Allmänna villkor

Allmänna villkor för Plustoo med biträdesavtal

Innehåll och snabblänkar:

  1. Inledning
  2. Abonnemang i Plustoo
  3. Tester i Plustoo
  4. Support
  5. Personuppgiftsbiträdesavtal
  6. Databehandlingspolicy
  7. Övriga avtalsbestämmelser
  8. Betalningsvillkor och prisförändringar

1. Inledning

De allmänna villkoren gäller om inte HPI och Samarbetspartnern skriftligen har kommit överens om annat.

2. Abonnemang i Plustoo

2.1 Teckna Abonnemang

Till avtalet tecknar Samarbetspartnern abonnemang för varje användare. Abonnemanget betalas årsvis och gäller per användare och år. Ett abonnemang är personligt och knutet till en individuell användare. Abonnemangen löper enligt avtalets start- och slutdatum. Ytterligare abonnemang kan beställas under löpande avtalsperiod och införlivas omgående i föreliggande avtal med vid var tid gällande villkor och prislista, antalet abonnemang utökas därmed. Vid var tid gällande villkor och prislista finns på www.hpihealth.se.
Om det återstår mindre än tre (3) månader till avtalets slutdatum tecknas abonnemang med den tid som återstår till avtalets slutdatum plus tolv (12) månader. För abonnemang som tecknas under löpande avtal så justeras abonnemangsavgiften proportionellt till avtalsperiodens längd.

2.2 Förnyelse och Uppsägning av abonnemang

Ett Abonnemang förlängs automatiskt tolv (12) månader i taget om det inte skriftligen sägs upp senast tre (3) månader före avtalets slutdatum. Om ingen uppsägning av samtliga abonnemang har skett förnyas avtalet på 12 månader med vid var tid gällande villkor och prislista. Vid var tid gällande villkor och prislista finns på www.hpihealth.se. Under förutsättning att samtliga Abonnemang är uppsagda så upphör avtalet att gälla.

2.3 Överlåtelse av abonnemang

Ett abonnemang kan överlåtas till en annan behörig användare. Villkoret för en överlåtelse är att abonnemanget har tillhört den befintliga användaren i minst sex (6) månader innan överlåtelsen kan ske till den nya användaren. Kostnaden för en överlåtelse av ett abonnemang är 800 kr oavsett återstående abonnemangstid.

2.4 Vilande abonnemang

Om Samarbetspartnern väljer att avsluta Abonnemang kan Samarbetspartnern teckna ett Vilande Abonnemang. Det innebär att samarbetspartnern fortsätter förvara sin data (databaser med deltagare och tester) inklusive kvarstående volym hos HPI tills dess att samarbetspartner åter vill teckna Abonnemang. Uppsägning av ett Vilande abonnemang ska ske skriftligen och vara HPI tillhanda senast tre (3) månader före Avtalets slutdatum. Ett Vilande abonnemang förlängs automatiskt tolv (12) månader i taget om det inte sägs upp senast tre (3) månader före Avtalets slutdatum. Vilande abonnemang gäller på oförändrade villkor med undantag för Support enligt punkt 4 i dessa Allmänna villkor. Priset för ett Vilande abonnemang är 1 000 kr per år för samarbetspartner, oavsett datamängd och antal tidigare Abonnemang. Om samarbetspartner avslutar alla abonnemang och inte väljer ett Vilande abonnemang så finns det ingen möjlighet att i framtiden fortsätta arbeta med deltagare och tester som samarbetspartner tidigare har registrerat i Plustoo.

2.5 Behörighet

HPI ställer krav på att samtliga användare med abonnemang för Hälsoprofil och/eller Konditionstest har genomgått grundutbildning i Hälsoprofil eller Konditionstest via HPI. Då användare ej har genomgått grundutbildning har HPI rätt att neka användaren vidare åtkomst till tjänsten och behålla redan inbetald abonnemangsavgift.
HPI ställer krav på att samtliga användare tillämpar säker autentisering med den tekniska lösning som HPI tillhandahåller. Då användare ej tillämpar säker autentisering har HPI rätt att neka användaren vidare åtkomst till tjänsten och behålla redan inbetald abonnemangsavgift.

