1 TOLKNING OG RANGORDNING

Ved motstrid mellom avtaleteksten og bilagene, skal avtaleteksten ha forrang. Med avtaleteksten menes alle bestemmelsene i dette dokumentet. Partene kan avtale endringer i avtaleteksten i Bilag 5 og 6, som i så fall skal ha forrang over denne avtaleteksten.

2 DRIFTSTJENESTENS OMFANG

2.1 Spesifikasjon av driftstjenesten

Partene skal i fellesskap utarbeide en omforent spesifikasjon av driftstjenesten i Bilag 1.

Spesifikasjonen gir oversikt over programvare og utstyr som skal driftes og en spesifikasjon av driftstjenestene som skal utføres, herunder rapportering, ytelsesnivå ved ordinær drift og plan for håndtering av uønskede hendelser. I den utstrekning leverandøren skal overta eierskap til utstyr, lisenser til programvare etc., fremgår dette av spesifikasjonen. Det samme gjelder dersom leverandøren skal ha ansvar for integrasjoner, bistå med opplæring og/eller bistå med andre tilleggstjenester,

Kunden har ansvaret for at spesifikasjonen i Bilag 1 dekker de behov og krav kunden har til driftstjenesten. Kunden har også ansvaret for at spesifikasjonen angir gjeldende regulatoriske krav til kundens virksomhet i den utstrekning disse har betydning for driftstjenesten og angir kundens krav til informasjonssikkerhet.

Bilag 1 angir leverandørens nøkkelpersonell ved levering av driftstjenesten.

Dersom samarbeid med tredjeparter er nødvendig for å levere driftstjenesten, skal dette fremgå av Bilag 1.

Oppstartstidspunkt, eventuell godkjenningsperiode, prosedyrer for opphør av driftstjenesten og bistand ved overføring til ny leverandør, skal fremgå av Bilag 3.

Priser og vederlag for driftstjenesten er angitt i Bilag 4.

2.2 Standardtjenester

Standard avtalevilkår (standardbetingelser) for standardprogramvare som leverandøren er avhengig av for å kunne levere driftstjenesten, skal inntas i Bilag 2. Tilsvarende gjelder for standardtjenester. Standardprogramvare og standardtjenester kan være levert av leverandøren eller en underleverandør. Standardprogramvare kan også være lisensiert som åpen kildekode, mens standardtjenestene kan være basert på slik åpen kildekode.

Leverandøren er ansvarlig for den samlede leveransen av driftstjenester, inkludert standardtjenester og driftstjenester som utføres ved bruk av standardprogramvare. Leverandørens ansvar for forsinkelser, oppfyllelse av ytelsesnivå og mangler knyttet til standardprogramvare eller standardtjenester som leverandøren ikke har nødvendige rettigheter til å rette, følger av standardbetingelsene inntatt i Bilag 2. Ytterligere forbehold knyttet til standardprogramvare eller standardtjenester er inntatt i Bilag 1.

2.3 Tredjepartstjenester

Leverandøren er ikke ansvarlig for tjenester som er levert av tredjeparter som kunden selv har avtale med.

3 SAMARBEIDSFORM

3.1 Generelt

Partene skal holde hverandre oppdatert om alle forhold av betydning for gjennomføring av avtalen. Alle varsler etter denne avtalen skal skje skriftlig til partenes oppgitte kontaktperson.

Feil og mangler skal varsles fortløpende så tidlig som mulig etter at de er oppdaget. Partene er selv ansvarlige for å varsle hverandre dersom kontaktperson eller kontaktinformasjon endres.

Partene skal være tilgjengelige for samarbeidsmøter når en av partene har behov for dette. Vederlag for deltakelse på samarbeidsmøter faktureres av leverandøren etter medgått tid etter avtalens timesatser, med mindre annet er avtalt i Bilag 4.

3.2 Protokoll

Leverandøren er ansvarlig for å føre protokoll over alle samarbeidsmøter mellom partene. Dersom kunden ikke fremmer innsigelser innen ti virkedager etter å ha mottatt protokollen, skal protokollen anses som godkjent av kunden.

Leverandøren har ansvar for rapportering og presentasjon av status underveis, herunder tilgjengeliggjøring av oversikt over registrerte og ikke-utbedrede feil og mangler. Nærmere regler for slik rapportering kan inntas i Bilag 1.

3.3 Kundens medvirkning

Kunden skal bidra til leverandørens gjennomføring ved å gi leverandøren nødvendig informasjon og å gi leverandøren nødvendig fysisk og rettslig tilgang til driftsmiljøet, inkludert programvarer og applikasjoner. Kunden er ansvarlig for at tidligere leverandør medvirker ved behov i oppstartsfasen. Kundens plikt til medvirkning er nærmere angitt i Bilag 1.

Partene kan avtale i Bilag 1 at leverandøren skal godkjenne kundens driftsmiljø i forkant av oppstartstidspunktet.

4 OPPSTART OG GODKJENNINGSPERIODE

Leverandøren skal skriftlig varsle kunden når driftstjenesten er klar for oppstart (oppstartstidspunktet). Oppstartstidspunktet for driftstjenesten er angitt i Bilag 3. En eventuell fremdriftsplan for etablering av driftstjenesten skal fremgå av Bilag 3.

Dersom partene ikke har avtalt en godkjenningsperiode settes driftstjenesten i ordinær drift på oppstartstidspunktet. Kunden skal varsle leverandøren uten ugrunnet opphold dersom tjenesten ikke er i tråd med det partene har avtalt.

Dersom det skal gjennomføres en godkjenningsperiode, skal dette fremgå av Bilag 3. De etterfølgende bestemmelsene i dette punkt 4 gjelder for en slik avtalt godkjenningsperiode. Kunden kan likevel ikke nekte å godkjenne delleveransen som følge av feil knyttet til standardprogramvare eller standardtjenester som leverandøren ikke har nødvendige rettigheter til å rette, såfremt leverandøren har meldt forholdet til leverandøren av standardprogramvaren eller standardtjenesten i henhold til standardbetingelsene inntatt i Bilag 2.

