Vilkår for bruk av Fiken
Nedenfor er de plikter og rettigheter du som kunde og bruker og vi som leverandør har ved bruk av regnskapssystemet Fiken og tilhørende moduler. Vi har forsøkt å bruke et enkelt og forståelig språk men om noe skulle være uklart hører vi gjerne fra deg på kontakt@fiken.no.
Sammendrag (gjort enkelt)
Om du (som vi) synes slike vilkår kan være kjedelige er det imidlertid greit å være spesielt klar over:
- Fiken brenner for å lage gode produkter - ikke vanskelige avtaler. Vi prøver alltid å strekke oss for deg som kunde og bruker, og gjøre det enkelt for deg.
- Vi må allikevel ha avtaler som sikrer oss, og deg som bruker, for å forhindre at noen med uærlige hensikter ikke kan bruke Fiken ulovlig, som å sende svindelfakturaer eller kopiere Fiken.
- Systemet er laget for bedrifter og regnskapsdata. Opplysninger og dokumenter som er spesielt sensitive bør du derfor oppbevare andre steder.
- Det er du som kunde som er fullt ut ansvarlig for regnskapet. Vår rolle er å gjøre dette så enkelt som mulig for deg, men vi kan ikke ta noe ansvar for innholdet.
- Vi må ta hensyn til regelverket for håndtering av regnskapsdata for hva som kan gjøres endringer og slettinger. Vi har derfor satt som hovedregel at ved sletting av bruker eller foretak tar vi vare på alle data i inntil 12 måneder før dataene, inkludert personopplysninger, slettes endelig.
- For å gjøre løsningen så bra som mulig bruker vi i noen tilfeller tredjepartstjenester fra andre aktører, se oversikt her: https://fiken.no/sluttbrukeravtale/datautveksling.
- Vi har også noen samarbeidspartnere. Disse presenterer vi hvis vi tror de kan være nyttige for deg, men det er du som bestemmer om de skal brukes.
- Det er du som kunde som eier data som du legger inn i Fiken. For å gjøre systemet så enkelt som mulig bruker vi mye tid på å forstå deg som bruker. En av de tingene vi gjør er å analysere bruksmønstre – selvsagt på en måte som ivaretar personvernet. Det hender også (en sjelden gang) at vi har feil i Fiken. Da vil vi gjerne rydde opp etter oss. Dersom vi har mistanke om at du kan være berørt, vil vi kunne ta en titt på regnskapet ditt for å eventuelt varsle deg. Det samme er tilfelle om du sender oss supporthenvendelser der vi kan gi deg et bedre svar gjennom å ta en titt på regnskapet ditt.
Inngåelse av avtale og aksept av vilkår
Disse vilkårene («Vilkårene») inngås og aksepteres av representant for foretak («Kunden») som skal bruke regnskapssystemet Fiken («Systemet») fra Fiken AS, org. nr. 913 312 465.
Vilkårene aksepteres av Kunden ved eksplisitt aksept eller ved å ta i bruk Systemet, eller at det inngås egen avtale med Vilkårene gjennom at Kunden og Fiken signerer en avtale, herunder signerer elektronisk. Vilkårene anses som en avtale (i det følgende omtalt som «Avtalen») mellom Kunden og Fiken når Vilkårene er akseptert på en av nevnte måter. Kunden skal få tilsendt en versjon av denne Avtalen på den e-post Kunden har oppgitt etter inngåelse av Avtalen. Mottar ikke Kunden Avtalen, må denne varsle Fiken, men er allikevel bundet av Avtalen.
Systemet er kun for juridiske personer, dvs. foretak og virksomheter, som ønsker å føre regnskap, og skal ikke benyttes for private formål. Ved aksept eller å inngå Avtalen som nevnt ovenfor bekrefter den som anskaffer eller tar i bruk Systemet, at denne har rett til og er bemyndiget til å akseptere Vilkårene og inngå Avtalen på vegne av Kunden. Hvis den som inngår Avtalen eller tar i bruk Systemet ikke har slik rett eller myndighet, vil vedkommende kunne bli personlig ansvarlig for eventuelt tap eller kostnader som Fiken AS påføres som følge av den urettmessige bruken av Systemet.
Kunden og dennes registrerte brukere får rett til å bruke Systemet med moduler etter Avtalen er inngått dersom bestemmelsene i Vilkårene og Avtalen overholdes og rett vederlag er betalt, se mer nedenfor.
Vilkårene gjelder også for brukere av Systemet, som bør sette seg inn i Vilkårene før bruk av Systemet.
Systemet og tjenester
Systemet er en nettbasert regnskapsløsning som hjelper bedrifter å føre regnskap og annet knyttet til driften, som å føre timer, foreta lønnsutbetalinger, fakturerer mv. Systemet har integrasjoner mot flere tredjepartstjenester som forenkler og automatiserer arbeidsoppgaver. Beskrivelse av Systemet og funksjonalitet finnes på fiken.no.
Fiken skal tilby og videreutvikle Systemet etter beste evne og rette feil så snart som mulig. Fiken vurderer om Kunden skal varsles basert på alvorlighetsgrad av eventuelle feil. Fiken skal tilstrebe en høyest mulig grad av oppetid og gjøre tekniske tiltak for å sikre dette.
