Partene

Avtale om etablering og bruk av API

(Version 1.1 av avtale for Tripletex API 2.0)

Partene

Partene i samarbeidsavtalen er Tripletex AS og Avtalepart fra Kartleggingsskjema

Leverandør Tripletex AS Xxxxxxxxx 00

0158 Oslo Norge

Organisasjonsnummer: 914 286 018

Avtalepart er som beskrevet i Kartleggingsskjema.

1) DEFINISJONER

Systemet: Tripletex AS’ installerte systemer, både i drift- og testmiljøer, som gjøres tilgjengelige for brukerne via webgrensesnitt og/eller API.

Avtalepart: Den juridiske enhet som inngår denne avtalen med Tripletex AS om etablering og bruk av API.

Kartleggingsskjema: Skjema som er fylt ut av Avtalepart ved etablering av denne avtale. Skjemaet beskriver bruksområde, funksjonalitet og teknisk informasjon om integrasjonen. Skjema omtaler Avtalepart som integrasjonspartner.

API: Dokumentert programmeringsgrensesnitt mot Systemet som gjøres tilgjengelig for Avtalepart ved inngåelse av denne avtalen og som Avtalepart kan benytte så lenge denne avtalen er gyldig.

Applikasjonen: Det systemet som Avtalepart kobler med Systemet ved hjelp av Integrasjonen.

Integrasjonen: Den etablerte og godkjente koblingen og tilhørende dataoverføringen mellom Applikasjonen og Systemet.

Juridisk kontaktperson: Person med rett til å inngå avtale på vegne av Xxxxxxxxxx.

2) RETNINGSLINJER FOR UTVIKLING

a) AVTALE OM TILGANG TIL API

Avtalepart kan benytte API mot test- og driftsmiljøer ved hjelp av de tilgangsnøkler som Avtalepart har fått tilgang til av Tripletex AS.

Metoder og muligheter i API kan fritt benyttes og kombineres så lenge øvrige betingelser i denne avtalen er tilfredsstilt.

b) TILGANGSNØKKEL

Ved avtaleinngåelse skal Tripletex AS opprette en tilgangsnøkkel til API-et slik at Avtalepart kan utvikle og teste Integrasjonen.

Tripletex AS skal opprette og vedlikeholde tilgangsnøkler slik at Integrasjonen kan virke uforstyrret. Dersom Tripletex AS utsteder nye tilgangsnøkkel til Avtalepart, skal Avtalepart så snart som mulig ta i bruk den nye tilgangsnøkkelen.

Avtalepart skal oppbevare tilgangsnøkkel på en slik måte at ingen uvedkommende får tilgang til dem. Avtalepart skal alltid bruke sine egne tilgangsnøkkel ved all bruk av API. Avtalepart har ikke mulighet til å videreformidle/videreselge sin egen tilgangsnøkkel.

c) TILGANGSNØKKEL TREDJEPART

Dersom Avtalepart skal tilby integrasjon til tredjepart, må tredjepart lage sin egen brukernøkkel og dele denne med partner på sikkert vis. Avtalepart må beskytte tredjeparts tilgangsnøkkel.

d) DATAVOLUM OG ANTALL KALL

Ved bruk av API skal Avtalepart vise hensyn overfor andre brukere av Systemet. Avtalepart skal begrense antall kall og overføring av data slik at Systemet ikke blir urimelig belastet.

Overført datavolum, kall-frekvens og belastning av Systemet vil være parametere som skal være beskrevet i Kartleggingsskjema. Ved all bruk av API skal Avtalepart forholde seg til dette kartleggingsskjemaets beskrivelse av omfang etc. Avtalepart må også til enhver tid forholde seg til gjeldende

API-dokumentasjon som oppdateres fortløpende her; xxxxx://xxxxxxxxx.xx/x0-xxxx/.

Integrasjoner, som gir en sluttbruker direkte tilgang til data i Systemet, må bygges på en slik måte at robusthet og dataintegritet ivaretas både for

Systemet og Applikasjonen, og at alle vanlige feilsituasjoner i Integrasjonen eksponeres på en forståelig måte for sluttbrukeren (eks. sperret bruker, feil passord etc.) slik at sluttbrukeren har mulighet til å ta stilling til feilsituasjonen og hva sluttbrukeren ønsker å gjøre.

