Flytta ekonomi- eller lönesystem till molnet (SaaS) enligt LOU – det här gäller
Många etablerade on-prem-system för offentlig sektor närmar sig slutdatum för support. Vad ska du tänka på när du ska ersätta lokala system med molnbaserade SaaS-lösningar? Vilka krav finns det på upphandling, informationssäkerhet och datalagring?
Den här guiden sammanställer kraven som säkrar din upphandling och vad du ska tänka på inför övergången baserat på erfarenheter från hundratals offentliga affärer.
Vad ska man tänka på när man flyttar ekonomisystemet eller personalsystemet till molnet (SaaS) enligt LOU i offentlig sektor?
Du måste hantera fem specifika riskområden: upphandlingsrätt (LOU), informationssäkerhet, GDPR, leverantörsinlåsning och fysisk datalokalisering. Det absolut första steget är att utreda om den tänkta molnflytten kräver en helt ny upphandling, eller om förändringen ryms inom ditt nuvarande avtal.
Krävs en ny upphandling när ett on-prem-system ersätts av SaaS?
Ja, i de allra flesta fall krävs en ny upphandling. När du går från lokal drift till en molntjänst förändras leveransmodellen. Drift, underhåll och säkerhetsansvar flyttas från den egna organisationen till leverantören. Samtidigt ändras affärsmodellen från ett fast licensköp till en löpande abonnemangsavgift.
Vad är en väsentlig avtalsändring?
En väsentlig avtalsändring är en modifiering som förändrar det ursprungliga kontraktets karaktär, vilket är förbjudet enligt LOU. Om övergången till SaaS inför nya kostnadsmodeller eller utökar leverantörens åtaganden, klassas det som en väsentlig ändring. Då behöver du göra en ny upphandling.
När kan befintligt avtal användas?
Du kan använda det befintliga avtalet om det innehåller tydliga optioner och förändringsklausuler som redan omfattar både lokala och molnbaserade leveransformer. Din upphandlingsfunktion, verksamheten och IT-avdelningen bör alltid göra en gemensam juridisk bedömning innan ni påbörjar migreringen.
Den största risken är avtalet – inte tekniken
Erfarenheten visar att offentliga verksamheter lägger enorm tid på funktionalitet, men glömmer att granska de kommersiella villkoren. I en SaaS-modell blir du mer beroende av leverantören över tid än vid on-prem. Du måste granska avtalsvillkoren kring ansvarsbegränsningar, personuppgiftsbiträdesansvar, underleverantörer, exitprocesser samt prisjusteringar under långa avtalsperioder.
Undvik att återskapa 20 år gamla processer
SaaS är inte bara en teknisk förändring, det kräver nya arbetssätt. Ett vanligt misstag är att försöka tvinga in det nya systemet i exakt de processer som kommunen haft i 15–20 år. De mest framgångsrika projekten använder systembytet till att standardisera arbetssätt, rensa bort lokala speciallösningar och minska beroendet av kundunika anpassningar.
Vilka säkerhetskrav, ramverk och standarder för regelefterlevnad gäller för SaaS-lösningar i svensk kommunal verksamhet?
Informationssäkerheten är kritisk när verksamhetskritiska system flyttas utanför den egna IT-miljön. Kraven omfattar både tekniska skyddsåtgärder och leverantörens interna organisation.
ISO 27001, GDPR och arkivlagen
En ISO 27001-certifiering innebär att leverantörens ledningssystem för informationssäkerhet har granskats av en oberoende part. Det visar att säkerhetsarbetet bedrivs systematiskt. Samtidigt måste du säkra ett skriftligt personuppgiftsbiträdesavtal (PUBA) för att uppfylla GDPR. Kom ihåg att arkivlagen, bokföringsregler och lokala gallringsbeslut går före GDPR:s "rätt att bli bortglömd" – löneuppgifter som utgör bokföringsunderlag ska sparas i minst 7 år.