2.6 Missbruk och spärr av tjänst

HPI förbehåller sig rätten att utan föregående avisering spärra en användares tillgång till Plustoo helt eller delvis vid misstanke om obehörigt utnyttjande eller missbruk av tjänsten, eller om HPI utifrån tekniska, säkerhetsmässiga eller andra grunder bedömer att så bör ske för att skydda Samarbetspartners, kunds eller andra parters intressen. Som missbruk räknas bl a att en användares användaruppgifter till Plustoo har hamnat hos eller nyttjas av annan part, vare sig genom medveten handling, oaktsamhet eller stöld. HPI förbehåller sig då rätten att debitera timarvode för det merarbete som användaren orsakat för att hantera missbruket. Om missbruket har orsakat intäktsbortfall förbehåller sig HPI rätten att debitera detta till Samarbetspartner, oavsett om intäktsbortfallet orsakats av Samarbetspartner eller annan part.

2.7 Vid uppsägning av avtalet upphör HPI:s behandling av personuppgifter

Om samarbetsavtalet upphör kommer HPI:s behandling av personuppgifter att upphöra. Samarbetspartner har möjlighet att i samband med avtalets utgång erhålla personuppgifter i ett överenskommet tekniskt format och media mot att HPI utför arbete enligt timtaxa.

3. Tester i Plustoo

3.1 Kostnad för tester

Samarbetspartnern betalar för varje test (Hälsoprofil, Konditionstest, Hälsoscreening, Arbetsplatsprofil, Blodprofil, AUDIT) som sparas i Plustoo. Tester beställs i förväg av Samarbetspartner på www.hpihealth.se. Testerna faktureras i samband med beställningen. Tester som inte har använts/förbrukats inom aktuell avtalsperiod, tas med in i nästa avtalsperiod. HPI återbetalar ej tester som inte har förbrukats om avtalet upphör.

3.2 Utbildningsläge

I Plustoo finns ett utbildningsläge för att användaren kostnadsfritt ska genomföra tester under utbildning i HPI:s regi. Utbildningsläget får inte användas för annat ändamål än utbildning. Missbruk av Utbildningsläget hanteras enligt punkt 2.6.

4. Support

4.1 Support

I användarens abonnemang ingår support från HPI:s supportportal som nås via www.hpihealth.se. Med support avses stöd för användandet av Plustoo eller genomförandet av berörd metod. Ett supportärende anmäls dygnet runt på HPI:s supportportal. Ett supportärende behandlas normalt inom en arbetsdag.

4.2 Villkor för support

En förutsättning för att behandla supportärendet är att användaren uppfyller villkoren för behörighet enligt punkt 2.5.
HPI prioriterar i första hand de supportärenden som på ett allvarligt sätt påverkar användarens arbete. HPI förbehåller sig rätten att avgöra när och hur ett ärende ska avhjälpas.

För arbete som ligger utanför HPI:s åtaganden och ansvar för tjänsten Plustoo så tillkommer en timkostnad enligt prislista. Vid servicebesök debiteras eventuella omkostnader som resa, boende och traktamente.
HPI ger ej metodsupport för metoden AUDIT eftersom AUDIT inte är utvecklad av HPI.
HPI förbehåller sig rätten att stänga supporten under upp till 15 helgfria vardagar per kalenderår under perioden augusti till juni. Dessa dagar annonseras på hemsidan senast 7 kalenderdagar i förskott. HPI förbehåller sig rätten att helt eller delvis begränsa supporten under juli.

5. Personuppgiftsbiträdeavtal

HPI (i kapitel 5 och 6 kallad Personuppgiftsbiträdet) utvecklar och levererar tjänster inom hälsa och arbetsmiljö som Samarbetspartnern (i denna bilaga kallad Personuppgiftsansvarig) nyttjar. Detta innebär att Personuppgiftsbiträdet behandlar personuppgifter åt Personuppgiftsansvarig. Behandlingen har som ändamålet att utveckla hälsa hos individ, grupp och organisation. Syftet med denna bilaga är att uppfylla Dataskyddförordningens krav på personuppgiftsbiträdesavtal mellan Personuppgiftsansvarig och Personuppgiftsbiträde.

