PURESERVICE TJENESTEAVTALE
PURESERVICE TJENESTEAVTALE
Innhold
1 Generelt 2
2 Bruk av tjenesten 4
3 Tjenestebeskrivelse 7
4 Tjenestenivå (SLA) Pureservice skytjeneste 10
5 Customer Success 12
6 Pureservice Support 13
7 Databehandleravtale 14
1 Generelt
1.1 Definisjoner
«Pureservice» refererer til Pureservice AS, xxx.xx 929 782 216.
«Kunde eller kunden» refererer til organisasjonen som har signert avtalen.
«Kundesupport» refererer til teamet i Pureservice som jobber med å løse kundens problemer knyttet til tjenesten.
«Hendelse» betyr omstendigheter som resulterer i brudd på avtalt tjenestenivå.
«Tjeneste» refererer til Pureservice tjenesten og/eller programvaren i henhold til avtale.
«Tjenestenivå» beskriver standardene som Pureservice jobber for og som måler nivået på tjenesten som tilbys som beskrevet under.
«Kreditering» er for en prosentvis andel av månedlig avgift som betales for tjenesten for et tjenestenivå som ikke oppfyller kravene i denne avtalen.
«Abonnement» er en avtale mellom Kunde og Pureservice, hvor Kunde forplikter seg til å betale for Tjenesten i en definert tidsperiode.
1.2 Avtalens gyldighet
Avtalen omfatter bruk av Pureservice og tilhørende tjenester. Ved å ta i bruk tjenesten godkjenner kunden denne avtalen. Hvis kunden ikke godkjenner vilkårene kan tjenesten ikke tas i bruk.
Avtalen er gyldig så lenge kunden har et aktivt abonnement. Øvrige betingelser finnes i Pureservice Standardbetingelser.
1.3 Endring av avtalen
Denne avtale erstatter alle tidligere tjeneste- og lisensavtaler. Tillegg til eller avvik fra denne avtale er kun gyldig om skriftlig avtale med henvisning til denne avtale foreligger. Pureservice kan endre avtalevilkårene; dette vil bli varslet gjennom epost eller på andre egnede måter. Bruk av tjenesten etter datoen da endringer trer i kraft vil medføre at endringene til avtalen godkjennes av kunden.
Hvis kunden ikke godkjenner vilkårene, så kan tjenesten ikke lenger brukes.
1.4 Betalingsbetingelser
Som del av avtalen godtar Kunde å betale godtgjørelse for tjenesten i henhold til gjeldende priser og Pureservice Standardbetingelser. Pureservice kan begrense tilgang til eller avslutte tjenesten hvis betaling uteblir.
1.5 Uthenting av data fra tjenesten
Kunden kan i løpet av avtaleperioden hente ut egne data fra systemet. Med egne data menes data som er kundens eiendom. Dersom Pureservice skal bistå med å hente ut data vil kostnaden belastes kunden etter gjeldende priser. Etter avtalens utløp vil Pureservice deaktivere tilgang og slette kundens data. Data som er slettet vil kunne være umulig å hente tilbake.
1.6 Mislighold og sanksjoner
Dersom kunden vesentlig misligholder hele eller deler av forpliktelser overfor Pureservice, kan Pureservice ta nødvendige skritt ved å påpeke mangler, fjerne innhold i tjenesten eller stenge
tilgang til tjenesten med umiddelbar virkning. Som vesentlig mislighold regnes blant annet ethvert brudd på begrensningene i kundens bruksrett til tjenesten. Ved heving eller annet opphør av avtalen kan Pureservice kreve at kunden returnerer alt mottatt materiell (eksempelvis programvare og brukerdokumentasjon) til Pureservice, samt at alle programvareeksemplarer slettes og avinstalleres.
Pureservice forbeholder seg retten til å forfølge ethvert mislighold gjennom sivilrettslige og/eller strafferettslige reaksjoner.
1.7 Register for varsling
Pureservice fører register over kontaktpersoner hos kunden. Kontaktpersoner i registeret varsles per epost eller på andre egnede måter om endring av avtalevilkår, varsel om mislighold av avtale og andre relevante meldinger. Standard oppføring i registeret er kontaktperson hos kunden som har signert på avtaledokumentene med Pureservice. Kunden er ansvarlig for å melde fra til Pureservice Support dersom kontaktpersoner eller kontaktinformasjon i registeret skal endres eller legges til. Pureservice er ikke ansvarlig for at varsler og meldinger ikke kommer kunden i hende dersom kunden ikke har meldt fra.
