Avtal om Robust & Säker IoT Bilaga 2
Avtal om Xxxxxx & Säker IoT Bilaga 2
Allmänna villkor
Innehåll
3
3
1
3.3 Fackmannamässig installation 1
3.6 Leverans och klarrapport 2
3
4.3.3 Analys och visualisering 4
4.4 Personuppgiftsbehandling 4
4.7 Utveckling och ändring av tjänsten 5
4.8 Åtgärder vid tjänstens upphörande 5
Dessa allmänna villkor är en del av Avtalet om Xxxxxx och Säker IoT och reglerar vad som generellt gäller för avtalade IoT tjänster och kompletteras med tjänstespecifika villkor, vilka anges i bilaga 5 Avtalade tjänster och priser.
Definitionerna nedan används i dessa allmänna villkor och övriga dokument inom Avtalspaketet. Definitioner som hör till en viss Tjänstespecifikation finns i det aktuella dokumentet.
Acceptansperiod: Med Acceptansperiod avses en tid från den tidpunkt en Tjänst har kopplats in och klarrapporterats till Köparen
Arbetsdag: Xxxxxxx vardag (måndag – fredag)
Avtalet: Avser Avtal om Robust & Säker IoT med dess bilagor.
Avtalad Leveransdag: Den dag då Tjänsten ska uppfylla Tjänstespecifikationen och vara klar att tas i drift av Köparen.
Beställning: Avser Köpares beställning av Tjänst.
Beställningsbekräftelse: Avser bekräftelse från Säljare av en Beställning.
Engångsavgift: Samlingsbegrepp för alla avgifter som inte är periodiska utan faktureras vid ett tillfälle i samband med leveransen av Tjänsten.
Faktisk Leveransdag: är den dag då Tjänsten uppfyller Tjänstespecifikationen. Denna dag kan dock inträffa tidigast på Avtalad leveransdag, om inte annan särskild överenskommelse skett mellan Parterna.
Fel: Med Fel menas att Tjänsten inte uppfyller Tjänstespecifikationen och att Tjänsten därför inte kan använda på avsett sätt.
Felavhjälpning: Med Felavhjälpning menas arbete som innefattar felsökning och Felavhjälpning i syfte att åtgärda Fel.
Koncernföretag: Med Koncernföretag avses moderbolag och- eller dotterföretag enligt 1 kap 11 § aktiebolagslagen (2005:551) samt systerbolag (d.v.s. dotterföretag som har samma moderbolag i koncernen).
Kontaktlista: Förteckning över olika typer av kontaktpersoner hos respektive Part.
Korttidshyra: En hyresperiod understigande 12 månader.
Kundplacerad utrustning: Utrustning som ägs och tillhandahålls av Säljare och placeras hos Köparen (i Köparens lokaler eller lokaler som Köparen förfogar över) för användande av Tjänsten.
Leveransförsening: Leveransförsening föreligger när Faktisk Leveransdag inträffar efter Avtalad Leveransdag.
Leveransprocess: Beskrivning av stegen från den första tekniska kontakten mellan Parterna till och med att Tjänsten tas i drift av Köparen.
Servicefönster: Veckodagar och tid mellan vilka klockslag planerat underhåll får genomföras.
Servicenivå: Valbara servicenivåer specificeras i bilaga 4 Servicenivåer & felhantering.
För varje servicenivå specificeras tider och villkor för felanmälan, felavhjälpning och planerat underhåll. I dokumentet finns också värden för tillgänglighet och regler för påföljder vid överskridna tider eller bristande tillgänglighet.
Servicetid: Tidsperiod inom vilken Säljaren förbinder sig att utföra Felavhjälpning för Tjänst och Tillgänglighet för Tjänst beräknas enligt vald Servicenivå.
Tillgänglighet: Med Tillgänglighet menas all tid där Tjänst är tillgänglig för Köparen i enlighet med Tjänstespecifikationen. Hur Tillgängligheten beräknas framgår av dokument som beskriver Servicenivåer.
Tjänst: Avtalad IoT-tjänst enligt bilaga 5 Avtalade tjänster och priser.
Tjänstespecifikation: Dokument som beskriver bl a de tekniska villkoren Tjänsten.
Säljaren eller av denne anlitad entreprenör har genom avtalet erforderligt tillträde till fastigheter, byggnader och dess utrymmen samt i förekommande fall även till andra platser, exempelvis mast, för att möjliggöra installation, drift, underhåll, felsökning och reparation för leverans av avtalad tjänst. Säljaren och av denna anlitade entreprenör ska vid arbetet följa de föreskrifter som Köparen meddelar.
