Inledning

Digitaliseringen och den ökade användningen av AI har förändrat hur organisationer köper, levererar och förlitar sig på IT-tjänster. I denna utveckling har ansvarsbegränsningsklausuler kommit att spela en central roll. Avsikten är att balansera riskfördelningen mellan kund och leverantör och göra det möjligt att prissätta och försäkra kommersiella risker. Traditionellt har dessa klausuler konstruerats med utgångspunkt i förutsebara och avgränsade skadetyper.

Riskbilden som AI-system och moderna cyberhot skapar är av ett fundamentalt annat slag. Ett enda felaktigt beslut fattat av ett autonomt AI-system kan drabba tusentals individer eller transaktioner simultant. En ransomware-attack mot en leverantör av kritisk infrastruktur kan lamslå ett helt samhälle. Skadorna kan vara enorma, svårförutsebara och sprida sig långt bortom det direkta avtalsförhållandet.

Denna expertkommentar behandlar frågan om traditionella ansvarsbegränsningsklausuler i IT-avtal är ändamålsenliga mot bakgrund av dessa förändrade förutsättningar – och hur de bör utformas för att hålla.

AI-systemens unika riskprofil

AI-system skiljer sig från konventionell mjukvara i ett avtalsrättsligt avgörande avseende: de är icke-deterministiska. Samma indata kan generera olika utdata vid olika tillfällen, beroende på modellens träningsdata, kontextuella faktorer och löpande uppdateringar av underliggande modeller. Det är således svårt – ofta omöjligt – att vid avtalstillfället förutse vilka fel som kan uppstå och i vilken utsträckning de kan orsaka skada.

Denna osäkerhet ställer ansvarsbegränsningsklausuler inför en grundläggande utmaning. Ansvarstaket är typiskt sett kalibrerat mot en rimlig uppskattning av kontraktsrisken. Men i en miljö där ett enskilt AI-relaterat fel kan utlösa en kedja av skadeverkningar – felaktiga kreditbedömningar, diskriminerande rekryteringsbeslut, felaktig medicinsk diagnostik och anspråk från drabbade – kan detta tak snabbt visa sig otillräckligt.

Till detta kommer skaleffekten. Konventionella IT-fel är ofta isolerade. AI-system verkar däremot ofta i stor skala och med hög automatiseringsgrad. En bias i träningsdata eller en hallucination i ett generativt system sprider sig med systemets räckvidd. Det finns också en fråga om autonomi och ansvar: När ett AI-system agerar utan mänsklig inblandning och orsakar skada, vem är då ansvarig? Leverantören av modellen, den som driftsätter systemet, eller den kund som valde att tillämpa AI-beslut utan mänsklig kontroll?

Dessa frågor är ännu i stor utsträckning obesvarade i rättspraxis, vilket gör det desto viktigare att parterna hanterar dem i avtalet.

Cybersäkerhetsincidenters ekonomiska konsekvenser

Moderna cyberattacker som ransomware, dataintrång och distribuerade överbelastningsattacker (DDoS) medför risker av en storleksordning som traditionella ansvarsbegränsningsmodeller sällan är konstruerade att hantera.

De direkta skadorna vid en cybersäkerhetsincident inkluderar systemstopp och dess omedelbara konsekvenser, kostnader för återställning av system och data, samt i ransomware-sammanhang den potentiella lösenbetalningen. Dessa skador är i princip kvantifierbara, om än ofta substantiella.

De indirekta skadorna är emellertid ofta de mest ekonomiskt kännbara: produktionsbortfall under avbrottstiden, förlorade kunder och intäkter, skadeståndskrav från tredje part vars data har komprometterats, och regulatoriska sanktioner enligt GDPR eller NIS 2-direktivet. Härtill kommer reputationsskador som är notoriskt svåra att kvantifiera och som i regel uttryckligen undantas från ansvar i standardvillkor.

Gränsdragningen mellan direkta och indirekta skador har betydande praktiska konsekvenser. Den avgör i det enskilda fallet om en skada över huvud taget faller inom ramen för ansvarsbegränsningsklausulen eller är undantagen. I en AI- och cybersäkerhetskontext uppstår dessutom en klassificeringsfråga av principiell betydelse: Är dataförlust en direkt eller en indirekt skada? Parterna gör klokt i att uttryckligen definiera dataförlust i avtalet och ange under vilken kategori den faller.

