Vilkår

Personvernerklæring og databehandler avtale

Under finner du vår (I.) personvernekæring og (II.) databehandleravtale. 

I Personvernerklæringen: Versjon 1 - datert 26.04.20. Personvernloven / GDPR (General Data Protection Regulation):

Semje Software tar personvern på alvor. GDPR / Personvernloven (heretter kalt personvernerklæringen) regulerer hvordan data om ansatte, privatkunder, ansatte hos leverandører og kunder håndteres. Semje Software samler inn data om virksomheten og dets ansatte (nødvendige brukeropplysninger). Disse data omfatter kontraktsforholdet og omhandler altså data vi lagrer om din bedrift og dine ansatte (også kalt brukere av systemet). 

Semje Software er et norsk aksjeselskap med drift i Norge. Vi leverer programvare og tjenester til virksomheter i Norge. Semje Software har hovedkontor i Kirkenær, Grue Kommune. Våre beslutninger som knytter seg til personvern gjøres med godkjenning av ledelsen og styret i selskapet og i samarbeid med kyndig 3. part. 

Hva gjelder personvernerklæringen for og når gjelder den?

Personvernerklæringen gjelder datasystemer og forretningsprosesser i Semje Software. Spesifikke bestemmelser gjelder for det system som benyttes (Nøgd) og/eller databehandleravtalen som inngås ved avtale om bruk. Her finner du informasjon om hvordan data og informasjon om virksomheter og brukere behandles, håndteres og benyttes av Semje Software som behandlingsansvarlig.

For at vi skal betjene våre kunder innhenter vi data om virksomheten og dets ansatte/brukere. Dette innbefatter virksomhetens navn, adresse, epostadresse og telefonnummer. Vi innhenter personopplysninger om ansatte eller brukere (typisk virksomhetens ansatte) som navn, epost adresse og telefonnummer. Informasjon vi innhenter anses nødvendig for å betjene våre kunder (type behandling), som å kunne sende faktura til virksomheten, la brukere benytte systemets funksjoner, gi support til brukere av systemet og identifisere brukere av systemet ved for eksempel behov for bistand/support. Vi ønsker å påpeke at det kun opprettholdes en aktiv link mellom virksomheter og bruker(e) - og data input så fremt virksomhetens konto er aktiv hos oss. 

Vi samler også inn automatiske data. Dette er data som du ikke oppgir direkte til oss, men som automatisk samles inn av systemet ved systembruk eller når du kontakter vår kundeservice. Dette inkluderer pålogging aktivitet og epost korrespondanse med support når vår online epost funksjon benyttes (kun tilgjengelig når bruker er pålogget i systemet). 

Vi benytter også informasjonskapsler/ cookies for bedre brukeropplevelse, men som vi ikke benytter til kundeidentifisering. 

Om du ikke er enig i våre betingelser her beskrevet i personvernerklæringen, vennligst avstå fra bruk av våre systemer ved å registrere din virksomhet eller deg selv som bruker av våre systemer.  Om dere/du allerede har konto registrert og ønsker si opp bruken av systemet slik at gjeldende konto kan slettes - vennligst gi beskjed snarest.

Din rett til å ikke motta generell informasjon eller markedsføring om Semje Software og dets produkter. 

Semje Software selger systemet Nøgd, relevante system produkter (for eksempel brosjyrer), support og kurs. Semje Software sender ut informasjon til brukere av systemet om disse produktene. Semje Software sender også ut informasjon om endringer i systemet som resultat av forbedringer eller oppdateringer. Om du ikke ønsker motta informasjon eller markedsføring fra Semje Software kan du gi beskjed om dette ved å sende en epost på post@semje.com eller ringe på telefon 41378216.

Om du ikke ønsker motta informasjon nevnt ovenfor, vil Semje Software likevel sende informasjon som gjelder oppfølging ved supporthenvendelser og informasjon om kontoadministrasjon (typisk bestillinger, kontoendringer, varsler om endringer som gir endret brukeropplevelser nødvendig for å kunne bruke kontoen/systemet). 

Rettigheter

Du har på ethvert tidspunkt rett til å få innsikt om de opplysninger vi har lagret om deg. Du kan også har rett til:

  1. Dataportablitet: overføre dine persondata til annen virksomhet.

  2. Rett til å be om at feil opplysninger som er lagret oppdateres. Dette kan du selv håndtere ved å oppdatere dine opplysninger på systemkonto som er opprettet.

  3. På et senere tidspunkt motsette deg vår behandling av dine personopplysninger eller begrense dine personopplysninger.

  4. Klage til datatilsynet på vår behandling av dine personopplysninger.

Spørsmål eller behov for avklaring i henhold til ovennevnte punkter kan gjøres på epost post@semje.com eller telefon 41378216.

Beskyttelse av dine personopplysninger

Semje Software tar personvernerklæringen og derav dine personopplysninger på alvor. Kun du skal ha tilgang til din konto og den informasjon som gjelder deg og din konto. Disse opplysningene skal ikke videreformidles til 3. part eller være tilgjengelige via autorisert tilgang. Vårt ansvar er å behandle dine opplysninger konfidensielt og holde riktige opplysninger om deg lagret i henhold til lovgivning om personvern.

