Oversikt
IT-rett og teknologirett er avgjørende for bedrifter i den digitale tidsalderen. Enten du er et teknologiselskap som utvikler programvare, en bedrift som implementerer IT-systemer eller en organisasjon som håndterer samsvar med personvernregler, beskytter spesialisert juridisk veiledning innovasjonene dine og sikrer samsvar med regelverk.
At Law & More, vi gir råd til teknologiselskaper, oppstartsbedrifter og bedrifter om alle aspekter av IT-lovgivning, cybersikkerhet og digital samsvar. Vi ligger i Brainport Eindhoven I et teknologisk økosystem jobber vi mye med programvareselskaper, SaaS-leverandører, maskinvareprodusenter og digitale innovatører. Våre IT-advokater kombinerer teknisk forståelse med juridisk ekspertise for å beskytte virksomheten din i det digitale landskapet.
Trenger du ekspertråd?
Våre spesialister på IT-rett er klare til å hjelpe. Få personlig juridisk veiledning i dag.
Quick Navigation
Siste innsikt
IT-rettsartikler
Datadeling er livsnerven i moderne handel. Enten du etablerer en ny skyleverandør,
Et nederlandsk SaaS-selskap mottar et opphørsbrev som hevder at en kjernefunksjon i deres
1. Innledning – Hvorfor er et patent viktig for gründere? Du har brukt måneder –
Hva vi gjør
Programvarelisenser og SaaS-avtaler
GDPR-samsvar og databeskyttelse
Personvernregler og databehandleravtaler
IT-kontrakter og leverandøravtaler
Cybersikkerhet og respons på datainnbrudd
Immaterielle rettigheter og kildekodebeskyttelse
Avtaler om skytjenester
Regulering av e-handel og nettplattformer
AI og ny teknologilovgivning
Teknologitvister og ansvar
Hvorfor velge Law & More
Dyp ekspertise innen teknologibransjen og digitale forretningsmodeller
Ligger i Brainport Eindhoven teknologisk økosystem
Praktisk forståelse av programvareutvikling og IT-drift
Erfaring med oppstartsbedrifter, scale-ups og bedriftskunder
Flerspråklig tjeneste for internasjonale teknologiselskaper
Ofte stilte spørsmål – IT-rett
Ofte stilte spørsmål om IT-rett, besvart av våre eksperter.
En behandlingsavtale dokumenterer avtalene mellom den behandlingsansvarlige og databehandleren i henhold til GDPR. Den må blant annet angi behandlingens gjenstand, varighet, art og formål, type personopplysninger og kategorier av registrerte, sikkerhetstiltak, bruk av underdatabehandlere og forpliktelser ved tilbakelevering eller sletting av dataene. Vi utarbeider og gjennomgår databehandleravtaler slik at de er vanntette.
Opphavsrett til programvare utviklet på bestilling tilhører i prinsippet utvikleren, med mindre annet er skriftlig avtalt. En klient som ønsker å erverve rettighetene må derfor ha en klar overføringsavtale eller en bred lisens inkludert. Det bør også avtales om eksisterende komponenter, åpen kildekode og bruksrettigheter. Vi sørger for at IP-posisjonen er vanntett.
En tjenestenivåavtale registrerer den avtalte kvaliteten på en IT-tjeneste, som tilgjengelighet, responstider, support og vedlikeholdsvinduer. Manglende oppfyllelse av nivåene er ofte knyttet til bøter eller tjenestekreditter. En tydelig tjenestenivåavtale forhindrer tvister om hva «god service» betyr og gir kunden konkret innflytelse i tilfelle manglende ytelse. Vi utarbeider balanserte tjenestenivåavtaler og gjennomgår leverandørenes.
Åpen kildekode-komponenter er gratis å bruke, men underlagt vilkårene i den gjeldende lisensen. Noen lisenser (som copyleft) krever at avledet kildekode gjøres tilgjengelig, noe som kan påvirke kommersiell programvare. En lisensliste og en samsvarspolicy forhindrer utilsiktede forpliktelser og brudd. Vi gir råd om ansvarlig bruk av åpen kildekode.