Detsamma gäller regulatoriska böter. Om en leverantörs säkerhetsbrist leder till en GDPR-sanktion mot kunden, kan kunden avtalsrättsligt övervältra denna kostnad på leverantören? Svaret beror dels på hur ansvarsklausulerna är utformade, dels på om böter eller avgifter anses utgöra en direkt eller indirekt skada. Många standardvillkor undantar uttryckligen ”administrativa böter och sanktioner” från ansvar, vilket kan vara svårt att försvara om orsaken till sanktionen är leverantörens säkerhetsbrister.

Regulatoriskt landskap som förändrar ansvarsbilden

Ytterligare en utmaning är det intensifierade regulatoriska trycket på IT-avtal. Flera EU-rättsliga regelverk inskränker nu direkt eller indirekt parternas frihet att fördela ansvar genom avtalet.

AI Act (EU 2024/1689) inför en riskbaserad reglering av AI-system och ålägger leverantörer av högrisksystem långtgående skyldigheter avseende transparens, testning, dokumentation och mänsklig tillsyn. Exempel på sådana högrisksystem är AI-system för kreditbedömning, rekrytering och medicinsk diagnostik. Dessa skyldigheter kan inte avtalas bort. Leverantören kan i avtalet därmed inte friskriva sig från de skyldigheter som AI Act ålägger denne i egenskap av leverantör av ett högrisk-AI-system.

Cyber Resilience Act (EU 2024/2847) inför obligatoriska cybersäkerhetskrav för uppkopplade produkter och mjukvara på den europeiska marknaden. Leverantörer av programvara med digitala element kommer att vara skyldiga att säkerställa säkerhet under produktens hela livscykel, inklusive löpande hantering av sårbarheter och säkerhetsuppdateringar. Detta skapar en tvingande miniminivå som inte kan avtalas bort.

NIS 2-direktivet (EU 2022/2555), som i Sverige implementerats genom cybersäkerhetslagen (2025:1506), ställer krav på verksamhetsutövare att vidta lämpliga säkerhetsåtgärder och att säkerställa säkerheten i sina leveranskedjor. Som vi behandlade i tidigare expertkommentar, Cybersäkerhetslagen och de nya föreskrifterna – detta gäller, har Myndigheten för civilt försvar (MCF) publicerat föreskrifter som konkretiserar dessa krav och som direkt påverkar utformningen av IT-avtal.

DORA (Digital Operational Resilience Act, EU 2022/2554) riktar sig specifikt mot finanssektorn och ställer skärpta krav på digital motståndskraft och hantering av tredjepartsleverantörer av IT-tjänster, inklusive AI-leverantörer.

Sammantaget innebär detta att parternas möjligheter att fritt fördela ansvar för AI- och cybersäkerhetsrisker är begränsade av tvingande EU-rätt på ett sätt som för bara några år sedan inte existerade. Avtalet kan inte kompensera för en leverantörs underlåtenhet att uppfylla sina regulatoriska skyldigheter.

Typer av ansvarsbegränsningar och deras lämplighet

Den vanligaste formen av ansvarsbegränsning i IT-avtal är ett beloppstak för det totala skadeståndsansvar som en part kan åläggas. Taket kopplas typiskt till kontraktsvärdet under en viss period, ofta ett år eller hela avtalstiden. Problemet med denna konstruktion i AI- och cybersäkerhetskontext är uppenbart: ett enda AI-relaterat fel eller en enda cybersäkerhetsincident kan vida överstiga taket. Samtidigt behöver ansvarstaket med tillhörande risker stå i paritet med affärsmöjligheten för en leverantör.

En mer ändamålsenlig konstruktion skulle kunna vara differentierade tak beroende på skadans art. AI-relaterade beslutsskador kan motivera ett högre tak än exempelvis driftstopp av begränsad varaktighet. Svaret på frågan om taket bör vara obegränsat vid AI-system i kritiska funktioner är inte självklar. Ett fullständigt obegränsat ansvar är sällan kommersiellt genomförbart och riskerar att göra leverantörerna ovilliga att alls erbjuda tjänster till kritiska sektorer. En variant som tillämpas i förhållande till dataskyddsreglering är en s.k. super-cap, d v s ett eget tak för en viss typ av skada.