Om inte annat avtalats utför Säljaren installationen av Tjänst under helgfria vardagar 08.00 - 17.00. På Köparens begäran kan Säljaren åta sig att utföra installationen på annan tid mot debitering enligt särskild överenskommelse.
Om tillstånd behövs av fastighetsägare, myndighet eller annan utomstående för att genomföra installation och leveransen, ska Parterna vid behov och möjlighet hjälpa varandra att skaffa sådant tillstånd. Det är dock Säljarens ansvar att skaffa och upprätthålla de tillstånd och medgivanden som krävs under avtalstiden.
3.3 Fackmannamässig installation
Installation ska utföras på ett fackmannamässigt sätt och i enlighet med vedertagen branschstandard samt utföras så att skador inte uppstår på Köparens, fastighetsägarens eller annan tredje parts nät, fastighet eller utrustning
Parterna får inte utan den andra Partens medgivande ändra eller göra ingrepp i den andra Partens nät, lokaler eller utrustning.
Utrustning som Köparen själv använder för nyttjande av XxX-tjänsterna ska uppfylla gällande bestämmelser enligt tillämplig lagstiftning och gällande standarder. Säljaren har inte något ansvar för Köparens utrustning eller eventuella fel, avbrott eller driftstörningar som den kan orsaka, om inte annat avtalats.
Installerad utrustning som är Säljarens egendom utgör varken fastighets- eller byggnadstillbehör, om inte annat särskilt har överenskommits. Köparen förbinder sig i förekommande fall att utan kostnad ombesörja strömförsörjning av installerad utrustning samt att väl vårda och att inte utan Säljarens medgivande göra ingrepp, ändringar eller tillägg i den installerade utrustningen eller dess konfiguration. Köparen får inte försvåra identifieringen av utrustningen genom att exempelvis ta bort märkning. Om Säljarens utrustning som är installerad i Köparens lokaler förloras eller skadas under avtalstiden ska Köparen ersätta Säljarens kostnader för motsvarande ersättningsutrustning inklusive nedmontering och installation.
I de fall IoT-tjänsten är beroende på överföring via Köparens infrastruktur, exempelvis ett fastighetsnät, så ansvarar Köparen att infrastrukturen uppfyller vid var tid gällande krav för tjänsten enligt specifikation bilaga 3.
Leverans av Tjänst ska ske på Avtalad Leveransdag i enlighet med fastställd Leveransprocess. Som en del av leveransen ska Säljaren till Köparen överlämna dokumentation avseende Tjänsten, i enlighet med Tjänstespecifikationen. Säljaren ska skriftligen klarrapportera Tjänsten när den är klar för avlämning. Uppgift om plats för fysisk avlämning och märkning av utrustning ska då också lämnas till Köparen.
En Acceptansperiod om tio (10) arbetsdagar gäller från Avtalad leveransdag då Tjänsten har klarrapporterats till Köparen. Uppkommer under Acceptansperioden störningar eller Fel i Tjänsten ska Köparen skriftligen eller via e-post genast anmäla detta till i Kontaktlistan angiven funktion hos Säljaren. Fel vid leverans ska utan dröjsmål åtgärdas av Xxxxxxxx och ny klarrapport ska lämnas. Har anmälan om störning eller Fel inte inkommit till Säljaren under Acceptansperioden ska Tjänsten anses godkänd av Köparen.
Säljaren har rätt att ändra Xxxxxxx Leveransdag om ändringen är föranledd av myndighetsbeslut eller att parter överenskommit annat. Säljaren ska snarast lämna information om ändrad Avtalad Leveransdag till Köparen.
Finner Part att Leveransförsening kommer att inträffa eller framstår som sannolik, ska detta så snart som möjligt skriftligen meddelas den andra Parten. Orsaken till förseningen ska då anges samt om möjligt den tidpunkt då leverans beräknas ske.
Om Leveransförsening beror på Säljaren har Köparen, för den tid som förseningen pågår, rätt till vite. Om inget annat anges i Avtalet utgår vite med 5 % av årsavgift Tjänst för varje påbörjad förseningsvecka, dock maximalt 20 % av årshyran för Tjänsten.
