Riskfördelning i SaaS-avtal: så skyddar leverantören affären utan att tappa kunden

riskfördelning i SaaS avtal

SaaS-avtal handlar inte bara om pris, funktioner och servicenivåer. Ett av de mest affärskritiska områdena är riskfördelning: vem ansvarar för vad om något går fel?

För svenska och nordiska SaaS- och IT-bolag blir detta ofta tydligt när bolaget börjar sälja till större kunder. Kunden vill ha trygghet. Inköp vill pressa risk. Legal vill ha breda garantier. IT och security vill ha tydliga åtaganden. Privacy och compliance vill ha kontroll på data, underbiträden, incidenter och revision.

Leverantören behöver samtidigt skydda sin affärsmodell. Om varje kundavtal innehåller höga, obegränsade eller kundspecifika ansvarsåtaganden blir SaaS-modellen svår att skala. En välbalanserad ansvarsbegränsning är därför inte ett juridiskt sidospår. Den är en central del av bolagets kommersiella riskstyrning.

Lästid: cirka 6 minuter.

 Varför riskfördelning är särskilt viktig i SaaS-avtal

I ett SaaS-avtal har leverantören en mer omfattande roll än i många traditionella konsult- eller licensavtal.

Leverantören utvecklar, driftar, underhåller, uppdaterar och säkrar tjänsten över tid. Det innebär ansvar för bland annat:

  • tillgänglighet och drift,
  • säkerhet och incidenthantering,
  • underleverantörer och molninfrastruktur,
  • immateriella rättigheter,
  • dataskydd och personuppgiftsbiträdesfrågor,
  • ändringar i tjänsten,
  • support och service levels,
  • tekniska integrationer,
  • dokumentation och complianceunderlag.

Det gör att leverantörens riskexponering är både operativ och skalbar.

Ett fel i tjänsten kan påverka många kunder samtidigt. En säkerhetsincident kan kräva omfattande åtgärder. Ett immaterialrättsligt krav kan påverka hela produkten. En prisändring hos en kritisk molnleverantör kan påverka marginalen i alla kundavtal.

Kundens risk är normalt mer avgränsad till den egna användningen av tjänsten, den egna organisationen, den egna datan och de egna interna processerna.

Det betyder inte att kundens risk är oviktig. Men den är ofta av en annan typ.

Därför bör SaaS-avtal inte bygga på en mekanisk idé om att allt ska vara “ömsesidigt”. Riskfördelningen bör spegla vem som kontrollerar risken, vem som kan förebygga den och vem som rimligen kan bära den.

Leverantörens risk skalar med varje kundavtal

SaaS-modellen bygger på skalbarhet. Samma tjänst säljs till många kunder. Det skapar effektivitet, bättre produktutveckling och lägre pris per kund.

Men riskerna skalar också.

Om varje större kund får individuellt förhandlade ansvarsåtaganden kan leverantörens totala risk snabbt bli oproportionerlig.

Exempel:

  • en kund kräver obegränsat ansvar för dataskydd,
  • en annan kund kräver obegränsat ansvar för säkerhetsincidenter,
  • en tredje kund kräver bred IP-indemnity utan tydliga undantag,
  • en fjärde kund kräver ansvar upp till flera års avgifter,
  • en femte kund kräver ersättning för indirekta skador, produktionsbortfall och följdförluster.

Varje avvikelse kan kännas hanterbar i stunden, särskilt när säljteamet vill stänga affären. Men samlat kan avvikelserna skapa en riskbild som bolaget inte kan försäkra, prissätta eller kontrollera.

Detta kan få konsekvenser långt efter signering. Avtalsrisk granskas ofta vid enterprise-försäljning, investering, finansiering, företagsförsäljning, försäkringsförnyelse och kundrevision.

För ledningen är frågan därför inte bara: “Kan vi acceptera denna kunds krav?”

Den bättre frågan är:

Kan vi acceptera denna riskmodell i många kundavtal utan att äventyra bolagets affär?