1.8 Lovvalg
Denne Avtalen og tvister som er oppstått som følge av denne, skal reguleres og fortolkes i overensstemmelse med norsk rett.
1.9 Konflikter
Uenighet om virkning, innhold eller gjennomføring av Avtalen skal forsøkes løst ved forhandlinger. Fører ikke forhandlingene frem, kan hver av partene kreve saken avgjort ved de alminnelige domstoler. Dersom partene avtaler det, skal saken avgjøres ved voldgift etter Lov av 14.05.2004 nr. 25: Lov om voldgift. Dersom partene ønsker konfidensiell behandling av voldgiftssaken, herunder voldgiftsrettens avgjørelse med motiver, skal dette avtales skriftlig mellom partene samtidig som voldgift avtales. Saken skal føres der hvor Leverandøren har sin forretningsadresse når saken påbegynnes for domstolen eller voldgiftsretten.
2 Bruk av tjenesten
2.1 Bruksrett
Kunden har en ikke-eksklusiv og begrenset bruksrett til tjenesten.
Bruksretten gir Kunde tilgang til – og rett til å bruke – de brukerlisenser, moduler, applikasjoner, integrasjoner, API og eventelle andre tillegg som Kunde abonnerer på.
Brukerlisenser gjelder for samtidig bruk hvor samtidig bruk defineres som aktivitet i løsningen i løpet av én klokketime. I de tilfeller hvor kunden har flere instanser av Pureservice beregnes samtidig bruk pr. instans isolert, som så legges sammen til et totalbehov. Pureservice forbeholder seg retten til å informere ved underlisensiering.
Å aktivt benytte én lisens på to eller flere sesjoner anses som brudd på lisensavtalen.
Kunden har ikke rett til å overdra, leie ut, lease, låne ut eller på annen måte tilby andre rett til på noen måte å disponere over tjenesten, lisenskoder og/eller tilhørende dokumentasjon, uten skriftlig og uttrykkelig forhåndssamtykke fra Pureservice.
Bruksretten opphører fra den dag Kunde ikke lenger har et aktivt abonnement.
2.2 Installasjon, eksemplarfremstilling, dekompilering mv.
Dersom tjenesten installeres lokalt (hos kunde eller kundens driftsleverandør) gir lisensen en rett til å installere og bruke tjenesten på én enkelt server (fysisk eller virtuell). Nødvendige tilleggs- komponenter (integrasjon mot email, Active Directory, datalyttere, serviceportal, o.l.) installeres etter behov. Ut over det som er nødvendig for lovlig bruk av tjenesten med tilhørende dokumentasjon, har kunden ikke rett til å fremstille eksemplarer av verken programvare, brukerdokumentasjon eller annet materiell som følger denne, uansett om det er elektronisk eller papirbasert. Kunden har rett til å fremstille sikkerhetseksemplarer av programvare i den utstrekning det er nødvendig for utnyttelsen, og i samsvar med ufravikelig lov. Kunden har ikke rett til å dekompilere (ta fra hverandre) programkoden i den hensikt å tilegne seg de teknikker som er benyttet av Pureservice. Kunden har ikke rett til å endre, redigere og/eller lage avledede arbeider av programvare (for eksempel fjerne faste designmaler som Pureservice eller Pureservice logo).
2.3 Endringer i tjenesten
Kunden har ikke anledning eller rett til å gjøre endringer i tjenesten med mindre dette er skriftlig avtalt mellom Pureservice og kunden. Dette inkluderer innhold i skreddersydd arbeidsflyt.
2.4 3. parts programvare
Kunden må selv bekoste eventuelle øvrige programvarelisenser som f.eks. server operativsystem, databaser, etc.
2.5 Innhold
Innhold omfatter alt som lastes opp eller lagres i forbindelse med bruk av tjenesten. I de følgende avsnitt vil innhold også kunne omtales som data. Innhold forblir kundens eiendel og kundens ansvar. Kunde har full kontroll med hvem som har tilgang til sine data. Pureservice kan trekke ut statistikker og bruksmønstre av anonymiserte data. Ingen personopplysninger overføres. Data som er lagret i tjenesten vil bli behandlet i form av lagring, flytting, sikkerhetskopiering og analyse for på beste mulige måte å kunne beskytte kundens data og for å kunne forbedre tjenesten.