5.1 Definitioner

Personuppgift: varje upplysning som avser en identifierbar fysisk person (nedan kallad en registrerad), identifierbar direkt eller indirekt med hänvisning till namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens identitet.

Behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna.

Samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

Personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Kryptering: en teknik som gör information svårläslig för obehöriga.

Kommunikation: överförandet av information från en punkt (server, dator, surfplatta, smartphone) till annan.

Kommunikationsprotokoll: formen för kommunikationen.

5.2 Giltighet

Personuppgiftsbiträdesavtalet löper tillsvidare så länge som Personuppgiftsansvarig är kund hos Personuppgiftsbiträdet. Parterna är införstådda i att upphörandet av kundrelationen innebär att behandlingen av personuppgifter och därmed detta biträdesavtal upphör. Personuppgiftsansvarig har då möjlighet att erhålla
personuppgifter i ett överenskommet tekniskt format och media mot arbete enligt timtaxa. Om annat personuppgiftsbiträdesavtal finns eller sluts mellan parterna så skall det ha företräde över denna.

5.3 Parternas åtaganden

5.3.1 Personuppgiftsbiträdes åtaganden

Personuppgiftsbiträdet åtar sig att:

  • Genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen.
  • Endast behandla personuppgifter på instruktioner från Personuppgiftsansvarig. I avsaknad av instruktion gäller punkt 6, databehandlingspolicy.
  • Endast anlita underbiträden som uppfyller de krav som Personuppgiftsansvarig ställer på Personuppgiftsbiträdet.
  • Hålla Personuppgiftsansvarig skadelös i händelse av att Personuppgiftsansvarig åsamkas skada som är hänförlig till Personuppgiftsbiträdets behandling av personuppgifter i strid med instruktion från Personuppgiftsansvarig.
  • Bistå vid granskning och inspektion från Personuppgiftsansvarig samt tillsynsmyndigheter.

5.3.2 Personuppgiftsansvarigs åtaganden

Personuppgiftsansvarig åtar sig att:

  • Meddela Personuppgiftsbiträdet en instruktion för behandling av personuppgifter som är förenlig med Dataskyddsförordningen. I avsaknad av instruktion gäller punkt 6, databehandlingspolicy.

5.4 Förhandstillstånd för anlitande av underbiträde

Detta avtal ger Personuppgiftsbiträdet ett förhandstillstånd till att anlita underbiträden som uppfyller samma krav som Personuppgiftsansvarig ställer på Personuppgiftsbiträdet, inklusive upprättandet av biträdesavtal mellan Personuppgiftsbiträdet och underbiträdet.

6. Databehandlingspolicy

Följande databehandlingspolicy beskriver närmare hur Personuppgiftsbiträdet behandlar personuppgifter för Personuppgiftsansvarigs räkning. Databehandlingspolicyn utgör Personuppgiftsansvarigs instruktion såvida ingen annan instruktion meddelas. Databehandlingspolicyn utgör ett minimum såvida inte gällande lag föreskriver högre krav och då ska det gälla.

6.1 Behandlingens ändamål och stöd i lag

Ändamålet med Personuppgiftsbiträdets behandling av personuppgifterna är att tillhandahålla de tjänster som Personuppgiftsansvarig nyttjar. Personuppgiftsansvarigs ändamål med sin behandling bestäms av Personuppgiftsansvarig som också ansvarar för att behandlingen har stöd i lag.

6.2 Personuppgifter: Typ av personuppgifter, kategorier av registrerade samt gallring

De typer av personuppgifter som behandlas är namn, personnummer, mejladress, arbetsgivare, yrke samt uppgifter om hälsa och arbetsmiljö.

De kategorier av registrerade som behandlas är arbetstagare hos Personuppgiftsansvarig samt dess kunder och/eller privatpersoner.

Gallring av personuppgifter sker när Personuppgiftsansvarig så bestämmer. Gallring utförs av Personuppgiftsansvarig via de tjänster som Personuppgiftsbiträdet tillhandahåller. I annat fall av Personuppgiftsbiträdet på uppdrag av Personuppgiftsansvarig.