Ansvarsbegränsning är inte ett sätt att undvika ansvar

En ansvarsbegränsning betyder inte att leverantören inte tar ansvar. Det betyder att ansvaret görs förutsägbart, hanterbart och proportionerligt.

En bra ansvarsbegränsning anger normalt:

  • vilka typer av skador som ersätts,
  • vilka skador som inte ersätts,
  • vilket ekonomiskt tak som gäller,
  • vilka undantag som finns,
  • om vissa risker har särskilda ansvarstak,
  • om service credits är exklusiv kompensation för SLA-brister.

Utan ansvarsbegränsning blir varje SaaS-avtal en potentiell balansräkningsrisk. Det är särskilt problematiskt för mindre och medelstora SaaS-bolag som säljer till större kunder.

För kunden kan en ansvarsbegränsning först uppfattas som ensidig. Men kommersiellt är den ofta en förutsättning för att leverantören ska kunna erbjuda tjänsten till ett rimligt pris.

Om leverantören måste bära obegränsad risk för varje kund måste risken byggas in i priset om risken ens går att försäkra.

“Ömsesidigt ansvar” är inte alltid rättvist

I förhandlingar säger kunder ofta att ansvar och skadestånd ska vara “ömsesidiga”. Det låter balanserat. I SaaS-avtal kan det vara missvisande.

Kunden och leverantören har normalt inte samma roll, kontroll eller exponering.

Leverantören ansvarar för tjänsten, driftmiljön, produktutvecklingen, säkerhetsarbetet och underleverantörskedjan. Kunden ansvarar främst för sin användning, sina användare, sin data, sina interna beslut och att tjänsten används inom avtalade ramar.

Den bättre frågan är därför inte:

“Är klausulen ömsesidig?”

Den bättre frågan är:

”Är riskfördelningen proportionerlig utifrån vem som kontrollerar risken?”

I vissa delar är ömsesidighet rimlig, till exempel vid sekretess, betalningsskyldighet, otillåten användning och intrång i den andra partens rättigheter.

I andra delar bör parterna ha olika riskpositioner. Leverantören kan ta ett tydligt men begränsat ansvar för tjänsten. Kunden kan ta ansvar för sin användning, sin data, sina instruktioner och sina verksamhetsmässiga konsekvenser av hur tjänsten används.

Ansvarstak: 100–150 procent av avtalsvärdet som praktisk utgångspunkt

Det finns ingen nivå som passar alla SaaS-avtal. Ett ansvarstak bör sättas utifrån avtalsvärde, risk, försäkring, marginal, kundtyp och hur affärskritisk tjänsten är.

I svenska och nordiska SaaS- och IT-affärer är en praktisk utgångspunkt ofta att knyta ansvarstaket till avtalets värde. För många leverantörer är ett tak på 100–150 procent av årsavgiften eller det relevanta avtalsvärdet en mer professionell och förhandlingsbar position än ett lågt fast belopp.

Det har flera fördelar:

  • kunden ser att ansvaret följer affärens storlek,
  • leverantören undviker obegränsad balansräkningsrisk,
  • modellen är enklare att förklara i säljprocessen,
  • risknivån blir lättare att försäkra,
  • säljteamet får en tydligare fallback-position,
  • avtalsmodellen kan upprepas i många kundavtal.

För mindre standardavtal kan ett fast belopp fortfarande vara rimligt. Men i större SaaS-affärer, särskilt mot enterprise, offentlig sektor eller reglerade kunder, kan ett lågt fast ansvarstak uppfattas som att leverantören inte står bakom tjänsten.

En mer säljbar modell är ofta:

  • standardtak: 100 procent av avgifterna under de senaste 12 månaderna,
  • enterprise fallback: 150 procent av avgifterna under de senaste 12 månaderna,
  • särskilda tak för IP, dataskydd eller säkerhetsrelaterade krav där det är affärsmässigt motiverat,
  • service credits som primär kompensation för bristande tillgänglighet,
  • tydliga undantag för indirekta skador, kundens följdförluster och risker utanför leverantörens kontroll.

