Innledning

Dette dokumentet regulerer plikter og rettigheter du som kunde og vi som leverandør har ved bruk av regnskapsprogrammet Fiken og tilhørende moduler ("Systemet"). Dokumentet er bevisst forsøkt å holde på et enkelt og forståelig språk. Dersom noe skulle være uklart hører vi gjerne fra deg på kontakt@fiken.no.

Dokumentet består av:

  • Brukeravtale - dette dokumentet som regulerer avtaleforholdet mellom deg som kunde og oss som leverandør.
  • Databehandleravtale - vedlegg til Brukeravtalen som regulerer hvordan vi som leverandør skal behandle og forvalte personopplysninger på vegne av deg som kunde.

Sammendrag

Om du (som vi) synes slike dokumenter kan være kjedelige er det imidlertid greit å være spesielt klar over:

  • Systemet er laget for bedrifter og regnskapsdata. Data/dokumenter som er spesielt sensitive bør du derfor oppbevare andre steder.
  • Det er du som kunde som er fullt ut ansvarlig for regnskapet. Vår misjon er å gjøre dette så enkelt som mulig for deg.
  • Vi må ta hensyn til lovverk rundt håndtering av regnskapsdata og viktigheten av data når det gjelder hva vi kan tillate av endringer og slettinger. Som hovedregel har vi derfor satt at ved sletting av bruker eller foretak tar vi vare på alle data for deg i inntil 12 måneder før dataene, inkludert personopplysninger, permanent slettes.
  • For å gjøre løsningen så bra som mulig bruker vi i noen tilfeller tredjepartstjenester fra andre aktører - disse er nærmere beskrevet i eget dokument.
  • Vi har også noen samarbeidspartnere. Disse presenterer vi hvis vi tror de kan være nyttige for deg, men det er du som er sjefen og bestemmer om de skal brukes.
  • Det er du som kunde som eier de registrerte dataene i Fiken. For å gjøre systemet så enkelt som mulig bruker vi mye tid på å forstå deg som bruker. En av de tingene vi gjør er å analysere bruksmønstre - selvsagt på en måte som ivaretar personvernet. Det hender også (en sjelden gang) at vi har feil i Fiken. Da vil vi gjerne rydde opp etter oss - dersom vi har mistenke om at du kan være berørt vil vi kunne ta en titt på regnskapet ditt for å eventuelt varsle deg.

Brukeravtale

Inngåelse av brukeravtalen

  • Brukeravtalen (inkludert vedlegg) er inngått mellom:
    • Fiken AS ("Fiken"), organisasjonsnummer 913312465.
    • Den som har registrert seg som bruker av Systemet ("Kunde"). Dersom Kunde oppretter flere foretak i Fiken er avtalen gyldig for alle foretak.
  • Avtalen godkjennes elektronisk av Kunde ved registrering i Systemet. Eventuelle oppdateringer av avtaler presenteres Kunde og godkjennes ved innlogging.

