Centuris användarvillkor

Allmänna villkor för Centuri SaaS

Servicenivåavtal

Databehandlingsvillkor

Tjänstebeskrivning

1.    Introduktion och omfattning

1.1.    Dessa allmänna villkor för Centuri SaaS (”Allmänna Villkor”) anger de allmänna villkoren för Centuri AB:s (”Leverantörens”) tillhandahållande av Centuri SaaS och relaterade konsulttjänster (”gemensamt ”Tjänster”) till kunden (”Kunden”), och utgör en integrerad del av Avtalet. 
1.2.    Avvikelser från dessa Allmänna Villkor ska överenskommas skriftligen i Orderformuläret för att gälla mellan parterna.
1.3.    Dessa Allmänna Villkor kompletteras av servicenivåavtalet ”(SLA”), databehandlingsvillkoren (”Databehandlingsvillkoren”) samt tjänstebeskrivningen för Centuri SaaS (”Tjänstebeskrivningen”) (samtliga villkor, inklusive dessa Allmänna Villkor, gemensamt kallade ”Villkoren”). I händelse av motstridiga villkor, ska de äga företräde i denna ordning: (a) Orderformuläret, inklusive eventuella bilagor till denna, (b) dessa Allmänna Villkor, (c) SLA, och (d) Tjänstebeskrivningen. Databehandlingsvillkoren ska alltid ha företräde i alla frågor som rör behandling av Kundens personuppgifter. 
1.4.    De vid var tid gällande versionerna av dessa Allmänna Villkor och övriga Villkor finns tillgängliga på www.centuri.se.

2.    Definitioner
2.1.    De ord och begrepp som används i dessa Allmänna Villkor ska ha den betydelse som anges nedan, eller som annars anges i dessa Allmänna Villkor. 
2.2.    ”Användare” avser namngivna användare av Centuri SaaS (Kundens eller dess Koncernbolags anställda eller anlitade uppdragstagare, som är registrerade som namngivna användare och som har erhållit unika, namngivna användaridentiteter och lösenord. Användare indelas i olika kategorier med olika behörighet och rättigheter i Centuri SaaS.
2.3.    ”Avtalad Startdag” avser den dag som anges i Orderformuläret, då Leverantören börjar tillhandahålla Centuri SaaS (vid start av Införandeprojektet), och då fakturering av avgiften för Centuri SaaS påbörjas (och om en sådan dag inte anges i Orderformuläret, är Avtalad Startdag samma dag som Avtalsdagen).
2.4.    ”Avtalet” avser det avtal om tillhandahållande av Centuri SaaS och relaterade konsulttjänster som ingåtts mellan parterna, och som inkluderar Orderformuläret, Villkoren och eventuella ytterligare bilagor till Orderformuläret.
2.5.    ”Avtalsdagen” avser det datum då Avtalet träder i kraft, enligt vad som anges i Orderformuläret (eller om det inte anges där, det datum då båda Parter har undertecknat Orderformuläret).
2.6.    ”Avtalsperiod” avser den Inledande Avtalsperioden och varje efterföljande Förlängningsperiod. 
2.7.    ”Avtalstid” avser Avtals giltighetstid, vilket inkluderar den Inledande Avtalsperioden och alla efterföljande Förlängningsperioder.
2.8.    ”Centuri SaaS” avser Leverantörens programvara för informationshantering och verksamhetsledning, inklusive eventuell Tredjepartsprogramvara, som tillhandahålls på software-as-a-service-basis, inklusive nyttjanderätt till programvaran, Support och Underhåll, serverplattform, säkerhetsövervakning, datalagring, säkerhetskopiering av Kundens Data och installation av Uppdateringar, enligt vad som närmare beskrivs i Tjänstebeskrivningen.
2.9.    ”Förlängningsperiod” avser en tidsperiod för förlängning av Avtalet efter den Inledande Avtalsperioden. Varje Förlängningsperiod är tolv (12) månader om inte annat anges i Avtalet.
2.10.    ”Införandeprojekt” avser, i tillämpliga fall, det införandeprojekt för installation, implementation och konfiguration av Centuri SaaS som parterna överenskommit i Uppdragsbeskrivningen. 
2.11.     ”Immateriella Rättigheter” avser uppfinningar, patent, registrerade och oregistrerade mönster, upphovsrätt, registrerade och oregistrerade varumärken och affärshemligheter, inklusive i förekommande fall ansökningar om registrering av någon av de föregående rättigheterna, och alla andra rättigheter av liknande slag i alla länder i världen.
2.12.    ”Incident” avser programvarufel eller fel i driftsmiljön för Centuri SaaS, som innebär att Centuri SaaS inte är tillgänglig för Användare eller att Centuri SaaS inte har det innehåll, funktionalitet eller prestanda som beskrivs i Tjänstebeskrivningen. Leverantörens ansvar för Incidenter, och undantag från ansvar, anges i SLA. 
2.13.    ”Inledande Avtalsperiod” avser den inledande, bindande avtalsperiod som anges i Avtalet. Den Inledande Avtalsperioden börjar på Avtalsdagen och löper därefter under trettiosex (36) månader räknat från Avtalad Startdag, om inte annat anges i Avtalet.
2.14.    ”Konfidentiell Information” avser teknisk, kommersiell eller annan information som part uttryckligen (skriftligen eller muntligen) särskilt angett ska anses vara konfidentiell, eller som med hänsyn till informationens karaktär och omständigheterna kring dess överlämnande skäligen bör anses utgöra Konfidentiell Information. Konfidentiell Information innefattar (men är inte begränsat till) information som är sekretessbelagd enligt Tillämplig Lag, Kundens Data, samt Leverantörens programkod och användardokumentation avseende Centuri SaaS.
2.15.    ”Konsulttjänster” avser konsulttjänster som Leverantören tillhandahåller i förhållande till Centuri SaaS, såsom implementationstjänster, allmänna konsulttjänster och utbildning, och som tillhandahålls av Leverantören i enlighet med en överenskommen Uppdragsbeskrivning.  
2.16.    ”Kundens Data” avser all data, inklusive personuppgifter, som Kunden laddar upp, tillför, lagrar och behandlar i Centuri SaaS, eller i övrigt tillhandahåller till Leverantören inom ramen för Avtalet.
2.17.    ”Leverantörens Material” avser all programvara, användarmanualer, dokumentation och annat material som tillhandahålls av Leverantören som en del av, eller i samband med, Centuri SaaS, inklusive allt resultat av Konsulttjänster.
2.18.    ”Koncernbolag” avser varje juridisk person som direkt eller indirekt kontrollerar en part, kontrolleras av en part eller som står under gemensam kontroll med en part. I detta Avtal avses med "kontroll" av ett bolag direkt eller indirekt ägande av, eller möjligheten att utöva sådan kontroll över, mer än femtio procent (50 %) av rösterna /andelarna i sådant bolag, så länge som en sådan rättighet eller bestämmanderätt finns.
2.19.    ”Servicenivåavtal” eller ”SLA” avser Leverantörens servicenivåavtal, som finns tillgängligt på www.centuri.se, och som ska gälla för tillhandahållande av Support och Underhåll enligt Avtalet.
2.20.    ”Servicenivåer” avser servicenivåerna för tillhandahållande av Support och Underhåll, enligt vad som anges i Servicenivåavtalet.
2.21.    ”Skadlig kod” avser virus och annan skadlig eller illvillig kod, filer, skript, agenter eller program.
2.22.    ”Support” avser tillhandahållande av supporttjänster i förhållande till Centuri SaaS, inklusive mottagande, hantering och rapportering av Supportärenden, enligt vad som närmare regleras i Servicenivåavtalet, och som finns tillgängliga på www.centuri.se.
2.23.    ”Tillämplig Lag” avser alla vid var tid gällande lagar, förordningar och föreskrifter som är tillämpliga på Parterna.
2.24.    ”Tredjepartsprogramvara” avser eventuell programvara som tillhandahålls som en del av Centuri SaaS, och som ägs av en tredje part.
2.25.    ”Underhåll” avser tillhandahållande av förebyggande och avhjälpande underhåll i förhållande till Centuri SaaS, inklusive tillhandahållande av Uppdateringar, enligt vad som närmare regleras i Servicenivåavtalet, som finns tillgängligt på www.centuri.se.
2.26.    ”Uppdateringar” avser nya utgåvor, versioner, uppdateringar, felkorrigeringar och buggfixar avseende programvaran som ingår i Centuri SaaS, och som tillhandahålls som en del av Underhåll.
2.27.    ”Uppdragsbeskrivning” avser en överenskommen specifikation av Införandeprojektet eller andra Konsulttjänster, som anger de överenskomna Konsulttjänsterna, resurser och kompetenser, leverabler, kundåtaganden, tidsplan, avgifter och betalning m.m. 
2.28.    ”Volymbegränsningar”; avser en överenskommen volym-/enhetsbaserad begränsning avseende användning av Centuri SaaS, såsom antal Användare (och kategorier av Användare).