Pureservice vil i alt arbeide med å håndtere kundens data ta nødvendige skritt for å sikre konsistens, integritet og tilgjengelighet. Med mindre det foreligger misligholdelse av denne avtalen, vil ikke data kunne fjernes fra tjenesten uten skriftlig samtykke fra kunden.
2.6 Personvern
Kunden godtar som del av denne avtalen at Pureservice kan få tilgang til, frembringe og lagre informasjon knyttet til bruk av tjenesten, inkludert informasjon og innhold som Pureservice samler rundt bruken av tjenesten når dette anses nødvendig for å operere i samsvar med til enhver tid gjeldende lover og regler. Pureservice kan trekke ut statistikker og bruksmønstre av anonymiserte data.
Slik statistikk og bruksmønstre kan lagres enten på Pureservices servere, servere som Pureservice disponerer i en skytjeneste eller i relevante nettjenester. Det er Pureservices ansvar å sørge for tilfredsstillende sikkerhet rundt disse dataene.
Som med alle tilbydere av skytjenester, vil Pureservice måtte følge pålegg fra rettslige instanser for lagring av innhold i datasentre. Pureservice vil være forpliktet til å følge pålegg for tilgjengelig- gjøring av informasjon eller innhold knyttet til formelle undersøkelser eller søksmål.
For Pureservice skytjeneste se kapittel 6: ”Databehandleravtale” med Pureservice.
For Pureservice personvernserklæring se: xxxxx://xxx.xxxxxxxxxxx.xxx/xx/xxxxxxxx/xxxxxxxxxxxxxxxxxxxx/
2.7 Ansvarsbegrensninger
Den totale erstatning Kunden kan kreve under hele avtaleperioden er begrenset til et beløp som tilsvarer det vederlaget Kunden har betalt de siste 12 månedene før den skadevoldende handling/misligholdet oppsto.
Kunden kan ikke kreve erstatning for indirekte tap. Indirekte tap omfatter, men er ikke begrenset til, tapt fortjeneste av enhver art, tapte besparelser eller krav fra tredjeparter, herunder krav fra tredjepartsleverandør som følge av Kundens brudd på tredjepartsvilkår, samt i tillegg annet som regnes som indirekte tap etter norsk rett.
Erstatningsbegrensningen gjelder imidlertid ikke dersom Pureservice eller noen denne svarer for, har utvist grov uaktsomhet eller forsett.
Andre sanksjoner skal komme til fradrag i eventuell erstatning for samme forhold.
2.8 Immaterielle rettigheter
Pureservice har fullstendig eiendoms-, opphavs- patent- og mønsterrett og alle øvrige eksisterende og fremtidige rettigheter tilknyttet alle former for dataprogrammer, integrasjoner, applikasjoner, databaser, dokumentasjon og liknende. Pureservice har eiendoms- og alle immaterielle rettigheter til eventuelle forslag fra kunden til endring av eksisterende Pureservice produkter og tjenester og/eller forslag til nye produkter eller tjenester, uansett forslagets form og/eller innhold. Slike rettigheter tilfaller Pureservice vederlagsfritt, med mindre annet skriftlig og uttrykkelig avtales i det enkelte tilfelle.
2.9 Overdragelse
Pureservice har rett til å overdra eller på annen måte overføre sine rettigheter og/eller plikter under denne avtale til tredjepart.
Behandlingsansvarlig skal varsles senest 90 dager før overdragelse slik at avtalen kan sies opp iht. gjeldende vilkår.
3 Tjenestebeskrivelse
3.1 Introduksjon
Pureservice tilbyr Service Management løsningen Pureservice. Pureservice gjøres tilgjengelig for brukerne gjennom nettleser eller en mobil app. Pureservice følger etablerte beste praksis for prosesstøtte, forretningsfunksjonalitet, sikkerhet og kvalitet i leveransen.
3.2 Service design
Pureservice leveres på to måter;
– som en skytjeneste (SaaS – Software-as-a-Service). Skytjenesten leveres gjennom datasentere i Norge og EU/EØS. Løsningen leveres på dedikerte servere eller på en felles plattform med full dataisolasjon
– installert på kundens egne servere
Pureservice leveres med mulighet for autentisering mot kundens katalogtjeneste (Active Directory, CRM-system eller tilsvarende) for å forenkle tilgangen til løsningen og administrasjon av sluttbrukere/kunder.