Systemet vil utvikles løpende og det vil endres og legges til funksjonalitet. Ny funksjonalitet, herunder tilleggstjenester, vil kunne medføre ytterligere betaling. I tillegg kan Kunden kjøpe produkter og tjenester fra Samarbeidspartnere (som definert nedenfor) som er integrert i Systemet.
Dersom Kunden ønsker å bestille ytterligere tjenester skal disse bestillinger gjøres gjennom Systemet eller avtales mellom partene på annen måte, hvis dette er gjort mulig fra Fiken. Alle ytterligere tjenester og ytelser fra Fiken er underlagt Avtalen om ikke annet er eksplisitt avtalt.
Fiken vil kunne gi Kunden informasjon og opplæring knyttet til produktet gjennom applikasjon, e-post eller andre relevante medier. Fiken kan tilpasse kommunikasjonen basert på registrerte data i systemet, samt åpne tilgjengelige data om Kunden. Eksempler er å sende e-post til Kunder som ikke har levert næringsoppgave når fristen nærmer seg med informasjon om hvordan dette gjøres, eller å tilpasse skjermbildene avhengig av om Kunden er registrert med en regnskapsfører i Brønnøysund. Dersom Kunden ikke ønsker informasjon på e-post kan man melde seg av e-postlisten direkte i nyhetsbrev/tilsendt informasjon.
Fiken kan og ønsker å inngå samarbeid med tilbydere av tredjepartsprodukter («Samarbeidspartnere») der dette føles relevant for forenkling av Systemet. Et eksempel er å kunne sende faktura til inkasso på en sømløs måte. I tilfeller der dette gjøres vil tilbudet presenteres inne i Fiken der Kunden kan ta stilling til det.
Varighet og oppsigelse
Avtalen varer fra det tidspunkt Kunden har bestilt systemet, og løper inntil Kunden sier opp. Av hensyn til sikkerheten, og for at Kunden skal få mulighet til å ta kopi av sine data, må oppsigelse skje i Systemet.
Avtalen kan også sies opp av Fiken dersom Vilkårene ikke overholdes eller dersom Avtalen misligholdes, for eksempel ved manglende betaling, se nedenfor.
Ved oppsigelse av Avtalen opphører rettigheter og plikter i henhold til Avtalen, med unntak av rettigheter og plikter som naturlig vil fortsette å eksistere etter oppsigelse, som betaling av utestående vederlag, konfidensialitetsplikt og immaterielle rettigheter.
Priser og betaling
Fiken fakturerer Kunden forskuddsvis halvårlig. Fakturering følger den datoen Kunden eksplisitt bestiller Systemet, og skjer ikke automatisk ved utløp av prøveperioden.
Fiken praktiserer ikke bindingstid, og ved oppsigelse kan Kunden, ved å ta kontakt med Fiken, få tilbakebetalt eventuelt utestående beløp som regnes fra begynnelsen av neste månedlige intervall basert på Kundens bestillingsdato.
Prisene gjelder per foretak etter den til enhver tid gjeldende prisliste, og er oppgitt eksklusiv merverdiavgift og andre skatter.
Fiken kan endre priser og prismodell, som da vil varsles med rimelig frist, minimum tre måneder, til Kunden. Slik varsling kan skje i Systemet eller ved epost til Kunden.
Foreligger det feil ved fakturering fra Fikens side, må Kunden informere om feilen og hva Kunden mener er riktig vederlag innen tre måneder etter fakturadato. Ellers anses faktura som akseptert.
Ved forsinket betaling, belastes forsinkelsesrente og eventuelle gebyrer for å håndtere betalingskravet og inndrivelse, se «Mislighold og ansvar».
Fikens rettigheter og plikter. Leveranse av Systemet
Systemet leveres «som den er», og Systemet og funksjonalitet i dette vil derfor ikke være feilfri eller tilgjengelig til enhver tid. Fiken skal levere Systemet slik at den i det vesentlige fungerer i henhold til beskrivelsen i Avtalen og eventuell beskrivelse av Systemet fra Fiken.
Fiken skal holde Systemet tilgjengelig i så stor grad som mulig, men da med unntak for planlagt eller nødvendig vedlikehold. Fiken er ikke ansvarlig for manglende tilgjengelighet som skyldes Kunden, herunder, maskin- eller programvare, lisenser fra tredjepart eller annet som er nødvendig for å få tilgang til Systemet, underleverandører eller forhold utenfor Fikens kontroll. Fiken skal sikre Systemet og Kundens data i denne så godt det lar seg gjøre, men all bruk av digitale løsninger er utsatt for usikkerheter og angrep, som DDoS-, ransomware og malware-angrep mv., som det ikke er mulig å sikre seg helt mot.
Systemet er utviklet for regnskapsføring og omfatter funksjonalitet som normalt inngår i denne type funksjoner. Fiken er derfor ikke ansvarlig for funksjonalitet som Kunden har behov for og Systemet eller moduler i dette sin egnethet for et bestemt formål for Kunden annet enn for regnskapsføring og det som følger av beskrivelse av Fiken, samt alle ytelser fra tredjeparter som leverer tjenester eller produkter i Systemet. For Kunder i prøveperiode uten betalt abonnement kan noen av Systemets funksjoner være utilgjengelig.
Fiken vil kunne gjøre endringer og forbedringer av Systemet som kan endre funksjonalitet, tilgjengelighet og andre forhold knyttet til Systemet. Ved oppdatering eller endringer av Systemet, kan dette medføre at Kunden må oppdatere sine løsninger, herunder nettleser eller annen maskin- eller programvare.