3.    Tillhandahållande av Centuri SaaS
3.1.    Leverantören åtar sig att tillhandahålla Centuri SaaS till Kunden, från Avtalad Startdag och under Avtalstiden, i enlighet med Villkoren och Avtalet. 
3.2.    Leverantören ska, såvida inte annat anges i Avtalet, tillhandahålla Centuri SaaS genom ett överenskommet Införandeprojekt.
3.3.    Leverantören garanterar att Centuri SaaS i allt väsentligt hänseende ska fungera i enlighet med Tjänstebeskrivningen. Däremot garanterar Leverantören inte att Kundens användning av Centuri SaaS kommer att vara fri från fel eller störningar. Leverantören ska efter bästa förmåga avhjälpa eventuella Incidenter i Centuri SaaS, genom att tillhandahålla Support och Underhåll i enlighet med Servicenivåavtalet.
3.4.    Centuri SaaS är en standardiserad tjänst, som genom konfigurering kan anpassas efter Kundens önskemål. Därutöver kan Leverantören i begränsad omfattning tillhandahålla vissa integrationer mot Kundens tredjepartsprogramvara eller annan kundspecifik funktionalitet efter särskild överenskommelse genom tillhandahållande av Konsulttjänster.
3.5.    Leverantören vidareutvecklar kontinuerligt Centuri SaaS, och dess funktionalitet kan därför förändras under Avtalstiden, i enlighet med Leverantörens roadmap för utveckling, eller för att upprätthålla prestanda och/eller säkerhet, eller av andra skäl. Leverantören ska meddela Kunden med skälig framförhållning om eventuella större förändringar som kommer göras i Centuri SaaS, med uppdatering av Tjänstebeskrivningen.
3.6.    Kunden är införstådd med att Centuri SaaS är en standardiserad programvarutjänst och att Kunden därför själv behöver undersöka och verifiera att Centuri SaaS egenskaper och funktionalitet uppfyller Kundens behov. Leverantören garanterar inte att Centuri SaaS har några specifika egenskaper eller funktionalitet, som inte framgår av Tjänstebeskrivningen. 
3.7.    Leverantören får anlita underleverantörer för tillhandahållandet av Centuri SaaS (liksom för tillhandahållande av Införandeprojekt och andra Konsulttjänster), varvid Leverantören ansvarar för underleverantörs handlingar och underlåtelse på samma sätt som för sina egna. Om sådana underleverantörer ska behandla personuppgifter för Kundens räkning, gäller särskilt vad som anges i Databehandlingsvillkoren för anlitande av underbiträden.
3.8.    Kunden är införstådd med att för att Centuri SaaS ska fungera på avsett sätt (inklusive eventuella Integrationer med Kundens tredjepartsprogramvaror), krävs det att Kunden uppfyller Leverantörens vid var tid gällande tekniska krav avseende programvara, hårdvara, utrustning, kommunikationsnätverk och andra delar av Kundens IT-miljö enligt vad Leverantören rekommenderar, och att Kunden i övrigt måste följa Leverantörens samtliga instruktioner och föreskrifter som anges i användarmanualer och/eller på annat sätt. Kunden ansvarar för att anskaffa erforderliga licenser eller andra avtal avseende sådan nödvändig tredjepartsprogramvara, hårdvara, utrustning eller kommunikationsnätverk.
3.9.    Leverantören får tillfälligt stänga av eller begränsa Kundens och/eller dess behöriga Användares åtkomst till Centuri SaaS, (a) vid Kundens eller Användares brott mot villkoren för användning av Centuri SaaS enligt detta Avtal, (b) vid virusangrepp eller andra säkerhetshot som riskerar att orsaka skada på Centuri SaaS, Leverantören eller andra kunder, eller (c) om Kunden inte betalar förfallna avgifter enligt detta Avtal. Leverantören får i samband härmed inte vidta mer ingripande åtgärder än vad som är skäligt efter omständigheterna, och ska underrätta Kunden snarast möjligt om sådan avstängning eller begränsning av åtkomst till Centuri SaaS.
3.10.    Leverantören har rätt att omedelbart förhindra lagring och spridning av Kundens Data i Centuri SaaS om det skäligen kan antas att sådan lagring eller spridning utgör intrång i tredje parts Immateriella Rättigheter eller annars strider mot Tillämplig Lag. Leverantören har rätt att ta del av Kundens Data som uppladdats eller överförts till Centuri SaaS för att kunna utöva dessa rättigheter. Leverantören ska underrätta Kunden i skälig tid innan denna rätt utnyttjas.

4.    Nyttjanderätt till Centuri SaaS 
4.1.    Leverantören upplåter åt Kunden en icke-exklusiv, icke-överlåtbar rätt att under Avtalstiden Använda Centuri SaaS (inklusive allt Leverantörens Material) för interna affärssyften i den egna verksamheten och inom ramen de avtalade Volymbegränsningarna. Kundens rätt att Använda Centuri Saas är villkorad av att samtliga avgifter enligt detta Avtal erläggs i rätt tid. 
4.2.    Kunden äger rätt att vidarelicensiera den nyttjanderätt som upplåts härunder till (a) sina Koncernbolag, så länge de förblir Koncernbolag, och (b) till konsulter och andra tredje parter som behöver nyttja Centuri SaaS för att tillhandahålla tjänster till Kunden och/eller dess Koncernbolag. För undvikande av tvivel gäller de överenskomna Volymbegränsningarna även i förhållande till all användning av en behörig underlicenstagare. Kunden är ansvarig för all användning och andra åtgärder som utförs av Användare, inklusive av behöriga underlicenstagares Användare.
4.3.    Kunden kan, genom skriftlig begäran när som helst under Avtalstiden, begära att de överenskomna Volymbegränsningarna ändras (exempelvis genom att lägga till ytterligare Användare eller minska antalet Användare) eller göra andra tilläggsbeställningar (exempelvis genom att beställa fler miljöer för Centuri SaaS). En sådan begäran ska bekräftas skriftligen av Leverantören. En sådan tilläggsbeställning som avser en utökning av Volymbegränsningarna eller annat tilläggsköp, träder i kraft omedelbart och de tillämpliga avgifterna för ökningen kommer att debiteras från orderdatumet, för återstoden av den relevanta Avtalsperioden och ytterligare Avtalsperioder. En minskning av Volymbegränsningarna eller annan reducering (exempelvis av antalet miljöer i Centuri SaaS) får dock verkan tidigast från och med nästa Avtalsperiod, med motsvarande justering av avgiften för Centuri SaaS. 
4.4.    Leverantören har rätt att genomföra licensrevision för att verifiera att Kunden användning av Centuri SaaS är i enlighet med Avtalet. Kunden ska samarbeta i god anda och ska utan dröjsmål tillhandahålla all nödvändiga data och information för sådan licensrevision. Om licensrevisionen visar att Kundens användning av Centuri SaaS inte är avtalsenlig (exempelvis antalet Användare överstiger antalet licensierade Användare, totalt sett eller per kategori av Användare, eller att andra överenskomna Volymbegränsningar överskridits), har Leverantören rätt att omedelbart fakturera Kunden för överanvändningen, baserat på Leverantörens vid tidpunkten gällande prislista (inklusive med retroaktiv verkan för tidigare överanvändning, och för tydlighets skull, utan tillämpning av eventuella avtalade rabatter som anges i Avtalet). Om Kunden inte betalar för verifierad överanvändning, ska detta anses utgöra ett väsentligt avtalsbrott som ger Leverantören rätt att säga upp Avtalet i förtid. Till förtydligande kan inte Kunden (a) vid överanvändning som avser antalet Användare, kompensera överskjutande Användare i en viss användarkategori med underanvändning i en annan användarkategori, och (b) är Kunden skyldig att inneha licenser för samtliga registrerade Användare, oavsett graden av faktisk användning av Centuri SaaS för dessa Användare.

5.    Kundens åtaganden 
5.1.    Kunden åtar sig att:
(a)    endast använda Centuri SaaS i enlighet med villkoren i detta Avtal (inklusive överenskomna Volymbegränsningar och andra restriktioner) samt Tillämplig Lag;
(b)    inte vidarelicensiera, ge åtkomst till eller på annat sätt göra Centuri SaaS tillgängligt för tredje part som inte har rätt att använda Centuri SaaS enligt detta Avtal;
(c)    ansvara för kontroll och administration av behörigheter avseende samtliga Användare. Kunden ansvarar därvid för (i) administration av användarkonton för Användare, inklusive registrering av nya användarkonton och nedstängning av utgångna användarkonton, (ii) att samtliga Användares användning av Centuri SaaS är i enlighet med detta Avtal, (iii) att säkerställa att inloggningsuppgifter för varje Användare enbart används av den fysiska person som är namngiven Användare, och (iv) upprätthållandet av sekretess för inloggningsuppgifter, säkerhetsåtgärder och annan information som tillhandahålls av Leverantören för åtkomst till Centuri SaaS. Kunden ska omedelbart meddela Leverantören vid säkerhetsincidenter där obehöriga fått åtkomst till Centuri SaaS;
(d)    följa Leverantörens instruktioner och villkoren som gäller för Kundens användning av Centuri SaaS;
(e)    inte (i) försöka återskapa eller upptäcka någon källkod eller underliggande idéer eller algoritmer för Centuri SaaS (med förbehåll för vad som följer av tvingande lagstiftning), eller (ii) skapa derivativa verk från, modifiera eller ändra Centuri SaaS; eller (iii) använda eller bereda sig åtkomst till Centuri SaaS i syfte att bygga en konkurrerande produkt eller tjänst, eller på annat sätt använda Centuri SaaS underliggande idéer, egenskaper, funktioner, design eller grafik för egna syften;
(f)    skyndsamt lämna sådan information och fatta sådana beslut som krävs för att Leverantören ska kunna genomföra sina åtaganden enligt Avtalet; och
(g)    ansvara för att Kunden har full laglig rätt att ladda upp och förfoga över Kundens Data, och att användningen av Kundens Data inte gör intrång i någon tredje parts immateriella rättigheter eller strider mot tillämplig lag, och att Kundens Data inte innehåller någon skadlig kod eller på något annat sätt kan skada eller ha negativ inverkan på Leverantören, Centuri SaaS eller någon tredje part.