Godkjenningsperioden anses som påbegynt første virkedag etter oppstartstidspunktet. Kunden skal gjennomføre sine undersøkelser av driftstjenesten så tidlig som mulig i godkjenningsperioden. Testplan for godkjenningsperioden kan inntas i Bilag 3. Dersom partene ikke har avtalt hvilke tester som skal gjennomføres, skal undersøkelsene som minimum ta utgangspunkt i ordinære, daglige drifts- og arbeidsoppgaver. Dersom partene har avtalt kategorisering av feil i Bilag 3, skal kunden samtidig med at feilen varsles angi hvilken kategori feilen faller inn under.

Kunden kan bare nekte å godkjenne driftstjenesten dersom det foreligger feil som har vesentlig betydning for kundens mulighet til å bruke driftstjenesten i henhold til avtalen.

Kunden skal innen utløpet av godkjenningsperioden skriftlig varsle leverandøren om hvorvidt driftstjenesten godkjennes. Dersom slikt varsel ikke er mottatt av leverandøren innen utløpet av godkjenningsperioden, skal driftstjenesten anses som godkjent. Selv om kunden nekter å godkjenne driftstjenesten, skal driftstjenesten anses som godkjent dersom det ved utløpet av godkjenningsperioden ikke foreligger rapporterte ikke-utbedrete feil som innebærer at kunden kan nekte å godkjenne driftstjenesten.

Dersom leverandøren er uenig med kunden i at det foreligger feil, eller er uenig i kundens kategorisering av feilen, må leverandøren varsle kunden innen 5 virkedager etter at leverandøren mottok melding om feilen. Dersom leverandøren mener at utbedring vil innebære en endring av driftstjenesten, skal leverandøren følge reglene i punkt 11.

Dersom det foreligger feil som medfører at kunden har nektet å godkjenne driftstjenesten ved utløpet av godkjenningsperioden, og driftstjenesten likevel ikke må anses godkjent, skal godkjenningsperioden utvides til feilene som er meldt før utløpet av opprinnelig godkjenningsperiode er rettet. Slike feil som meldes for første gang mindre enn 10 virkedager før utløpet av godkjenningsperioden skal rettes av leverandøren innen 10 virkedager etter utløpet av godkjenningsperioden. Dersom feilene er rettet innen fristen, skal driftstjenesten ikke regnes som forsinket som følge av disse feilene, jf. punkt 13.2.

Driftstjenestene går over til ordinær drift første virkedag etter utløpet av godkjenningsperioden.

5 YTELSESNIVÅ OG HÅNDTERING AV UØNSKEDE HENDELSER

5.1 Ytelsesnivå

Krav til ytelsesnivå skal være angitt i spesifikasjonene i Bilag 1. Dersom partene ikke har angitt ytelsesnivå, skal ytelsesnivået tilsvare det som kan forventes basert på ytelsesnivå for tilsvarende tjenester i markedet.

Kunden kan kreve standardisert kompensasjon i henhold til satser avtalt i Bilag 1, dersom avtalt ytelsesnivå ikke overholdes. Regler for rapportering av ytelsesnivå og beregning av standardisert kompensasjon skal fremgå av Bilag 1.

Leverandøren har bare ansvar for manglende oppfyllelse av avtalt ytelsesnivå dersom dette skyldes forhold på leverandørens side. Leverandøren er likevel ikke ansvarlig for feil knyttet til standardprogramvare eller standardtjenester som leverandøren ikke har nødvendige rettigheter til å rette. Leverandøren skal da reklamere til leverandøren av standardprogramvaren eller standardtjenesten i henhold til standardbetingelsene inntatt i Bilag 2.

5.2 Håndtering av uønskede hendelser

Krav til hvor raskt leverandøren skal respondere og håndtere uønskede hendelser skal være angitt i Bilag 1. Dersom partene ikke har avtalt tidsfrister (reaksjonstid) knyttet til håndtering av uønskede hendelser, skal leverandøren håndtere hendelsene innen rimelig tid.

Kategorisering av uønskede hendelser og frister knyttet til håndtering av disse, skal fremgå av Bilag 1. Dersom partene ikke har avtalt kategorisering av uønskede hendelser, skal følgende gjelde:

Kategori Type hendelse Beskrivelse

A Prekær Det er ikke mulig for kunden å bruke hele eller vesentlige deler av det som driftes.

B Grov Enkelte kritiske funksjoner fungerer ikke, eller responstiden er vesentlig lengre enn avtalt.

C Mindre grov Funksjoner som ikke er kritiske fungerer ikke, eller responstiden er noe lengre enn avtalt.

Prosedyre for varsling av uønskede hendelser skal fremgå av Bilag 1. Dersom partene ikke har avtalt fremgangsmåte for varsling, skal uønskede hendelser varsles ved at kunden sender melding med beskrivelse og kategorisering av hendelsen til leverandørens brukerstøtte.

Beskrivelse av hvordan reaksjonstid beregnes, skal fremgå av Bilag 1. Dersom partene ikke har inntatt slik beskrivelse, og frister for håndtering av uønskede hendelser er angitt i antall minutter eller timer, skal reaksjonstiden beregnes ut fra vanlig kontortid (08:00-16:00) og virkedager (mandag-fredag, med unntak av offisielle fridager).

Leverandøren skal varsle kunden når håndtering av hendelsen påbegynnes. De angitte fristene knyttet til håndtering av uønskede hendelser anses overholdt dersom leverandøren har påbegynt håndtering av den uønskede hendelsen innen fristens utløp. Når håndteringen er påbegynt skal leverandøren i den perioden reaksjonstiden beregnes fortsette feilrettingen uten unødvendig opphold.

Dersom den uønskede hendelsen skyldes feil knyttet til standardprogramvare eller standardtjeneste som leverandøren ikke har nødvendige rettigheter til å rette, skal fristen for håndtering av hendelsen anses overholdt når leverandøren har meldt forholdet til leverandøren av standardprogramvaren eller standardtjenesten. Etter at forholdet er meldt er leverandørens forpliktelse å følge opp nevnte leverandør.

De angitte fristene gjelder ikke ved uønskede hendelser som skyldes forhold på kundens side, herunder uaktsom bruk eller bruk i strid med brukerveiledning. Leverandøren kan tilby håndtering av hendelser som kunden er ansvarlig for etter medgått tid.