Pureservice bruker en underleverandør som vert for å tilby tjenesten som en skytjeneste. Pureservice er ansvarlig for tjenesten levert av underleverandør på samme måte som om Pureservice selv sto for leveransen. Tjenesteleveransen leveres i henhold til inngått SLA-avtale som sikrer optimal ytelse og tilgjengelighet for kunden.
3.3 Oppdateringer
Pureservice vil automatisk verifisere kundens versjon av tjenesten, samt vedlikeholde og oppdatere systemet. For større oppdateringer vil Pureservice varsle kunden i rimelig tid før oppdatering gjøres. Mindre oppdateringer kan gjøres uten nærmere varsel. Pureservice kan ikke garantere at oppdateringer i tjenesten støtter de til enhver tid gjeldende systemene som løsningen opprinnelig ble implementert på og integrert med.
3.4 Pureservice Continuous Delivery
Pureservice Continuous Delivery sørger for at Pureservice alltid kjører på siste versjon. URL mot https://*.xxxxxxxxxxx.xxx må være tilgjengelig fra applikasjonsserver.
3.5 Pureservice OnPremise infrastruktur
Når Pureservice installeres på kundens egne servere består infrastrukturen av følgende hovedkomponenter;
– Applikasjonsserver - som tilbyr Pureservice som en tjeneste
– Databaseserver - for lagring av alle data og konfigurasjoner i tjenesten
– Emailserver - som muliggjør mottak og utsendelse av email knyttet til registrering og oppfølging av saker
3.6 Installasjon driftet av 3. part
Dedikerte instanser av applikasjonsserver og databaseserver kan implementeres i driftssenter hos
3. part og driftes og vedlikeholdes i henhold til inngåtte avtaler mellom kunden og 3. part.
Kostnaden for driftstjenester fra 3. part bæres fullt ut av kunden. Eventuelle tilleggskostnader i forbindelse med oppsett, konfigurering, forvaltning og lignende bæres også av kunden.
3.7 Kundens ansvar for Pureservice skytjeneste
– Administrere konfigurerbare data i tjenesten (brukere, brukergrupper, rettigheter, kategoriseringer, arbeidsflyt, soner, osv.)
– Sikre at brukere har nødvendige nettverkstilganger og tilgang til tjenesten på internett
– Sikre at nødvendige lokale tjenester (Active Directory sync, emailtjeneste, etc.) kjører og er tilgjengelig for tjenesten
– Installere og vedlikeholde støttet klientprogramvare for tilgang til tjenesten
3.8 Kundens ansvar for Pureservice lokalt installert
– Administrere konfigurerbare data i tjenesten (brukere, brukergrupper, rettigheter, kategoriseringer, arbeidsflyt, soner, osv.)
– Sikre at nødvendige lokale tjenester (Active Directory sync, emailtjeneste, etc.) kjører og er tilgjengelig for tjenesten
– Tilgjengeliggjøring av relevante Pureservice tjenester på internett (gjennom DMZ e.l) dersom brukere skal ha tilgang til selvbetjeningsportal og/eller via mobil app
– Installere og vedlikeholde støttet klientprogramvare for tilgang til tjenesten
– Installere oppgraderinger når disse gjøres tilgjengelig fra Pureservice
– Sikkerhetskopiere data
3.9 Pureservice ansvarsområder Pureservice skytjeneste
– Sikkerhetskopiere data
– Oppgradere til nye versjoner
3.10 Sikkerhet
Pureservice utvikler, tester og verifiserer Pureservice basert på retningslinjene i OWASP top 10. Pureservice SaaS kjører i Microsoft Azure som er SOC 2 Type 2 Compliant og ISO 27001:2013 sertifisert ihht ISO 27002 best practices. Se Microsoft Trust Center for ytterligere informasjon.
3.11 Xxxxxxxxx brukerdata
Pureservice SaaS benytter seg av kryptering for å sikre brukerdata. Dette gjelder også for brukerhemmeligheter som en administrator i løsningen vil benytte for å koble opp mot aktuell
e-posttjener. Brukerhemmeligheten benyttes kun i sin dekrypterte tilstand for å opprette kobling mot e-posttjeneren.
3.12 Selvbetjent administrasjon og konfigurasjon
Pureservice gir mulighet for kunden selv å administrere og konfigurere en rekke nøkkelaspekter ved tjenesten. Selvbetjening gjøres gjennom standard web-grensesnitt.