6.    Tillhandahållande av Införandeprojektet och andra konsulttjänster
6.1.    Centuri åtar sig att tillhandahålla Införandeprojektet och andra konsulttjänster i enlighet med avtalad Uppdragsbeskrivning, dessa Allmänna Villkor och Avtalet i övrigt. 
6.2.    Leverantören ska fullgöra sina skyldigheter att tillhandahålla Tjänsterna med för ändamålet lämplig, kvalificerad och kompetent personal och på ett fackmannamässigt sätt.
6.3.    Leverantören får ersätta konsulter med motsvarande kompetens. Kunden kan begära byte av personal om sakliga skäl föreligger.
6.4.    Parterna ska i Uppdragsbeskrivningen ange sina respektive kontaktpersoner, som är ansvariga för samordning och beslut som rör de dagliga frågorna inom ramen för Konsulttjänsterna. För undvikande av tvivel ska kontaktpersonen dock endast ha rätt att ändra en Uppdragsbeskrivning eller annan del av Avtalet om denne är behörigen bemyndigad genom fullmakt eller på annat sätt.
6.5.    Kunden åtar sig att:
(a)    Samarbeta i god anda och tillhandahålla nödvändig information,
(b)    vidta och genomföra alla nödvändiga åtgärder och beslut i rätt tid,
(c)    tillhandahålla tekniska och fysiska resurser, samt uppfylla sådana kundåtaganden som skäligen kan förväntas av Kunden, eller i enlighet med Uppdragsbeskrivningen, och
(d)    använda kvalificerad personal och adekvata resurser i samarbetet.
6.6.    Leverantören ska vidta skäliga ansträngningar för att tillhandahålla Konsulttjänsterna i enlighet med överenskommen tidplan i Uppdragsbeskrivningen. Tidsplanen är dock enbart en skälig uppskattning och kan komma att revideras. Leverantören ansvarar endast för förseningar, om parterna särskilt överenskommit om sådant ansvar i Uppdragsbeskrivningen.
6.7.    Om Parterna särskilt har överenskommit att Leverantören ska ansvara för försening enligt punkt 6.6, ska Leverantören ansvara för försening (om denna orsakats av Leverantören) enligt följande: (a) Leverantören ska vara skyldig att betala ett vite om 0,5 % av det totala kontraktsvärdet för den relevanta Uppdragsbeskrivningen, för varje påbörjad förseningsvecka, dock maximalt 10 % av det totala kontraktsvärdet för den relevanta Uppdragsbeskrivningen; och (b) om Kunden har lidit skada på grund av förseningen som överstiger vitet, ska Leverantören vara ansvarig för sådan överskjutande skada (med de ansvars begränsningar som anges i dessa Allmänna Villkor); och (c) om förseningen är väsentlig (vilket inkluderar att maximalt vite ska betalas) får Kunden säga upp Uppdragsbeskrivningen.
6.8.    Kunden kan begära ändringar i Införandeprojektet eller annan Konsulttjänst. Ändringsbegäran ska hanteras skriftligt. Centuri ska inte neka en begäran om ändring utan skälig anledning. Vid Kundens begäran om ändring ska Centuri informera om påverkan på tid, kostnad och innehåll. Kunden ska meddela sitt godkännande skriftligen för att ändringsbegäran ska anses överenskommen.
6.9.    För Införandeprojektet, och för andra Konsulttjänster där acceptanstester ska ske i enlighet med definierade leverabler, ska följande rutiner för testning och godkännande av leverans gälla (om inte annat överenskommits):
(a)    Centuri levererar enligt överenskommen tidsplan och överlämnar leverablerna till Kunden för acceptanstest vid den tidpunkt som anges i Uppdragsbeskrivningen (”Avtalad Leveransdag”). Innan överlämnande för acceptanstest sker, ska Leverantören ha genomfört egna interna tester. Leverantören ska bekräfta att sådana interna tester genomförts men är inte skyldig att tillhandahålla testdokumentation. 
(b)    Kunden utför acceptanstest enligt definierade acceptanskriterier, under en tidsperiod om tio (10) kalenderdagar om inget annat anges i Uppdragsbeskrivningen.
(c)    Avvikelser dokumenteras i protokoll och åtgärdas innan ny test genomförs.
(d)    Införandeprojektet, eller annan leverans av Konsulttjänster, anses slutförd och godkänd (varvid ”Effektiv Leveransdag” inträder) när: (i) Kunden skriftligen godkänt acceptanstesterna, eller (ii) acceptanstestperioden passerat utan invändningar, eller (iii) efter Leverantörens åtgärdande av fel som anmälts under acceptanstesterna, eller (iv) om Kunden driftsätter Centuri SaaS eller annars tar leverabler i bruk.
6.10.    För Konsulttjänster där inte leveranskontroll ska ske enligt punkt 6.9 ovan, ska dessa anses utförda och slutförda när Leverantören har utfört alla åtaganden och skyldigheter som anges i respektive Uppdragsbeskrivning. Om parterna dock överenskommit om löpande Konsulttjänster under en viss avtalad tidsperiod, ska Konsulttjänsterna tillhandahållas under denna tidsperiod och anses vara slutförda vid utgången av den avtalade avtalsperioden. 
6.11.    Leverantören ansvarar för att avhjälpa fel i Konsulttjänsterna (varvid avses avvikelser från överenskomna krav i Uppdragsbeskrivningen eller Avtalet) som rapporteras av Kunden under en garantiperiod om sex (6) månader från slutförandet av Konsulttjänsten. Om Leverantören ansvarar för anmält fel, ska Leverantören avhjälpa Felet på lämpligt sätt, på egen bekostnad, och med den skyndsamhet som omständigheter kräver.
6.12.    Under Avtalstiden och sex månader därefter får ingen part aktivt rekrytera motpartens personal utan skriftligt medgivande. Denna bestämmelse ska inte förhindra part från att anställa en arbetstagare från den andra parten, om personen som anställs har svarat direkt på en rekryteringsannons, antingen genom en rekryteringsfirma eller genom allmän annonsering.

7.    Avgifter och betalning
7.1.    Alla priser och avgifter i detta Avtal är angivna i den valuta som anges i Orderformuläret, exklusive tillämplig mervärdesskatt. Betalning ska vara Leverantören tillhanda inom trettio (30) dagar från fakturadatum. Betalning av samtliga gällande avgifter är en förutsättning för Kundens rätt att erhålla Tjänsterna enligt detta Avtal. Erlagda avgifter återbetalas ej vid detta Avtals upphörande oavsett orsak, med undantag för (vid Kundens uppsägning med saklig grund) eventuella förbetalda avgifter för tidsperioden efter Avtalets upphörande.
7.2.    Avgifterna för Centuri SaaS anges i Orderformuläret. Avgifter för Centuri SaaS kommer att, om inte annat anges i Orderformuläret, faktureras årsvis i förskott från och med Avtalad Startdag. 
7.3.    Avgifter för Konsulttjänster faktureras månadsvis i efterskott om inte annat anges i Uppdragsbeskrivningen. För Införandeprojektet eller andra Konsulttjänster som tillhandahålls som projekt, kan parterna istället överenskomma en fast avgift, eller ett målpris eller annan incitamentsmodell, som faktureras enligt en överenskommen betalningsplan. För överenskomna löpande konsulttjänster (som förvaltningstjänster) faktureras en överenskommen årlig avgift, årligen i förskott, om inte annat anges i Uppdragsbeskrivningen. För utbildningstjänster faktureras enligt Leverantörens vid var tid gällande prislista. Avgifterna för Konsulttjänsterna baseras på Leverantörens tillämpliga priser vid tidpunkten för utförandet av Konsulttjänsterna, om inte annat överenskommits i Avtalet. Leverantören har rätt till ersättning för kostnader (resor, restid etcetera) mot underlag. För avbokning av utbildning på plats eller andra Konsulttjänster med kort varsel förbehåller sig Leverantören rätten att fakturera överenskommen avgift helt eller delvis om inte Leverantören kan nyttja överenskomna konsulter för andra syften.
7.4.    Om Kunden är i dröjsmål med betalning utgår dröjsmålsränta enligt räntelagen (1975:635). Har Leverantören skriftligen anmodat Kunden att betala utestående förfallet belopp, får Leverantören trettio (30) dagar efter sådan skriftlig anmodan, med hänvisning till denna punkt, avbryta fortsatt tillhandahållande av Tjänster till dess att Kunden betalt utestående förfallna belopp.
7.5.    Leverantören äger rätt att årligen höja avgiften för Tjänsterna som anges i Avtalet, i enlighet med förändringar i det av SCB publicerade Labour Cost Index för tjänstemän (LCI Tjänstemän) preliminärt index, SNI 2007 kod J (Information- och Kommunikationsverksamhet). Basindex hämtas från aktuellt kvartal under vilket Avtalsdagen infaller. Vid negativ förändring av index sker ingen justering av avgifterna neråt. Indexering sker årligen per den 1 januari, med start året efter Avtalsdagen (dock att om Avtalet ingås under Q3 eller Q4, första indexering inte sker den 1 januari nästföljande år utan först året därefter), varvid senaste av SCB publicerade index jämförs med Avtalets basindex.
7.6.    Leverantören förbehåller sig rätten att höja avgifterna för Centuri SaaS för varje ny Avtalsperiod. Sådan prishöjning ska meddelas Kunden minst en (1) månad för den tidpunkt då Kunden senast kan säga upp Avtalet. Om Kunden därvid väljer att fortsätta med Avtalet, ska anses Kunden ha godkänt prishöjningen.
7.7.    Leverantören har rätt till ersättning för merkostnader för arbete som förorsakas av Kunden, såsom utredning och åtgärdande av Incidenter för vilka Leverantören inte ansvarar.

8.    Immateriella Rättigheter
8.1.    Leverantören och/eller dess licensgivare äger samtliga rättigheter till Centuri SaaS, inklusive allt Leverantörens Material, och alla därtill relaterade Immateriella Rättigheter. Kunden erhåller en begränsad rätt att använda Centuri SaaS och Leverantörens Material i enlighet med punkt 4 ovan.
8.2.    Kunden äger samtliga rättigheter till Kundens Data och annat material som Kunden tillhandahåller Leverantören. Leverantören får endast nyttja sådan Kundens Data och annat material för att tillhandahålla Tjänsterna enligt Avtalet. 

9.    Ansvar för intrång i Immateriella Rättigheter
9.1.    Leverantören åtar sig att, på egen bekostnad, försvara Kunden om krav riktas eller talan förs mot denne om påstått intrång i tredje mans Immateriella Rättigheter på grund av Kundens användning av Centuri SaaS (inklusive Leverantörens Material) i enlighet med Avtalet. Leverantören åtar sig vidare att ersätta Kunden för de ersättningar och skadestånd som denne genom förlikning eller dom kan bli skyldig att utge. Leverantörens åtagande gäller endast under förutsättning, dels att Leverantören inom skälig tid skriftligen underrättas av Kunden om framförda anspråk eller väckt talan, dels att Leverantören ensam får bestämma över försvaret mot sådan talan och föra förhandlingar om uppgörelse eller förlikning.
9.2.    Om intrång slutgiltigt befinnes föreligga och Leverantören fått delta i rättegång och förlikning enligt ovan, eller om det enligt Leverantörens egen bedömning är troligt att sådant intrång föreligger, ska Leverantören på egen bekostnad endera (i) tillförsäkra Kunden rätt att fortsätta att använda Centuri SaaS, eller (ii) ändra relevanta delar av Centuri SaaS eller ersätta dessa med annan motsvarande tjänst eller produkt, vars användning inte innebär intrång, eller (iii) säga upp Kundens nyttjanderätt avseende relevanta delar av Centuri SaaS och ge Kunden rätt till sådant avdrag på priset som svarar mot Centuri SaaS minskade värde på grund av intrånget. Om intrånget innebär väsentlig olägenhet för Kunden, trots att Leverantören fullgjort sina åtaganden enligt det föregående inom rimlig tid, har Kunden rätt att skriftligen säga upp Avtalet i förtid. 
9.3.    Leverantören är inte ansvarig mot Kunden för intrångsanspråk som grundas på att Centuri SaaS ändrats av Kunden eller annan än Leverantören eller använts i strid med Leverantörens instruktioner eller Avtalet.
9.4.    Leverantörens ansvar för intrång i tredje parts Immateriella Rättigheter är begränsat till vad som anges ovan i denna punkt, såvida inte uppsåt eller grov vårdslöshet föreligger, och Kunden kan inte rikta andra anspråk mot Leverantören med anledning härav.
9.5.     På motsvarande sätt som anges ovan, ska Kunden försvara Leverantören och hålla denne skadeslös om krav riktas eller talan förs mot Leverantören på grund av Leverantörens användning av Kundens Data inom ramen för Avtalet.