Få koll på GDPR och lönesystem i kommun med vår FAQ för HR och löneadministratörer
Den dolda kostnaden: Integrationsarbetet
Många underskattar komplexiteten runt omkring själva kärnsystemet. Ett modernt ekonomi- eller HR-system kräver integrationer mot exempelvis Active Directory/Entra ID, e-signering, ärendehantering, e-handel, BI-verktyg, banker och arkivlösningar. Det är nästan alltid dessa integrationer – inte själva systembytet – som står för den största projektrisken och den högsta kostnaden.
Lär dig mer om hur du ställer rätt krav i upphandlingen för integrationer
Ställ krav på leverantörens utvecklingsmodell
Vid on-prem styrd du själv när uppgraderingar ska ske. I en SaaS-miljö sker utvecklingen kontinuerligt. Många upphandlingar kräver att kommunen ska få tillgång till nya funktioner under avtalstiden, men missar att kräva svar på hur det fungerar i praktiken. Du måste ställa krav på hur ofta releaser sker, hur förändringar kommuniceras och hur nya funktioner testas utan att störa verksamheten.
Vilka svenska eller europeiska molnleverantörer uppfyller kraven för offentlig sektor?
Var informationen lagras fysiskt och vem som har juridisk åtkomst till den är en central säkerhetsfråga. Du måste analysera leverantörens leveranskedja i detalj innan avtal tecknas.
Datalokalisering inom EU/EES och tredjelandsöverföringar
Genom att välja en leverantör som lagrar data inom EU eller EES minskar du komplexiteten kring internationella dataöverföringar. Kartlägg hela leverantörskedjan och granska om personuppgifter riskerar att behandlas utanför EU/EES, exempelvis via publika amerikanska molntjänster. Kräv full transparens och skriftliga garantier gällande samtliga underbiträden.
Se vår guide om att skilja på dataportabilitet och migreringsarbete
Tänk längre än dagens behov
En upphandling av ekonomi- eller HR-system leder ofta till avtal som löper över 8 till 14 år. Under den perioden kommer lagstiftning att ändras, organisationer att omorganiseras och AI-funktioner att utvecklas. Fokusera därför mindre på exakt hur systemet fungerar idag, och mer på leverantörens långsiktiga utvecklingsförmåga och stabilitet i Norden och Europa.
Sammanfattning: Framgångsfaktorn ligger i förberedelsen
Efter att ha deltagit i hundratals upphandlingar av ekonomi-, HR- och lönesystem ser vi på Publitech att den största framgångsfaktorn sällan är valet av system. Det är hur väl organisationen förbereder sig för förändringen.
De mest lyckade SaaS-projekten handlar inte bara om att flytta en teknisk plattform till molnet. De använder systembytet som ett tillfälle att modernisera processer, minska komplexitet och skapa rätt förutsättningar för framtida digitalisering.
Checklista för upphandling av ekonomi- och HR-system i molnet
- Utred om övergången från on-prem till SaaS kräver en ny upphandling enligt LOU.
- Granska avtalsvillkoren noga (ansvarsbegränsningar, exitprocesser och prisjusteringar).
- Kartlägg alla nödvändiga integrationer (AD, e-signering, BI-verktyg, bank) tidigt i processen.
- Säkra att personuppgiftsbiträdesavtal (PUBA) tecknas och uppfyller GDPR.
- Utvärdera leverantörens utvecklingsmodell, releasestruktur och testrutiner.
- Kräv ISO 27001 för att verifiera ett systematiskt säkerhetsarbete.
- Specificera öppna API:er för att förhindra framtida leverantörsinlåsning.
- Kartlägg underleverantörer för att förhindra dolda tredjelandsöverföringar.
- Kontrollera att systemet stöder långsiktig arkivering och gallring enligt arkivlagen.
Genom att hantera dessa frågor tidigt i upphandlingsfasen minskar du riskerna, stärker regelefterlevnaden och skapar rätt förutsättningar för en hållbar molnflytt.
Se hur du kan skriva ska-krav och tekniska krav i din nästa upphandling av HR- och lönesystem