Oppdaterte SSA-avtaler: Dette betyr endringene for leverandørene
DFØ vedtok nye dataklausuler i Statens standardavtaler i mars 2026. Det betyr at leverandører allerede nå møter oppdaterte SSA-avtaler med nye krav til data, sletting, tilbakelevering, anonymisering og bruk av innsiktsdata.
TEK Norge har deltatt tett i revisjonsarbeidet og fått gjennomslag for flere endringer som gjør klausulene bedre tilpasset hvordan digitale tjenester faktisk utvikles, driftes og forbedres.
SSA-ene setter rammene for store deler av det offentlige IT-markedet. Derfor er balansen i dataklausulene viktig.
– Offentlig sektor skal ha kontroll med egne data. Samtidig må avtalene gi leverandørene nødvendig rom til å drifte, feilsøke og forbedre tjenestene de leverer, sier seniorrådgiver i TEK Norge Christopher Hoff.
Dette har vært TEK Norges utgangspunkt i DFØs referansegruppe gjennom hele revisjonsarbeidet. DFØ har publisert de oppdaterte avtalene på sine sider.
Bakgrunnen er at det offentlige ønsker mer deling og tilgjengeliggjøring av data i kontrakter. Det er en riktig ambisjon, og den samme politiske retningen kommer til uttrykk i NOU 2024: 14 «Med lov skal data deles». Men ambisjonen må gjennomføres på en måte som fungerer i reelle leveranser, og som ikke skyver urimelig risiko over på leverandørene.
Fire endringer leverandørene bør kjenne til
Flere av innspillene fra TEK Norge er nå tatt inn i de vedtatte klausulene og i veilederen. To av endringene har DFØ selv begrunnet med innspill fra TEK Norge. Disse er viktigst for leverandørene.
Leverandører kan fortsatt bruke anonymiserte innsiktsdata
DFØs opprinnelige forslag var at leverandøren kun kunne bruke «aggregerte, anonymiserte data» til å forbedre tjenestene. Et ubetinget krav om både anonymisering og aggregering ville redusert kvaliteten på telemetri- og innsiktsdata. Det ville også gjort det vanskeligere å identifisere feil hos enkeltkunder.
TEK Norge argumenterte for at anonymisering måtte være tilstrekkelig. I vedtatt tekst heter det nå «anonymiserte data angående Kundens bruk av tjenesten». Aggregering er valgfritt, ikke påkrevd.
Det gir leverandører bedre rom til å bruke innsikt fra drift og bruk til feilretting og tjenesteforbedring. Samtidig må anonymisering av eventuelle personopplysninger håndteres riktig etter personvernregelverket.
Prosjekt- og utviklingsavtaler er bedre ivaretatt
Prosjekt- og utviklingsavtaler genererer også innsiktsdata med verdi. Det kan være testresultater, feillogger, estimeringsdata og utviklingsinnsikt.
TEK Norge påpekte at det ville være urimelig om leverandører på slike avtaler ikke skulle kunne bruke denne læringen videre. SSA-T punkt 8.2 og SSA-S punkt 10.1 har nå et eget ledd som åpner for dette.
Forutsetningen er at dataene ikke er knyttet til kundens virksomhetsdata, sikkerhetsforhold eller taushetsbelagt informasjon.
Mer praktiske krav til tilbakelevering
DFØs opprinnelige forslag var uklart om hva «maskinleselig format» og «opprinnelige strukturer og metadata intakt» skulle bety. Uten en tydelig avklaring kunne det blitt tolket som krav om åpne standarder eller nyutviklet eksportfunksjonalitet.
TEK Norge foreslo en mer praktisk forståelse: Maskinleselig format må bety et strukturert digitalt format som kan behandles automatisk. Kravet til opprinnelige strukturer må forstås som bevaring av felt- og formatinformasjon.
For leverandørene betyr dette at tilbakelevering ikke automatisk blir et krav om å utvikle nye eksportverktøy eller konvertere data til åpne standarder i alle tilfeller. Veilederen åpner for at formatet kan være både åpent og proprietært, så lenge dataene faktisk kan behandles maskinelt.
TEK Norge fikk også presisert at leverandøren kan ta betalt for bistand med datautlevering, typisk på løpende timer. Det er viktig i skyleveranser der full eksport kan kreve egne verktøy, API-tilganger og praktisk bistand.
Bedre håndtering av sletting og avslutning
DFØ vurderte en bindende ordlyd om at sletting først kunne skje etter kundens uttrykkelige godkjenning. TEK Norge argumenterte for en mer praktisk løsning: Sletting og overlevering bør håndteres gjennom en avslutnings- og overleveringsplan. Lovpålagt retensjon og uopprettelige backuper må også håndteres i tråd med gjeldende rett.
Løsningen DFØ landet på ligger tett på TEK Norges anbefaling. Sletteplikten er nå betinget av at annet ikke fremgår av Bilag 1, og veilederen anerkjenner uttrykkelig at lovpålagt retensjon går foran.
Nye krav leverandørene må håndtere
De nye klausulene gir også leverandørene nye forhold å være oppmerksomme på:
- Sletteplikt ved opphør er nå standard utgangspunkt i de fleste avtalene.
- Tilbakeleveringsplikten gjelder bredt, med krav til format og bevaring av metadata.
- Skyavtalene, herunder SSA-Sky og SSA-lille sky punkt 8.3.2, krever tydelig varsel i Bilag 2 dersom skyleverandørens standardvilkår innskrenker kundens rettigheter til data.
Dette bør leverandører gjøre nå
De nye klausulene gjør bilagsarbeidet viktigere enn før. Mange av spørsmålene som nå blir avgjørende, må håndteres konkret i den enkelte konkurranse og kontrakt.
Leverandører bør særlig gjøre fire ting:
- Bruke Bilag 2 aktivt til å beskrive datakategorier, tekniske begrensninger, eksport, sletting og retensjon.
- Prise bistand til datautlevering og avslutningsaktiviteter i Bilag 7.
- Vurdere skyleverandørers standardvilkår opp mot kundens rettigheter til data, og avklare behovet for varsel etter punkt 8.3.2 i skyavtalene.
- Avklare om sletteplikten kolliderer med lovpålagt retensjon eller tekniske forhold som backup og logging.
Leverandører som bruker anonymiserte data til tjenesteforbedring, bør i tillegg sikre at anonymisering av eventuelle personopplysninger er håndtert i tråd med personvernregelverket.
Hva står igjen?
Alt er likevel ikke løst. TEK Norge mener fortsatt at SSA-ene bør få en tydeligere tredeling mellom kundedata, leverandørdata og fellesdata. Leverandøren får fortsatt ikke samme rett til å angi avvikende regulering i Bilag 2 som kunden har i Bilag 1. SSA-ene må også harmoniseres bedre med EUs Data Act når denne innføres i norsk rett.
Dette tar TEK Norge med seg videre i dialogen med DFØ.
Større modernisering på vei
DFØ har varslet en bredere gjennomgang av hele SSA-porteføljen i 2026. TEK Norge har skrevet om dette tidligere på våre nettsider. Når den større moderniseringen starter, trenger vi konkrete erfaringer fra medlemmene.
Pål Wien Espen overtar SSA-arbeidet i TEK Norge og er kontaktpunkt fremover for medlemmer som vil melde inn problemstillinger, eksempler fra konkurranser eller innspill til det videre arbeidet. Send gjerne innspill direkte til pwe@teknorge.
Jo flere konkrete erfaringer vi kan ta med inn, desto bedre kan neste generasjon SSA-avtaler treffe det markedet faktisk trenger.