Fikens rettigheter og plikter

  • Fiken skal tilby og videreutvikle Systemet etter beste evne.
  • Fiken skal etter beste evne rette feil så snart som mulig. Fiken vurderer om Kunde skal varsles basert på alvorlighetsgrad av eventuelle feil.
  • Fiken skal tilstrebe en høyest mulig grad av oppetid og gjøre tekniske tiltak for å sikre dette.
  • Hensikten med Systemet er å automatisere og forenkle regnskap gjennom bruk av teknologi. Som et ledd i dette har Fiken rett til å analysere og bruke Kundes bruksmønstre for å effektivisere og forenkle Kundes arbeidssituasjon. Et eksempel på dette er å analysere hvilke kostnadskontoer som er vanlige å bruke på en gitt leverandør for å kunne presentere dette som forslag i liknende situasjoner.
  • Fiken skal gi Kunde informasjon og opplæring knyttet til produktet gjennom applikasjon, e-post eller andre relevante medier. Et eksempel på dette er å sende e-post til Kunder som ikke har levert næringsoppgave når fristen nærmer seg med informasjon om hvordan dette gjøres. Dersom Kunde ikke ønsker informasjon på e-post kan man melde seg av e-postlisten direkte i nyhetsbrev / tilsendt informasjon.
  • Fiken kan og ønsker å inngå samarbeid med tilbydere av tredjepartsprodukter ("Samarbeidspartnere") der dette føles relevant for forenkling av Systemet. Et eksempel er å kunne sende faktura til inkasso på en sømløs måte. I tilfeller der dette gjøres vil tilbudet presenteres inne i Fiken der Kunde kan ta stilling til det.
  • Fiken har rett til å stenge tilgang til konto ved manglende betaling.
  • Fiken har rett til å stenge tilgang til konto ved misbruk. Med misbruk menes aktiviteter som strider mot norsk lovverk som for eksempel å sende fiktive fakturaer, eller som er skadelidende for Fiken. Ved slik stenging skal Kunde informeres om årsak til stenging og gis anledning til å forklare seg. Kunde har også rett til en eksport av dataene som finnes under menyvalget Foretak → Eksport av regnskap. Fiken har også rett til å stenge tilgang til systemet basert på Kundes IP-adresse eller lignende.
  • Fiken har rett til å endre pris og prismodell. Ved endringer utover konsumprisindeks skal Kunde varsles minst tre måneder før endringen trer i kraft.
  • Fiken er ikke ansvarlig for innholdet i data som registreres av Kunden i Systemet, og heller ikke for Kundens bruk av Systemet. Dette betyr for eksempel at Fiken ikke er ansvarlig for innrapportering av regnskapsdata.
  • Fiken kan gi tilgang til de som er registrert med signaturrett til selskapet i Brønnøysund.
  • Kunden skal holde Fiken skadesløs for alle kostnader og tap som Fiken blir påført som følge av at en tredjepart hevder at Kundens data eller bruk av Systemet er i strid med tredjeparts immaterielle rettigheter.
  • Fikens eventuelle erstatningsansvar under denne brukeravtalen inkludert vedlegg, skal være begrenset til direkte tap. Indirekte tap dekkes ikke. Som indirekte tap regnes eksempelvis tap av fortjeneste, tap grunnet driftsavbrudd, tap av data, avsavnstap og krav fra tredjepart. Erstatningskravet kan ikke overstige 50% av det samlede årlige vederlaget.

Kundes rettigheter og plikter

  • Kunde har rett til bruk av Systemet gitt at plikter forøvrig er overholdt.
  • Målgruppen for Systemet er bedrifter. Systemet er et regnskapsprogram og kan dermed ikke brukes til private formål.
  • Kunde har eierskap til registrerte data.
  • Kunde er behandlingsansvarlig for registrerte personopplysninger. Se forøvrig vedlegg om databehandleravtale.
  • Kunde har rett til å slette data så lenge dette ikke er i strid med lovverk. Sletting av registrerte regnskapsdata kan ha store konsekvenser om det gjøres utilsiktet og vi vil derfor ta vare på data i inntil 12 måneder ved sletting. Ved særlige behov for raskere sletting kan skriftlig forespørsel sendes til Fiken.
  • Kunde har rett til å eksportere registrerte data. Det er en egen funksjon for dette finnes under menyvalget Foretak → Eksport av regnskap. Merk at ikke absolutt alle data lar seg eksportere.
  • Kunde skal kun bruke Systemet til lovlige og bedriftsrelaterte formål. Herunder presiseres særlig at utsending av fiktive eller ikke-reelle fakturaer anses som misbruk av Systemet og er grunn til å stenge konto.
  • Kunde er selv fullt ut ansvarlig for registrerte opplysninger i Systemet - herunder spesielt alle opplysninger som sendes inn til offentlige myndigheter i form av pliktig rapportering.