3.13 Tilgang for brukere og applikasjoner
Pureservice kan aksesseres gjennom standard nettleser, Pureservice mobilapp eller programmatisk gjennom våre APIer for tilpasninger og integrasjoner. Hvilke nettlesere som til enhver tid er støttet finnes på xxx.xxxxxxxxxxx.xxx. Pureservice anbefaler at siste støttede versjon av de ulike nettlesere benyttes for å få fullt utbytte av tjenesten.
3.14 Katastrofeberedskap Pureservice skytjeneste
Pureservice kjøres i datasentre som er bygget for å tilby høy tilgjengelighet og driftes ut fra prinsipper som skal minimere nedetid i tjenesten knyttet til drift og vedlikehold.
Omstendigheter knyttet til hardware og software-feil, katastrofer og menneskelige feil kan påvirke tjenestens tilgjengelighet. Vi har derfor implementert rutiner for katastrofeberedskap som skal håndtere risiko for å sikre tjenestens tilgjengelighet.
3.15 Flytte fra Pureservice skytjeneste til egne servere, og vice versa
Pureservice åpner for å endre bruken av Pureservice som en skytjeneste til installasjon på egne servere, og vice versa. Det vil være en servicekost forbundet med en slik flytting, for detaljer vennligst kontakt Pureservice.
4 Tjenestenivå (SLA) Pureservice skytjeneste
4.1 Akseptabel bruk
Kunden må overholde krav til konfigurasjon, bruke støttet plattform og følge betingelsene beskrevet i tjenestebeskrivelsen for at denne avtale om tjenestenivå (SLA) skal gjelde.
4.2 SLA ekskluderinger
Denne SLA gjelder ikke for ytelse eller tilgjengelighet;
– Pureservice installert på Kundens egne servere eller hos 3. part
– Grunnet faktorer utenfor Pureservice sin kontroll
– Som følge av hendelser eller mangel på hendelse fra kunden eller 3. part
– Forårsaket av bruk av tjenesten uten å ta hensyn til råd fra Pureservice om endret konfigurasjon eller bruk av tjenesten
– I forbindelse med planlagt vedlikehold
– I forbindelse med beta-testing eller prøvetid
– For Pureservice testinstans
4.3 Kreditering av tjenesteavgift
– Måten og metoden for beregning av krediteringsbeløp er beskrevet nedenfor
– Kreditering av tjenesteavgift er eneste finansielle erstatning ved overtredelse av SLA
– Tjenesteavgift kreditert i en kalendermåned skal ikke under noen omstendigheter overstige kundens månedlige tjenesteavgift
– Kreditering gjelder ikke for engangsavgifter knyttet til leveranse av tjenesten
– Kreditering forutsetter at kunden melder fra til Pureservice Support når nedetid inntreffer
– Retten til kreditering bortfaller dersom kunden ikke påberoper dette skriftlig innen 4 uker etter nedetid
4.4 Oppetidsmåling pr måned
”Nedetid” defineres som tiden når ingen av kundens brukere kan logge inn og benytte tjenesten i henhold til tjenestebeskrivelsen. Nedetid omfatter ikke tidsperioder når tjenesten ikke er tilgjengelig som resultat av planlagt nedetid knyttet til vedlikehold eller oppgradering av tjenesten, eller endringer avtalt med kunden.
”Planlagt nedetid” defineres som nedetid innenfor forhåndsavtalte tidsvinduer eller nedetid i forbindelse med større systemoppgraderinger. Planlagt nedetid anses ikke som nedetid.
”Total tid” er total tid tilgjengelig i en kalendermåned. ”Månedlig oppetid-%” reflekteres i formelen;
𝑀å𝑛𝑒𝑑𝑙𝑖𝑔 𝑜𝑝𝑝𝑒𝑡𝑖𝑑% = 𝑇𝑜𝑡𝑎𝑙 𝑡𝑖𝑑 − 𝑁𝑒𝑑𝑒𝑡𝑖𝑑
𝑇𝑜𝑡𝑎𝑙 𝑡𝑖𝑑
4.5 Garantert oppetid
Månedlig oppetid-% Kreditering av tjeneste
< 99.5% 25%
< 99% 50%
< 95% 100%
5 Customer Success
Avtalen inkluderer støtte til etablering og onboarding, samt løpende oppfølging når tjenesten er i drift/produksjon.