Kunden kan kreve standardisert kompensasjon i henhold til satser avtalt i Bilag 1 dersom avtalte frister ikke overholdes. Kunden har ikke krav på standardisert kompensasjon dersom angitt prosedyre for varsling av uønskede hendelser ikke er fulgt. Regler for rapportering av etterlevelse av reaksjonstider og beregning av standardisert kompensasjon skal også fremgå av Bilag 1.

6 REKONSTRUKSJON AV DATA

Driftstjenesten inkluderer rekonstruksjon av data dersom kunden har tapt data som følge av forhold på leverandørens side. Med mindre leverandøren har opptrådt uaktsomt, er ansvaret begrenset til å gjenopprette data fra siste sikkerhetskopi. Dersom leverandøren skal ha ansvaret for sikkerhetskopiering, skal dette inntas i Bilag 1.

Tap av data skal ikke medregnes ved rapportering av etterlevelse av ytelsesnivå. Ved tap av data skal leverandøren utarbeide en fremdriftsplan for rekonstruksjon som skal godkjennes av kunden.

7 VARIGHET OG OPPHØR

Avtalen løper i tre år fra oppstartstidspunktet, med mindre annen avtaleperiode er angitt i Bilag 3. Avtalen fornyes deretter automatisk for ett år av gangen, med mindre en av partene sier opp avtalen senest seks måneder før avtaleperiodens utløp. Partenes rettigheter og plikter i forbindelse med avtalens opphør er nærmere angitt i Bilag 3.

Kunden kan kreve at leverandøren skal bistå med overgang til ny leverandør. Bistanden ved overgang til ny leverandør skal faktureres etter medgått tid etter avtalens timesatser, med mindre annet er avtalt i Bilag 4. Bistanden skal utføres i løpet av oppsigelsesperioden, dersom ikke annet er avtalt i Bilag 3.

8 KANSELLERING OG AVBESTILLING

8.1 Kansellering før driftsytelsene er satt i ordinær drift

Før driftstjenesten er satt i ordinær drift (etableringsfasen) i henhold til punkt 4, kan kunden kansellere avtalen med én måneds varsel.

Kunden skal ved kansellering betale det beløpet som er fastsatt i Bilag 4 for kansellering i etableringsfasen. Dersom partene ikke har avtalt slikt beløp, skal kunden betale følgende:

- vederlag for arbeid som er utført i etableringsfasen,

- utlegg og kostnader som leverandøren har pådratt seg før kanselleringen og som leverandøren ikke kan nyttiggjøre seg av i annen sammenheng,

- avbestillingsgebyrer og administrasjonsgebyrer leverandøren er påført som følge av kanselleringen, og

- leverandørens andre kostnader direkte forbundet med avslutning av avtalen, herunder dokumenterte kostnader knyttet til omdisponering av personell.

8.2 Avbestilling i ordinær drift

Kunden kan med tre måneders skriftlig varsel til leverandøren helt eller delvis si opp avtalen med den virkning at avtalen opphører (avbestilling), med mindre annet er angitt i Bilag 3.

Kunden skal ved avbestilling betale følgende, med mindre annet er avtalt i Bilag 4:

- vederlag for den delen av driftstjenesten som allerede er utført,

- utlegg og kostnader som leverandøren har pådratt seg før avbestillingen og som leverandøren ikke kan nyttiggjøre seg av i annen sammenheng,

- avbestillingsgebyrer og administrasjonsutgifter leverandøren er påført som følge av avbestillingen,

- leverandørens andre kostnader, herunder dokumenterte kostnader knyttet til omdisponering av personell, direkte forbundet med avslutningen av avtalen, og

- et avbestillingsgebyr som tilsvarer 4 % av vederlaget for resterende avtaleperiode.

Kunden har ikke rett til å foreta motregning i avbestillingsgebyret med andre krav enn de som er fremsatt overfor leverandøren før avbestillingsdatoen, og som er godtatt av leverandøren.

Ved delvis avbestilling, skal avbestillingsgebyret beregnes forholdsmessig.

Avbestillinger innenfor den fastsatte prosentandelen angitt i Bilag 3, behandles etter reglene i avtalens punkt 11 og ikke dette punkt 8.2.

9 EIENDOMS- OG DISPOSISJONSRETT

Eierskap og disposisjonsrett til utstyr og programvare fremgår av Bilag 1. Leverandøren beholder alle rettighetene til brukerveiledning og annen dokumentasjon som beskriver leverandørens driftstjenester.

Partene kan i enhver sammenheng anvende den generelle kunnskap og knowhow som partene tilegner seg ved gjennomføringen av driftstjenesten, forutsatt at anvendelsen ikke fører til brudd på taushetsplikt etter punkt 14.

Kunden eier alle data som legges inn i programvaren. Leverandøren kan ikke holde tilbake data ved mislighold fra kundens side eller ved opphør av avtalen. Data skal overføres til kunden på et maskinlesbart format etter forespørsel fra kunden. Vederlag for slik overføring faktureres av leverandøren etter medgått tid etter avtalens timesatser, med mindre annet er avtalt i Bilag 4. Leverandøren skal ha tilgang til kundens data i den utstrekning det er nødvendig for å kunne levere driftstjenesten til kunden. Leverandøren kan i tillegg bruke kundens data i anonymisert og aggregert form for å videreutvikle og forbedre sine tjenester.

10 REVISJON OG INNSYN

Kunden kan kreve revisjon og innsyn for å kontrollere at leverandøren har oppfylt sine forpliktelser etter avtalen.

Dersom revisjonene skal utføres av tredjepart, skal vedkommende undertegne konfidensialitetsavtale med vilkår som minst tilsvarer denne avtales punkt 14. Leverandøren har rett til å motsette seg at en konkurrent av leverandøren oppnevnes som revisor.

Hver av partene dekker sine egne kostnader forbundet med en revisjon. Hvis en revisjon avdekker vesentlige avvik fra leverandørens forpliktelser, skal kunden få sine rimelige kostnader forbundet med revisjonen dekket av leverandøren.