Målet är inte att ha lägsta möjliga ansvar. Målet är att ha ett ansvar som går att bära, försäkra, prissätta och upprepa.

TechSveriges allmänna villkor som referenspunkt

I svenska SaaS- och IT-avtal används TechSveriges allmänna villkor ofta som referenspunkt. TechSveriges molntjänstvillkor är avsedda för bland annat standardiserade och varaktiga internetbaserade tjänster, inklusive SaaS och andra webbaserade tjänster.

För leverantörer kan det vara värdefullt att anknyta till en etablerad svensk IT-avtalsstandard i förhandlingar. Det gör riskmodellen mindre personlig och mer marknadsförankrad.

Det betyder inte att TechSveriges villkor alltid ska användas rakt av.

Vår erfarenhet är att de ofta fungerar bäst som referenspunkt, inte som färdig lösning för alla SaaS-affärer.

De kan uppfattas som:

  • etablerade och välkända i svenska IT-affärer,
  • relativt balanserade jämfört med rena leverantörsvillkor,
  • användbara i mer traditionella B2B- och enterpriseaffärer,
  • ibland administrativa och tunga för moderna SaaS-bolag,
  • ibland mer beställarvänliga än vad en snabbväxande SaaS-leverantör bör acceptera utan anpassning.

För mindre och medelstora SaaS-bolag är den praktiska frågan därför inte bara:

“Följer vi TechSveriges villkor?”

Den bättre frågan är:

Har vi en riskmodell som kunden känner igen, som går att förklara i säljprocessen och som bolaget faktiskt kan bära?

Riskfördelning måste fungera i säljprocessen

Riskklausuler misslyckas ofta inte för att de är juridiskt fel. De misslyckas för att de inte fungerar kommersiellt.

I enterpriseförsäljning granskas avtalet ofta av flera funktioner:

  • inköp,
  • legal,
  • IT,
  • security,
  • privacy,
  • compliance,
  • risk management,
  • verksamhetsägare.

Varje funktion har sin egen agenda. Legal tittar på ansvar och garantier. Security tittar på säkerhetsåtaganden. Privacy tittar på personuppgiftsbiträdesavtal och underbiträden. IT tittar på drift, integration och exit. Inköp tittar på pris, uppsägning och kommersiell hävstång.

Om leverantören inte har en tydlig intern position hamnar säljteamet lätt i reaktiv förhandling.

Det leder ofta till tre problem:

  1. kunden styr riskmodellen,
  2. sälj accepterar avvikelser som inte är förankrade,
  3. legal kommer in för sent och uppfattas som en bromskloss.

Ett bättre arbetssätt är att ha en tydlig risk-playbook.

Den bör innehålla:

  • standardposition,
  • acceptabla fallback-positioner,
  • stopplinjer,
  • krav på intern eskalering,
  • argument för kunddialogen,
  • koppling till försäkring,
  • koppling till pricing,
  • koppling till security och compliance documentation.

Detta gör avtalsförhandlingen snabbare, mer professionell och mindre personberoende.

Tre nivåer: standard, fallback och stopplinje

För SaaS-leverantörer är det ofta klokt att arbeta med tre nivåer.

1. Standardposition

Detta är den position som finns i standardvillkor och säljmaterial. Den bör vara enkel att förklara och fungera för majoriteten av affärerna.

Exempel:

Leverantörens ansvar är begränsat till 100 procent av avgifterna under de senaste 12 månaderna. Indirekta skador och följdförluster ersätts inte. Service credits är exklusiv kompensation för bristande tillgänglighet.

2. Enterprise fallback

Detta är den position som bolaget kan acceptera i större affärer efter intern godkännandeprocess.

Exempel:

Ansvarstaket höjs till 150 procent av avgifterna under de senaste 12 månaderna. Vissa särskilt definierade risker, till exempel IP-intrång eller vissa dataskyddsbrott, kan få ett separat tak om det är försäkringsbart och kommersiellt motiverat.