NIS2-direktivet hever kravene til cybersikkerhet for en bred gruppe mellomstore og store organisasjoner i essensielle og viktige sektorer. Det krever blant annet risikostyringstiltak, hendelsesrapportering og ledelsesansvar. Brudd på overholdelse kan føre til betydelige bøter. Vi hjelper med å kartlegge om du faller inn under NIS2 og hvordan du kan bli i samsvar med regelverket.
Med skytjenester er det viktig hvem som er ansvarlig for tilgjengelighet, sikkerhet, data og sikkerhetskopier, og hvordan ansvaret begrenses. Leverandørkontrakter inneholder ofte brede unntak; som kunde er det viktig å vurdere disse kritisk og justere dem der det er nødvendig. Avtaler om utgang og retur av data bør også være godt regulert. Vi forhandler disse vilkårene for deg.
Overføring av personopplysninger til land utenfor EØS er kun tillatt der et tilstrekkelig beskyttelsesnivå er garantert, for eksempel gjennom en tilstrekkelighetsvedtak eller standard kontraktsklausuler med tilleggstiltak. Siden det er viktig rettspraksis, kreves det en nøye vurdering. Vi gir råd om lovlige internasjonale dataoverføringer og nødvendig dokumentasjon.
Plassering av informasjonskapsler og sporingsprogrammer som ikke er strengt nødvendige, krever i prinsippet brukerens forhåndssamtykke. Transparensforpliktelser gjelder også gjennom en informasjonskapselerklæring. Feilaktige informasjonskapselbannere og «samtykke» som faktisk er tvunget til å bli brukt, skaper håndhevingsrisikoer. Vi vurderer lovligheten av informasjonskapselløsningen din.
Forretningshemmeligheter er beskyttet dersom de er hemmelige, verdifulle og beskyttet av rimelige tiltak. I tillegg til lovbestemt beskyttelse er taushetsplikt og konkurranseklausuler i kontrakter og arbeidsavtaler avgjørende. Ved krenkelse kan det blant annet kreves forføyning og erstatning. Vi hjelper med å beskytte din ekspertise kontraktsmessig og i praksis.
Tvister gjelder ofte forsinkelser, mangler, merarbeid eller heving. Det første trinnet er å undersøke kontrakten og den leverte ytelsen, etterfulgt av et begrunnet krav og om nødvendig et misligholdsvarsel. Dersom en løsning gjennom forhandlinger eller mekling mislykkes, kan det bli snakk om rettslige søksmål. Vi representerer dine interesser fra første purring og frem til rettssalen.
Ved en overdragelse overføres opphavsretten til programvaren permanent til kunden, mens ved en lisens forblir skaperen rettighetshaver og gir kun bruksrett. For skreddersydd programvare utviklet på bestilling bør dette avtales på forhånd, ellers forblir rettighetene hos utvikleren.
En nettbutikk må tydelig oppgi blant annet selgerens identitet, pris inkludert avgifter, leveringskostnader, angrerett og betalingsmåter. Manglende obligatorisk informasjon kan forlenge angrefristen og føre til bøter fra tilsynsmyndigheten.
En DPIA er en obligatorisk vurdering av personvernrisikoer for behandling som sannsynligvis vil resultere i høy risiko, for eksempel profilering i stor skala eller videoovervåking. Resultatet hjelper deg med å iverksette passende tiltak før behandlingen starter.
SaaS-kontrakter angir ordninger for tilgjengelighet, sikkerhet, datatap og ansvarsgrenser. Vær oppmerksom på utelukkelse av følgeskader, nivået på ansvarsgrensen og ordningene for retur og sletting av data når avtalen opphører.
Hvis du engasjerer en part som behandler personopplysninger på dine vegne, må du inngå en databehandleravtale med avtaler om sikkerhet, konfidensialitet, underdatabehandlere og rapportering av datainnbrudd. Som behandlingsansvarlig er du fortsatt ansvarlig for lovlig behandling.