Fiken har rett til å suspendere tilgang til Systemet og/eller Kundens tilgang til Systemet, herunder stenge tilgang for enkelte brukere, uten varsel og med umiddelbar virkning dersom bruk av Systemet eller andre forhold knyttet til Kunden eller bruker medfører en negativ innvirkning på Fikens nettverk, infrastruktur, tjenesteplattform, ytelser og tjenester til andre kunder eller lignende. Tilsvarende gjelder om Fiken har rimelig grunn til å mistenke at Kunden eller bruker bryter Vilkårene eller Avtalen eller bruker Systemet på en ulovlig eller uredelig måte. Slik bruk kan være aktiviteter som strider mot Regelverket eller Vilkårene som for eksempel å sende fiktive fakturaer, eller aktiviteter som kan føre til skade eller tap for Fiken eller Fikens renommé.
Fiken har rett til å stenge tilgang til systemet basert på Kundes IP-adresse eller lignende. Suspensjon som skyldes Kundens forhold, fritar ikke Kunden fra å betale alle beløp som Kunden er skyldig for Systemet.
Andre rettigheter og plikter for Fiken følger av de øvrige deler av Avtalen.
Kundens rettigheter og plikter. Plikter for brukere
Kunden tilordner og gir rettigheter til de brukere som skal benytte seg av Systemet. I tillegg kan Fiken gi tilgang til de som er registrert som regnskapsfører, som revisor eller med signaturrett til selskapet i Brønnøysund.
Det må kun brukes fullstendig og korrekt navn som bruker av Systemet. Det kan opprettes andre foretak av Kunden, men kun foretak som Kunden har rett til å opprette bruker for. Opprettes det flere foretak i Systemet, gjelder Vilkårene for alle foretak som da underlegges Avtalen.
Tilgang til Systemet er sikret gjennom passord og eventuelle andre sikkerhetsmekanismer. Passord er personlig, og brukere skal ikke dele passord med andre personer. Kunden er selv ansvarlig for at uvedkommende ikke får tilgang til passord og/eller Systemet. Kunden er ansvarlig for alle tilganger som er gitt brukere, samt at brukerne er kjent med Avtalen og følger disse. I tillegg må brukere akseptere Vilkårene før de får tilgang til Systemet og Vilkårene gjelder også for brukere av Systemet. Får uvedkommende tilgang til Tjeneste som følge av Kundens forhold, er dette Kundens ansvar.
Kunden skal iverksette alle rimelige tiltak for å forhindre uautorisert tilgang til eller bruk av Systemet, umiddelbart varsle Fiken om uautorisert tilgang eller bruk samt samarbeide med Fiken om å avdekke hva som har skjedd og gjenopprette sikring av Systemet og annet som Fiken kan ha behov for i en slik situasjon.
Kundens bruk av Systemet skal være i overensstemmelse med alle lover og regler som kan ha betydning for bruk av Systemet, herunder regler knyttet til behandling av personopplysninger, markedsføring og annet («Regelverket»). Systemet skal kun benyttes til lovlige og bedriftsrelaterte formål. Utsending av fiktive eller ikke-reelle fakturaer (uten å kunne dokumentere en avtale eller aktivt samtykke med fakturamottaker) anses som misbruk av Systemet og brudd på Avtalen, og kan medføre straffe- og erstatningsansvar.
Kunden er kjent med at brudd på Avtalen og Regelverket kan medføre tap, kostnader, inntektsbortfall, omdømmetap mv. for Fiken, og plikter derfor iverksette tiltak for at Regelverket blir overholdt. Kunden skal informere sine ansatte og andre som får tilgang til Systemet om rettigheter og plikter etter Avtalen. Kunden er ansvarlig for alle brudd på Avtalen på Kundes side.
Fiken har Kundens tillatelse til å opptre på vegne av kunden i PEPPOL-nettverket (for å registrere Kunden som mottaker og sender av EHF-fakturaer).
Systemet leveres av Fiken til Kunden på forretningsmessig basis, og Fiken har ikke ansvar for det som leverandører som leverer ytelser og tjenester gjennom Systemet («Samarbeidspartnere»). Fiken har tilsvarende ikke ansvar for informasjon om produkter og tjenester som Samarbeidspartnere gjør tilgjengelig i Systemet. Det er Samarbeidspartnere som har ansvar for sine tjenester etter vilkår gjort tilgjengelig fra Samarbeidspartneren. Kunden er innforstått med at Fiken kun videreformidler informasjon om og tjenester/produkter fra Samarbeidspartnere, og Fiken har ingen kontroll på informasjonen som går gjennom Systemet eller de produkter/tjenester som Kunden kjøper gjennom Systemet.
Kunden er ansvarlig for informasjon og data som Kunden legger inn i Systemet og data eller informasjon som genereres i Systemet som følge av Kundens bruk av Systemet, herunder opplysninger som sendes inn til offentlige myndigheter i form av pliktig rapportering, og kan ikke fremme krav overfor Fiken for data og innhold i Systemet.
Fiken kan, dersom denne avdekker at det er innhold som strider mot Avtalen eller Regelverket, endre, gjøre utilgjengelig, fjerne eller slette data eller innhold etter eget skjønn for å sikre Systemets lovlighet eller integritet. Fiken har ikke ansvar for eller plikt til å gjennomføre slike tiltak.