11 ENDRINGER AV DRIFTSTJENESTEN ELLER DRIFTSMILJØET

Endringer i driftstjenestens omfang eller karakter skal inntas i Bilag 6 og signeres av begge parter. Detaljerte prosedyrer for endring av driftsmiljøet kan avtales i Bilag 3.

Partene kan avtale i Bilag 3 at løpende opp- eller nedjusteringer innenfor spesifiserte rammer ikke skal regnes som en endring eller avbestilling. Bestilling av standardtjenester, som utgjør en del av leverandørens ordinære tjenestekatalog, skal heller ikke regnes som en endring av tjenesten.

Ved anmodning fra kunden om endring av driftstjenesten, skal leverandøren gi et endringsoverslag.

Endringsoverslaget skal angi hvilke konsekvenser endringskravet vil ha for driftstjenesten, herunder:

- Kostnader og prisendringer, med angivelse av hvilke rater og priser som er benyttet ved overslaget. Justering av kostnader skal så langt det er mulig beregnes ut fra fastpriser, timesatser eller enhetspriser angitt i Bilag 4.

- Detaljert plan for gjennomføring med anslag over ressurser som kreves, herunder endrede krav til kundens medvirkning, og anslått tidsforbruk.

- Øvrige konsekvenser av endringen.

Kunden skal dekke kostnadene med å utarbeide endringsoverslaget etter medgått tid i henhold til timesatsene angitt i Bilag 4. Tidsfrister og nærmere prosedyrer for utarbeidelse av endringsoverslaget kan være angitt i Bilag 3. Dersom ingen tidsfrister er avtalt mellom partene, skal endringsoverslaget utarbeides innen rimelig tid fra det tidspunktet leverandøren mottok anmodning om endring fra kunden.

Ved aksept av leverandørens endringsoverslag, skal kunden utstede en endringsordre som legges inn i Bilag 6. Endringsordren skal iverksettes uten ugrunnet opphold.

Dersom partene er uenige om konsekvensene av endringen, og kunden ønsker endringen gjennomført, skal kunden utstede endringsordre med leverandørens endringsoverslag. Kunden skal samtidig i endringsordren angi hvilke deler av endringsoverslaget kunden er uenig i. Endringsordren skal inntas i Bilag 6 og markeres som omtvistet. Leverandøren er da forpliktet til å iverksette endringsordren mot at kunden aksepterer å betale den uomtvistede andel av vederlaget, samt forskuddsbetaler halvparten av omtvistet vederlag og stiller tilfredsstillende sikkerhet for den resterende del av omtvistet vederlag

Tilsvarende prosedyre skal så langt den passer også følges når partene er uenige om hvorvidt et pålegg fra kunden er en endring eller ikke. Endringsordren skal også i dette tilfelle merkes som omtvistet. Kunden skal da bare dekke kostnadene med å utarbeide endringsoverslaget dersom det blir endelig avgjort at det foreligger en endring.

En omtvistet endringsordre skal regnes som endelig og bindende, dersom det ikke kreves tvisteløsning etter punkt 18 innen tre måneder fra det tidspunkt endringsordren ble utstedt av kunden.

12 VEDERLAG OG BETALINGSBETINGELSER

12.1 Priser, betalingsbetingelser og betalingsplan

Kundens vederlag for driftstjenesten fremgår av Bilag 4. Vederlaget faktureres og forfaller til betaling som angitt i Bilag 4. Eventuelle øvrige betalingsbetingelser skal også fremgå av Bilag 4. Ved forsinket betaling påløper forsinkelsesrenter etter forsinkelsesrenteloven. Per 31.12. legges påløpt rente til hovedstolen, og summen danner nytt grunnlag for videre renteberegning (rentesrente).

Dersom leverandøren kjøper utstyr, programvare eller tjenester som skal inngå i driftstjenesten til kunden i annen valuta enn norske kroner, og kunden skal faktureres i norske kroner, skal dette opplyses i Bilag 4. Leverandøren skal opplyse om pris i innkjøpsvaluta og pris i norske kroner. Prisen i norske kroner skal beregnes ut fra Norges Banks midtkurs på datoen prisen er angitt («Basiskursen»).

12.2 Prisendringer

Leverandørens priser kan økes i tråd med endringen i Statistisk sentralbyrås konsumprisindeks én gang per år uten forutgående varsel. Den første endringen skal ta utgangspunkt i indeksen den måneden avtalen ble inngått.

Prisene kan videre endres ved endringer i offentlige skatter eller avgifter som får virkning for leverandørens kostnader knyttet til leveransen. Slike prisendringer skal varsles, og endringen kan tidligst tre i kraft når slik melding er sendt til kundens oppgitte kontaktperson.

Dersom leverandøren har angitt at utstyr, programvare eller tjenester som inngår i driftstjenesten opprinnelig er priset i annen valuta, kan partene kreve at prisen på utstyret, programvaren eller tjenesten endres når kursverdien mellom den norske krone og innkjøpsvalutaen endres +/- 5 % i forhold til Basiskursen.

13 MISLIGHOLD

13.1 Reklamasjon

Den som vil påberope seg at avtalen er misligholdt, må reklamere skriftlig uten ugrunnet opphold etter at vedkommende oppdaget eller burde ha oppdaget misligholdet.

13.2 Mislighold fra leverandørens side

Forsinkelse:

Det foreligger forsinkelse dersom leverandøren ikke leverer driftstjenesten til avtalt tid i henhold til punkt 4, forutsatt at forsinkelsen skyldes forhold på leverandørens side. Dagbot ved forsinkelse kan avtales i Bilag 3.

Dersom forsinkelsen utgjør vesentlig mislighold, kan kunden heve avtalen. Dersom det er avtalt dagbot, kan kunden først heve dersom driftstjenesten ikke er levert ved utløpet av dagbotperioden.

Retten til dagbot gjelder ikke for forsinkelser knyttet standardprogramvare eller standardtjeneste som leverandøren ikke har nødvendige rettigheter til å rette. I slike tilfeller er leverandøren bare ansvarlig for å utbetale dagbot eller annen form for kompensasjon for forsinkelser i den utstrekning det kan kreves etter standardbetingelsene inntatt i Bilag 2.