Säljaren har rätt att reglera vite genom kreditering av faktura. Utöver vite har Köparen inte rätt till skadestånd eller annan ersättning på grund av Leveransförsening. Säljaren har rätt att erbjuda Köparen en alternativ och temporär lösning som uppfyller Tjänstespecifikationen för att undvika Leveransförsening, förutsatt att detta inte medför ökade kostnader för Köparen. Om Köparen accepterar ett sådant erbjudande har Köparen inte rätt till vite.
Om en försening inte beror på Säljaren eller något förhållande som Säljaren råder över och rimligen inte kunnat förutses av Säljaren, har Säljaren rätt att flytta fram Avtalad Leveransdag till en med hänsyn till omständigheterna lämplig tidpunkt.
I annat fall när Leveransförsening som orsakats av Säljaren överstiger tjugo (20) arbetsdagar efter Avtalad Leveransdag får Beställningen sägas upp av Köparen med omedelbar verkan och utan kostnad för Köparen. Vilket även gäller när Säljaren i förväg upptäcker att sådan Leveransförsening kommer att ske. Leveransförseningen ska då snarast meddelas Köparen skriftligen.
Om en försening beror på Köparen eller något förhållande Köparen råder över ska Köparen ersätta Säljaren med de avtalade avgifterna från ursprunglig Avtalad Leveransdag och för de direkta merkostnader som förorsakas Säljaren på grund av förseningen, dock maximalt 20 % av årsavgift för Tjänsten.
Säljaren tillhandahåller avtalad IoT-tjänst senast på Avtalad Leveransdag och upplåter därigenom en nyttjanderätt för den avtalade IoT-tjänsten åt Köparen under avtalstiden.
Om inte parterna överenskommit om annat så inleds tillhandahållandet av IoT-tjänsten av en s.k acceptansperiod enligt 3.7 där Köparen förutom att säkerställa leveranskvalitén också kan testa utformningen av själva IoT-tjänsten. Vid Köparens önskemål om ändringar i IoT tjänsten inom acceptansperioden har Säljaren rätt till ersättning för överenskomna ändringar i IoT-tjänsten.
Köparen är medveten om att det är Säljaren eller tredjepartsleverantör som äger rättigheterna till Tjänsten och dess tillhörande programvara. Genom avtalet erhåller Köparen en icke exklusiv och en icke överförbar rätt att använda Tjänsten och dess tillhörande programvara. Köparen har inte rätt att kopiera, ändra, licensiera, sälja, hyra ur eller i någon annan form använda Tjänsterna för något ändamål än vad som Avtalats.
Säljaren är inte i något avseende ansvarig för indirekta skador eller förluster som uppkommer för den andre Parten, såsom produktionsbortfall utebliven vinst, förvanskning eller förlust av data, hinder att uppfylla förpliktelser mot tredje man, utebliven nytta av avtal eller annan ekonomisk följdförlust.
Grundläggande i säkerhetsarbetet är att Säljaren förbinder sig att levererade Tjänster ska uppfylla vid var tid gällande myndighetsföreskrifter om driftsäkerhet samt integritetsskydd. Det är också grundläggande att det åligger Köparen att klassificera den data som registreras och behandlas i IoT-tjänsten och meddela Säljaren huruvida den är att anses som känslig alternativt extra skyddsvärd. Utifrån den grundläggande informationen ska Säljaren i samråd med Köparen kontinuerligt genomföra erforderlig säkerhetsanalys och vidta nödvändiga säkerhetsåtgärder.
Säljaren har rätt till utökad ersättning till följd av tillkommande säkerhetsåtgärder under avtalstiden.
Säkerhetsanalysen ligger till grund för säkerhetsarbetet avseende driftsäkerhet, IT-säkerhet, informationssäkerhet och säkerhetsskydd, regleras i bilaga 3.2 Säkerhet.
En schematisk ansvarsfördelningen framgår av Purdue-modellen i bilaga 3.2.3 Arkitektur vid byggande av OT/IoT-system. Det åligger därigenom Säljaren att inom sitt område tillgodose erforderlig säkerhet genom att följa vedertagna standarder för IoT och kritisk IoT (grön säkerhetszon). Köparen å sin sida ansvarar för att tillgodose erforderlig säkerhet genom att följa vedertagna standarder för exempelvis IT administration inom sitt verksamhetsområde (blå säkerhetszon). Vidare åligger det båda parter att säkerställa hanteringen av informationsflödet genom att i säkerhetsarbetet dokumentera regler avseende gränssnitt/DMZ (gula områden).