Kunden kan selv slette data i Systemet, men sletting av registrerte regnskapsdata kan ha store konsekvenser om det gjøres utilsiktet. Data vil derfor beholdes i inntil 12 måneder selv om Kunden sletter data. Ved særlige behov for endelig sletting før dette kan skriftlig forespørsel sendes til Fiken. Se nærmere om sletting av personopplysninger i databehandleravtalen. Kunden kan eksportere registrerte data i egen funksjon i Systemet, men må være klar over at enkelte typer data ikke vil kunne eksporteres. Om Kunden ønsker en selektiv sletting av opplysninger i Systemet, utover det som støttes av Systemets funksjoner, gjøres dette på forespørsel og kan medføre kostnader for Kunden tilsvarende Fikens utgifter til det.
Kunden skal ikke undersøke kode, funksjonalitet, grensesnitt, tekniske løsninger, infrastruktur, koblinger mot andre løsninger (API), dekompilere mv. Systemet i større grad enn nødvendig for å bruke Systemet etter intensjonen for Systemet i overensstemmelse med Avtalen. Kunden skal ikke selv eller gjennom andre utnytte Systemet på annen måte enn beskrevet, informert og skriftlig akseptert av Fiken, herunder sende data i store menger eller teste Systemet (som stresstest, portscanning mv.), herunder sikkerhetstesting, scrape data, informasjon, mv.
Kunden skal kun bruke Fikens foretaksnavn, logo, varemerke, produktmerker eller annet som kan knyttes til Fiken etter skriftlig forhåndssamtykke fra Fiken, og følge retningslinjer for markedsføring og design for Systemet. Kunden kan ikke fjerne Fikens foretaksnavn, logo, varemerke mv. i Systemet.
Kontaktopplysning for Kunden er den epostadressen registrert på foretaket i Systemet. Det er Kundes ansvar å holde epostadressen oppdatert.
Rettigheter til Systemet, innhold og data
Fikens rettigheter til Systemet mv.
Fiken og dets underleverandører som leverer funksjonalitet og løsninger til Systemet beholder alle immaterielle rettigheter og andre rettigheter knyttet til Systemet, andre tjenester og eventuelle leveranser som måtte leveres til Kunden, herunder rettigheter til teknologi, all kode, design og grensesnitt, maler, dokumentasjon, hjelpefiler, opplæringer, formater og dashbord, inkludert eventuelle endringer eller forbedringer av disse elementene gir Kunden eller ansatte/personer tilknyttet Fiken tilbakemeldinger eller forslag angående Systemet, andre ytelser fra Fiken eller annet som kan knyttes til Fiken, kan Fiken bruke slike tilbakemeldingene eller forslagene uten begrensning eller forpliktelse.
Kunden har ikke rett til å bruke Systemet for å få informasjon til å lage eller bidra til å lage eller utvikle helt eller delvis en konkurrerende løsning til Systemet. Ved tvil skal forholdet avklares med Fiken, og Kunden skal ikke bruke Systemet inntil skriftlig bekreftelse er mottatt. Brudd på dette kan medføre erstatningsansvar.
Rett til å bruke Systemet (lisens)
Kunden får en ikke-eksklusiv, gjenkallelig, begrenset rett til å bruke Systemet i de foretak som er registrert i Systemet som regulert i Avtalen såfremt Kunden har betalt det til enhver tid gjeldende vederlag for bruk av Systemet for de registrerte foretak.
Bruksretten er knyttet til registrerte foretak og brukere og for disses eksklusive bruk, og Systemet kan ikke brukes til andre foretak enn det som er registrert i Systemet. Bruksretten kan ikke benyttes av eller overdras til andre enn registrerte brukere hos Kunden. Misbruk av bruksretten anses om vesentlig mislighold av avtalen og gir Fiken rett til å suspendere brukeren og/eller terminere avtalen og bruksretten.
Den enkelte brukers konto er personlig og skal knyttes til brukerens reelle epostadresse. Det er ikke tillatt å videreselge, gi bort eller spre brukerinformasjon.
Fikens rettigheter til data og informasjon
Informasjon som gjøres tilgjengelig i Systemet er enten Fikens eller Samarbeidspartneres eiendom og som Fiken eller Samarbeidspartneres har alle rettigheter til. Kunden skal på ingen måte lagre, samle inn, organisere, bruke, endre mv. nevnte uten på slik måte som er nødvendig for å bruke Systemet.
Fiken har rett til å bruke det innhold som Kunden legger inn i Systemet for å levere Systemet, og Kunden gir Fiken rett til bruk av slikt innhold for å levere Systemet.
Siden hensikten med Systemet er å automatisere og forenkle regnskap gjennom bruk av teknologi, kan Fiken kan generere informasjon og data som bruksmønstre, tekniske logger, data, statistikk, know-how, mv. samt personopplysninger, om Kundens bruk av Systemet og innholdet som behandles som en følge av Systemet. Fiken kan bruke slik informasjon og data for å analysere, forbedre og støtte Systemet, herunder maskinlæring og kunstig intelligens, sikkerhet, funksjonalitet mv. og andre formål, som å overføre til samarbeidspartnere. Hensikten med bruk av data kan være å effektivisere og forenkle Kundens arbeidssituasjon. Et eksempel på dette er å analysere hvilke kostnadskontoer som er vanlige å bruke på en gitt leverandør for å kunne presentere dette som forslag i liknende situasjoner.