En närliggande fråga är hur avtalet hanterar olika skadetyper. Standardformuleringen i IT-avtal utesluter typiskt sett utebliven vinst, produktionsbortfall och dataförlust från ansvar, så som indirekta skador eller följdskador. Paradoxen i AI- och cybersäkerhetskontext är att de indirekta skadorna ofta är de mest substantiella. Vid ett ransomware-angrepp är produktionsbortfallet under återställningsperioden typiskt sett den dominerande skadeposten. Vid ett felaktigt AI-beslut i en logistikkedja är produktionsbortfallet till följd av felaktiga lagerprognoser den primära skadan. En variant är att arbeta med tydlighet, d v s att vissa typer av konsekvenser definieras som en direkt skada.

Ytterligare en utmaning i AI-sammanhang är att leverantörer av AI-tjänster regelmässigt friskriver sig från ansvar för underliggande AI-modeller, exempelvis stora språkmodeller (LLM) som tillhandahålls av tredje part. Leverantören positionerar sig som en tilläggstjänst ovanpå en underliggande modell och hänvisar eventuellt ansvar till modellägaren. Ur kundens perspektiv är detta problematiskt. Kunden har avtalsrelationen med leverantören och saknar typiskt sett varje möjlighet att påverka valet av underliggande modell eller att rikta krav direkt mot modellägaren. Det uppstår ett kedjeansvarproblem: Vem ansvarar när felet finns i en AI-komponent som leverantören själv inte äger eller kontrollerar? En ändamålsenlig reglering bör klargöra att leverantören är ansvarig gentemot kunden för leveransen som helhet, inklusive underliggande komponenter – och att leverantören sedan internt kan söka regressansvar mot modellägaren. Back-to-back-skydd gentemot underleverantörer av AI-komponenter är en nödvändighet för leverantörer som önskar hålla sin riskexponering under kontroll.

Giltighet och gränser – när håller inte ansvarsbegränsningen?

En grundläggande princip i svensk avtalsrätt är att ansvarsbegränsningsklausuler inte är giltiga vid grov vårdslöshet eller uppsåt. Frågan är vad som konstituerar grov vårdslöshet i AI- och cybersäkerhetskontext.

Vad gäller AI-system finns det starka skäl att hävda att grov vårdslöshet föreligger vid driftsättning av ett AI-system utan tillräcklig testning i kritiska miljöer, när leverantören har ignorerat dokumenterade varningar om bias eller felaktiga träningsdata, eller när systemet saknar en mänsklig övervakningsfunktion ("kill switch") i situationer där AI Act kräver mänsklig kontroll.

På cybersäkerhetssidan är bilden tydligare. Kända sårbarheter som inte åtgärdats trots att uppdateringar finns tillgängliga, avsaknad av grundläggande säkerhetsåtgärder som multifaktorautentisering (MFA), kryptering och loggning, eller underlåtenhet att följa etablerade branschstandarder som ISO 27001 eller SOC 2 – allt detta kan konstituera grov vårdslöshet som gör ansvarsbegränsningen overksam. Härtill kommer att NIS 2 och cybersäkerhetslagen skapar en tydligare norm för vad som utgör lägsta acceptabla säkerhetsnivå, vilket i förlängningen kan påverka bedömningen av vad som är grov vårdslöshet.

Vid sidan av den allmänna avtalsrättsliga kontrollen inskränker även AI Act, GDPR och NIS 2 direkt parternas möjligheter att avtala bort ansvar. Enligt GDPR artikel 82 kan personuppgiftsansvariga inte begränsa sin skadeståndsskyldighet gentemot de registrerade. AI Act ålägger leverantörer av högrisk-AI-system skyldigheter som är av tvingande natur och inte kan avtalas bort i förhållande till tredje man.

Slutligen ställs krav på precision i själva klausulens utformning. En friskrivningsklausul måste vara tillräckligt tydlig och precis för att vara giltig. Vaga formuleringar som "fel i systemet" täcker inte nödvändigtvis AI-hallucinationer, bias-relaterade beslut eller autonoma systembeslut som orsakar skada. För att en friskrivning för AI-relaterade skador ska vara effektiv bör den uttryckligen ange vilka AI-komponenter som avses, vilka typer av fel som undantas och under vilka förutsättningar. Oklarhetsregeln innebär dessutom att oklara klausuler tolkas mot den part som har formulerat dem – typiskt sett leverantören.

En standardiserad friskrivning som inte är specifikt anpassad till det AI-system som faktiskt levereras riskerar att vara overksam just i de situationer där leverantören önskar åberopa den.