5.1 Støtte til etablering og onboarding
Etablering og onboarding har et todelt formål; gjøre Tjenesten klar til bruk, og hjelpe og forberede Kunde til å ta i bruk tjenesten.
Under listes typiske aktiviteter. Kunde og Pureservice vil samarbeide om – og delta i – disse aktivitetene. Pureservice vil informere Kunde om fordeling av ansvar og deltakelse ved oppstart av etablering og onboarding.
– Forberedelse
– Teknisk etablering
– Opplæring
– Kick-off
– Konfigurering
– Helsesjekk
– Go-live
– Evaluering
5.2 Løpende oppfølging
Når tjenesten er i drift / produksjon tilbyr Customer Success rådgivning til Kunde. Denne rådgivningen inkluderer;
– Navngitt Customer Success Manager (CSM)*
– Oppfølgingsplan som avtales med kunde*
– Adgang til å booke tid i CSM sin kalender*
– Diskusjon, anbefalinger og tips om bruk av tjenesten, relevante bruksscenario, beste praksis og erfaringer fra bruk hos andre kunder
– Artikler og beskrivelser relatert til tjenesten
*) Forutsetter minimum 5 lisenser.
Følgende er ikke inkludert;
– Bistand til å gjøre konfigurasjonsendringer, tilpasninger eller utarbeidelse av arbeidsflyt
– Kundetilpassede integrasjoner
6 Pureservice Support
Avtalen gir mulighet for å ta kontakt med Pureservice Support ved spørsmål eller feilsituasjoner.
Avtalen gjelder henvendelser relatert til løsningen som er implementert. Herunder ligger kombinasjonene mellom produkt, database, infrastruktur og eventuelle integrasjoner.
Support gis på gjeldende og forrige delversjon av Pureservice.
Feilretting grunnet Kundes forhold dekkes ikke av Pureservice Support og kan bli belastet Kunde etter gjeldende timesatser.
Pureservice Support er betjent via telefon, web-portalen og e-post i normal kontortid, 0800-1600. Unntaket er helger, helligdager og offentlige høytidsdager.
Pureservice Support Tlf 00 00 00 00
xxxxxxx@xxxxxxxxxxx.xxx xxxxx://xxxxxxx.xxxxxxxxxxx.xxx/
Inkludert i Pureservice Support
Telefon - og mailsupport på produktspørsmål ◼
Websupport – melde saker og se status via xxxxxxxxxxx.xxxxxxxxxxx.xxx ◼
Support på norsk ◼
Responstid, tid fra saken er meldt til saken er påbegynt 4 timer Antall personer som kan henvende seg til Pureservice Support 3
Kontaktpersoner skal ha deltatt på gratis brukeropplæring, i regi av Pureservice: ◼
xxxxx://xxx.xxxxxxxxxxx.xxx/xxxx/
7 Databehandleravtale
Databehandleravtale i henhold til personvernforordningen 2016/679 mellom Kunde (Behandlingsansvarlig) og Pureservice (Databehandler).
7.1 Avtalens hensikt
Denne databehandleravtalen regulerer rettigheter og plikter mellom Behandlingsansvarlig og Databehandler (heretter omtalt som "partene") etter:
– Lov om behandling av personopplysninger av 15. juni 2018 nr. 38 (personopplysningsloven)
– EU forordning 2016/679/EC av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (General Data Protection Regulation) (heretter omtalt som "personvernforordningen").
– Enhver lov, forskrift eller annet regelverk som endrer eller erstatter disse.
7.2 Bakgrunn og formål
Behandlingen av personopplysninger som databehandleren gjør på vegne av den behandlingsansvarlige, består i å stille en dedikert instans av Pureservice til rådighet, samt å utføre nødvendig vedlikehold av systemet. Systemet skal brukes til oppbevaring av den behandlingsansvarliges opplysninger knyttet til registrering og oppfølging av saker knyttet til egne ansatte, kunder og deres ansatte/kontaktpersoner samt andre relevante kontakter.
Kategorier av personopplysninger som lagres er navn, e-postadresse og telefonnummer.