Personvern

  • Personvern er viktig for Fiken og vi er veldig bevisst ansvaret og tilliten i forhold til å sikre og behandle opplysninger med varsomhet. Samtidig må dette behovet av og til balanseres mot brukermassens ønske om enkle og intuitive systemer, samt lovkrav og god regnskapsskikk.
  • Formål med behandling av alle data, inkludert personopplysninger, er å kunne tilby løsninger som gjør regnskap enkelt for Kunde.
  • For å oppnå formålet benytter Fiken en rekke samarbeidspartnere og underleverandører. Her finner du en oppdatert liste over samarbeidspartnere og underleverandører..
  • Se forøvrig også vedlegget Databehandleravtale.

Fakturering

  • Fiken fakturerer Kunde halvårlig og på forskudd for å redusere administrasjon. Ved skriftlig oppsigelse kan Kunde få tilbakebetalt eventuelt utestående beløp som regnes fra neste kalendermåned slik at det i praksis ikke er bindingstid.
  • Fakturering finner først sted etter at kunde eksplisitt har bestilt systemet og ikke automatisk ved utløp av prøveperioden.
  • Prisen gjelder pr foretak etter gjeldende prisliste.
  • Oppgitte priser er uten mva.

Øvrig

  • Brukeravtalen følger produktet og kan dermed overdras for eksempel ved fusjon eller kjøp av produkt / selskap.
  • Kontaktopplysning for Fiken for denne avtalen er kontakt@fiken.no, mens for Kunde er det epost-adressen registrert på foretaket under Foretak → Foretaksinnstillinger. Det er Kundes ansvar å oppdatere denne.
  • Avtalen er underlagt norsk rett med Oslo tingrett som verneting. Dette gjelder også etter opphør av brukeravtalen.

Vedlegg: Databehandleravtale

Hva er en databehandleravtale?

  • Dette vedlegget til brukeravtalen beskriver hvordan Fiken forvalter og sikrer personopplysninger registrert i Systemet på vegne av Kunden.
  • Den norske personopplysningsloven, og EU-forordning 2016/679 ("GDPR"), inneholder krav til reguleringen av forholdet mellom databehandler og behandlingsansvarlig, og til de sikkerhetsmessige og organisatoriske tiltakene som må implementeres for å sørge for lovlig og sikker behandling av personopplysninger. Denne databehandleravtalen er derfor inngått for å sikre at personopplysninger kun behandles i henhold til gjeldende lover og regler.
  • Noen viktige begreper i denne sammenheng er:
    • Den/de registrerte: En identifisert eller identifiserbar levende fysisk person som den behandlingsansvarlige har registrert personopplysninger om i Systemet.
    • Behandlingsansvarlig: Det er du som Kunde som er ansvarlig for behandling av personopplysningene/dataene som er registrert i Systemet - og at personvernet i den forbindelse er tilstrekkelig ivaretatt.
    • Databehandler: Fiken som leverandør forvalter personopplysningene på vegne av deg som behandlingsansvarlig.
    • Databehandleravtale: Denne avtalen regulerer forholdet mellom Kunde som behandlingsansvarlig og Fiken som databehandler.

Formål

  • Formål med behandlingen av alle data, inkludert personopplysninger, er å kunne tilby en løsning som gjør regnskap enkelt for Kunde.
  • Regnskap er en lovpålagt funksjon og formålet er derfor også å oppfylle lovpålagte krav til regnskap som blant annet definert i Bokføringsloven.
  • Videre skal opplysningene gi behandlingsansvarlig oversikt og styringsgrunnlag knyttet til økonomi.

Hva slags personopplysninger behandles?

  • Følgende personopplysninger vil kunne behandles i systemet:
    • Navn, telefonnummer og e-post for registrerte brukere.
    • Navn, adresse, e-post, telefonnummer, fødselsnummer, lønnsopplysninger for lønnsmottakere.
    • Navn, adresse, e-post og telefonnummer for Kundes kunde.
  • Kategorier av registrerte er: Bruker, kundens kunder og/eller ansatte.