Kundens rettigheter til data og informasjon
Kunden har rett til egne data og informasjon lagt inn i Systemet av Kunden med unntak av Fikens rettigheter i henhold til Avtalen.
Ved opphør av Avtalen kan Kunden få eksportert sine data og sin informasjon gjennom løsning i Systemet. Eksport vil da gjøres i en fil på et normalt maskinlesbart format, men det vil være data og informasjon i systemet som ikke omfattes av eksporten.
Behandling av personopplysninger. Informasjon om Systemet
Fiken er behandlingsansvarlig for alle opplysninger som Fiken bestemmer formålet for behandlingen og hvordan behandlingen skal skje. Dette omfatter bl.a. informasjon om Kunden, brukere hos Kunden, tekniske data, logger, informasjon om Kunden og leverandører mv. Se for øvrig Fikens personvernerklæring.
For informasjon som Kunden legger inn i Systemet vil Fiken behandle personopplysninger på vegne av Kunden, og er derfor databehandler. Kunden vil inngå databehandleravtale som dekker behandlingen av personopplysninger for Kunden. Slik databehandleravtale er inntatt som del av Avtalen, og inngås sammen med Avtalen.
Kunden aksepterer at det sendes ut informasjon om Systemet og Samarbeidspartneren, herunder endringer i Systemet og i varer og tjenester fra Samarbeidspartneren. Slik informasjon vil kunne sendes til kontaktperson for Kunden (som den person som inngår Avtalen) samt til brukere av Systemet. Kunden skal sikre at slike mottakere har akseptert å få slik informasjon.
Mislighold og ansvar
Foreligger det mislighold fra en av partene, skal den andre part varsle skriftlig om misligholdet uten ugrunnet opphold fra part innen rimelig tid fra misligholdet ble oppdaget eller burde vært oppdaget. Den misligholdende part skal da bringe forholdet i orden så snart som mulig.
Bringes ikke forholdet i orden, kan det eventuelt kreves prisavslag, og anses forholdet som vesentlig, kan Avtalen heves helt eller delvis for det forhold som misligholdet gjelder. Heving kan i slike tilfelle skje med øyeblikkelig virkning.
Ved forsinket betaling kan Fiken kreve forsinkelsesrenter etter forsinkelsesrenteloven. Ved forsinket betaling fra Kunden, kan Fiken holde tilbake en forholdsmessig del av sin ytelse, f.eks. ved å midlertidig stenge Kundens tilgang til Systemet. Manglende betaling ut over 30 dager etter betalingsvarsel anses å være vesentlig mislighold.
Partene er ikke ansvarlig indirekte tap som den andre part påføres. Som indirekte tap regnes bl.a. tap grunnet driftsavbrudd eller andre grunner til at Systemet ikke er tilgjengelig, tap av data, tapt fortjeneste og krav fra tredjepart.
Samlet erstatning er uansett begrenset til 50 % av det vederlag Kunden har betalt for Systemet de foregående 12 månedene, inklusiv eventuelt krav om tilbakeføring av vederlag ved heving.
Disse begrensningene gjelder imidlertid ikke hvis den misligholdende part eller noen denne svarer for, har utvist grov uaktsomhet eller forsett, samt ved brudd på immaterielle rettigheter som at Systemet er brukt i strid med Vilkårene for å utvikle en konkurrerende løsning til Systemet.
Partene er heller ikke ansvarlig dersom partenes ytelse eller plikter etter Avtalen forhindres eller vanskeliggjøres av omstendigheter som parten ikke med rimelighet kunne ha forutsett eller råde over (fritakelsesgrunner eller force majeure). Slike omstendigheter omfatter blant det som regnes som fritakelsesgrunner etter Regelverket, herunder/samt brann, arbeidskonflikter, leveranse fra underleverandører eller tilgangsnettoperatør (bl.a. til telenett og internett), mangel på kraft, pandemi, terrorisme, naturkatastrofer, og endringer i Regelverket.
Fiken er uavhengig av ovennevnte ikke ansvarlig for innholdet i data som registreres av Kunden i Systemet, og heller ikke for Kundens bruk av Systemet. Dette betyr for eksempel at Fiken ikke er ansvarlig for innrapportering av regnskapsdata eller innholdet i utsendte faktura.
Konfidensialitet
Partene skal ikke utnytte, gis tilgang til eller utlevere informasjon mv. som etter en forsiktig vurdering må anses som konfidensiell for den andre part, som omfatter bl.a. informasjon om kunder, forretningsmessige forhold, teknologi, funksjonalitet, ny funksjonalitet, brukergrensesnitt, tilganger, kostnader og inntekter, markedsplaner og arbeidsmetoder mv. Partene skal behandle informasjonen med tilstrekkelig grad av konfidensialitet for å opprettholde, beholde og beskytte informasjonen. Konfidensialitetskravet gjelder både mens Avtalen gjelder eller etter dette. Er en part i tvil om informasjon er konfidensiell, skal den andre part forespørres før informasjon utnyttes, utleveres, gis tilgang mv.
Konfidensialiteten omfatter ikke informasjon som er nødvendig for utøvelsen av rettigheter og plikter etter Avtalen, for å administrere forholdet til Avtalen, eller utlevering som er pålagt etter Regelverket. Dette gjelder også lovpålagt utlevering av data til offentlige myndigheter ved forespørsel, for eksempel Skattetaten, også uten å varsle Kunden.