6.3 Behandling av personuppgifter i tredje land

Behandling av personuppgifter i tredje land (utanför EU/EES) sker endast i den mån det är förenligt med gällande dataskyddslagstiftning. Undantaget är behandling av känsliga personuppgifter som ej sker i tredje land.

6.4 Säkerhetsåtgärder

Personuppgiftsbiträdet vidtar alla nödvändiga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter och uppfylla laga krav. Val av säkerhetsåtgärder sker med hänsyn till den tekniska utvecklingen, känsligheten i personuppgifterna samt kostnaden för att implementera säkerhetsåtgärderna. Personuppgiftsbiträdet testar och utvärderar systematiskt sina säkerhetsåtgärder.

Syftet med säkerhetsåtgärderna är att säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos Personuppgiftsbiträdets tjänster. Det inbegriper bland annat kryptering av personuppgifter, förmågan att återställa tillgången till personuppgifter vid personuppgiftsincident samt oåterkallelig destruktion av personuppgifter på den lagringsmedia där personuppgifterna behandlas.

6.5 Behörighet, åtkomst och loggning

Genom kontrollsystem har endast behöriga personer hos Personuppgiftsbiträdet åtkomst till personuppgifter. Åtkomst sker endast i syfte att leverera avtalade tjänster, däribland support. All aktivitet loggas och sparas utan bortre tidsgräns.

6.6 Personuppgiftsincidenter

Vid en upptäckt personuppgiftsincident ska Personuppgiftsbiträdet utan onödigt dröjsmål och inom 48 h skriftligen underrätta Personuppgiftsansvarig. Incidentrapporten ska redogöra:

  1. Tiden för personuppgiftsincidenten och dess art samt berörda system och kategorier av personuppgifter. Vid behov redovisas även vilka grupper av registrerade som berörts, t ex organisation(er).
  2. De sannolika konsekvenserna av Personuppgiftsincidenten.
  3. De åtgärder som har vidtagits eller föreslagits samt åtgärder för att mildra Personuppgiftincidentens potentiella negativa effekter.

Om det inte är möjligt att lämna en fullständig incidentrapport så sker komplettering snarast möjligt.

6.7 Sekretess och tystnadsplikt

Personuppgiftsbiträdet och dess medarbetare omfattas av sekretess och tystnadsplikt i sitt arbete. Detsamma gäller underbiträden till Personuppgiftsbiträdet. Sekretess och tystnadsplikt gäller oavkortat både under och efter anställningsoch avtalstiden.

6.8 Hantering av registrerades rättigheter

Hantering av registrerades rättigheter, så som insyn, rättning, radering och dataportabilitet sker av Personuppgiftsansvarig via de tjänster som Personuppgiftsbiträdet tillhandahåller. I annat fall av Personuppgiftsbiträdet på uppdrag av Personuppgiftsansvarig.

Om registrerade kontaktar Personuppgiftsbiträdet med en förfrågan om sina rättigheter enligt ovan så hänvisas de till att ta kontakt med Personuppgiftsansvarig.

6.9 Inspektion och tillsyn

Personuppgiftsansvarig har rätt att på egen bekostnad genomföra inspektion av Personuppgiftsbiträdets behandling av personuppgifter. Personuppgiftsbiträdet åtar sig att vara behjälplig Personuppgiftsansvarig vid inspektion inklusive ge tillträde till sina lokaler, IT-system och dokumentation. Personuppgiftsansvarig ska avisera Personuppgiftbiträdet minst 14 dagar innan ett besök. Inspektion får göras genom Personuppgiftsansvarigs egen personal eller externt anlitad revisor.

Vid kontakt med tillsynsmyndighet avseende behandlingen av personuppgifter ska Personuppgiftsbiträdet utan dröjsmål meddela Personuppgiftsansvarig om detta. Vid kontakter med tillsynsmyndighet har Personuppgiftsbiträdet ej rätt att företräda Personuppgiftsansvarig. Personuppgiftsbiträder åtar sig att vara tillsynsmyndighet behjälplig vid tillsynsmyndighetens inspektion.