Viktige juridiske termer
Viktig terminologi forklart i et enkelt språk
GDPR (generell databeskyttelsesforordning)
EU-omfattende forskrift om behandling av personopplysninger, gjeldende siden mai 2018. Gjelder alle organisasjoner som behandler personopplysninger tilhørende EU-innbyggere, uavhengig av organisasjonens beliggenhet. Nøkkelprinsipper: lovlig grunnlag for behandling, formålsbegrensning, dataminimering, nøyaktighet, lagringsbegrensning, sikkerhet og ansvarlighet. Krever åpenhet (personvernregler), muliggjøring av rettigheter for den registrerte (tilgang, retting, sletting, portabilitet), konsekvensanalyser av personvern for høyrisikobehandling og utnevnelse av et personvernombud i visse tilfeller. Brudd må rapporteres til tilsynsmyndighetene innen 72 timer. Bøter kan nå 20 millioner euro eller 4 % av den globale årlige omsetningen. Håndheves av nasjonale personvernmyndigheter - i Nederland, Autoriteit Persoonsgegevens.
SaaS-avtale (programvare som en tjeneste)
Skybasert programvareleveringsmodell der kunder får tilgang til applikasjoner via internett på abonnementsbasis i stedet for å kjøpe og installere programvare lokalt. SaaS-avtaler må ta for seg: servicenivåer (oppetidsgarantier, responstider for støtte), dataeierskap og portabilitet (kunden beholder eierskapet, kan eksportere data), sikkerhetstiltak og sertifiseringer, funksjonalitet og oppdateringer, skalerbarhet, integrasjonsmuligheter, assistanse ved oppsigelse og overgang, og prismodell. Kritiske forskjeller fra tradisjonelle lisenser: kunden eier ikke programvaren, leverandøren kontrollerer infrastruktur og oppdateringer, dataene ligger hos leverandøren, og forholdet er pågående snarere enn engangs. Vanlige problemer: tjenesteavbrudd, datainnbrudd, leverandørbinding, samsvar med kundens sikkerhetskrav. Godt strukturerte SaaS-avtaler balanserer leverandørens behov for driftsfleksibilitet med kundens behov for pålitelighet og databeskyttelse.
Databehandleravtale (DPA)
Påkrevd kontrakt i henhold til GDPR mellom en databehandler og en databehandler som regulerer hvordan personopplysninger skal behandles. Når du ansetter en leverandør til å behandle data på dine vegne (f.eks. skylagring, e-postmarkedsføring, lønnstjenester), er du behandlingsansvarlig og de er databehandler. Databehandleravtalen må spesifisere: behandlingens gjenstand og varighet, behandlingens art og formål, typer personopplysninger og registrerte, behandlingsansvarliges rettigheter og plikter, og databehandlerens forpliktelser. Databehandlere må: følge den behandlingsansvarliges instruksjoner, implementere passende sikkerhet, kun bruke godkjente underdatabehandlere, bistå med forespørsler fra registrerte og varsler om brudd, slette eller returnere data når tjenestene opphører, og demonstrere samsvar. Uten en skikkelig databehandleravtale risikerer begge parter brudd på GDPR. Standard databehandlervilkår favoriserer ofte leverandøren – behandlingsansvarlige bør forhandle frem beskyttelse i samsvar med deres risikoprofil og regulatoriske forpliktelser.
Kildekode-escrow
Avtale der en programvareleverandør deponerer kildekode hos en nøytral tredjepart (escrow-agent), som frigir den til kunden hvis spesifiserte utløsende hendelser inntreffer (leverandørens konkurs, manglende vedlikehold av programvare, kontraktsbrudd). Beskytter kunder som er avhengige av proprietær programvare fra å bli strandet hvis leverandøren ikke kan støtte produktet. Escrow-avtalen definerer: hvilke materialer som deponeres (kildekode, byggeinstruksjoner, dokumentasjon), deponeringsfrekvens (hver større utgivelse), verifiseringsprosedyrer (kompileres koden faktisk?) og utgivelsesbetingelser. Vanlig i avtaler om bedriftsprogramvare, spesielt for virksomhetskritiske systemer. Koster vanligvis € 2,000–€ 10 000 årlig. Leverandører motsetter seg escrow da det øker den administrative byrden og potensielt eksponerer IP, men det er ofte nødvendig å lukke bedriftsavtaler. Ikke en komplett løsning – selv med kildekode kan kunder mangle ekspertise for å vedlikeholde kompleks programvare. Alternativer inkluderer obligatoriske støttevilkår og driftsgarantier.