10.    Dataskydd och informationssäkerhet
10.1.    Kunden är införstådd med och godkänner att Leverantören behandlar personuppgifter om Användare och Kundens kontaktpersoner i egenskap av personuppgiftsansvarig enligt Tillämplig Lag, för att tillhandahålla Tjänsterna enligt Avtalet och för att administrera avtalsförhållandet med Kunden. Leverantören behandlar alla sådana personuppgifter i enlighet med Tillämplig Lag. 
10.2.    För Leverantörens behandling av Kundens personuppgifter som ett personuppgiftsbiträde, vid tillhandahållandet av Tjänsterna enligt detta Avtal, gäller vad som anges i Databehandlingsvillkoren. 
10.3.    Databehandlingsvillkoren anger de allmänna krav på informationssäkerhet som Leverantören upprätthåller för lagring och annan behandling av Kundens Data, oavsett om denna innehåller personuppgifter eller ej.

11.    Sekretess
11.1.    Vardera Parten åtar sig att inte utan den andra Partens skriftliga medgivande ge tredje man åtkomst till Konfidentiell Information, som Part erhållit från den andra Parten eller annars i samband med fullgörelse av Avtalet. Part får endast använda Konfidentiell Information som erhållits från den andra Parten för att utföra sina åtaganden enligt Avtalet.
11.2.    Sekretess gäller inte för sådan information som Part kan visa har blivit känd för denne på annat sätt än genom fullgörande av Avtalet eller som är allmänt känd. Sekretess gäller inte heller när Part är skyldig enligt lag, myndighetsbeslut eller tillämpliga börsregler att lämna ut uppgifter. Part är skyldig att tillse att dess anställda, underleverantör och andra som genom denne kan få åtkomst till den andra Partens Konfidentiella Information iakttar motsvarande sekretess genom ingående av skriftliga sekretessförbindelser.
11.3.    Sekretess för Konfidentiell Information gäller under Avtalstiden samt under tre (3) år efter Avtalets upphörande, dock att för uppgifter som är sekretessbelagda enligt Tillämplig Lag gäller sekretessen under den tid som anges i relevant lagstiftning. 

12.    Ansvarsbegränsning
12.1.    Såvida inte annat följer av punkt 12.3, ska Parts totala skadeståndsansvar enligt detta Avtal, (a) för skada hänförlig till Centuri SaaS, vara begränsat till ett belopp motsvarande de totala avgifter som Kunden betalat enligt Avtalet för Centuri SaaS under de tolv (12) månader som föregått uppkomsten av den skadehändelse som gett upphov till kravet, och (b) för skada hänförlig till Konsulttjänster, vara begränsat till femtio procent (50%) av kontraktsvärdet för den relevanta Uppdragsbeskrivningen.
12.2.    Såvida inte annat följer av punkt 12.3, ska Parts ansvar vara begränsat till direkt skada, kostnad eller förlust, och ingen av Parterna ska vara ansvarig för utebliven vinst, uteblivna intäkter eller annan indirekt skada, kostnad eller förlust, eller för den andra Partens ansvar gentemot tredje part, förutom vad som anges i punkt 10, eller för förlust av data.
12.3.    Ansvarsbegränsningarna i detta Avtal ska inte gälla i förhållande till (a) personskada eller dödsfall som orsakats av vårdslöshet, (b) vardera Parts ersättningsskyldighet enligt punkt 10, eller (c) kostnad, förlust eller skada som orsakats av Part med uppsåt eller genom grov vårdslöshet.
12.4.    Part ska, för att inte förlora sin rätt till skadestånd, framställa ett skriftligt krav på skadestånd till den andra Parten senast inom sex (6) månader från skadetillfället.

13.    Avtalstid och uppsägning 
13.1.    Avtalet träder i kraft på Avtalsdagen och gäller till upphörandet av den Inledande Avtalsperioden. Vardera Parten får säga upp Avtalet senast sex (6) månader före utgången av den Inledande Avtalsperioden (och varje efterföljande Förlängningsperiod), och om Avtalet inte sägs upp förlängs det automatiskt i löpande Förlängningsperioder, med samma uppsägningstid för vardera Partens.
13.2.    Uppsägning ska ske skriftligen och kan endast ske i förhållande till Avtalet som helhet. 
13.3.    Vardera Parten har rätt att skriftligen säga upp Avtalet till omedelbart upphörande om den andre Parten:
(a)    väsentligen bryter mot sina åtaganden enligt Avtalet och inte har vidtagit rättelse inom trettio (30) dagar efter skriftlig anmodan från den första Parten (om sådan rättelse är möjlig); eller
(b)    försätts i konkurs, träder i likvidation eller av annan orsak skäligen kan antas vara på obestånd.
13.4.    Vid Avtalets upphörande:
(a)    upphör Kundens nyttjanderätt till Centuri SaaS, inklusive allt Leverantörens Material, automatiskt,
(b)    ska Kunden omedelbart betala alla utestående avgifter och annan ersättning; och 
(c)    ska Leverantören återlämna eller radera, och sluta behandla, all Kundens Data och däri inkluderade personuppgifter, enligt vad som närmare anges i Databehandlingsvillkoren.
13.5.    Med undantag för om Leverantören säger upp Avtalet i förtid enligt punkt 13.3 ovan, ska Leverantören vid Avtalets upphörande, på begäran av Kunden, tillhandahålla överflyttningsassistans och medverka i skälig utsträckning för att Kunden ska kunna byta till annan leverantör av motsvarande tjänster för att bidra till att en sådan överföring kan ske med så liten störning som möjligt för Kunden. Sådan överflyttningsassistans tillhandahålls som en särskild Konsulttjänst, på Kundens bekostnad i enlighet med Leverantörens vid var tid gällande prislista.
13.6.    Bestämmelser i detta Avtal som uppenbarligen är avsedda att gälla även efter Avtalets upphörande ska fortsätta att gälla efter detta Avtals upphörande oavsett orsak.

14.    Allmänna bestämmelser
14.1.    Force Majeure: Om Part förhindras fullgöra sina åtaganden enligt Avtalet på grund av en force majeure-händelse ska detta medföra framflyttning av tidpunkt för prestation och befrielse från skadestånd och andra eventuella påföljder. Har Avtalets fullgörande till väsentlig del förhindrats längre tid än två (2) månader på grund av en force majeure-händelse, har Part rätt att utan ersättningsskyldighet skriftligen frånträda Avtalet. Med ”force majeure” avses härvid en omständighet som en Part inte kunnat råda över, såsom blixtnedslag, arbetskonflikt, eldsvåda, naturkatastrof, ändrade myndighetsbestämmelser, myndighetsingripande samt fel eller försening i tjänster från underleverantörer på grund av sådana omständigheter.
14.2.    Ändringar: För Avtalet gäller Villkoren i vid var tid gällande version som finns tillgängliga på www.centuri.se. Leverantören kan uppdatera Villkoren under Avtalstiden, och ska då informera Kunden om dessa ändringar skriftligen (inklusive genom e-post). Leverantören har dock inte rätt att ändra priser eller andra kommersiella villkor under pågående Avtalsperiod. I det fall en uppdatering av Villkoren innebär en väsentlig försämring för Kunden, har Kunden rätt att skriftligen säga upp Avtalet i förtid med tre (3) månaders uppsägningstid, varvid meddelande som sådan uppsägning ska lämnas senast inom en (1) månad efter att den uppdaterade versionen av Villkoren trätt i kraft. I övrigt gäller att ingen modifiering, ändring eller tillägg till Avtalet ska anses giltig om det inte sker genom skriftlig handling undertecknad av behörig företrädare för båda Parter.
14.3.    Överlåtelse: Part får inte överlåta eller pantsätta sina rättigheter eller skyldigheter enligt Avtalet utan den andra Partens skriftliga samtycke. Kunden är inte heller berättigad att vidarelicensiera, hyra ut eller låna ut den nyttjanderätt som upplåts enligt detta Avtal. Utan hinder av det föregående äger Leverantören dock rätt att, utan Kundens samtycke, (i) överlåta detta Avtal till ett Koncernbolag till Leverantören, eller (ii) överlåta sin rätt att erhålla betalning enligt detta Avtal, varvid vid sådan överlåtelse Kunden ska meddelas skriftligen.
14.4.    Avstående: Ingen underlåtenhet eller försening av någon av Parterna att utöva någon rättighet enligt Avtalet ska anses utgöra ett avstående från sådan rättighet.
14.5.     Bestämmelses ogiltighet: Om någon bestämmelse i Avtalet är eller blir olaglig, ogiltig eller inte kan verkställas, påverkas inte lagligheten, giltigheten och verkställbarheten av andra bestämmelser i Avtalet, och bestämmelsen kommer att gälla med sådana strykningar eller ändringar som kan vara nödvändiga för att göra bestämmelsen laglig, giltig och verkställbar.
14.6.    Offentliggörande: Leverantören har rätt att vid detta Avtals ingående offentliggöra ett av Kunden i förväg godkänt pressmeddelande samt att i övrigt i sin marknadsföring hänvisa till Kundens namn. All användning av Kundens namn i marknadsföringen skall ske i enlighet med god sed.

15.    Tillämplig lag och tvistlösning
15.1.    På detta Avtal ska svensk lag, utan tillämpning av dess lagvalsregler, tillämpas. 
15.2.    Tvister som uppstår i anledning av detta Avtal ska slutligt avgöras genom skiljedomsförfarande administrerat av SCC Skiljedomsinstitut (SCC). Regler för Förenklat skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljedomare. Skiljeförfarandets säte ska vara Stockholm. Språket för förfarandet ska vara svenska. De sekretessbestämmelser som anges häri ska gälla i fråga om skiljeförfarandet och skiljedomen.

 

1.    Introduktion och omfattning
1.1.    Detta Servicenivåavtal (”SLA”) anger villkoren för Centuri AB:s (”Leverantören”) tillhandahållande av Support och Underhåll, inklusive tillämpliga Servicenivåer, för Centuri SaaS till kunden (”Kunden”).
1.2.    Detta SLA kompletterar de Allmänna Villkoren och utgör en integrerad del av tjänsteavtalet mellan Leverantören och Kunden (”Avtalet”). 
1.3.    Leverantörens åtaganden enligt detta SLA, avseende Support, Underhåll och Servicenivåer, gäller under vardagar kl 08:00–17:00 CET, exklusive helgdagar i Sverige (”Avtalad Servicetid”). Till förtydligande har Kunden åtkomst till och kan nyttja Centuri SaaS även utanför Avtalad Servicetid, men avtalade Servicenivåer gäller inte utanför Avtalad Servicetid.
1.4.    Den vid var tid gällande versionen av detta SLA finns tillgänglig på www.centuri.se. 