For å kunne ivareta våre plikter og dine interesser, bestreber vi gode rutiner hva angår opprettholdelse av våre og dine forventninger. Dette innebærer at vi har interne rutiner for opprettholdelse av datasikkerhet. Vi har derfor strenge krav til oppdateringer, vedlikehold og sikkerhetsmessige tiltak i våre systemer. Våre systemer er installert og driftes på servere i Norge, av 3. part som etterfølger GDPR og personvernerklæringen. 3. part som drifter våre systemer har ikke tilgang på de data som angår deg da disse er beskyttet av Semje Software. Semje Software har interne rutiner for dette. Vår leverandør kartlegger kontinuerlig for sikkerhetshull i websider, brute-forcing av passord og overbelastningsangrep. Vårt valg av leverandør er gjort i henhold til våre krav til drift med høy sikkerhet og raske tilbakemeldinger når trusselbildet vurderes være av betydning for sikkerheten av våre systemer. 

Semje Software har jevnlig dialog med flere aktører for å ivareta interessene ovenfor våre kunder og i henhold til interne strategier. Ansvarlige for den daglige driften av selskapet har derfor jevnlige møter hva angår datasikkerheten. Dette innebærer drøftinger basert på oppdatert informasjon gjennom dialog med kyndige eller tilgang på oppdatert informasjon basert på anbefalinger eller den generelle utviklingen rundt drift og sikkerhet for våre systemer. Dette gjelder valg, utvikling, oppdatering(er) og drift av våre systemer.

  • Kun autorisert personell hos Semje Software får tilgang til personopplysninger. Ansatte undertegner avtale om konfidensialitet og taushetsplikt ved ansettelse og tilgang til data via rollen som ansatt med autorisert tilgang. Det samme gjelder også utvikler(e) av system(er) til Semje Software.

  • Våre retningslinjer her beskrevet er vurdert av 3. part. Nye vurderinger gjøres fortløpende og oppdateres ved behov eller krav som oppstår i lovgivningen.

  • Semje Software benytter systemer som er i stand til å identifisere og automatisk rapportere uregelmessig avvik (mistenksom data- og brukeraktivitet) knyttet til påloggingsforsøk. Semje Software har egen systembruk overvåkning av kontoaktivitet og kan svare kundene på tidspunkt for pålogging samt mulig IP adresse for påloggingsforsøk når dette etterspørres av våre kunder. Semje Software vil også varsles ved unormal/uønsket aktivitet på webserver av leverandør (se mer under). 

  • Alle personopplysninger knyttet til ansatte i virksomheter samles inn, lagres, behandles, utleveres og makuleres i samsvar med Lov om behandling av personopplysninger (Personopplysningsloven) og EUs personvernforordning (GDPR: General Data Protection Regulation). Vi kan slette din konto om dette er ønskelig, eller vil i henhold til våre rutiner gjøre dette 3 måneder etter at virksomhetens eller brukerens konto er gjort inaktiv. Unntaket fra denne regelen vil være ved eventuelle tvister eller andre situasjoner hvor det er nødvendig å beholde dataene for en periode utover det vanlige. Dine personopplysninger vil allikevel ikke beholdes lenger enn hva som anses rimelig og/eller nødvendig i denne sammenheng. 

  • Semje Software evner å inngå avtale med virksomheter om varsling ved endring av informasjons sikkerhetstiltakene. Dette innebærer beskrivelse av hvordan risiko-/trusselbildet har endret seg siden avtaleinngåelse. Dette må i så fall avtales skriftlig med dataansvarlig. Da vil vi etter beste evne beskrive hvordan vi har avdekket problemer, samt kunne rapportere og beskrive hvordan Semje Software vil rette opp avvik knyttet til informasjonssikkerhet. Dette vil innbefatte loggføring og dokumentasjon på identifiserte forsøk på ikke-autorisert tilgang og andre brudd på personopplysningssikkerheten i datasystemene. Semje Software vil til enhver oppbevare informasjon om slike forhold. Om Semje Software får kjennskap til et brudd på personopplysningssikkerheten vil selskapet uten ugrunnet opphold informere den dataansvarlige.

  • Et selskap med avdelinger i flere ulike land kan inngå avtale om bruk av våre systemer:

- fra en felles server som da vil være installert i ett land
- eller fra server i det landet som selskapets avdeling operer

  • Eventuelle avvik som skjer i systemer som eies av Semje Software vil korrigeres uten kostnad for virksomheten og dets brukere så fremt ikke uforsvarlig bruk og/eller uforsvarlig oppbevaring av sensitive data skyldes dataansvarlig og den dataansvarliges brukere.

Sikkerhet

Semje Software er opptatt av sikkerhet. For å kunne ivareta best mulig sikkerhet så har Semje Software rutiner for:

  • internkontroll og tilknyttede rutiner (kan dokumenteres).