For all integrasjon skal Avtalepart sørge for at feilmeldinger og kall i Integrasjonen fanges opp og loggføres - og at informasjonen i feilmeldingene brukes både i Applikasjonens brukerdialog, feilretting hos integrasjonspartner og ved innmelding til Tripletex support.

Avvik fra bestemmelsene om datavolum og antall kall må avtales spesielt med Tripletex AS.

I alle tvilstilfeller som gjelder bruk av API, skal Avtalepart alltid konsultere Tripletex AS.

3) ANSVAR FOR INTEGRASJONEN

Avtalepart har ansvar for å innhente fullmakt til å behandle sluttbrukernes data gjennom en databehandleravtale, se punkt 10. Avtalepart skal samtidig innhente samtykke fra sluttbrukeren til å overføre ev. personopplysninger til Systemet, samt sørge for oppfyllelse av alle øvrige krav som stilles i personvernlovgivningen for å kunne behandle og dele sluttbrukernes data med Tripletex med underleverandører.

All integrasjon mot Systemet er Avtaleparts ansvar: i forbindelse med utvikling, test og etterfølgende drift og forvaltning over tid. Avtalepart skal til enhver tid ha nødvendig kompetanse for å ivareta dette ansvaret. Kompetanse for utvikling, test og forvaltning av Integrasjonen kan innhentes hos en tredjepart, men Avtalepart har i slike tilfeller alltid det overordnede ansvaret for tredjepart.

Avtalepart har ansvar for at data, som legges inn i Systemet via Integrasjonen, er korrekte, samt at data ikke slettes eller endres utilsiktet eller at uvedkommende får tilgang til data.

a) GODKJENNING

Tripletex AS skal godkjenne all bruk av API som skjer av Avtalepart. Tripletex kan kreve innsikt i kode som brukes mot API.

b) NAVNGITTE ANSVARLIGE

Som beskrevet i Kartleggingsskjema, skal Avtalepart oppnevne ansvarlige personer for:

a) Avtalens forretningsmessige forhold (juridisk ansvarlig).

b) Integrasjonens tekniske løsning (teknisk ansvarlig).

Avtalepart er ansvarlig for å varsle Tripletex AS om endringer i rollene, bruk av tredjeparter og kontaktinformasjonen i dette punktet.

4) TRIPLETEX-DATA

a) BRUK OG FRAMVISNING AV TRIPLETEX-DATA

All data, som hentes fra Systemet, skal fremvises på en slik måte at hensiktsmessig datasikring oppnås, herunder sikring mot innsyn fra uvedkommende gjennom tilgangsstyring for brukere og bruk av kryptering.

b) AUTENTISERING

API skal alltid kalles med korrekte tilgangsnøkler.

c) BESKYTTELSE AV BRUKERDATA

I tilfeller der personsensitiv data blir overført, skal Avtalepart utvise særlig varsomhet og om nødvendig dokumentere at Avtalepart utfører denne plikten. For behandling av data på vegne av tredjepart, se pkt. 10.

d) DATAINTEGRITET

Data skal ikke mellomlagres, caches eller oppdateres på en slik måte at dataintegritet ikke kan ivaretas av Systemet.

Forretningslogikk og databehandling, som angår dataenes integritet, skal ikke dupliseres av applikasjoner som har tilgang til Systemet via API.

For øvrig vises det til gjeldende API-dokumentasjon.

5) BEHANDLING AV PERSONOPPLYSNINGER

Som et ledd i ytelser etter avtalen, vil Tripletex AS og Xxxxxxxxxx kunne komme til å behandle personopplysninger på vegne av hverandre. Begge parter skal da rette seg etter og oppfylle de relevante bestemmelser om personvern og informasjonssikkerhet i personopplysningsloven.

I de tilfeller hvor Tripletex AS eller Avtalepart, i forbindelse med denne avtalen, behandler personopplysninger , skal derfor partene:

a) behandle personopplysningene for å oppfylle formålet med denne avtalen, og utover dette kun etter skriftlige instruksjoner fra Avtalepart eller Tripletex AS, såfremt disse instruksjonene; i) faller innenfor de rammene som fremgår av denne avtalen og Kartleggingsskjemaet og ii) er nødvendig for å oppfylle krav i gjeldende personvernlovgivning;