2.    Support
2.1.    Kunden ansvarar själva för att tillhandahålla första linjens support till sina Användare. Om Kundens egen supportorganisation/förvaltningsgrupp inte kan lösa problemet, har Kunden rätt att kontakta Leverantören för andra linjens eller tredje linjens support.
2.2.    Leverantörens upport innefattar tillgång till servicedesk för hantering av Incidenter och supportärenden.
2.3.    Supportärenden registreras via ärendehanteringssystemet, eller via e-post eller telefon enligt Leverantörens vid var tid gällande rutiner, och prioriteras beroende på påverkan.
2.4.    Support ges via fjärrsupport, telefon och e-post beroende på ärendetyp.

3.    Underhåll
3.1.    Leverantören tillhandahåller löpande Underhåll, inklusive felrättningar och Uppdateringar. Där så är lämpligt kan Leverantören alternativt tillhandahålla anvisningar om kringgående av Incidenten, eller andra alternativa lösningar (s.k. workarounds), som kan komma att ersättas med permanenta rättningar senare.
3.2.    Leverantören kommer att tillhandahålla Uppdateringar när behov uppstår (antingen i anslutning till åtgärdande av Incidenter, eller i enlighet med den generella releaseplan som kommuniceras av Leverantören). Uppdateringarna kommer att installeras av Leverantören i Centuri SaaS. Kunden kan inte neka installation av en Uppdatering i Centuri SaaS, men kan (om Kunden har giltiga, objektiva skäl härför) begära att installation av en Uppdatering ska senareläggas (dock normalt inte längre än sex månader från Uppdateringen gjordes tillgänglig, samt att sådan rätt inte gäller för Uppdateringar som korrigerar säkerhetsbrister). Kunden är införstådd med att Leverantören endast tillhandahåller support för nuvarande och närmaste föregående version av Centuri SaaS, och att Kundens val att senarelägga en Uppdatering kan innebära att en äldre version inte supporteras. 
3.3.    Planerat underhåll kommuniceras i förväg och kommer normalt att ske utanför Avtalad Servicetid. Tid för planerat underhåll exkluderas vid beräkning av tillgänglighet enlighet nedan. 
3.4.    Leverantören ansvarar för säkerhetskopiering genom att ta en full backup per vecka och en inkrementell backup per dag. Kundens data återställs från backup vid behov, men Leverantören ansvarar inte för dataförlust som inte kan återställas (genom återläsning av den backup som tas i enlighet med angiven backup-plan.) 

4.    Kundens åtaganden
4.1.    Kunden ska följa gällande rutiner vid felanmälan och utse kontaktpersoner. Information om kontaktpersoner ska hållas uppdaterad.
4.2.    Kunden ska sätta upp en egen intern förvaltningsgrupp för tillhandahållande av första linjens Support till Användare. Kunden ska tillse att förvaltningsgruppen har den utbildning och kunskap om Centuri SaaS som krävs för att kunna tillhandahålla sådan första linjens Support.

5.    Prioritering och återkoppling
5.1.    Supportärenden/Incidenter tilldelas prioritet baserat på påverkan på verksamheten:
•    Kritisk: Systemet är helt otillgängligt 
•    Hög: Stora delar är otillgängliga
•    Normal: Mindre delar påverkas
•    Låg: Påverkar ej arbetet
5.2.    Statusuppdateringar lämnas löpande, särskilt för kritiska Incidenter. 

6.    Servicenivåer – responstid och åtgärdstid
6.1.    Med ”Responstid” avser den faktiska tiden, under Avtalad Servicetid, från att ett supportärende öppnas till dess att Kunden meddelas att arbete med supportärendet har börjat.
6.2.    Med ”Åtgärdstid” avses den tid (målsättning endast), under Avtalad Servicetid, från och med det att ett supportärende öppnas till att en lösning till supportärendet (permanent lösning eller en workaround) tillhandahålls Kunden.
6.3.    Följande Responstider gäller för Incidenter (under Avtalad Servicetid):
•    Kritisk / Hög: 1 timme
•    Normal: 4 timmar
•    Låg: 8 timmar
6.4.    Följande Åtgärdstider gäller (endast som målsättning) för Incidenter (under Avtalad Servicetid):
•    Kritisk / Hög: 2 timmar
•    Normal: 8 timmar
•    Låg: 16 timmar (Om Leverantören bedömer att Incidenten med prioritet Låg behöver åtgärdas, vilket avgörs ensidigt av Leverantören).
6.5.    Följande Responstider och Åtgärdstider gäller för andra supportärenden än Incidenter (dvs. användarstöd) samt konsultärenden (under Avtalad Servicetid):
•    För användarstöd gäller 4 timmars Responstid.
•    För konsultärenden gäller 8 timmars Responstid och 5 arbetsdagars Åtgärdstid (endast som målsättning).

7.    Servicenivåer - Tillgänglighet
7.1.    Leverantören garanterar en Tillgänglighet för Centuri SaaS på 99,5 % under Avtalad Servicetid. Tillgängligheten mäts vid anslutningspunkten till Leverantörens datacenter. Störningar dokumenteras och kan på begäran delas med kund.
7.2.    Vid mätning av Tillgänglighet exkluderas: (a) Planerat Underhåll; (b) force majeure; (c) Incidenter och andra fel om orsakats av Kunden, dess Användare, Kundens programvara, nätverk eller annan utrustning, eller av tredje part utanför Leverantörens kontroll; (d) eller av Skadlig Kod, förutsatt att Leverantören har vidtagit lämpliga säkerhetsåtgärder för att förhindra sådan Skadlig Kod.

8.    Kompensation
8.1.    Om garanterad Tillgänglighet inte uppnås kan Leverantören efter bedömning ge en skälig prisreduktion för berörd månad. Detta är den enda ersättningen som utbetalas vid bristande uppfyllelse av Servicenivåer, och Kunden kan inte framställa några andra anspråk mot Leverantören för bristande uppfyllelse av Servicenivåer. 

 

1.    Bakgrund
1.1.    Dessa databehandlingsvillkor (”Databehandlingsvillkoren”) reglerar Centuri AB:s (”Biträdet”) behandling av Personuppgifter på uppdrag av kunden (”Personuppgiftsansvarig”) i samband med tillhandahållande av tjänster enligt ingånget tjänsteavtal (”Avtalet”). 
1.2.    Dessa Databehandlingsvillkor kompletterar de Allmänna Villkoren och utgör en del av Avtalet, och har ingåtts i enlighet med de krav som följer av Personuppgiftslagstiftningen. 
1.3.    Biträdet kommer, för den behandling av Personuppgifter som följer av Avtalet och dessa Databehandlingsvillkor, att agera personuppgiftsbiträde åt Personuppgiftsansvarig som är personuppgiftsansvarig för behandlingen av Personuppgifterna enligt dessa Databehandlingsvillkor. 
1.4.    Dessa Databehandlingsvillkor kompletteras av Personuppgiftsansvarigs instruktioner till Biträdet avseende behandlingen av Personuppgifter (”Instruktionerna”). Bilaga 1 till dessa Databehandlings-villkor utgör dessa Instruktioner och beskriver den behandling av Personuppgifter som typiskt sett äger rum vid Biträdets tillhandahållande av tjänster enligt Avtalet, men kan ändras, kompletteras eller förtydligas i Avtalet vid avvikande instruktioner eller om Personuppgiftsansvarig har särskilda krav. 
1.5.    Till förtydligande gäller inte dessa Databehandlingsvillkor för sådan behandling av personuppgifter där Centuri AB agerar personuppgiftsansvarig, såsom behandling av personuppgifter avseende kundens kontaktpersoner för Avtalet. 
1.6.    Den vid var tid gällande versionen av dessa Databehandlingsvillkor finns tillgänglig på www.centuri.se.

2.    Definitioner
2.1.    De ord och begrepp som används i dessa Databehandlingsvillkor ska ha den betydelse som anges nedan eller i övrigt framgår av dessa Databehandlingsvillkor, eller som följer av Personuppgiftslagstiftningen.
2.2.    ”Dataskyddsförordningen” betyder Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG eller annan förordning som ersätter denna.
2.3.    ”Personuppgifter” betyder sådana personuppgifter som Biträdet behandlar för Personuppgiftsansvarigs räkning i enlighet med dessa Databehandlingsvillkor. Personuppgifter är sådana uppgifter som utgör personuppgifter enligt vid var tid gällande Personuppgiftslagstiftning.
2.4.    ”Personuppgiftslagstiftning” betyder vid var tid gällande lag eller förordning avseende behandling av Personuppgifter, innefattande men inte begränsat till Dataskyddsförordningen, lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, och annan vid var tid tillämplig svensk eller EU-lagstiftning avseende behandling av personuppgifter, samt Tillsynsmyndighetens vid var tid gällande beslut, råd och rekommendationer. 
2.5.    ”Registrerad” betyder den fysiska person som en Personuppgift avser.
2.6.    ”Tillsynsmyndigheten” betyder den eller de myndigheter som utövar tillsyn avseende behandling av personuppgifter under Personuppgiftslagstiftningen. Vid tidpunkten för ingående av dessa Databehandlingsvillkor är Integritetsskyddsmyndigheten (IMY) den myndighet som utövar sådan tillsyn i Sverige.

3.    Personuppgiftsansvarigs åtaganden
3.1.    Personuppgiftsansvarig åtar sig att följa och hålla sig uppdaterad om Personuppgiftslagstiftningen samt beakta Tillsynsmyndighetens beslut, råd och rekommendationer. Den Personuppgifts-ansvarige åtar sig också att samarbeta med Tillsynsmyndigheten vid dess utövande av tillsyn avseende behandling av Personuppgifter.
3.2.    Personuppgiftsansvarig är skyldig att tillhandahålla aktuell och korrekt information om de Personuppgifter som Biträdet behandlar för Personuppgiftsansvarigs räkning.
3.3.    Personuppgiftsansvarig är skyldig att tillhandahålla tydliga, skriftliga och dokumenterade Instruktioner till Biträdet avseende Biträdets behandling av Personuppgifterna. Personuppgiftsansvarig ska se till att Instruktionerna hålls aktuella och uppdaterade, och ska lämna ändrade eller kompletterande Instruktioner till Biträdet, när så behövs. Personuppgiftsansvarig ska i god tid och på ett tydligt sätt skriftligen informera Biträdet om varje sådan ändring. Biträdet ska inte motsätta sig ändring av Instruktionerna utan giltiga skäl (och aldrig om ändringen krävs enligt Personuppgiftslagstiftningen). Oaktat det ovanstående krävs Parternas överenskommelse avseende varje icke oväsentlig ändring eller utökning i enlighet med avsnitt 14 nedan.  
3.4.    Personuppgiftsansvarig är ansvarig för att se till att Instruktionerna är i enlighet med och uppfyller kraven i Personuppgiftslagstiftningen.
3.5.    Personuppgiftsansvarig åtar sig att se till att Personuppgiftsansvarigs anställda och andra Registrerade erhåller information om hur dess Personuppgifter behandlas av Biträdet.