Mangler:

Dersom leverandøren ikke leverer i henhold til avtalt ytelsesnivå, kan kunden kreve standardisert kompensasjon i henhold til satser avtalt i Bilag 1. Dersom partene ikke har avtalt standardisert kompensasjon i Bilag 1, har kunden rett på forholdsmessig prisavslag. Dersom mangelen er vesentlig, har kunden rett til å heve avtalen.

Dersom leverandøren tross gjentatte forsøk ikke lykkes med håndtering av en varslet uønsket hendelse, kan kunden kreve forholdsmessig prisavslag.

Dersom mangelen burde ha vært oppdaget ved kontrollen i forbindelse med oppstartstidspunktet, eller under eventuell godkjenningsperiode, kan leverandøren kreve dekket ekstra kostnader som oppstår som følge av at mangelen ikke ble rapportert ved kontrollen i forbindelse med oppstartstidspunktet eller under godkjenningsperioden.

Retten til prisavslag, standardisert kompensasjon eller heving gjelder ikke for mangler knyttet til standardprogramvare eller standardtjeneste som leverandøren ikke har nødvendige rettigheter til å rette. I slike tilfeller skal leverandøren bare være ansvarlig for å gi prisavslag eller annen form for kompensasjon for mangler i den utstrekning det kan kreves etter standardbetingelsene inntatt i Bilag 2.

13.3 Mislighold fra kundens side

Det foreligger mislighold fra kundens side dersom kunden ikke har oppfylt sin medvirkningsplikt eller øvrige forpliktelser etter avtalen, og dette skyldes forhold på kundens side.

Ved vesentlig mislighold kan leverandøren heve avtalen.

13.4 Betalingsmislighold

Ved betalingsmislighold kan leverandøren med 14 virkedagers varsel stoppe enhver ytelse til kunden, både etter denne avtalen og eventuelle andre avtaler mellom partene, inntil full betaling (inkludert forsinkelsesrenter) er mottatt. Betalingsmislighold utover 30 kalenderdager skal regnes som vesentlig mislighold.

13.5 Tilbakehold av egne ytelser

Ved mislighold fra en part, kan den andre parten holde tilbake en forholdsmessig del av egne ytelser så lenge misligholdet varer.

13.6 Heving

Ved vesentlig mislighold fra en part, kan den andre parten, etter å ha gitt skriftlig varsel og rimelig frist til å bringe forholdet i orden, heve avtalen med øyeblikkelig virkning. Så lenge dagbøter eller standardisert kompensasjon løper for forholdet, kan kunden ikke heve avtalen begrunnet i de samme forhold.

Dersom avtalen omfatter flere tjenester, kan heving bare gjøres gjeldende for den vesentlig misligholdte driftstjenesten og de øvrige driftstjenester som kunden ikke kan gjøre bruk av på regningssvarende måte som følge av hevingen av den vesentlig misligholdte driftstjenesten.

Ved heving grunnet kundens mislighold, skal kunden holde leverandøren skadesløs for forpliktelser leverandøren har påtatt seg overfor tredjeparter før avtalens opphør.

13.7 Erstatning

Partene kan kreve erstatning for dokumentert økonomisk tap som følge av den andre partens mislighold, med følgende begrensninger:

- Kunden kan ikke kreve erstatning for forhold som utløser rett til dagbot eller standardisert kompensasjon.

- Indirekte tap dekkes ikke. Som indirekte tap regnes, dog ikke begrenset til, kundens tap av fortjeneste av enhver art, tap av data, avsavnstap og krav fra tredjepart.

- Det samlede erstatningskravet fra en part i løpet av ett år kan ikke overstige det avtalte årlige vederlaget (eksklusive merverdiavgift), som angitt i Bilag 4. Vederlag for konsulenttimer etter medgått tid medregnes ikke.

Ansvarsbegrensningene gjelder ikke dersom vedkommende part har utvist grov uaktsomhet eller forsett, eller ved idømt erstatningsansvar for rettsmangler. Påløpt dagbot og standardisert kompensasjon grunnet manglende oppfyllelse av ytelsesnivå skal likevel komme til fradrag ved erstatningsutmålingen.

Ved forsinkelser og mangler knyttet til standardprogramvare eller standardtjenester som leverandøren ikke har nødvendige rettigheter til å rette, skal leverandøren bare være ansvarlig for erstatning eller annen kompensasjon i den utstrekning det kan kreves etter standardbetingelsene inntatt i Bilag 2.

13.8 Rettsmangel

Partene er ansvarlige for å klarere tredjepartsrettighetene til sine respektive ytelser.

Kunden er ansvarlig for rettsmangel som skyldes at det som inngår i driftstjenesten brukes på en måte den ikke er tenkt brukt til.

Leverandøren er ikke ansvarlig for rettsmangler knyttet til standardprogramvare og standardtjenester, utover det som følger av standardbetingelsene inntatt i Bilag 2.

Partene skal varsle hverandre uten ugrunnet opphold om krav fra tredjeparter som knytter seg til at ytelser under denne avtalen utgjør en rettsmangel.

Parten som er ansvarlig for rettsmangelen skal håndtere og dekke alle kostnader ved kravet, forutsatt at den andre parten har gitt den ansvarlige parten kontroll med saken. Den andre parten skal mot rimelig vederlag bistå den ansvarlige parten. Tvist mellom partene om hvem som er ansvarlig for rettsmangelen, løses etter punkt 18.

En rettsmangel som leverandøren er ansvarlig for utgjør mislighold av avtalen fra leverandørens side. Ved slikt mislighold skal leverandøren sørge for at arbeidet med å avhjelpe rettsmangelen påbegynnes og gjennomføres uten ugrunnet opphold. For øvrig gjelder bestemmelsene i dette punkt 13.