3. Stopplinje

Detta är den risknivå som inte ska accepteras utan lednings- eller styrelsebeslut.

Exempel:

Obegränsat ansvar för dataskydd, säkerhetsincidenter, indirekta skador, produktionsbortfall, kundens följdförluster, kundens regulatoriska sanktioner eller tredjemanskrav som leverantören inte kan kontrollera.

En sådan modell hjälper både ledning, juridik och sälj. Kunden får en mer professionell motivering. Säljteamet får en tydlig förhandlingsram. Ledningen undviker att enskilda kundavtal skapar oproportionerlig risk i bolaget.

Typiska riskområden i SaaS-avtal

En bra riskfördelning bör kopplas till de risker som faktiskt spelar roll i SaaS-affären.

Drift och tillgänglighet

Kunden vill veta att tjänsten fungerar. Leverantören behöver samtidigt undvika att bli fullt ansvarig för skadestånd för varje driftstörning.

Här bör avtalet innehålla tydliga SLA:er, service credits och undantag för till exempel planerat underhåll, kundens miljö, tredjepartsstörningar och internetinfrastruktur.

Service credits bör normalt vara den primära kompensationen för bristande tillgänglighet.

Säkerhet

Säkerhet är ofta en avgörande fråga i enterpriseaffärer. Kunden vill se tekniska och organisatoriska åtgärder, incidentprocesser, kontinuitetsarbete och säkerhetsdokumentation.

Men säkerhetsansvar måste vara konkret. Leverantören bör undvika generella garantier om att tjänsten alltid är “säker”, “felfri” eller fri från sårbarheter.

Bättre är att koppla ansvaret till avtalade säkerhetsåtgärder, dokumenterade processer och leverantörens faktiska kontroll.

Dataskydd

I SaaS-avtal finns ofta ett personuppgiftsbiträdesavtal. Kunden är normalt personuppgiftsansvarig och leverantören personuppgiftsbiträde.

Leverantören bör ta ansvar för att följa biträdesavtalet och kundens dokumenterade instruktioner. Kunden bör ta ansvar för laglig grund, ändamål, information till registrerade, dataminimering och att personuppgifter som laddas upp i tjänsten får behandlas.

En vanlig förhandlingsfråga är om dataskyddsansvar ska vara obegränsat. För många SaaS-bolag är det kommersiellt riskabelt.

Ett bättre alternativ är ofta ett särskilt förhöjt ansvarstak för vissa dataskyddsbrott, kombinerat med tydliga undantag och kontroll mot bolagets försäkringsskydd.

Immateriella rättigheter

Kunden vill ofta ha skydd om tredje man påstår att tjänsten gör intrång i immateriella rättigheter. Det är rimligt i många SaaS-avtal.

Men en IP-indemnity bör ha tydliga gränser. Den bör inte gälla om intrånget beror på kundens material, kundens instruktioner, otillåtna ändringar, kombination med annan teknik eller användning utanför de avtalade ramarna.

Leverantören bör också ha rätt att åtgärda problemet genom att ändra tjänsten, skaffa rättigheter eller ersätta funktionalitet.

Kundens användning av tjänsten

Kunden bör ta ansvar för sin egen användning.

Det omfattar till exempel:

  • att användarna följer avtalet,
  • att kundens data är korrekt och laglig,
  • att tjänsten inte används i strid med lag eller acceptabel användning,
  • att kunden har rätt att ladda upp och behandla material i tjänsten,
  • att kundens integrationer, system och behörigheter hanteras korrekt.

Detta är särskilt viktigt när tjänsten används i reglerade miljöer eller i affärskritiska processer.

Underleverantörer och molntjänster

De flesta SaaS-leverantörer är beroende av molnleverantörer, betaltjänster, kommunikationstjänster, analysverktyg, AI-komponenter eller andra tredjepartsleverantörer.

Avtalet bör tydligt ange vad leverantören ansvarar för och vad som beror på externa infrastrukturtjänster.

Leverantören bör normalt inte bära obegränsad risk för omständigheter som ligger utanför dess rimliga kontroll.