KI-loven (EUs lov om kunstig intelligens)
Omfattende EU-regulering for kunstig intelligens-systemer, innfasing fra 2025-2027. Skaper risikobasert rammeverk: forbudt AI (sosial scoring, biometrisk overvåking i sanntid), høyrisiko AI (ansettelsesverktøy, kredittscoring, kritisk infrastruktur - krever samsvarsvurdering, registrering, kontinuerlig overvåking), begrenset risiko AI (chatboter, deepfakes - kun krav til åpenhet), minimal risiko AI (de fleste applikasjoner - ingen spesifikke regler). Høyrisikosystemer må oppfylle krav til: datakvalitet, teknisk dokumentasjon, åpenhet, menneskelig tilsyn, nøyaktighet, cybersikkerhet og risikostyring. Generelle AI-modeller står overfor ytterligere forpliktelser. Håndheving gjennom nasjonale myndigheter med bøter på opptil 35 millioner euro eller 7 % av den globale omsetningen. Gjelder leverandører som plasserer AI i EU-markedet og brukere av høyrisikosystemer i EU. Betydelig samsvarsbyrde for utviklere, men gir juridisk sikkerhet. Internasjonale selskaper som betjener EU-kunder må overholde regler.
eIDAS (elektronisk identifikasjon og tillitstjenester)
EU-forordning som etablerer et rettslig rammeverk for elektroniske signaturer, segl, tidsstempler og andre tillitstjenester på tvers av medlemslandene. Anerkjenner tre signaturnivåer: enkel (enhver elektronisk indikasjon på godkjenning), avansert (unikt knyttet til underskriver, identifiserer dem, opprettet ved hjelp av sikre metoder under enekontroll) og kvalifisert (avansert signatur med kvalifisert sertifikat og sikker enhet, juridisk likeverdig med håndskrevet). Kvalifiserte tillitstjenesteleverandører må oppfylle strenge sikkerhets- og revisjonskrav. E-signaturer fra ett EU-land må anerkjennes i alle andre. For kontrakter er enkle signaturer vanligvis tilstrekkelige; kvalifisert kreves kun for spesifikke rettsakter. Muliggjør papirløse transaksjoner samtidig som sikkerhet og rettssikkerhet opprettholdes. Nederland implementert gjennom loven om elektroniske signaturer. Kritisk for den digitale økonomien og fjernvirksomhet. Erstattet det tidligere direktivet om e-signaturer med et mer omfattende rammeverk.
Overdragelse av immaterielle rettigheter
Overføring av immaterielle rettigheter fra skaperen til en annen part. I nederlandsk lov overføres ikke immaterielle rettigheter automatisk – ansettelse skaper unntak der arbeidsgivere eier ansattes arbeidsprodukt, men leverandører beholder rettighetene med mindre kontrakten eksplisitt tildeler dem. Skriftlig tildeling må være klar og omfattende: «tildeler alle rettigheter, eierskap og interesser i og til [definert arbeidsprodukt], inkludert alle opphavsrettigheter, patenter, varemerker, forretningshemmeligheter og relaterte rettigheter.» Tildelinger kan være umiddelbare eller ved betaling. Moralske rettigheter (attribusjon, integritet) kan vanligvis ikke overføres i Nederland, men kan fraskrives. Viktig å spesifisere: hva som tildeles (spesifikk kode, alt arbeidsprodukt, fremtidige forbedringer?), omfang (verdensomspennende? spesifikke bruksfelt?) og vederlag (betaling, egenkapital, annen verdiutveksling). Uten riktig tildeling kan det hende at selskaper ikke eier det de tror de har betalt for. Viktig i programvareutvikling, innholdsproduksjon og alt bestilt kreativt arbeid.