b) treffe nødvendige tekniske og organisatoriske tiltak for å beskytte personopplysningene mot tilfeldig eller ulovlig ødeleggelse eller mot tilfeldig tap, mot ikke-autorisert endring, spredning eller tilgang, særlig når behandlingen omfatter overføring av opplysninger i et nettverk, samt mot enhver annen ulovlig behandling;

c) behandle personopplysningene rimelig og i samsvar med gjeldende lovgivning;

d) med unntak av tilfeller hvor partene skriftlig gir andre instruksjoner, treffe alle rimelige tiltak for å slette opplysningene etter rimelig tid i forhold til de formål de er innhentet for eller senere behandles for, hvis det ikke er anledning til å beholde opplysningene på ubestemt tid;

e) ikke gi tilgang til eller spre opplysningene til noen, hvis det ikke er nødvendig eller tillatt i følge denne avtalen eller annen avtale mellom partene (dersom Avtalepart utleverer sine påloggingsdetaljer til Systemet til en tredjepart, anses dette som samtykke til å gi tredjepart tilgang til Avtaleparts data);

f) samarbeide og bistå ved oppfyllelse av de registrertes rettigheter, herunder f.eks. med tilgang til opplysningene om seg selv og/eller å sikre at opplysningene blir slettet eller rettet hvis de ikke er korrekte (eller ved uenighet mellom Avtalepart og den registrerte, å markere det faktum at den registrerte mener at opplysningene ikke er korrekte). Tripletex fakturerer Avtalepart i henhold til gjeldende satser for denne typen bistand, samt for øvrig bistand som Tripletex yter for at Avtalepart skal kunne oppfylle sitt ansvar for personvern overfor deres kunder, registrerte, sluttbrukere, tilsynsmyndigheter etc.

.

g) ikke behandle personopplysningene utover det som er rimelig og nødvendig for å kunne utføre sine oppgaver etter avtalen.

Når Tripletex AS og Avtalepart behandler personopplysninger på vegne av hverandre, skal partene treffe de tiltak i forbindelse med behandlingen av personopplysninger som er:

h) rimelige og nødvendige for å oppfylle avtalen;

i) i samsvar med oppfyllelsen av Avtalen og relevant lovgivning og forskrifter.

6) TRIPLETEX POLICY

Avtalepart og Avtaleparts Applikasjon skal opptre slik at Systemets drift, dataintegritet og anvendelse kan ivaretas på en god måte - og slik at lover, forskrifter og god forretningsskikk ivaretas for både sluttbrukere og andre parter involvert i datatransaksjonene i Systemet.

7) ENDRINGER OG OPPSIGELSE

a) Tripletex AS forbeholder seg retten til å endre API og tilhørende dokumentasjon. Tripletex AS vil varsle Avtalepart om større endringer i rimelig tid. Avtalepart er ansvarlig for å sørge for at Applikasjonen og Integrasjonen benytter riktig versjon av API og alltid er i samsvar med gjeldende dokumentasjon. Tripletex AS er ikke ansvarlig for feil eller skade som skyldes endringer eller feil i API-et eller dokumentasjonen. Tripletex AS vil alltid forsøke å videreutvikle API-et på en helhetlig og bakoverkompatibel måte.

b) Denne avtalen om bruk av API kan sies opp ensidig fra Tripletex AS med 3 måneders skriftlig varsel.

8) OVERVÅKNING OG SUSPENSJON

a) Tripletex AS vil overvåke Avtaleparts bruk av API mot Systemet fortløpende. Overvåkingen kan også innebære innsyn i data.

b) Brudd på avtalevilkårene, misbruk, avvik fra informasjonen oppgitt i Kartleggingsskjema eller bruk av API i strid med dokumentasjonen eller krav fra Tripletex AS kan føre til at tilgangen til API stenges umiddelbart og til en ev. heving av avtalen dersom Xxxxxxxxxx ikke retter opp forholdet innen rimelig tid.

c) Dersom det av hensyn til Systemets driftssikkerhet og stabilitet er nødvendig, kan tilgangen til API stenges uten forutgående varsling. Tripletex AS skal i slike tilfeller varsle Avtalepart om stengning av tilgang.

d) Som følge av at Avtalepart får tilgang til API vil det alltid foreligge teoretisk risiko for misbruk, ved at Avtalepart f.eks. benytter integrasjonen til å utnytte samarbeidet for å oppnå helt andre formål eller fordeler enn avtalt, opptrer illojalt, tilegner seg forretningshemmeligheter eller annen konfidensiell informasjon. Ved denne typen brudd på avtalen kan Tripletex AS umiddelbart heve avtalen, samt at Avtaleparten skal erstatte ethvert tap som påføres Tripletex AS i denne forbindelse.