4.    Biträdets åtaganden
4.1.    Biträdet ska endast behandla Personuppgifter i enlighet med Instruktionerna och endast i den utsträckning som det är nödvändigt för utförandet av Avtalet. Biträdet får aldrig behandla Personuppgifter för annat ändamål än de som framgår av Instruktionerna.
4.2.    Om Biträdet bedömer att det saknas Instruktioner som är nödvändiga för att fullgöra Avtalet eller sina åtaganden enligt dessa Databehandlingsvillkor, ska Biträdet skriftligen informera Personuppgiftsansvarig om sin inställning och invänta Personuppgiftsansvarigs vidare Instruktioner. Biträdet åtar sig vidare att omgående skriftligen informera Personuppgiftsansvarig om Biträdet anser att en av Personuppgiftsansvarig lämnad Instruktion strider mot Personuppgiftslagstiftningen. 
4.3.    När Biträdet har informerat Personuppgiftsansvarig om saknade instruktioner eller instruktioner som strider mot Personuppgiftslagstiftningen har Biträdet rätt att upphöra med den berörda behandlingen till dess Personuppgiftsansvarig har kompletterat alternativt justerat sina instruktioner så att de är kompletta och förenliga med Personuppgiftslagstiftningen. Den förändring av Biträdets utförande av sina åtaganden under Avtalet som sådan vägran skulle innebära ger inte Personuppgiftsansvarig rätt att hävda brist i Biträdets utförande under Avtalet eller dessa Databehandlingsvillkor. Överenskomna avgifter ska erläggas ändå.
4.4.    För det fall Biträdet behandlar Personuppgifter utöver eller i strid med Personuppgiftsansvariges Instruktioner, på grund av krav enligt svensk eller EU-rätt som Biträdet omfattas av, åtar sig Biträdet att skriftligen informera Personuppgiftsansvarig om det rättsliga kravet innan Personuppgifterna behandlas, om sådan information är tillåten enligt Personuppgiftslagstiftningen. 
4.5.    För det fall myndighet, Registrerad eller annan tredje man begär information från Biträdet som rör behandling av Personuppgifterna, ska Biträdet så snart som möjligt och utan onödigt dröjsmål hänvisa till Personuppgiftsansvarig. Biträdet får endast lämna ut Personuppgifter eller information om behandling av Personuppgifter enligt skriftlig instruktion från Personuppgiftsansvarig eller om Biträdet är skyldig att lämna ut aktuell uppgift enligt lag, förordning, domstolsbeslut, myndighetsbeslut eller börsreglering.
4.6.    Biträdet ska – utan onödigt dröjsmål efter att Biträdet fått vetskap om oavsiktlig eller olaglig förstöring, förlust eller ändring av, eller obehörigt röjande eller åtkomst till Personuppgifterna, eller försök därtill (”Personuppgiftsincident”) – skriftligen underrätta Personuppgiftsansvarig. I sådan händelse ska Biträdet på Personuppgiftsansvarigs bekostnad och om Personuppgiftsansvarig begär det, utöver att underrätta Personuppgiftsansvarig om att Personuppgiftsincident har inträffat, bistå Personuppgiftsansvarig vid fullgörande av Personuppgiftsansvarigs skyldigheter enligt gällande lagstiftning.
4.7.    Biträdet åtar sig att, under förutsättning att register lagligen krävs, föra register över alla kategorier av behandlingar som utförts för Personuppgiftsansvarigs räkning i enlighet med Artikel 30.2 a)-d) i Dataskyddsförordningen, vidta alla åtgärder som krävs enligt Artikel 32 i Dataskyddsförordningen, samt bistå Personuppgiftsansvarig med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs.
4.8.    Biträdet får inte i strid med Personuppgiftslagstiftningen överföra Personuppgifterna till tredje land (ett s.k. tredje land är ett land som inte är medlem i EU eller EES).
4.9.    Biträdet åtar sig att följa Personuppgiftslagstiftningen, beakta Tillsynsmyndighetens råd och rekommendationer samt hålla sig uppdaterad om Personuppgiftslagstiftningen. Biträdet åtar sig också att samarbete med Tillsynsmyndigheten vid dess utövande av tillsyn avseende behandling av personuppgifter.
4.10.    Biträdet åtar sig att se till att Biträdets anställda och andra personer som hos Biträdet ges åtkomst till Personuppgifterna erhåller information om hur Personuppgifterna får behandlas.

5.    Tekniska och organisatoriska åtgärder
5.1.    Biträdet åtar sig att, med hänsyn till behandlingens art, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att Biträdet kan leva upp till sina åtaganden enligt dessa Databehandlingsvillkor. De tekniska och organisatoriska säkerhetsåtgärder som vidtas avseende behandlingen av Personuppgifter framgår av Bilaga 2 till dessa Databehandlingsvillkor.
5.2.    Biträdet ska, med hänsyn till behandlingens art, vidta lämpliga tekniska och organisatoriska åtgärder för att skydda Personuppgifterna. Till exempel ska Biträdet begränsa åtkomsten till Personuppgifterna till enbart de personer som behöver åtkomst för att fullgöra sina arbetsuppgifter avseende Avtalet. 
5.3.    De åtgärder som Biträdet ska vidta enligt punkt 5.2 ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det kostar att genomföra åtgärderna, de särskilda risker som finns med behandlingen av Personuppgifterna och hur känsliga Personuppgifterna är. 
5.4.    Biträdet ska på Personuppgiftsansvarigs bekostnad bistå Personuppgiftsansvarig genom lämpliga tekniska och organisatoriska åtgärder, med hänsyn till behandlingens art och i den mån detta är möjligt, så att Personuppgiftsvarig kan fullgöra sina skyldigheter att svara på begäran om utövande av Registrerads rättigheter enligt Personuppgiftslagstiftningen.

6.    Kontroll
6.1.    Biträdet ska ge den Personuppgiftsansvarige tillgång till sådan information som behövs för att att visa att de skyldigheter som följer av dessa Databehandlingsvillkor och Personuppgiftslagstiftningen efterlevs. Biträdet ska även möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den Personuppgiftsansvarige eller av revisor som utsetts av den Personuppgiftsansvarige i syfte att verifiera att Biträdet efterlever de skyldigheter som framgår av dessa Databehandlingsvillkor och Personuppgiftslagstiftningen. En sådan granskning ska föregås av minst trettio (30) dagars skriftligt meddelande från den Personuppgiftsansvarige i vilket inspektionens innehåll och omfattning ska specificeras. Innehåll och omfattning får inte överstiga vad som är nödvändigt med hänsyn till syftet med granskningen. Som regel ska inspektion endast utföras om granskning enligt Personuppgiftslagstiftningen inte kan fullgöras genom Biträdets tillhandahållande av information. 
6.2.    Biträdet har rätt till skälig ersättning för den assistans som krävs enligt punkt 6.1 såvida inte Personuppgiftsansvarigs kontroll visar att Biträdet har brutit mot dessa Databehandlingsvillkor i något väsentligt hänseende. 

7.    Ersättning
7.1.    Oavsett vad som anges i övrigt i dessa Databehandlingsvillkor eller i Avtalet har Biträdet rätt till skälig ersättning för: (a) det arbete och de merkostnader som föranleds av att Personuppgiftsansvarig ändrar den ursprungliga Instruktionen i Bilaga 1, (b) det arbete och de merkostnader som uppstår på grund av tillsyn eller revision av Tillsynsmyndighet eller liknande åtgärder, (c) det arbete och de merkostnader som drabbar Biträdet p.g.a. att Personuppgiftsansvarig åsidosätter sina skyldigheter enligt punkt 3 i dessa Databehandlingsvillkor, och (d) det arbete och de merkostnader som uppstår för Biträdet när Biträdet ska bistå Personuppgiftsansvarig med att se till att Personuppgiftsansvarigs skyldigheter enligt Artiklarna 34-36 i Dataskyddsförordningen fullgörs.
7.2.    Utöver vad som anges i dessa Databehandlingsvillkor gällande Biträdets rätt till ersättning, regleras Biträdets rätt till ersättning i Avtalet.

8.    Underbiträden
8.1.    Biträdet får anlita underbiträden för behandling av Personuppgifterna. Det åligger Biträdet att informera Personuppgiftsansvarig om vilka underbiträden som Biträdet anlitar. Biträdet ska tillse att alla underbiträden är bundna av skriftliga avtal där underbiträdet åläggs samma eller motsvarande skyldigheter som Biträdet åläggs enligt dessa Databehandlingsvillkor och garanterar att vidta lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen av Personuppgifterna står i överensstämmelse med gällande Personuppgiftslagstiftning.
8.2.    De underbiträden som anlitas vid Avtalets ingående anges i Instruktionerna och anses godkända av Personuppgiftsansvarig. Biträdet åtar sig att informera Personuppgiftsansvarig skriftligen (inklusive genom elektronisk kommunikation) för det fall Biträdet avser att byta underbiträde eller ingå avtal med nytt underbiträde. Personuppgiftsansvarig har därvid rätt att skriftligen invända mot sådana ändringar inom 14 dagar från mottagande av underrättelsen om sådan ändring. Om Personuppgiftsansvarig inte invänder mot ändringen inom angiven tid ska ändringen anses godkänd. Om Personuppgiftsansvarig invänder mot ändringen ska parterna i god anda diskutera en lämplig lösning. Om en sådan lösning inte kan nås, har Biträdet rätt att säga upp Avtalet i förtid med en skälig uppsägningstid. 