Förhandling och avtalsutformning – praktiska råd för kunden respektive leverantören

Kunden bör i första hand förhandla om differentierade ansvarstak med högre tak för AI-relaterade skador och cybersäkerhetsincidenter. Undantaget för indirekta skador bör diskuteras och eventuellt förtydligas. Exempelvis bör frågan om ansvar för dataförlust och regulatoriska böter diskuteras, åtminstone i den mån dessa är en direkt konsekvens av leverantörens säkerhetsbrister, och avtalet bör uttryckligen ange hur dataförlust klassificeras – som direkt eller indirekt skada. Vidare bör kunden säkerställa uttryckliga undantag från ansvarsbegränsningen vid grov vårdslöshet och brott mot säkerhetsförpliktelser.

Därutöver bör kunden kräva specifika garantier kring AI-systemets testning, bias-hantering och säkerhetsarkitektur samt inkludera krav på säkerhetscertifieringar som ISO 27001 och SOC 2 jämte rätt till revision av leverantörens säkerhetsarbete. Ansvaret för AI-hallucinationer och felaktiga autonoma AI-beslut bör regleras uttryckligen, inbegripet ansvar för beslut som fattas utan mänsklig kontroll i strid med AI Act.

Leverantören bör i första hand säkerställa att risken prissätts korrekt. Ett större ansvar bör återspeglas i prissättningen och krav mot kunden bör förtydligas. Avtalet bör noggrant definiera vad som utgör "AI-tjänst" och klargöra vilken del av ansvaret som hänför sig till underliggande modellägare. Vidare bör leverantören inkludera tydliga acceptable use-policies som begränsar kundens möjligheter att använda AI-tjänsten på sätt som exponerar leverantören för oförutsebara risker.

Därutöver bör leverantören säkerställa back-to-back-skydd gentemot underleverantörer av AI-komponenter, så att den interna riskexponeringen är täckt. Kundens skyldigheter att upprätthålla säkerheten på sin sida bör regleras uttryckligen, eftersom delade säkerhetsansvar är en förutsättning för att ansvarsbegränsningar ska vara rimliga. Slutligen bör friskrivningar för AI-relaterade skador vara tillräckligt precisa och specifikt namnge de AI-komponenter och skadetyper som avses.

Checklista för granskning av ansvarsbegränsningsklausuler

Vid granskning av ansvarsbegränsningsklausuler i AI- och cybersäkerhetsavtal bör följande frågor ställas:

• Är ansvarstaket rimligt i relation till den risk AI-systemet faktiskt medför?
• Täcker begränsningen även regulatoriska sanktioner (GDPR, NIS 2, AI Act)?
• Hur definieras dataförlust – direkt eller indirekt skada?
• Regleras ansvar för AI-hallucinationer och autonoma beslut utan mänsklig kontroll?
• Hur hanteras ansvar för underleverantörers AI-komponenter och säkerhetsbrister?
• Finns krav på incidentrapportering och åtgärdsplan vid cyberattack?
• Har leverantörens friskrivningar för AI-relaterade skador formulerats med tillräcklig precision för att vara giltiga?

Avslutande ord

Traditionella ansvarsbegränsningsklausuler i IT-avtal är konstruerade för en annan tid och en annan riskbild. De är inte anpassade för AI-systemens icke-deterministiska natur, de skadeeffekter som autonoma felaktiga beslut kan generera, eller cyberhotens skadeomfång. Detta gäller både från kundens och leverantörens perspektiv.

Det regulatoriska trycket från AI Act, CRA, NIS 2 och det omarbetade produktansvarsdirektivet inskränker därtill avtalsfriheten på ett sätt som gör det omöjligt att förlita sig på standardvillkor som det yttersta skyddsnätet. Parterna måste röra sig bort från generiska mallar mot skräddarsydda riskfördelningsmodeller som tar hänsyn till det specifika AI-systemets och tillämpningens riskprofil och de cybersäkerhetshot som är relevanta för den aktuella verksamheten.

Ansvarsbegränsningar bör ses som ett verktyg i en bredare riskhanteringsstrategi – inte som det primära skyddet. Kompletterande mekanismer som cyberförsäkring med tillräckliga täckningsbelopp, konkreta säkerhetskrav med uppföljningsrätt och tydliga incidenthanteringsplaner är minst lika viktiga som hur ansvarstaket är satt.

Framtidens IT-avtal måste bygga in AI- och cybersäkerhetsrisker som en central del av ansvarsregleringen – inte som ett efterhandsgrepp och inte som en standardklausul hämtad från ett allmänt formulär. Parterna – och deras juridiska rådgivare – bör behandla ansvarsbegränsningsklausulen som det affärskritiska instrument det faktiskt är.