14 TAUSHETSPLIKT

All informasjon partene blir kjent med i forbindelse med gjennomføringen av avtalen skal behandles konfidensielt, og ikke gjøres tilgjengelig for utenforstående uten skriftlig samtykke fra den andre parten. Taushetsplikten er ikke til hinder for at opplysninger utleveres dersom dette er påkrevd etter lov eller forskrift. Den andre parten skal varsles før utlevering skjer, med mindre det er forbudt å gi slikt forhåndsvarsel. Taushetsplikten er heller ikke til hinder for at opplysninger deles når de er alminnelig kjent eller er tilgjengelige andre steder, uten at dette skyldes urettmessig opptreden av den andre parten eller tredjepart.

Partene skal sikre at ansatte, oppdragstakere, underleverandører og tredjeparter som partene engasjerer eller benytter, pålegges taushet, også etter fratredelsen, om forhold som nevnt ovenfor.

Partene plikter å ta nødvendige forholdsregler for å sikre at informasjonen ikke blir gjort kjent for andre. Informasjonen skal som minimum sikres på tilsvarende måte som vedkommende parts konfidensielle informasjon for øvrig. Kunden skal sikre at det ikke skjer utilsiktet spredning av programvare eller dokumentasjon.

15 PERSONVERN OG INFORMASJONSSIKKERHET

Dersom leverandøren skal behandle personopplysninger på vegne av kunden, skal partene inngå en særskilt databehandleravtale som inntas i Bilag 7. Databehandleravtalen skal ha forrang ved motstrid med denne avtalens bestemmelser om behandling av personopplysninger.

Kunden skal:

- informere leverandøren om gjeldende lovkrav og egne krav til informasjonssikkerhet og oversette dette til spesifikke krav til leveransen i Bilag 1,

- gjennomføre risikovurdering knyttet til informasjonssikkerhet,

- sammen med leverandør bli enige om håndtering av risikoer identifisert i risikovurderingen,

- sikre egen infrastruktur, plattform og tjenester mot uønskede informasjonssikkerhetshendelser,

- holde egen infrastruktur, plattform og tjenester oppdatert med siste versjoner,

- sikre at sluttbrukerne får nødvendig sikkerhetsopplæring og følger kundens prosedyrer og rutiner for behandling av informasjon, og

- melde avvik til aktuelle tilsynsmyndigheter og eventuelt til de som er berørt uten ugrunnet opphold i henhold til gjeldende lovgivning.

Leverandøren skal:

- ikke uten forutgående skriftlig avtale med kunden eller skriftlige instrukser fra kunden behandle informasjon utover det som er nødvendig for å levere tjenester til kunden,

- ha rutiner og systematiske prosesser for å følge opp avvik, og

- uten ugrunnet opphold varsle kunden om informasjonssikkerhetsbrudd.

Spesifikke prosedyrer for varsling og håndtering av brudd på informasjonssikkerheten skal inntas i Bilag 1.

Leverandøren skal gi kunden tilgang til sikkerhetsdokumentasjon ved behov. Dokumentasjonen kan deles med offentlige tilsynsorgan ved behov. Reglene om revisjon og innsyn i punkt 10 gjelder tilsvarende for revisjon og innsyn i leverandørens informasjonssikkerhetsrutiner.

Kundens data skal holdes adskilt fra tredjeparters data, og leverandøren plikter å påse at eventuelle underleverandører foretar tilstrekkelig og nødvendig sikring av kundens data. Spesifikke sikkerhetskrav som kunden er underlagt, skal spesifiseres i Bilag 1.

Partene er selv ansvarlige for å dekke administrative bøter og øvrige sanksjoner som ilegges som følge av brudd på personvernlovgivningen. Dersom en part har blitt ilagt erstatningsansvar etter personvernforordningen artikkel 82 for et forhold som den andre parten står ansvarlig for, skal den ansvarlige parten dekke erstatningskostnadene. Ansvarsbegrensningen i punkt 13.7 kommer til anvendelse ved kundens krav om dekning av erstatningskrav etter personvernforordningen artikkel 82.

16 OVERDRAGELSE

Denne avtalen kan ikke overdras eller på annen måte overføres til andre uten den andre partens skriftlige forhåndssamtykke. Slikt samtykke kan ikke nektes uten saklig grunn. Samtykke er ikke nødvendig dersom avtalen overdras i sin helhet ved at leverandøren fusjonerer, fisjonerer, på annen måte overdrar virksomhet eller omorganiserer.

Leverandøren står fritt til å benytte factoring og panteordninger.

17 ØVRIGE BESTEMMELSER

17.1 Force majeure

Dersom forhold utenfor partenes kontroll, som etter norsk rett bedømmes som force majeure, vesentlig vanskeliggjør gjennomføring av avtalen, suspenderes partenes plikter i den utstrekning forholdet er relevant og for så lang tid som forholdet varer.

Dersom force majeure skal påberopes, må den rammede part varsle den andre parten om dette. Varslingsplikten gjelder også ved opphør av force majeure.

Under force majeure har partene gjensidig informasjonsplikt om forhold som parten forstår eller burde forstå, er av vesentlig betydning for den andre part. Informasjonen må gis innen rimelig tid.

Hver av partene kan si opp avtalen med én måneds varsel dersom force majeure gjør det særlig byrdefullt å opprettholde avtalen. Avsluttes avtalen som følge av force majeure, skal hver av partene bære egne kostnader knyttet til avslutningen.

17.2 Konkurs

Ved gjeldsforhandlinger, akkord eller konkurs hos en av partene, har den andre parten rett til å heve avtalen med umiddelbar virkning.

17.3 Forsikring

Hver av partene holder forsikret eget utstyr, programvare og dokumentasjon, uavhengig av om det inngår i driftsmiljøet eller ikke.

Partene kan avtale i Bilag 4 at partene skal tegne forsikring for dekning av vederlag og erstatningskrav, oppad begrenset til kontraktssummen.

17.4 Underleverandører

Hver av partene er ansvarlige for sine egne underleverandører.

18 TVISTELØSNING

Avtalen er regulert av norsk rett. Tvister skal forsøkes løst ved forhandlinger. Dersom forhandlingene ikke fører frem, kan hver av partene kreve tvisten avgjort ved søksmål for de alminnelige domstoler, med verneting der leverandøren har sin forretningsadresse.