9.    Sekretess
9.1.    Biträdet förbinder sig att inte lämna ut eller röja Personuppgifterna eller andra uppgifter som Biträdet erhållit till följd av dessa Databehandlingsvillkor till tredje man som inte omfattas av samma skyldigheter som Biträdet enligt dessa Databehandlingsvillkor. 
9.2.    Biträdet ska se till att Biträdets anställda och andra personer som hos Biträdet ges åtkomst till Personuppgifterna har åtagit sig att iaktta sekretess eller omfattas av en lämplig lagstadgad tystnadsplikt.
9.3.    Åtagandena enligt denna punkt 9 omfattar inte uppgifter som lämnats ut enligt Personuppgiftsansvariges instruktion eller som Biträdet är skyldigt att avslöja enligt lag, förordning, domstolsbeslut, myndighetsbeslut eller börsreglering. Biträdet ska utan dröjsmål och skriftligen meddela Personuppgiftsansvarig för det fall Biträdet åläggs att lämna ut sådan information om det är tillåtet att lämna sådant meddelande.
9.4.    Sekretessåtagandet i denna punkt 9 gäller även efter att dessa Databehandlingsvillkor har upphört att gälla.

10.    Ansvar 
10.1.    Vardera parten ansvarar själv för eventuella administrativa sanktionsavgifter som åläggs parten av en Tillsynsmyndighet eller domstol (enligt artikel 83 i Dataskyddsförordningen eller annan Personuppgiftslagstiftning). Sådana administrativa sanktionsavgifter är inte föremål för fördelning av ansvar mellan parterna enligt dessa Databehandlingsvillkor utan ska bäras av den part som påförts den administrativa sanktionsavgiften.
10.2.    Part ansvarar för skadeståndskrav från Registrerad eller annan tredje man på sätt som anges i artikel 82 i Dataskyddsförordningen. Den part som begär ersättning från den andra parten, ska därvid utan dröjsmål skriftligen informera den andra parten om den Registrerades eller annan tredje parts krav, och samarbeta med den andra parten för att försvara sig mot kravet på ett sätt som är rimligt under omständigheterna. Part som kräver ersättning av den andra parten ska framställa sitt slutliga krav på ersättning mot den andra Parten enligt denna punkt 10.2 senast sex (6) månader efter att det slutligt fastställts (genom lagakraftvunnen dom eller godkänd förlikning) att parten är skyldig att betala ersättning till en Registrerad eller annan tredje man, dock under alla omständigheter senast sex (6) månader efter att Avtalet upphört att gälla. 
10.3.    För parts ansvar enligt punkt 10.2 och i övrigt enligt dessa Databehandlingsvillkor gäller den generella ansvarsbegränsning som följer av Avtalet.

11.    Avtalstid och uppsägning
11.1.    Dessa Databehandlingsvillkor utgör en del av Avtalet och gäller så länge Avtalet är i kraft mellan Parterna. Vid tidpunkten för Avtalets upphörande, oavsett anledning, upphör således dessa Databehandlingsvillkor att gälla mellan Parterna utan föregående meddelande, dock att om Biträdet vid den tidpunkten alltjämt har tillgång till Personuppgifterna ska dessa Databehandlingsvillkor fortsätta att gälla till dess att all behandling av Personuppgifterna har upphört. 

12.    Följder av Avtalets upphörande
12.1.    Vid Avtalets upphörande, oavsett anledning därtill, ska Biträdet i enlighet med Personuppgiftsansvarigs instruktion och på Personuppgiftsansvarigs bekostnad, radera alternativt återlämna alla Personuppgifter till Personuppgiftsansvarig, eller den som Personuppgiftsansvarig anvisar och därefter radera befintliga kopior, såvida inte lagring av Personuppgifterna krävs enligt Personuppgiftslagstiftningen eller annan lagstiftning tillämplig på Biträdets verksamhet. 
12.2.    Ovanstående krav på radering gäller dock inte radering av backuper, som sker i enlighet med gällande backup-rutin och som således inte är något som Biträdet kan påverka manuellt.
12.3.    Personuppgiftsansvarig kan, utöver vid Avtalets upphörande enligt ovan, framställa begäran om radering eller återlämning av Personuppgifter när som helst under Avtalets löptid, varvid Biträdet ska efterleva sådan begäran i enlighet med vad som anges ovan. 

13.    Överlåtelse
13.1.    Överlåtelse av rättigheter eller skyldigheter enligt dessa Databehandlingsvillkor till tredje man kan endast ske i samband med överlåtelse av Avtalet (om sådan överlåtelse är tillåten enligt Avtalet). 

14.    Ändringar och tillägg
14.1.    Dessa Databehandlingsvillkor får endast ändras i enlighet med vad som följer av Avtalet. 

15.    Lagval och tvistelösning
15.1.     För dessa Databehandlingsvillkor gäller den tillämpliga lag och tvistelösning som anges i Avtalet.

Bilaga 1

Instruktioner till Databehandlingsvillkor 
1.    Syfte
Denna Bilaga 1 specificerar behandlingen av Personuppgifter som Biträdet utför på uppdrag av Personuppgiftsansvarig under Avtalet och Databehandlingsvillkoren.

Syftet är att förtydliga vilka behand¬lingar och vilka Personuppgifter som omfattas av Avtalet och att uppfylla Dataskyddsförordningens krav i enlighet med exempelvis Artikel 28.3 i Dataskyddsförordningen.

2.    Kategorier av personuppgifter
De Personuppgifter som behandlas avser följande kategorier av person¬uppgifter:
•    Användarinformation i systemet med koppling till namn, e-mail-adress, organisatorisk tillhörighet
•    Dokument och ärenden som kan innehålla personuppgifter (Namn, telefonnummer, personnummer).

3.    Känsliga personuppgifter (i förekommande fall)
Det är den Personuppgiftsansvarige som, genom sitt användande av tjänsten som Biträdet tillhandahåller under Avtalet, ensamt för in och kontrollerar vilka Personuppgifter som behandlas under Avtalet. Parterna är överens om, och Personuppgiftsansvarig åtar sig att tillse, att inga Känsliga Personuppgifter (enligt definition nedan) ska matas in för behandling i tjänsten eller annars görs tillgängliga för Biträdets behandling under Avtalet. Biträdet ska således inte behandla några Känsliga Personuppgifter under dessa Databehandlingsvillkor. 

Eventuella förändringar av de behandlingar av Personuppgifter som Biträdet ska företa för Personuppgiftsansvarigs räkning ska överenskommas gemensamt och skriftligen, t.ex. om Känsliga Personuppgifter ska behandlas. Vid sådana överenskomna förändringar ska Parterna ska även komma överens om eventuella justeringar av de tekniska och organisatoriska åtgärder som tillämpas. Biträdet har rätt till ytterligare ersättning för samtligt arbete Biträdet företar med anledning av vad som föreskrivs i detta stycke.

”Känsliga Personuppgifter” utgörs av Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. 

Om Personuppgiftsansvarige önskar att Biträdet ska behandla Känsliga Personuppgifter under Avtalet ska denna Bilaga 1 justeras innan sådan behandling får inledas.

4.    Kategorier av Registrerade
Personuppgifterna avser följande kategorier av Regi¬strerade:
•    Anställda hos Personuppgiftsansvarig som använder tjänsten
•    Kunder, leverantörer och personal hos Personuppgiftsansvarig
•    Kontaktpersoner hos Personuppgiftsansvarig avseende Avtalet.

5.    Art och ändamål för behandling av Personuppgifter 
Behandlingen av Personuppgifter sker i följande syfte/syften:
•    Konfiguration och support kring systemet som kräver att konsult eller teknisk support hos Biträdet loggar arbetar i Personuppgiftsansvarigs tekniska miljö.
•    Drift av Personuppgiftsansvarigs tekniska miljö.
•    Löpande information till kontaktpersoner hos Personuppgiftsansvarig kring uppdateringar och förändringar i systemet.

6.    Behandlingar
Personuppgifterna kommer att vara föremål för följande behandlingar:
•    Drift av Personuppgiftsansvarigs tekniska miljö.
•    Konfiguration av informationsflöden och support kring dokument- och ärendehantering.  

Biträdet ska inte behandla Personuppgifter för annat syfte än vad som anges ovan.

7.    Underbiträden
Biträdet använder nedan förtecknade underbiträden för behandling enligt Avtalet och Databehandlingsvillkoren:
•    FourEdge AB, organisationsnummer 556726-8106. FourEdge AB tillhandahåller som underleverantör följande tjänster inom ramen för Avtalet: Driftavtal Datacenter

8.    Geografiskt läge för behandlingen
Personuppgifterna behandlas i Sverige. Personuppgifterna kan dock komma att behandlas i annat land inom EU/EES-området vid anlitande av nytt underbiträde. 

Bilaga 2

Tekniska och organisatoriska säkerhetsåtgärder
De tekniska och organisatoriska säkerhetsåtgärder som vidtas av driftpartnern och Biträdet är:
A. Driftpartnerns säkerhetsåtgärder
Biträdet anlitar en driftpartner som är ISO 27001-certifierad. Driftpartnern ansvarar därmed för teknisk drift, inklusive följande säkerhetsåtgärder:
•    Åtkomstskydd för utrustning: Förhindrar obehörig åtkomst till datorutrustning och datacenter enligt ISO 27001-standard med fysisk säkerhet, intrångsskydd, larm och övervakning.
•    System för åtkomstkontroll: Driftpartnern har etablerade rutiner för tilldelning, förändring och borttagning av behörigheter, som påbörjas enligt Biträdets instruktion. Detta säkerställer att obehöriga personer inte får åtkomst till system som behandlar Personuppgifter.
•    Åtkomstkontroll för data: Driftpartnern säkerställer att användare endast har åtkomst till Personuppgifter som är relevanta för deras behörighet, och att uppgifterna inte kan läsas, kopieras, ändras eller tas bort utan behörighet.
•    Överföringskontroll: Personuppgifter skyddas mot obehörig åtkomst under elektronisk överföring, transport eller lagring. Driftpartnern använder sFTP-konton med säker hantering av inloggningsuppgifter och kan kontrollera överföringspunkter.
•    Tjänstekontroll: Driftpartnern säkerställer att behandling av personuppgifter endast sker enligt Biträdets och den Personuppgiftsansvariges instruktioner.
•    Tillgänglighetskontroll: Personuppgifter skyddas mot oavsiktlig förlust eller förstörelse genom regelbunden backup, lagring och återställning enligt dokumenterade rutiner.
•    Separationskontroll: Personuppgifter som samlats in för olika ändamål kan behandlas separat.
•    Incidenthantering: Driftpartnern har etablerade processer enligt ISO 27001 för hantering och rapportering av säkerhetsincidenter.
Biträdet säkerställer att driftpartnerns efterlevnad av ovan angivna säkerhetsåtgärder löpande följs upp, exempelvis genom regelbundna möten, rapporter, eller granskningar av aktuell certifiering.
B. Biträdets egna säkerhetsåtgärder
Utöver driftpartnerns säkerhetsåtgärder vidtar Biträdet följande egna organisatoriska och tekniska säkerhetsåtgärder:
•    Åtkomstkontroll: Biträdet använder multifaktorautentisering (MFA) och individuell behörighetsstyrning för samtliga anställda och användare. Behörigheter begränsas enligt principen om minsta nödvändiga åtkomstnivå.
•    Fysisk säkerhet: Biträdets lokaler skyddas av larm, unika passerkort och begränsad fysisk åtkomst.
•    Införingskontroll: Möjlighet finns att efter en händelse avgöra om och av vem Personuppgifter har införts, ändrats eller tagits bort från system som behandlar Personuppgifter.
•    Incidenthantering: Biträdet har interna policys, riktlinjer och rapporteringsflöden för incidenthantering och rapportering till ansvariga parter.
•    Utbildning och instruktioner: Biträdet genomför regelbunden utbildning av personal gällande informationssäkerhet, GDPR och interna rutiner.