Se også ovenfor om å utnytte informasjon om Systemet til å utvikle konkurrerende løsning til Systemet, som anses å være brudd på konfidensialitetsplikten etter dette punktet.
Overdragelse
Avtalen følger Systemet og kan dermed overdras for eksempel ved fusjon eller kjøp av produkt/selskap. Fiken kan fritt overdra Avtalen.
Endringer av Avtalen
Fiken kan endre Avtalen ved å varsle Kunden. Slikt varsel skjer gjennom Systemet, hvor Kunden aksepterer ny avtale ved å logge på Systemet. Dersom endringen er til vesentlig ugunst for Kunden, har Kunden anledning til å si opp Avtalen og leveransen av Systemet, dersom slik oppsigelse gjøres skriftlig.
Eventuelle oppdateringer av Avtale kan gjøres tilgjengelig i Systemet for Kundens aksept eller godkjenning.
Lovvalg og tvister
Partenes rettigheter og plikter etter Avtalen reguleres av norsk rett.
Oppstår det tvist mellom partene om tolkingen eller rettsvirkningene av Avtalen skal dette søkes løst ved forhandlinger. Fører slike forhandlinger ikke frem innen én måned, kan hver av partene bringe tvisten inn for norske domstoler for endelig avgjørelse.
Oslo avtales som eksklusivt verneting.
Sist oppdatert: 08.2024
Databehandleravtale
Mellom Kunden, som angitt ovenfor i Avtalen som denne databehandleravtalen er en del av («Behandlingsansvarlig») og Fiken AS («Databehandler») er avtale om behandling av personopplysninger («Databehandleravtalen») som Databehandler skal foreta for Behandlingsansvarlig som følge av Avtalen. De samme begreper som benyttes i Avtalen skal ha samme mening i Databehandleravtalen.
Databehandleravtalens formål
Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig på den bakgrunn som følger ovenfor.
Formålet med behandlingen er å levere regnskapssystemet Fiken. Regnskap er en lovpålagt funksjon og formålet er derfor også å oppfylle lovpålagte krav til regnskap som blant annet definert i bokføringsloven. Videre skal opplysningene gi Behandlingsansvarlig oversikt og styringsgrunnlag knyttet til økonomi.
Varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte følger av vedlegg til Databehandleravtalen.
Databehandleravtalen skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende kravene til behandling av personopplysninger, herunder bl.a. personopplysningsloven, Europaparlaments- og rådsforordning om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger og om oppheving av direktiv 95/46/EF (personvernforordningen eller GDPR), annen norsk lov med tilhørende forskrifter som har betydning for behandling av personopplysning, og lovverk som senere erstatter nevne lovverk («Personvernlovgivningen»).
Databehandler skal behandle personopplysningene på den måte som er beskrevet i Databehandleravtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig.
Begreper og definisjoner benyttet i Databehandleravtalen skal forstås på samme måte som i Personvernlovgivningen.
Databehandlers plikter
Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Databehandleravtalen oppfyller kravene i Personvernlovgivningen og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Se også ytterligere plikter i punktet om «Sikkerhet og avvik» nedenfor.
Databehandleren skal kun behandle personopplysningene basert på dokumenterte instrukser fra Behandlingsansvarlig. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen måte enn det som er nødvendig for å utføre den behandling som Databehandler skal gjøre for Behandlingsansvarlig. Se imidlertid i Avtalen om opplysninger som kan overføres til Databehandler for videre bruk i Databehandlers virksomhet og videre overføring, som da Databehandler blir behandlingsvarlig for.
Databehandleren skal bistå Behandlingsansvarlig i å svare på anmodninger fra registrerte hensyntatt behandlingens art og i den grad det er mulig, bistår, ved hjelp av egnede tekniske og organisatoriske tiltak. Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter etter personvernforordningens kapittel III samt bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet. Tilsvarende gjelder for bistand med vurdering av personvernkonsekvenser og forhåndsdrøftinger i personvernforordningens artikkel 32 til 36, hensyntatt behandlingens art og den informasjonen som er tilgjengelig for Databehandleren. Foreligger det godkjente adferdsnormer etter personvernforordningens artikkel 40 eller godkjent sertifiseringsordning etter artikkel 42, som Databehandleren har påtatt seg å overholde eller være sertifisert etter, plikter Databehandleren å etterkomme slike adferdsnormer eller sertifiseringskrav.
Databehandleren skal føre protokoll over behandlingsaktiviteter denne utfører på vegne av Behandlingsansvarlig, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30 nr. 2.
Databehandleren skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i dette punktet er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen etter fullmakt fra Behandlingsansvarlig. Behandlingsansvarlig har selv det direkte ansvaret for kontakt og kommunikasjon med aktuelle tilsynsmyndigheter, herunder Datatilsynet, og Databehandler skal ikke kontakte tilsynsmyndighet om behandlingen uten at dette er klarert med Behandlingsansvarlig.
Databehandleren har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Databehandleravtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør.
Databehandleren skal ikke utlevere opplysninger eller informasjon som denne behandler for Behandlingsansvarlig til andre uten eksplisitt pålegg fra Behandlingsansvarlig. Henvendelser til Databehandleren skal Databehandleren videreformidle til Behandlingsansvarlig så raskt som mulig.
Er Databehandleren av den oppfatning at en instruks fra Behandlingsansvarlig er i strid med Personvernlovgivningen, skal Databehandleren umiddelbart underrette Behandlingsansvarlig om Databehandlerens oppfatning.