SLA (tjenestenivåavtale)
Avtalen som registrerer de avtalte kvalitetsnivåene for en IT-tjeneste, for eksempel tilgjengelighet, responstider og support, ofte med tjenestekreditter eller gebyrer for manglende oppfyllelse av disse.
Programvareopphavsrett (forfatterrett på programvare)
Retten til å beskytte produsenten mot uautorisert reproduksjon eller publisering av programvare. For spesialtilpasset arbeid ligger retten i prinsippet hos utvikleren med mindre den overføres skriftlig.
Åpen kildekode-lisens (Åpen kildekode-lisens)
En lisens som tillater bruk, modifisering og distribusjon av programvare under visse betingelser. Noen (copyleft) lisenser krever at avledet kildekode utgis.
NIS2-direktivet (NIS2-richtlijn)
Europeisk lovgivning som pålegger strengere krav til cybersikkerhet for en bred gruppe organisasjoner i essensielle og viktige sektorer, med forpliktelser til risikostyring, hendelsesrapportering og ledelsesansvar.
Skytjenester (Skytjenester)
Innhenting av IT-tjenester som lagring, datakraft og programvare via internett. I skykontrakter er avtaler om tilgjengelighet, sikkerhet, dataplassering, ansvar og utgang spesielt viktige.
Datainnbrudd (Datalek)
Et sikkerhetsbrudd som fører til ødeleggelse, tap, endring eller uautorisert tilgang til personopplysninger. I henhold til GDPR må et datainnbrudd under visse omstendigheter rapporteres til tilsynsmyndigheten og de registrerte.
Kontrollør (Verwerkingsansvarlig)
Den parten som bestemmer formålene og midlene for behandlingen av personopplysninger, og som derfor er hovedansvarlig for å overholde GDPR.
Prosessor (Verwerker)
Den parten som behandler personopplysninger på vegne av den behandlingsansvarlige, for eksempel en skytjenesteleverandør. Avtalene om dette er registrert i en databehandleravtale.
Forretningshemmelighet (Bedrijfsgeheim)
Informasjon som er hemmelig, kommersielt verdifull og beskyttet av rimelige tiltak. Ved ulovlig tilegnelse eller utlevering kan det blant annet kreves forføyning og erstatning.
Angrerett (Herroepingsrecht)
En forbrukers rett til å angre, uten grunn og innen den lovbestemte angrefristen, et kjøp som er inngått på nett eller utenfor lokaler. Nettbutikker må informere tydelig om dette.
DPIA (konsekvensutredning for personvern)
En obligatorisk vurdering av personvernrisikoer for behandling som sannsynligvis vil medføre høy risiko for enkeltpersoner. Resultatet av denne vurderingen hjelper en organisasjon med å iverksette passende tekniske og organisatoriske tiltak før behandlingen starter.
Escrow-avtale (Descrow-avtale)
En ordning der kildekoden til programvare deponeres hos en uavhengig tredjepart. Kunden får tilgang til koden hvis for eksempel leverandøren blir insolvent eller slutter å vedlikeholde den.
Behandlingsregister (Verwerkingsregister)
Oversiktsorganisasjonene må føre oversikt over sine behandlingsaktiviteter for personopplysninger, inkludert formål, datakategorier og oppbevaringsperioder, som kreves i henhold til personvernloven.
Standard kontraktsklausuler (SCC)
Modellkontraktsklausuler vedtatt av Europakommisjonen som gir et passende beskyttelsesnivå for overføring av personopplysninger til land utenfor EU uten en tilstrekkelighetsbeslutning.
Digital Services Act (DSA)
Europeisk lovgivning som pålegger nettplattformer og mellomledd forpliktelser, blant annet når det gjelder å bekjempe ulovlig innhold, åpenhet om reklame og beskyttelse av brukere.
Har du spørsmål om IT-rett?
Våre erfarne advokater er klare til å hjelpe. Bestill en konsultasjon for å diskutere din spesifikke situasjon.