 

1. Inledning och syfte
Centuri är en webbaserad programvarutjänst (SaaS), tillhandahållen och driftad av Centuri AB, för strukturerad hantering och styrning av organisationers information. Tjänsten används för att stödja och förbättra etablerade arbetssätt samt krav på spårbarhet, kvalitet och regelefterlevnad i verksamheten.
Syftet med denna bilaga är att på ett övergripande plan beskriva Centuri som produkt, dess huvudsakliga funktionella områden samt hur tjänsten levereras och används.
Beskrivningen avser Centuri som standardprodukt och utgör inte en detaljerad funktions- eller kravspecifikation.

2. Översikt av Centuri som plattform
Centuri är en sammanhållen plattform för att styra hur information skapas, hanteras och flödar genom hela eller delar av organisationen. Plattformen är uppbyggd kring gemensamma grundkomponenter som används konsekvent i hela systemet, oavsett informationstyp eller funktionellt område.
Centralt i Centuri är:
•    en gemensam arbetsflödesmotor
•    en gemensam formulär- och metadatamotor
•    en gemensam regel- och notifieringslogik
•    ett gemensamt behörighets- och säkerhetssystem
Dessa grundkomponenter utgör basen för hur information struktureras, följs upp och automatiseras i samtliga delar av plattformen.
2.1 Arbetsflödesmotor och processlogik
Centuri använder en gemensam arbetsflödesmotor för hantering av information i systemet. Arbetsflödesmotorn styr hur information rör sig genom organisationen: från initiering till avslut och arkivering.
Arbetsflöden kan konfigureras med steg, insyn och ansvar samt kopplas till regler, uppgifter och notifieringar via plattformens gemensamma regel- och notifieringslogik. Detta säkerställer enhetliga arbetssätt, hög spårbarhet och möjlighet till automatisering utan kundunik programmering.
2.2 Formulär, metadata och informationsstruktur
All information som skapas i Centuri baseras på formulär och metadata samt filer från andra tjänster. Samma formulär- och metadatamotor används genomgående i systemet, med anpassningar beroende på informationstyp.
Formulär konfigureras med drag-and-drop och kan kompletteras med regler, beroenden och valideringar som styr både informationsinsamling och arbetsflödeslogik. Detta säkerställer att information är korrekt, komplett och strukturerad redan vid inmatning.
2.3 Regel- och notifieringslogik
Centuri har en gemensam regel- och notifieringslogik som används över hela plattformen för att automatisera händelser och uppföljning.
Logiken kan användas för att:
•    generera notifieringar till användare, grupper, roller eller enheter
•    skapa automatiska uppgifter kopplade till arbetsflöden
•    trigga påminnelser och eskaleringar baserat på tid eller status
•    styra nästa steg i ett arbetsflöde baserat på innehåll eller metadata
Utöver automatiskt genererade notifieringar och uppgifter kan användare även skapa manuella uppgifter för samordning och uppföljning.
2.4 Behörighets- och säkerhetssystem
Centuri har ett gemensamt behörighets- och säkerhetssystem som tillämpas konsekvent i hela plattformen. Åtkomst till och redigering av information kan styras via användare, grupper, roller och organisatorisk tillhörighet.
2.5 Enhetlig användarupplevelse och administration
Eftersom samma grundkomponenter används i hela Centuri får användare och administratörer en enhetlig upplevelse oavsett funktionellt område. Konfiguration och administration sker på liknande sätt i hela systemet, och samma principer för behörighet, spårbarhet och historik gäller genomgående.
Plattformens enhetliga uppbyggnad bidrar till lägre administrativ belastning och möjliggör att användningen av Centuri successivt kan utökas över tid.

3. Funktionella huvudområden
3.1 Dokumenthantering
Centuri stödjer hantering av både styrande och operativ dokumentation, såsom rutiner, instruktioner, policys, riktlinjer, rapporter, mötesanteckningar, rollbeskrivningar och projektdokumentation.
Funktionaliteten omfattar bland annat:
•    användning av Microsoft 365 för filredigering
o    via MS 365 Online eller desktop med lokalt installerad dokumentassistent
•    versionshantering och full historik
•    granskning och godkännande i arbetsflöde
•    styrd publicering och distribution
•    läskvittenser och uppföljning
•    arkivering enligt konfigurerade regler
•    mallar och automatisk formatering
3.2 Ärendehantering
Ärendehantering används för händelsebaserad informationsinhämtning enligt fördefinierade och konfigurerade processer, exempelvis avvikelser, förbättringsförslag, revisioner, tillsyn, ronder och längre projekt.
Ärenden hanteras i arbetsflöden med stöd för bland annat:
•    formulärbaserad registrering
•    ansvar och uppgifter per steg
•    insyn, status, historik och spårbarhet
•    gallring av personuppgifter
3.3 Avtalshantering
Avtalshantering i Centuri omfattar avtal och tillhörande bilagor samt relaterad information, inklusive certifieringar och registreringar. Avtal hanteras som strukturerade informationsobjekt med metadata, arbetsflöde och behörighetsstyrning.
Stöd finns bland annat för:
•    bevakning av förfallodatum
•    koppling till motparter och register
•    versionshantering och arkivering
•    eskalering och styrning via avtalsansvariga och intressenter
3.4 Registerhantering
Register används för att strukturera och återanvända gemensam verksamhetsinformation, exempelvis motparter, anläggningar, produkter, processer, roller och andra verksamhetsobjekt.
Registerposter kan:
•    kopplas till dokument, ärenden, avtal, risker och kompetenser men även andra registerposter
•    användas i formulär och arbetsflödeslogik
•    ligga till grund för rapportering och uppföljning
•    användas för gruppering och klassificering av information
3.5 Riskhantering
Centuri stödjer olika typer av riskhantering genom flera kompletterande systemlogiker, bland annat:
1.    aggregering av ärenden till definierade risker för cyklisk bedömning
2.    användning av riskkataloger i ärenden för helhetsbedömning
3.    strukturerad och fristående hantering och visualisering av risker
3.6 Kompetenshantering
Centuri stödjer organisationer i att definiera kompetenser och följa upp vilka användare som har rätt att utföra arbete inom definierade tidsintervall. Utöver stöd för kontroll och regelefterlevnad möjliggör kompetenshantering strukturering av kunskapspaket baserat på information i Centuri för lättare inlärning.

4. Stödjande och plattformsövergripande funktioner
Utöver de funktionella huvudområdena innehåller Centuri stödjande funktioner som används över hela plattformen.
Dessa inkluderar bland annat:
•    global sökfunktion med behörighetsstyrning
•    gemensamt informationsbibliotek för publicerad och giltig information
•    funktions oberoende arbetesuppgiftsöversikt (”att göra”) för samordning och process förenkling under framtagning
•    arkiv för historik hantering
•    rapportering och sammanställningar
•    konfigurerbar startsida med widgets för överblick

5. Säkerhet och kryptering
Information i Centuri skyddas genom tekniska och organisatoriska säkerhetsåtgärder i enlighet med vedertagna branschstandarder. Säkerhetsåtgärderna är utformade för att stödja krav enligt tillämpliga standarder och regelverk inom informationssäkerhet och dataskydd.
5.1 Kryptering i transport
All kommunikation mellan klient och server sker över krypterade förbindelser med Transport Layer Security (TLS). Centuri är konfigurerat för att använda den senaste tillgängliga versionen.
5.2 Kryptering av data i vila
Lagrad information skyddas genom kryptering. Databasen är krypterad med Transparent Data Encryption (TDE) i Microsoft SQL Server. Dokumentdata, sökindex och säkerhetskopior lagras på krypterade lagringsmedier och skyddas med starka krypteringsalgoritmer, såsom AES-256.
5.3 Nyckelhantering
Hantering av kryptografiska nycklar sker i en FIPS 140-2 Level 3-validerad hårdvarubaserad säkerhetsmodul (HSM). Nycklar genereras, lagras och används inom denna skyddade miljö i enlighet med etablerade säkerhetspolicyer.
5.4 Loggning och spårbarhet
All aktivitet i systemet loggas för spårbarhet och uppföljning. 

6. Teknisk leverans 
Centuri levereras som en webbaserad SaaS-tjänst och nås via modern webbläsare. Tjänsten är baserad på .NET-teknologi med datalagring i Microsoft SQL Server och använder Elasticsearch för sökfunktionalitet. Användargränssnittet är responsivt för användning på dator, surfplatta och mobil. 
6.1. Autentisering och åtkomst 
Centuri stödjer säkra lösenord, automatisk utloggning vid inaktivitet samt Single Sign-On (SSO) via SAML. Stöd finns för AD-synkronisering via Centuri-tjänst eller API. 
6.2 Drift 
Centuri driftas i en säker servermiljö med kontinuerlig övervakning, backuphantering och proaktiv prestandaoptimering för hög tillgänglighet och driftsäkerhet. 
6.3 Integrationer och datautbyte 
Centuri tillhandahåller öppna API:er för integration med externa system såsom HR-system, ERP, intranät och rapportverktyg. Plattformen stödjer även integrationer via push- och pull-tjänster. 
Stöd finns för import och export av information i etablerade format. 

7. Uppgraderingar 
Molntjänsten uppdateras löpande beroende på prisplan och/eller kundunik konfiguration, men alltid minst en gång per år till ny huvudversion av standardprogramvaran. Utöver detta kan löpande uppdateringar ske för säkerhetsförbättringar och felrättningar. Avvikelser och utökningar kan överenskommas i Avtal och Förvaltningsavtal. Uppgraderingar sker med minimal påverkan för användarna.