Behandlingsansvarliges plikter og rettigheter

  • Behandlingsansvarlig bekrefter at:
    • Det foreligger tilstrekkelig behandlingsgrunnlag for behandlingen av personopplysninger.
    • Behandlingsansvarlig har rett til og ansvaret for lovligheten av overføring av personopplysninger til databehandler.
    • Behandlingsansvarlig har ansvaret for nøyaktigheten, integriteten, innholdet, påliteligheten og lovligheten av personopplysningene som behandles.
    • Behandlingsansvarlig har informert de registrerte i henhold til de til enhver tid gjeldende lovkrav.
  • Behandlingsansvarlig skal sørge for at personopplysninger behandles i henhold til GDPR, svare på henvendelser fra de registrerte og sørge for å implementere tilstrekkelige tekniske og organisatoriske tiltak for å sikre personopplysningene som behandles, jfr. GDPR artikkel 32.
  • Behandlingsansvarlig har plikt til å melde avvik til Datatilsynet og eventuelt til de registrerte uten ugrunnet opphold i henhold til gjeldende lovgivning.
  • Behandlingsansvarlig skal ikke registrere eller lagre personopplysninger utover det som dekkes av formålet. Spesielt skal behandlingsansvarlig ikke lagre det GDPR kaller særlige kategorier av personopplysninger i Systemet (som for eksempel vurderinger knyttet til en ansatts helsetilstand, religiøs eller politisk tilhørighet osv.).
  • Behandlingsansvarlig har ansvar for å innhente samtykke dersom opplysninger om mindreårige legges inn i løsningen. Dette vil særlig gjelde ved ansettelsesforhold ved personer under 16 år.

Databehandlers plikter og rettigheter

  • Databehandler har ikke eierskap over personopplysninger, men behandler disse kun på vegne av behandlingsansvarlig som regulert i denne databehandleravtalen.
  • Databehandler skal sikre personopplysninger adekvat både teknisk og organisatorisk i samsvar med GDPR artikkel 32. Dette gjøres blant annet gjennom en risiko- og sårbarhetsanalyse som gir grunnlag for organisatoriske rutiner og tekniske tiltak.
  • Databehandler bekrefter at alle personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig.
  • Databehandler skal ved forespørsel bistå behandlingsansvarlig med hensyn til arbeid med å oppfylle sistnevntes plikter etter personvernregelverket, for eksempel etter GDPR kapittel III og artikkel 32-36. Databehandler skal også bistå behandlingsansvarlig ved å gjøre dokumentasjon tilgjengelig i den grad det er nødvendig for behandlingsansvarlig for å kunne påvise at forpliktelsene i GDPR artikkel 28 er oppfylt, inkludert ved eventuell revisjon fra tilsynsmyndigheter. All slik bistand fra databehandler til behandlingsansvarlig gjøres etter skriftlig anmodning og faktureres etter medgått tid.
  • Databehandler skal uten unødig opphold varsle behandlingsansvarlig dersom det er konstatert, eller det er mistanke om, at personopplysninger er kommet på avveie.
  • Databehandler har rett til å ta ut anonymisert statistikk og kjøre analyser av bruksmønster og bilag som et ledd i gjennomføringen av brukeravtalen for å effektivisere Kundenes valgalternativer og bruk av Systemet. For å kunne følge opp kundeforholdet mellom databehandler og behandlingsansvarlig (som å fakturere eller kontakte), kan databehandler aksessere og benytte registrerte personopplysninger som bruker og foretaksnavn, adresse, e-post og telefonnummer.
  • Databehandler kan se på andre registrerte personopplysninger ved mistanke om feil i eller misbruk av Systemet. Dette gjelder for eksempel ved utsendelse av fiktive faktura der aktuell bruker kan sperres og mottakere av faktura kontaktes.
  • Databehandler skal omgående underrette den behandlingsansvarlige dersom databehandler mener at en instruks fra behandlingsansvarlig er i strid med GDPR eller andre bestemmelser om vern av personopplysninger.