Behandlingsansvarliges plikter og rettigheter
Behandlingsansvarlig er ansvarlig for at personopplysninger blir behandlet i samsvar med Personvernlovgivningen, og har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen som Databehandleren forestår. Derfor skal Behandlingsansvarlig gi Databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles, hvor instruksene kan enten være en del av Databehandleravtalen eller lagt ved Databehandleravtalen som et vedlegg. Instruksjonene kan også være gitt etter Databehandleravtalens inngåelse.
Behandlingsansvarlig har rett til å si opp Databehandleravtalen dersom Databehandleren ikke lenger oppfyller personvernforordningens krav etter artikkel 28 nr. 1.
Bruk av underleverandør
Databehandleren skal kun benytte underleverandører til behandling av personopplysninger (underdatabehandler) som er skriftlig godkjent av Behandlingsansvarlig og som har bekreftet å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Databehandleravtalen oppfyller kravene i Personvernlovgivningen, og vern av den registrertes rettigheter.
Godkjente underdatabehandlere ved Databehandleravtalens inngåelse er spesifisert i vedlegg til Databehandleravtalen.
Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk av underdatabehandler for behandling av personopplysninger etter Databehandleravtalen. I tilfelle Databehandleren har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette Behandlingsansvarlig om planene med minst fire ukers varsel og dermed gi Behandlingsansvarlig muligheten til å motsette seg slike endringer. Slik underretning kan gis i Systemet. De til enhver tid gjeldende underdatabehandlere skal være tilgjengelig her: https://fiken.no/sluttbrukeravtale/datautveksling.
Godkjenner ikke Behandlingsansvarlig bruken av underdatabehandler etter ovennevnte, skal partene bli enige om hvordan Avtalen skal gjennomføres uten bruk av underdatabehandleren.
Underdatabehandler skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i Databehandleravtalen i bindende avtale hvor underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til Personvernlovgivningen, vern av personopplysninger og kravene i Databehandleravtalen, skal Databehandleren overfor Behandlingsansvarlig ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser.
Sikkerhet og avvik
Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter Personvernlovgivningen og bransjestandarder som er relevant for behandling av personopplysninger etter Avtalen. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges forespørsel.
I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle Behandlingsansvarlig uten ugrunnet opphold. Melding om brudd skal minimum inneholde det som følger av personvernforordningen artikkel 33 nr. 3
Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.
Behandlingsansvarlig har ansvaret for å sende melding til tilsynsmyndighet. Databehandler gis rett til å sende meldinger og kontakte tilsynsmyndighet dersom det skjer avvik og Databehandler mener at tilsynsmyndighet og/eller de registrerte skal underrettes om avviket.
Overføring til land utenfor EØS (tredjeland)
Personopplysninger skal kun overføres til land utenfor EØS (tredjeland) etter instruks fra Behandlingsansvarlig. Databehandleren skal altså ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at Behandlingsansvarlig har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personopplysningsloven og annet regelverk er ivaretatt.
Databehandleravtalens varighet, pålegg om stans, plikter ved opphør/oppsigelse
Databehandleravtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlig etter Avtalen.
Ved brudd på denne Databehandleravtalen, personopplysningsloven eller annet relevant regelverk, kan Behandlingsansvarlig pålegge Databehandleren å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning.
Databehandleren skal, etter Behandlingsansvarliges instruksjon, slette eller tilbakelevere alle personopplysningene til Behandlingsansvarlig etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.
Behandlingsansvarlig skal motta en skriftlig bekreftelse fra Databehandleren på at alle personopplysninger er returnert eller slettet i henhold til Behandlingsansvarliges instruksjoner og at Databehandleren ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i noen form.
Øvrige plikter og rettigheter
Øvrige plikter og rettigheter følger av Avtalen som gjelder mellom Databehandleren og Behandlingsansvarlig om tjenestene som nødvendiggjør behandling av personopplysninger og denne Avtale. De samme kontaktpersoner gjelder for Databehandleravtalen som etter Avtalen.
Vedlegg: Beskrivelse av behandling av personopplysninger
Formålet med behandlingen
Formålet med behandlingen er å gi Behandlingsansvarlig tilgang til Systemet og bruke de tjenester som Behandlingsansvarlig bestiller og Databehandleren leverer etter Avtalen.
Varigheten av behandlingen
Behandlingen skal vare å lenge Databehandleren yter tjenestene etter Avtalen til Behandlingsansvarlig og deretter 18 måneder som dataene til Behandlingsansvarlig oppbevares, se nedenfor.
Data lagret i Systemet er regnskapsdata, og det stilles krav til sporbarhet etter regnskapsloven, noe som hindrer sletting av enkeltopplysninger som kan inneholde personopplysninger. Kunden kan slette hele foretak i Systemet, men må være klar over at sletting av et helt regnskap kan ha store konsekvenser for Kunden og potensielt være lovstridig om det ikke foreligger sikkerhetskopi. Ved valg om sletting av et helt foretak vil derfor alle data, herunder personopplysninger, først slettes reelt 12 måneder etter at den logiske slettingen er gjort.
Kunden kan slette en bruker i Systemet gitt at alle tilhørende foretak også er slettet (for å ivareta krav til sporing). Siden en bruker i dette tilfellet også representerer regnskapsdata vil en bruker fysisk slettes inntil 12 måneder etter at den logisk er slettet.