Ønsker partene oppnevning av en uavhengig ekspert som skal komme med forslag til løsning på tvister, eller voldgiftsbehandling av tvister etter voldgiftsloven, kan partene skriftlig avtale dette i Bilag 5 eller Bilag 6. Hvis dette ikke er avtalt verken i Bilag 5 eller Bilag 6, kan partene avtale dette for den enkeltstående tvist som måtte komme til å oppstå. Dersom partene ikke har avtalt at den uavhengige ekspertens forslag skal være forpliktende, er forslaget utelukkende vegledende for partene.

Voldgiftsbehandlingen og voldgiftsrettens avgjørelse skal være konfidensiell, jf. voldgiftsloven § 5. Tilsvarende gjelder for behandlingen for en uavhengig ekspert og ekspertens forslag.

Adobe

https://www.adobe.com/no/legal/terms.html

AvePoint

https://www.avepoint.com/agreements/mslsa.html

https://www.avepoint.com/solutions/data-protection

https://www.avepoint.com/blog/protect/iso-27001-certification/

Microsoft

https://www.microsoft.com/licensing/docs/customeragreement

https://support.microsoft.com/nb-no/help/13752/windows-security-essentials-eula

https://azure.microsoft.com/nb-no/support/legal/

https://www.microsoft.com/nb-no/trust-center/privacy/data-access

Sophos Security Evolved

https://www.sophos.com/en-us/legal/sophos-end-user-license-agreement.aspx?id=00130000015WRLu

https://www.sophos.com/en-us/legal/sophos-end-user-terms-of-use

SolarWinds

https://www.solarwinds.com/trust-center

https://www.solarwinds.com/legal/eula

ALSO

Fortrolig

PowerOffice

https://www.poweroffice.no/tjenestevilkar-og-databehandleravtale

1    Ansvar for standardprogramvare

Partene kan av ulike årsaker ønske en annen ordning knyttet til forholdet mellom standardbetingelser og avtalens bestemmelser enn det som følger av avtalen.

Dersom leverandøren skal ha ansvar for manglende oppfyllelse av ytelsesnivå eller andre mangler som skyldes feil i standardprogramvare eller standardtjenester, kan partene innta endringene i tabellen under. Ved å innta endringene under, har kunden rett til å kreve standardisert kompensasjon, dagbøter, prisavslag og erstatning for manglende oppfyllelse av ytelsesnivå eller andre mangler som skyldes standardprogramvare som benyttes i utførelsen av driftstjenesten, på lik linje med øvrige deler av tjenesten, uavhengig av hva som fremgår av standardbetingelsene.

Ref. Følgende tekst utgår:

Pkt. 2.2, andre avsnitt.

Leverandørens ansvar for forsinkelser, oppfyllelse av ytelsesnivå og mangler knyttet til standardprogramvare eller standardtjenester som leverandøren ikke har nødvendige rettigheter til å rette, følger av standardbetingelsene inntatt i Bilag 2. Ytterligere forbehold knyttet til standardprogramvare eller standardtjeneste er inntatt i Bilag 1.

Pkt. 4, tredje avsnitt, annet punktum

Kunden kan likevel ikke nekte å godkjenne delleveransen som følge av feil knyttet til standardprogramvare som leverandøren ikke har nødvendige rettigheter til å rette, så lenge leverandøren har meldt forholdet til leverandøren av standardprogramvaren eller

standardtjenesten i henhold til standardbetingelsene inntatt i Bilag 2.

Partene skal utarbeide separate dokumenter som beskriver de avtalte endringene og vedlegge disse dokumentene til dette bilaget.

I tabellen nedenfor føres oversikt over slike endringer, ved at partene noterer dato for endringen, gir en kort oppsummering og oppgir referanse til dokumentet med endringene.

VEDLEGG: Bilag 6: Endringer og tillegg etter avtaleinngåelsen Tabell.PDF

1      Formål

Dette bilaget («databehandleravtale») regulerer behandling av personopplysninger leverandøren som databehandler gjør på vegne av kunden som behandlingsansvarlig i henhold til inngått driftsavtale («avtalen»). Databehandleravtalen skal sikre at personopplysninger behandles i samsvar med norsk personvernlovgivning.

2      Databehandlers plikter

Databehandleren skal:

a)      kun behandle personopplysninger i samsvar med behandlingsformålet definert i vedlegg 1 til databehandleravtalen og behandlingsansvarliges dokumenterte instruksjoner. Databehandler skal straks informere behandlingsansvarlig dersom instruksjonene er mangelfulle eller i strid med norsk personvernlovgivning. Databehandler skal også varsle behandlingsansvarlig dersom databehandleren er pålagt av lov eller forskrift å behandle personopplysningene i strid med behandlingsansvarliges instruksjoner;

b)     sikre at ansatte og underleverandører eller andre tredjeparter som er autorisert til å behandle personopplysninger på vegne av behandlingsansvarlig er underlagt taushetsplikt;

c)      gjennomføre hensiktsmessige tekniske og organisatoriske tiltak som kreves i henhold til GDPR artikkel 32. Dette inkluderer tiltak for å sikre at data er tilgjengelig for behandlingsansvarlig, hindre tap eller skade av data, samt hindre utilsiktet tilgang til data. Informasjonssikkerhetstiltakene er nærmere beskrevet i Bilag 1 til avtalen;

d)     føre oppdatert oversikt over alle underdatabehandlere, samt sikre at det er inngått bindende avtale med eventuelle underdatabehandlere i henhold til GDPR artikkel 28 nr. 2 og 4;

e)     varsle behandlingsansvarlig dersom databehandler planlegger å overføre personopplysninger utenfor EØS og sikre at personopplysningene er adekvat beskyttet gjennom standard kontraktsvilkår utarbeidet av EU-kommisjonen eller andre grunnlag for overføring i henhold til GDPR;

f)       gjøre all informasjon tilgjengelig på behandlingsansvarliges forespørsel som er nødvendig for å dokumentere at behandlingsansvarlig og databehandler oppfyller GDPR artikkel 28. Databehandler skal legge til rette for at behandlingsansvarlig kan utføre revisjoner og inspeksjoner, enten av behandlingsansvarlig selv eller en tredjepart utpekt av behandlingsansvarlig;