7. Övriga avtalsbestämmelser

7.1 Ansvar för fel

HPI skall med den skyndsamhet som omständigheterna kräver avhjälpa fel i programvaran Plustoo. Med fel i tjänsten avses att användaren inte kan använda tjänsten för det den är avsedd för. Användaren ska, för att få åberopa fel som HPI ansvarar för, anmäla felet till HPI inom skälig tid efter det att användaren har upptäckt felet. Användaren ska ange och vid behov visa hur felet yttrar sig.

Om ett allvarligt fel av Plustoo inte kunnat avhjälpas inom fyra (4) sammanhängande timmar under HPI:s ordinarie supporttider har samarbetspartnern rätt till följande ersättning: Ersättning utgår i första hand i form av en förlängd abonnemangstid för drabbad(e) användare. Abonnemangstiden förlängs i ett dygn om felet består i 4-24 timmar, två dygn om felet består i 25-48 timmar osv. Med ett allvarligt fel avses; att inte kunna söka, öppna, skapa och spara en deltagare; att inte kunna öppna, skapa, och spara test; att inte kunna genomföra statistikbearbetning.

HPI:s ansvar för fel omfattar inte:

  1. Fel orsakade genom användarens användning av Plustoo med annan än av HPI föreskriven utrustning, tillbehör eller programvara på ett sätt som påverkar tjänstens funktion.
  2. Fel eller dataförluster i samarbetspartnerns databas som de har orsakats av felaktig behandling utförd av annan än HPI och dess underleverantörer, t.ex. samarbetspartnerns egen personal eller underkonsulter till samarbetspartnern.
  3. Fel eller dataförluster i samarbetspartnerns databas som har uppkommit av orsaker utanför HPI:s och HPI:s underleverantörers kontroll såsom fel i samarbetspartnerns; operativsystem Windows, hårdvara, drivrutiner,
    periferienheter och/eller fel orsakade av skadlig programkod (exempelvis maskar, virus, trojaner, adware, spyware eller keyloggers).
  4. Fel hos tredjepart, t.ex. extern autentiseringstjänst eller Samarbetspartners internetleverantör.

7.2 Force majeure

HPI:s åtagande gäller med reservation för händelser utanför HPI:s kontroll såsom arbetskonflikt, eldsvåda, vattenskada, strömavbrott, sabotage, inbrott, myndighetsingripande eller liknande som försvårar eller omöjliggör för HPI att leverera sina tjänster, ge support eller vidta andra åtgärder relaterade till sina tjänster.

7.3 IT-tjänster

För arbete som ligger utanför HPI:s åtaganden och ansvar för tjänsten Plustoo så tillkommer en timkostnad enligt prislista. Exempel på detta är återställning av samarbetspartnerns databas från en tidigare säkerhetskopia vid fel eller dataförlust i samarbetspartnerns databas samt servicebesök hos samarbetspartnern. Vid servicebesök hos samarbetspartnern debiteras eventuella omkostnader som resa, boende och traktamente.

7.4 Användning av information

HPI har rätt att använda information om användande av tjänsterna på en statistisk nivå. Statistiken utgår från avidentifierade uppgifter och ska vara på sådan nivå att det inte går att identifiera varken vilka företag/organisationer eller vilka personer som omfattas.

8. Betalningsvillkor och prisförändringar

8.1 Betalningsvillkor

På alla priser utgår moms om 25 procent. Betalningsvillkor är 30 dagar. Vid dröjsmål med betalning utgår förseningsavgift med 450 kr och dröjsmålsränta enligt lag. Vid utebliven betalning har HPI rätt att inaktivera abonnemang i Plustoo till dess att betalning erhållits.

8.2 Prisförändringar

HPI förbehåller sig rätten att höja priserna med max 5 % per kalenderår. Redan fakturerade Abonnemang påverkas ej av prisförändring, dvs. för Abonnemang förändras priserna vid nyteckning eller förnyelse. Prisförändringar meddelas på
www.hpihealth.se.

Uppdaterad 2020-01-01