9) EIERSKAP OG LISENS

a) Eierskap til Systemet og API tilhører Tripletex AS.

b) Retten til bruk av API innvilges Avtalepart i avtaleperioden, normalt 12 måneder med automatisk fornyelse, med mindre Tripletex AS sier opp avtalen i tråd med punkt 7 b. Avtalepart må varsle Tripletex AS senest 3 måneder før avtaleperiodens sluttdato dersom man ikke ønsker en forlengelse av avtalen.

10) FORHOLD TIL 3. PART

I de tilfeller der Avtaleparts Applikasjon er utviklet for bruk av en tredjepart, skal Avtalepart:

a) innhente fullmakt til å behandle tredjeparts data og inngå en databehandleravtale.

(ref: xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxx-xxxxxxxxxxxxxx/xxxxxxxxxxxxxxxxxxx/)

b) håndtere all kommunikasjon til og fra tredjepart angående Integrasjonen.

c) sørge for at tredjepart kommer i gang med Applikasjonen og gir nødvendig opplæring og veiledning i oppsettet av Systemet.

d) gjennom Integrasjonen bygge opp feilmeldinger og dokumentasjon som er forståelig for tredjepart og tredjeparts sluttbrukere.

e) ivareta all support og agere som 1. linjesupport for tredjepart ved spørsmål som omfatter Integrasjonen.

f) ivareta dataintegritet for tredjepart slik det er beskrevet i punkt 4.

Under ingen omstendighet skal tilgangen til API, brukernøkler eller annen informasjon om denne avtalen videreformidles eller selges til en tredjepart.

Avtalepart har ikke rett til å ta betalt av tredjepart for tilgang til API.

Avtalepart skal kun benytte egne tilgangsnøkler, som reguleres av

denne avtalen, og Avtalepart kan ikke overta eller bruke tilgangsnøkler fra en tredjepart eller andre.

11) AVGIFTER OG BETALING

Ved behov for bistand fra Tripletex AS utover administrasjon og opprettelse av tilgang til API, vil Avtalepart belastes med en timepris på 1500,-. Dette inkluderer bistand ifm. kartlegging, testing og godkjenning av Integrasjonen. Tripletex AS avgjør om det er behov for mer tid til kartlegging, testing og godkjenning.

Avtalepart er ikke forpliktet til å motta betalingspliktige tjenester som angitt ovenfor med mindre Avtalepart ved særskilt skriftlig aksept har akseptert å motta slik bistand..

Tilgang til API skal være vederlagsfritt for Avtalepart. Avtalepart skal således ikke betale avgift, lisens eller andre kostnader for tilgangen til API, ut over det som følger av første avsnitt ovenfor.

12) TILGANG, SIKKERHET OG STABILITET

Tripletex AS har som mål at API er tilgjengelig hele tiden. Tripletex AS kan imidlertid ikke gi spesielle garantier knyttet til tilgang, sikkerhet, stabilitet eller oppetid utover det som inngår i ordinær bruk av Systemet. Det forutsettes at Avtalepart eller Avtaleparts sluttbrukere er ordinære brukere av Systemet.

Avtalepart skal forholde seg til det ordinære supportapparatet i Tripletex AS ved feilsituasjoner eller ved behov for bistand.

13) ANSVARSBEGRENSNING

Tripletex AS er ikke erstatningsansvarlig for indirekte tap eller andre konsekvenstap som Avtalepart eller Avtaleparts brukere måtte få som følge av feil, mangler e.l. ved tilgang til API.

Som indirekte tap anses bl.a. tapt fortjeneste, tapt omsetning, tap som følge av tapte data og krav fra tredjeparter. Det totale akkumulerte ansvaret til Tripletex AS per 12 kalendermåneder er begrenset til 10 % av det vederlaget Tripletex AS har mottatt fra Avtalepart i den samme perioden.

14) LOVVALG OG VERNETING

Avtalen reguleres av norsk rett. Oslo tingrett vedtas som verneting.

Undertegning

Denne avtalen godtas av Avtalepart ved innsendelse av Kartleggingsskjema. Både Kartleggingsskjema og denne avtalen er deler av kontrakten mellom Avtalepart og Tripletex AS.