Utlevering av personopplysninger til tredjepart

  • Gjennom å inngå brukeravtalen, gir behandlingsansvarlig generell tillatelse til at Fiken engasjerer andre databehandlere.
  • For å sikre formålet benytter Fiken seg av databehandlere, som i enkelte sammenhenger behandler personopplysninger registrerte i Systemet. Generelt utveksles så lite informasjon som mulig til databehandler.
  • For samarbeidspartnere som representerer valgfrie moduler i Systemet presenteres bruk av slik samarbeidspartner som en opsjon Kunde kan velge å benytte eller ikke. Et eksempel er mulighet til å sende en faktura til en ekstern leverandør av inkassotjenester.
    • Dette er tjenester av funksjonell art som har til hensikt å tilby behandlingsansvarlig så gode funksjonelle tjenester som mulig.
    • Databehandler har rett til å tilby behandlingsansvarlig tredjepartsprodukter som basert på registrerte opplysninger kan utgjøre nyttige tilbud.
    • Dersom tilbudet ønskes å ta i bruk er det behandlingsansvarlig sin oppgave å opprette en databehandleravtale med samarbeidspartneren. Fiken vil ikke utveksle informasjon før modulen er aktivert i Systemet.
    • Liste over samarbeidspartnere.
  • Fiken benytter også underleverandører som ikke er valgfrie og som bidrar til utøket funksjonalitet, som for eksempel loggetjenester.
    • Dette er tjenester som potensielt kan benyttes på alle kunder uten at Kunde bes om eksplisitt samtykke ved første gangs bruk.
    • Fiken har opprettet egne databehandleravtaler med disse underleverandørene. I den grad disse befinner seg i tredjeland utenfor EU/EØS, benyttes gyldige overføringsgrunnlag som EUs egne standardkontrakter for overføring til tredjeland eller Privacy Shield.
    • Liste over underleverandører.
  • I enkelte tilfeller vil det kunne være påkrevet at Fiken gir tilgang til tredjepart til behandlingsansvarliges opplysninger. Dette skjer typisk i følgende tilfeller:
    • Dersom bruker har mistet tilgang til tjenesten for eksempel dersom man har byttet epost-leverandør.
    • Ved salg/overdragelse av Kundes virksomhet.
    • Ved rettslig pålegg (feks i forbindelse med mistanke om straffbare forhold).
    • Ved forespørsel om tilgang til regnskap fra en som er registrert med signaturrett for selskapet i Brønnøysund.

Sletting av personopplysninger

  • Data lagret i Systemet representerer regnskapsdata. Regnskapsloven stiller krav til sporbarhet ved disse, noe som hindrer sletting av enkeltpersonopplysninger.
  • Kunde kan slette hele foretak i Systemet. Sletting av et helt regnskap kan ha store konsekvenser for Kunde i form av konkurs og potensielt være lovstridig dersom backup ikke finnes. Ved valg om sletting av et helt foretak vil derfor alle data, herunder personopplysninger, fysisk slettes inntil 12 måneder etter at den logiske slettingen er gjort.
  • Kunde kan slette en bruker i Systemet gitt at alle tilhørende foretak også er slettet (for å ivareta krav til sporing). Siden en bruker i dette tilfellet også representerer regnskapsdata vil en bruker fysisk slettes inntil 12 måneder etter at den logisk er slettet.
  • For å ivareta krav til sikkerhet, konsistens vil vi oppbevare en backup av data i inntil 3 måneder.
  • Dersom særlige grunner skulle tilsi at personopplysninger skal slettes raskere kan Fiken skriftlig kontaktes.
  • Loggdata beholdes i tre år av sikkerhetshensyn - eksempelvis for å kunne spore forsøk på hacking.

Endring av personopplysninger

  • I tilfeller der det ikke finnes funksjonalitet for å endre personopplysninger i Systemet kan en skriftlig henvendelse gjøres til Fiken. Endring av personopplysninger vil kun utføres dersom det ikke bryter med krav til lovverk og god regnskapsskikk. Databehandler vil fakturere behandlingsansvarlig for medgått tid for arbeid i forbindelse med endring av personopplysninger.
  • Ved endringer vil gamle verdier finnes som backup i inntil 3 måneder. Denne tidsperioden er satt for å hindre inkonsistens i registrerte personopplysninger ved uforutsette hendelser.