Formålet med denne avtalen er å regulere forholdet mellom databehandler og behandlingsansvarlig;
– Behandlingsansvarlig skal benytte databehandlers programvare for digital registrering, lagring og oppfølging av henvendelser fra behandlingsansvarliges ansatte (”saker”)
– Henvendelsene kan omfatte personopplysninger. Behandlingsansvarlige skal sikre at det foreligger tilstrekkelig behandlingsgrunnlag for behandling av opplysningene, herunder innhenting av samtykke fra den registrerte i den grad det er påkrevd
– Databehandlers personell har ikke tilgang til kundedata under normal drift, og har heller ikke behov for det. Ved feilsøking på tjenesten eller i forbindelse med feilsøking for behandlingsansvarlig har dev-ops teamet tilgang til kundedata lagret i tjenesten. Alle medlemmer av dev-ops teamet har fått utvidet opplæring i sikkerhet og personvern.
– Databehandler kan ta ut statistikk og metadata om sakene, eksempelvis antall saker og aktiverte moduler. Slik statistikk skal være anonymisert i forkant av overføring til våre servere og skal ikke inneholde personopplysninger
– Databehandler kan benytte tjenestedata for å optimalisere løsningen for våre kunder og utvikle nye tjenester. Tjenestedata kan f.eks. være om en avgrenset funksjon i løsningen (Change og/eller SLA) er aktivert eller ikke og inkluderer ikke personopplysninger eller sensitiv informasjon
7.3 Databehandlers plikter
Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde.
Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, i den grad det er nødvendig for tjenesten, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift.
Behandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette.
Alle databehandlers ansatte har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen og forplikter seg til å behandle opplysningene konfidensielt. Denne bestemmelsen gjelder også etter avtalens opphør.
Databehandler har ikke rett til å utlevere personopplysninger som databehandler får tilgang til som ledd i oppfyllelse av sine kontraktsforpliktelser til andre parter.
Databehandler og evt. underleverandører skal kun behandle personopplysninger innen EU/EØS med mindre behandlingsansvarlig skriftlig bekrefter lagring andre steder eller det er pålagt utlevering til andre land etter gjeldende norsk rett.
Det er den behandlingsansvarlige sitt ansvar å besvare anmodninger fra den registrerte om oppfyllelse av den registrerte sine rettigheter. Dersom databehandler mottar slike henvendelser plikter databehandler å videresende henvendelsene til behandlingsansvarlige uten opphold.
Databehandler skal bistå behandlingsansvarlige med å overholde kravene til informasjonssikkerhet, meldeplikt til personvernmyndigheter og den registrerte ved sikkerhetsbrudd i henhold til artikkel 32-36 i GDPR.
7.4 Bruk av underleverandør
Databehandler skal kun benytte underleverandører for behandling av behandlingsansvarliges personopplysninger som på forhånd er godkjent av behandlingsansvarlige. Databehandler skal informere behandlingsansvarlig ved eventuelle endringer og behandlingsansvarlig har rett til å motsette seg dette.
Underleverandører er underlagt de samme forpliktelser som følger av databehandleravtalen. Liste over aktuelle underleverandører følger som vedlegg 1 til denne avtalen.
7.5 Sikkerhet og sikkerhetsbrudd
Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter artikkel 32 i EUs forordning 2016/679. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene.
Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel.
Avviksmelding ved sikkerhetsbrudd skal skje ved at databehandler melder avviket til behandlingsansvarlig uten ugrunnet opphold og så vidt mulig innen de frister som følger av gjeldende regelverk, herunder artikkel 33 i forordning 2016/679.
Dersom databehandler får kjennskap til ulovlig tilgang til behandlingsansvarliges data lagret hos databehandler eller databehandlers underleverandører, skal databehandler uten ugrunnet opphold
1) informere om typen databrudd og berørte registrerte, 2) undersøke sikkerhetsbruddet og gi behandlingsansvarlige detaljert informasjon om sikkerhetsbruddet, 3) iverksette og informere om ansvarlige og rimelige tiltak for å avhjelpe virkningen av sikkerhetsbruddet og begrense skadene.
Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet. Melding om mistenkte sikkerhetsbrudd sendes til: xxxxxxxxxx@xxxxxxxxxxx.xxx
7.6 Sikkerhetsrevisjoner
Databehandler gjennomfører jevnlig sikkerhetsrevisjoner for systemer og lignende som omfattes av denne avtalen. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak.
Behandlingsansvarlige kan kreve å få gjennomført en gjennomgang og revisjon av tjenesten, systemer og dokumentasjon for å sikre at den er lovmessig, og databehandler skal muliggjøre og bidra til slike revisjoner. Hver av partene dekker sine kostnader ved revisjoner. Bruker behandlingsansvarlig ekstern revisor, skal behandlingsansvarlig dekke kostnadene til denne.