Parternas ansvarsfördelning utöver Säkerhetsarbetet i 4.2 sker i tillämpliga delar beroende på avtalad IoT tjänst i bilaga 5, vilka anges nedan i 4.3.1 – 4.3.5 om inte annat skriftligen överenskommits.
Köparen ansvarar över tid för att erforderliga tillstånd finns som möjliggör installation, implementering och drift av IoT infrastruktur samt tillhörande tjänster. Mot den bakgrunden åligger det Köparen att omgående meddela eventuella begränsningar till Säljaren som kan antas påverka IoT infrastrukturens tjänstedrift.
Det åligger Köparen att meddela och kravställa om den data som överförs kräver särskild kryptering eller särskild skyddad förbindelse, utöver angiven tjänstespecifikation.
4.3.3 Analys och visualisering
Om den avtalade IoT-tjänsten innefattar analys och/eller visualisering ger Köparen igenom beställningen Säljaren rätt att använda och bearbeta insamlad data för att möjliggöra det avtalade ändamålet. Vid visualisering som sker genom API är det Säljaren som ansvarar för drift och behörighetsåtkomsten till visualiserade data. I de fall visualisering sker via URL ska Köparen tillse att endast behörig personal får tillgång till skyddsvärd information.
Om den avtalade IoT-tjänsten även innefattar styrning så installeras s.k. ställdon (aktuator). Den part som ansvarar för tillhandahållandet och installationen av de för ändamålet aktuella ställdon (aktuator), ansvarar också för att styrningen och uppföljning sker i enlighet med det i avtalet angivna syftet.
Part ansvarar för lagring av nödvändiga trafikuppgifter i egen del av kommunikationskedjan, i enlighet med vid var tid gällande lagar och föreskrifter. Om lagring sker i en s.k. molntjänst föreligger ett gemensamt ansvar för att upprätthålla kontinuerligt säkerhetsarbete kring tjänst och funktion enligt vid var tid gällande lagar och föreskrifter för molnbaserade och outsourcade tjänster.
Köparen är personuppgiftsansvarig för de eventuella personuppgifter som behandlas i någon del av den avtalade XxX tjänsten. Köparen ansvarar att lagstiftning, såsom dataskyddsförordningen, efterlevs till följd av personuppgiftsbehandlingen. Om inte annat särskilt avtalats mellan parterna ska Köparen således lämna de registrerade erforderlig information och tillse att behandlingen av personuppgifterna vid var tid har laglig grund, exempelvis genom ett uttryckligt samtycke från de registrerade. I de fall IoT-tjänstens tillhandahållande innebär att Säljaren ska behandla personuppgifter för Köparens räkning ska ett erforderligt personuppgiftsbiträdesavtal upprättas.
Säljaren har i ett sådant fall rätt till utökad ersättning för att följa tekniska och organisatoriska åtgärder samt Köparens övriga instruktioner till följd av personuppgiftsbiträdesavtalet.
Fel i IoT-tjänsten ska rapporteras och hanteras i enlighet med Bilaga 4 Servicenivåer och Felhantering.
Köparen får använda tjänsten endast för det ändamål och i den utsträckning som avtalats. Om tjänsten missbrukas eller ger upphov till störningar i Säljarens tillhandahållna kommunikationslösning så får Tjänsten omgående stängas. Tjänsten kan också stängas vid misstanken om obehörigt intrång i anslutna nät- och datasystem.
4.7 Utveckling och ändring av tjänsten
Säljaren har rätt att efter meddelande till Köparen utveckla och ändra XxX-tjänsten när det gäller dess innehåll och omfattning, exempelvis till följd av ändrade tekniska lösningar. Om ändringen av IoT-tjänsten är av väsentlig betydelse för dess innehåll och kvalitet äger Köparen rätt att motsätta sig ändringen och istället säga upp den aktuella tjänsten till upphörande enligt Avtalet.
Säljaren kan även välja att avveckla en tjänst alternativ ersätta den med en alternativ likvärdig tjänst efter meddelande till Köparen. Om Köparen inte vill övergå till den alternativa tjänsten, äger Köparen rätt att istället säga upp den aktuella tjänsten till upphörande enligt Avtalet.
4.8 Åtgärder vid tjänstens upphörande
Vid XxX tjänstens upphörande ansvarar Säljaren att radera all data hänförlig till Köparen och på begäran från Köparen bekräfta genomförd radering. Säljaren har vid XxX tjänsten upphörande rätt att återta Säljarens installerade utrustning på egen bekostnad. Köparen ska vara Säljaren behjälplig vid återtagandet.