For å ivareta krav til sikkerhet, konsistens vil det oppbevare en sikkerhetskopi av data i inntil tre måneder.
Dersom særlige grunner skulle tilsi at data skal slettes raskere enn nevnt ovenfor kan Databehandler kontaktes skriftlig.
Loggdata beholdes i tre år av sikkerhetshensyn, som for å kunne spore forsøk på hacking.
Behandlingens art
All behandling av personopplysninger eller det som nødvendiggjør behandlingen under Avtalen.
Typer personopplysninger som skal behandles
I forbindelse med leveranse av Systemet som Kunden og dens brukere gjør behandles det følgende personopplysninger:
- Navn og kontaktopplysninger på brukere av Systemet
- Aktiviteter av brukere i Fiken
- Kontaktopplysninger om ansatte hos Kunden i tilknytning til lønn- og timeføring
- Navn og kontaktopplysninger på kunder av Kunden ved fakturering, herunder innhold på fakturaer som inneholder personopplysninger, som tilknyttede spesifikasjoner
- Kontaktopplysninger på leverandører og samarbeidspartnere av Kunden og annet som fremkommer på fakturaer og regnskapsbilag/-dokumentasjon
- Opplysninger om andre personer som Kunden eller dennes brukere legger inn i dokumenter eller felt hvor det kan legges inn fritekst
- Tekniske data knyttet til bruk av Systemet, som sikkerhetslogger, IP-adresse, registrering av aktiviteter og bruk mv.
Kategorier av registrerte
Bruker av systemet, ansatte hos Kunden, kontaktpersoner hos kunder, leverandører og samarbeidspartnere av Kunden, og andre personer som kan identifiseres i informasjon eller dokumentasjon som legges inn i Systemet.
Underdatabehandlere ved inngåelse av Avtalen
Databehandlere og andre som mottar data, herunder personopplysninger, som følge av behandlingen og tilgjengeliggjøring av Systemet er inntatt her: https://fiken.no/sluttbrukeravtale/datautveksling.
Enkelte databehandlere og mottakere av data er avhengig av hvilke moduler og funksjoner som Kunden tar i bruk i Systemet. For samarbeidspartnere som representerer valgfrie moduler i Systemet presenteres bruk av slik samarbeidspartner som en opsjon Kunden kan velge å benytte eller ikke. Et eksempel er mulighet til å sende en faktura til en ekstern leverandør av inkassotjenester. Dette er tjenester av funksjonell art som har til hensikt å tilby behandlingsansvarlig så gode funksjonelle tjenester som mulig. Databehandler har rett til å tilby behandlingsansvarlig tredjepartsprodukter som basert på registrerte opplysninger kan utgjøre nyttige tilbud. Dersom tilbudet ønskes å ta i bruk er det Behandlingsansvarliges oppgave å opprette en databehandleravtale med samarbeidspartneren. Databehandleren vil ikke utveksle informasjon før modulen er aktivert i Systemet.
Sikkerhetstiltak
Sikkerheten i Systemet utvikles og forbedres kontinuerlig. Følgende tiltak foreligger ved inngåelse av databehandleravtalen:
Kryptering
All data som sendes ut av datasenteret skal være kryptert. Det betyr at:
- All kommunikasjon kunder har med fiken.no (og underdomener som hjelp.fiken.no og blogg.fiken.no) er kryptert
- Eksterne tjenester Fiken benytter seg av er kryptert ved overføring av data
- All administrasjon av servere, inkludert gjennomgang av logger, etc. foregår over kryptert forbindelse.
I tillegg til at all data sendes kryptert, skal også alle produksjonsdata være kryptert. Dette inkluderer både data på eget datasenter, samt data som er lagret utenfor eget datasenter.
Passord
Brukeres passord skal ikke lagres i klartekst. I de tilfeller hvor det kun trengs passord for verifisering (for eksempel innlogging på fiken.no), lagres kun en sikker hash av passordet. Hashalgoritmene som brukes i disse tilfellene skal være ment for passordhashing (inkludere salting og key-stretching algoritmer) som gjør de robuste mot «brute force»-angrep. Brukere sine passord som brukes til innlogging i tredjepartstjenester (for eksempel brukeren sitt Altinn-systempassord lagret i Fiken.no) lagres kryptert.
Applikasjonspassord til viktige tjenester (som for eksempel databasepassord eller eksterne apipassord) skal ikke være innsjekket i klartekst i kildekode men håndteres av konfigurasjonsstyringssystem.
Ansattes tilgang til data
Ansattes tilgang til brukerdata er begrenset. Personell ansatt i Fiken AS med ansvar for drift, support mv. kan bruke sin administratortilgang til Behandlingsansvarliges data for å utføre brukerstøtte, gjøre driftsvedlikehold og videreutvikle tjenesten i henhold til Fikens personvernerklæring.
Testdata til bruk for feilsøking, ytelsestester, etc. skal være anonymiserte.
Infrastruktur
Fiken bruker servere lokalisert i Norge, hvor datarommet er godt fysisk sikret og overvåket. Datahallen overholder bl.a. ISO 27001:2013 og ISO 9001:2015.
Tofaktorautentisering
Alle driftstjenester skal være satt opp med tofaktorautentisering. Dette inkluderer både eksterne tjenester (som e-post, DNS-administrasjon, etc.) samt administrasjon av servere. For kunder er det mulig å bruke tofaktorautentisering ved innlogging på fiken.no etter kundens eget valg.