7.7 Ansvar og ansvarsbegrensning
Krav fra en part som følge av den andre partens manglende oppfyllelse etter Databehandler- avtalen skal være omfattet av de samme ansvarsreguleringer og ansvarsbegrensninger som følger av Bruksrettavtalen (punkt 2.7).
7.8 Endringer og avtalens varighet
Denne avtalen kan endres ved behov og enighet mellom partene. Ved produktutvikling som medfører endringer i hvilke personopplysninger som behandles skal avtalen endres. Alle endringer skal være skriftlige tillegg til denne avtalen og må underskrives av begge parter.
Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig.
Ved brudd på denne avtale eller personvernforordningen kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.
7.9 Ved opphør
Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Slik tilbakelevering kan gjøres i form av utskrift og/eller kopi av alt innhold i databaser som er omfattet. Kostnader ved dette bæres av den behandlingsansvarlige.
Med mindre behandlingsansvarlig ønsker det vil databehandler slette alle data som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier.
Databehandler skal skriftlig dokumentere at sletting er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør.
Ovennevnte gjelder så fremt ikke annet følger av norsk rett, f.eks. plikt til lagring av data for bestemte formål.
7.10 Meddelelser
Meddelelser etter denne avtalen skal sendes skriftlig til: xxxxxxxxxx@xxxxxxxxxxx.xxx
7.11 Vedlegg 1 - underleverandører
Selskap Xxx.xx Leveranseområde Referanse til vilkår
Microsoft Azure (EU)
957 485 030 Vert for å tilby programvaren i nettskyen (ved Pureservice SaaS)
xxxxx://xxx.xxxxxxxxx.xxx/xx- us/trustcenter/
Mailgun Utenlandsk selskap med hovedkontor i USA
Mottak og leveranse av e- post. Kun for kunder som ikke har egen e- postserver.
Dato | Xxxxxxx | Xxxxxx / oppdatert / nytt | Gyldig fra |
21.2.2023 | 2.1 | Endret: 1.1 Lagt inn definisjon av «Abonnement» 1.2 Byttet ut «Tjenesten er gyldig ...» med «Avtalen er gyldig ...» | 22.2.2023 |
2.1 Skrevet om og presisert teksten som beskriver bruksrett 2.1/2.2 Endret fra ordet «disposisjon» til «bruk» | |||
5 Lagt inn tjenestebeskrivelse for Customer Success 5 Pureservice Support er nå kapittel 6 | |||
6 Oppdatert lenke til Pureservice kurs 6 Presisert tekst om feilretting og hva som dekkes av avtalen | |||
05.01.2023 | 2.0 | Endret: | 05.01.2023 |
1.1 Xxx.xx for virksomheten 3.2 Spesifisert lokasjon datasentre | |||
3.5 Oppdatert beskrivelse av Pureservice infrastruktur 3.13 Spesifisert at Pureservice kan aksesseres også gjennom mobilapp 4.2 SLA gjelder ikke Pureservice testinstans | |||
Mindre tekstlige endringer/presiseringer | |||
25.03.2022 | 1.9 | Nytt: Lagt til kapittel 5 med Pureservice Support | 25.03.2022 |
22.03.2022 | 1.8 | Xxxxxx: 5.11 Fjernet underleverandører Totango, Hubspot CRM, Typeform, Tripletex, | 22.03.2022 |
Calendly, Userpilot | |||
04.06.2021 | 1.7 | Endret: 2.7 Omformulert og tydeliggjort ansvarsbegrensninger. | 04.06.2021 |
5.2 Oppdatert tilgangsbeskrivelse ved feilsøking. 5.6 Omformulert og tydeliggjort sikkerhetsrevisjoner. | |||
5.11 SSentry er tatt ut av løsningen og fjernet som underleverandør. Lagt til: 3.9.1 Xxxxxxxxx brukerdata | |||
5.11 Tabell med underleverandører 5.11 Oppdatert med Calendly og UserPilot | |||
21.01.2021 | 1.6 | Endret: 5.2 Rettet skrivefeil og presisering av anonymisering 5.3 Presisering av taushetsplikt | 21.01.2021 |
5.4 Presisering av mulighet for motsettelse og forpliktelser av underleverandører | |||
11.01.2021 | 1.5 | Endret epost i kapittel 5.5 & 5.10 La til Hubspot, Tripletex og Typeform i vedlegg 1 | 11.01.2021 |