Hur leverantören bör förklara sin position för kunden

En bra riskposition måste kunna förklaras kommersiellt. Det räcker inte att säga:

“Detta är våra standardvillkor.”

Ett bättre budskap är:

“Vi tar ansvar för tjänsten och de risker vi kontrollerar. För att kunna erbjuda en skalbar SaaS-tjänst till ett rimligt pris behöver ansvaret samtidigt vara proportionerligt, försäkringsbart och kopplat till avtalets värde. För större affärer kan vi diskutera ett förhöjt ansvarstak för särskilt avgränsade risker, men vi accepterar normalt inte obegränsat ansvar för risker som inte går att kontrollera eller prissätta.”

Den typen av förklaring fungerar ofta bättre i säljprocessen. Den visar att leverantören tar ansvar, men också att bolaget har en mogen och genomtänkt riskmodell.

Vanliga misstag i SaaS-avtal

De vanligaste misstagen är:

  • att acceptera obegränsat ansvar för dataskydd, säkerhet eller IP utan analys,
  • att ha samma ansvarstak för alla typer av risker,
  • att sätta ett för lågt fast ansvarstak i större enterpriseaffärer,
  • att blanda ihop SLA, service credits, skadestånd och uppsägningsrätt,
  • att sakna tydliga undantag för kundens data och användning,
  • att lova mer i säkerhetsbilagan än organisationen faktiskt kan leverera,
  • att acceptera kundens standardvillkor utan att se helhetsrisken,
  • att låta säljteamet godkänna avvikelser utan legal eller ledningsförankring,
  • att inte kontrollera om ansvarsnivåerna matchar försäkringsskyddet,
  • att sakna intern playbook för förhandling av riskklausuler.

För SaaS-bolag i tillväxt kan dessa misstag bli dyra. De kan också bromsa framtida affärer när större kunder, investerare eller köpare granskar avtalsportföljen.

Riskfördelning i SaaS-avtal är inte boilerplate. Det är affärsdesign.

Ett bra SaaS-avtal ska göra tre saker samtidigt:

  1. hjälpa säljteamet att komma igenom kundens legal, security och compliance review,
  2. ge kunden ett seriöst och marknadsmässigt skydd,
  3. skydda leverantören från risker som inte går att bära, försäkra eller prissätta.

För SaaS- och IT-leverantörer handlar det inte om att ta så lite ansvar som möjligt. Det handlar om att ta rätt ansvar:

  • ansvar för det man kontrollerar,
  • ansvar som står i proportion till avtalsvärdet,
  • ansvar som går att försäkra,
  • ansvar som inte förstör skalbarheten i SaaS-modellen,
  • ansvar som kunden kan förstå och acceptera.

För många svenska och nordiska SaaS-bolag är en modell med ansvarstak på 100–150 procent av avtalsvärdet en starkare förhandlingsposition än både låga fasta belopp och obegränsat ansvar. Den är kommersiell, begriplig och lättare att förankra internt.

Behöver ni se över riskfördelningen i era SaaS-avtal?

Sharp Cookie Advisors hjälper SaaS- och IT-bolag att skriva, granska och förhandla kommersiella avtal som fungerar i verkliga säljprocesser.

Vi hjälper er bland annat med:

  • SaaS-villkor,
  • enterprise-avtal,
  • ansvarsbegränsningar,
  • IP- och dataskyddsklausuler,
  • SLA och service credits,
  • säkerhets- och compliancebilagor,
  • avtals-playbooks för säljteam,
  • fallback-positioner i förhandling,
  • riskbedömning inför större kundavtal.

Målet är enkelt: avtal som kunder kan acceptera, utan att bolaget tar risker som inte går att bära.

, ,
  • Share on:

Sofia Edvardsen

Sofia Edvardsen är grundare av den affärsjuridiska byrån Sharp Cookie Advisors och är en erfaren affärsjurist inom internetjuridik och digitala affärer.

Leave a Comment

Your email address will not be published. Required fields are marked *

*