økonomiske forhold, eiendeler eller strategiske valg. Dersom kunden ønsker å begrense leverandørens rett til å bruke data om kundens bruk, eller vurderer andre sikkerhetstiltak som nødvendig, kan dette avtales i Bilag 1. For eksempel kan ((aggregering+Aggregering betyr at data er koblet sammen, samlet, sammenstilt eller bygd opp.)) være et aktuelt sikkerhetstiltak der man har behov for å minimere sjansen for å finne tilbake til det enkelte dataet.
Eksempel på når andre sikkerhetstiltak kan være nødvendig
I skybaserte tjenesteavtaler brukes telemetridata til å identifisere feil eller sårbarheter på tvers av kunder.
Slike data inneholder ingen person- eller kunde-referanse, men er avgjørende for sikker drift. For å redusere risiko for tilgang til sensitive driftsdata kan aggregering være et hensiktsmessig sikkerhetstiltak.
Hva menes med anonymisert data?
Begrepet «anonymisert data» i SSA-ene gjelder for kundens bruk av tjenesten til å forbedre sine tjenester. Anonymisering er ofte et tema i personvernretten, da personvernregelverket ikke gjelder for anonyme data. Personopplysninger må være anonymisert på en slik måte at individet ikke lenger kan identifiseres, verken direkte eller indirekte, når alle hjelpemidler som med rimelighet kan tenkes anvendt, tas i betraktning, jf. personvernforordningens fortalepunkt 26.
Datatilsynet har en veileder om anonymisering. Den veilederen beskriver flere ulike teknikker som kan brukes for å gjøre personopplysninger anonyme. Anonymiseringsteknikkene Datatilsynet trekker frem, er blant annet
- tilføring av støy
- aggregering
- k-anonymitet
- l-diversitet
De ulike teknikkene har sine styrker og svakheter, og det bør derfor gjøres en konkret vurdering av de ulike metodene før de tas i bruk, og man må ta hensyn til eventuelle oppdateringer i regelverket og rettspraksis.
Leverandørens rett til å bruke prosjektdata/etableringsdata
Avtaleteksten gir leverandøren en rett til å bruke data som samles inn eller oppstår i forbindelse med prosjektgjennomføring til leverandørens interne forretningsformål. Dette kan eksempelvis være for å bruke erfaringer fra prosjektet til å forbedre sine tjenester. Prosjektdata/etableringsdata gjelder hovedsakelig aktiviteter som leverandøren selv har vært involvert i. Avtaleteksten gir eksempler på hvilke type data leverandøren kan bruke, herunder data fra testresultater, feillogger, estimeringsdata, utviklingsinnsikt og prosjektrapporter.
Det må vurderes konkret, i hvert enkelt tilfelle, om leverandøren skal ha rett til å gjenbruke prosjektdata for å forbedre egne tjenester. Det må også vurderes om det foreligger juridiske begrensninger som kan sette grenser for bruk av prosjektdata/etableringsdata. Dette kan eksempelvis være personvernrettslige, eller sikkerhets- og taushetsbelagte forhold.
Dersom prosjektdata inneholder personopplysninger, må leverandøren følge personvernregelverket. Leverandøren må blant annet sørge for å ha et gyldig behandlingsgrunnlag etter personvernforordningen artikkel 6. Ordlyden åpner for eksempel opp for at leverandøren kan gjenbruke «testresultater». Samtidig sier ordlyden at dette forutsetter at «dette ikke er knyttet til Kundens virksomhetsdata, sikkerhetsmessige aspekter eller andre forhold som er underlagt taushetsplikt etter avtalen eller begrensninger i lov og forskrift». Hvis et kunderegister inngår i en test, så vil tilstanden kunderegisteret er i etter utført test, være et testresultat. Hvis man tester på et uttrekk av produksjonsdata, så vil ikke leverandøren med ordlyden i bestemmelsen kunne gjenbruke disse dataene uten videre. Hvis man derimot snakker om aggregerte testresultater, f.eks. antall kunder i kunderegisteret som ble oppdatert i løpet av testen, så stiller dette seg annerledes.
Rettigheter til data i SSA-F
Hvis ikke annet er avtalt i bilag 1, gjelder rettighetene etter andre og tredje ledd også for rådata som fremkommer ved utførelsen av Oppdraget. Dersom bruksretten til rådata etter tredje ledd siste punktum innskrenker Oppdragsgivers rett til deling og viderebruk av rådata på de vilkår som er avtalt i henhold til punkt 5.1, skal Oppdragstaker gi tydelig varsel om dette i bilag 2.
Avtaletekst i avtalen
SSA-F er utformet med tanke på forsknings- og utredningsoppdrag som utføres under prinsipper som akademisk frihet, uavhengig forskning og publisering av resultater. Rettighetene til data skiller seg derfor fra de øvrige standardavtalene.
Rettighetene til rådata tilfaller i utgangspunktet oppdragstakeren, samtidig som det gis en bruksrett til rådata til oppdragstakeren.
Ordlyden i første setning slår fast at endringer om rettigheter til data må fremgå av bilag 1. Slike endringer medfører dermed ikke en endring av avtalen som må gjennomføres i bilag 6.
Videre har oppdragstaker en plikt til å varsle oppdragsgiver i bilag 2 dersom begrensninger mot kommersiell utnyttelse hindrer oppdragsgiver i deling eller viderebruk. På denne måten balanseres oppdragsgivers bruksrett opp mot oppdragstakers mulighet til å dele og viderebruke data uten betingelser etter avtalens punkt 5.1.