g)      føre protokoll (logg) over behandlingsaktiviteter denne utfører på vegne av behandlingsansvarlig, som skal inneholde minimum den informasjon som er pålagt etter GDPR artikkel 30. Behandlingsansvarlig kan til enhver tid kreve oversendt kopi av slik protokoll;

h)     umiddelbart varsle behandlingsansvarlig hvis databehandler mottar forespørsel fra en myndighet om å utlevere personopplysninger behandlet i henhold til avtalen. Databehandler plikter ikke å varsle dersom loven forbyr slik underretning. Med mindre loven krever det skal databehandleren ikke etterkomme en slik forespørsel uten skriftlig forhåndsgodkjenning fra behandlingsansvarlig;

i)       bistå behandlingsansvarlig med å svare på forespørsler fra den registrerte i henhold til GDPR kapittel III (deriblant rett til informasjon, innsyn, retting og korrigering); og

j)       bistå behandlingsansvarlig med å oppfylle sine forpliktelser i henhold til GDPR artikkel 32-36.

Databehandlerens plikt til å gi bistand til behandlingsansvarlig etter bokstav j) skal vurderes opp mot behandlingens art og den informasjonen som er tilgjengelig for databehandleren.

Databehandleren har rett til å fakturere behandlingsansvarlig for arbeid med å oppfylle de ovennevnte pliktene etter databehandlers ordinære timepriser, med mindre annet er avtalt i Bilag 4 til avtalen.

3      Behandlingsansvarliges plikter

Behandlingsansvarlig er ansvarlig for at personopplysninger blir behandlet i samsvar med personopplysningsloven og annen personvernlovgivning som gjelder for den aktuelle behandlingen av personopplysninger.

Behandlingsansvarlig har rett og plikt til å fastsette formålet med behandlingen og hvilke hjelpemidler som kan brukes i behandlingen. Behandlingsansvarlig er også ansvarlig for å sikre at behandlingen har et lovlig behandlingsgrunnlag.

Behandlingsansvarlig skal gi databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles.

4      Varslingsrutiner

Med mindre annet følger av Bilag 1 punkt 8 gjelder følgende ved brudd på informasjonssikkerheten.

Ved informasjonssikkerhetsbrudd skal databehandler gi melding til behandlingsansvarlig uten ugrunnet opphold. Meldingen skal minimum beskrive:

-         arten av brudd på personopplysninger, herunder om mulig, kategoriene og omtrentlig antall berørte registrerte og kategoriene og omtrentlig antall berørte personopplysninger;

-         navn og kontaktinformasjon til personvernansvarlig eller annet kontaktpunkt der mer informasjon kan fås;

-         de sannsynlige konsekvensene av informasjonssikkerhetsbruddet; og

-         tiltakene som er truffet eller foreslått for å ta hensyn til informasjonssikkerhetsbruddet, herunder eventuelt tiltak for å redusere mulige bivirkninger.

Hvis ikke all informasjon ovenfor kan gis i første varsel, skal informasjonen gis så snart som mulig, og senest 72 timer innen informasjonssikkerhetsbruddet har inntruffet. Behandlingsansvarlig skal sørge for at hendelsesrapporten sendes til Datatilsynet, dersom det kreves av GDPR artikkel 33.

5      Bruk av underleverandører

Databehandleren har rett til å benytte underleverandører navngitt i vedlegg 1 som sine databehandlere.

Databehandleren har en generell tillatelse til å benytte seg av underleverandører som underdatabehandlere. Behandlingsansvarlig skal informeres om bytte av underdatabehandlere eller tillegg av nye underdatabehandlere, og skal ha mulighet til å motsette seg slike endringer. Behandlingsansvarlig kan nekte databehandleren å bytte ut underdatabehandlere eller engasjere nye underdatabehandlere ved begrunnet mistanke om at personvernet kan bli svekket som følge av endringen. Behandlingsansvarlig må gjøre sin rett til å nekte endringen gjeldende ved skriftlig varsel

til databehandleren innen 14 kalenderdager etter å ha mottatt informasjonen om endringen. Hvis databehandleren ikke mottar slikt varsel innen fristen skal endringen ansees godkjent. Hvis behandlingsansvarlig innen utløpet av angitte frist nekter og databehandleren fastholder endringen, kan behandlingsansvarlig i en periode på 30 kalenderdager etter å ha mottatt databehandlerens skriftlige varsel om at endringen opprettholdes, si opp databehandleravtalen og avtalen med virkning fra 14 kalenderdager etter at databehandleren har mottatt oppsigelsen. Hvis avtalene ikke sies opp innen utløpet av fristen skal endringen anses godkjent.

6      Revisjon

Hver av partene dekker sine egne kostnader forbundet med en revisjon. Hvis en revisjon avdekker vesentlige avvik fra forpliktelsene i denne databehandleravtalen, skal alle kostnader forbundet med revisjonen dekkes av databehandleren, herunder behandlingsansvarliges og eksterne revisorers rimelige kostnader.

7      Disposisjonsrett til data

Databehandlerens disposisjonsrett til data (inkludert personopplysninger) er begrenset til behandlingsformålet definert i vedlegg 1. Databehandleren kan ikke holde tilbake data. Behandlingsansvarlig har rett til å få utlevert data på maskinlesbart format på forespørsel. Databehandleren kan i tillegg bruke behandlingsansvarliges data i anonymisert og aggregert form for å videreutvikle og forbedre sine produkter.

8      Ansvar og erstatning

Ansvar og erstatning er angitt i avtalen.

 9      Avtalens varighet

 Databehandleravtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig i henhold til avtalen.

Ved databehandlers brudd på databehandleravtalen eller personvernlovgivningen kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning.

10   Tilbakelevering, sletting og/eller destruering ved avtalens opphør

Ved opphør av avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av behandlingsansvarlig.

Behandlingsansvarlig kan kreve at databehandler sletter eller destruerer alle personopplysningene som behandles etter avtalen. Behandlingsansvarlig kan be databehandler skriftlig bekrefte til behandlingsansvarlig at sletting er gjennomført. Slettingen skal gjennomføres senest 60 dager etter avtalens opphør, med mindre annet er avtalt i Bilag 3.