  • dokumentasjon på ansattes ansvar og systemtilganger og opplæring av ansatte.

  • klare sikkerhetsmål for våre system(er). Dette er beskrevet i en dokumentert sikkerhetsstrategi for Semje Software som jevnlig evalueres/revideres.

  • risikovurdering 

Gjensidige forpliktelser

For å sikre at personvernet til både virksomheten og dets brukere - og Semje Software opprettholdes kreves et samarbeid mellom partene. Dette blir en gjensidig forpliktelse. Det betyr i praksis at også du/kunden må være med å sikre at behandlingen av personopplysninger er i samsvar med personvernlovgivningen. Dette innebærer spesifikt at du/kunden må besørge det rettslige grunnlaget for behandling av personopplysninger som gis. Du som kunde må også vurdere eierskap til risiko som knytter seg til behandlingen av personopplysninger. Du som kunde har også ansvar for å opprettholde informasjonsplikt overfor brukere av lisens/konto/system. Semje Software må sørge for at behandlingen av personopplysninger er i samsvar med personvernlovgivningen for databehandlere. 

Behandling av data via 3. Part

Semje Software benytter 3. part for å kunne opprettholde et fullgodt produkt og et fullgodt system for ivaretakelse av kunder og drift. Semje Software vil inngå en databehandleravtale med de parter som gis alle opplysninger om deg/kunden. Dette være seg:

  • Regnskapsfører og regnskapssystem (www.tripletex.no)

  • Bruk av kundeoppfølgingssystem (www.tripletex.no)

Semje Software benytter 3. part for å løse hele eller deler av systemets drift, men som ikke vil ha tilgang til data knyttet til systemet. Disse er:

  • Domeneshop (les mer om deres personvernerklæring her: https://domene.shop/terms#privacy. Merk at Domeneshop skriver dette for Semje Software som kunde, og vil ikke ha tilgang til data som gjelder deg/deres virksomhet da disse ivaretas av Semje Software øvrig beskrevet i denne erklæringen.For e-post og web, så befinner serverne seg på en enkelt lokasjon i Norge (om ikke annet ønskes av kunde). Det tas offsite-backup av alle data daglig, slik at hvis det skulle oppstå brann, flom, eksplosjon eller lignende hendelse hos Domeneshop, så kan dataene gjenopprettes.

  • Mailgun. For ivaretakelse av systemdialog som sender epost ved registrering av konto, endring av passord og support kommunikasjon internt i systemet. Denne leverandør føler GDPR lovgivning, les mer: https://www.mailgun.com/gdpr/

  • phpMyadmin. For administering av database.

Semje Software vil ellers slette data om deg/virksomheten når disse ikke lenger er nødvendige for videre bruk. Semje Software vil kunne bruke øvrig data til forskningsformål eller statistiske formål uten at disse kan knyttes til deg/virksomheten. Data som benyttes til dette formål er derfor anonymiserte data. 

Endringer i denne avtalen

Ved endringer i denne avtalen vil denne oppdateres fortløpende. Vi vil ved endringer av avtalen gi beskjed til deg/dere om dette via epost eller varsel i systemet. Vi oppfordrer alle kunder/brukere av våre systemer til å jevnlig undersøke om det har kommet oppdateringer av avtalen som her er skrevet.

II Databehandleravtale

  1. Om Semje Software og databehandleravtalen

Semje Software arbeider systematisk for at systemer/programvare som tilbys er i henhold til forskrifter og personvernlover. Formålet Semje Software har med behandlingen av all data er for å kunne tilby kunder og brukere tilgang til system(er) og systemets funksjoner. Videre vil data som legges inn benyttes som kontaktinformasjon for fakturering og kundeoppfølging.

Dette er vårt offentlige dokument - men vi kan også kontaktes på post@semje.com eller telefon 41378216 for spørsmål eller ikke offentlig informasjon.

  1. Om databehandleravtalen

Denne avtalen beskriver hvordan Semje Software håndterer og ivaretar kunde- og personopplysninger registrert i våre systemer.

Personvernforordningen (Forordning 2016/679, på engelsk General Data Protection Regulation, forkortet GDPR) og personopplysningsloven beskriver de reguleringskrav som foreligger mellom databehandler og behandlingsansvarlig. Her beskrives også de sikkerhetsmessige og organisatoriske krav som Semje Software må forholde seg til for å ivareta både en lovlig og sikker behandling av personopplysninger.

Databehandler er Semje Software. En databehandler forvalter kunde- og personopplysninger lagt inn av deg/du/dere som behandlingsansvarlig. Derfor er typisk våre kunder/brukere behandlingsansvarlig. Behandlingsansvarlig er ansvarlig for dataene/firma- og personopplysninger som er registrert i systemet og at personvernet ivaretas i henhold til lovgivningen.  

Kunden er typisk en virksomhet som oppretter en konto på vegne av en eller flere brukere. Brukere er typisk ansatte i samme virksomhet eller ha annen tilknytning og bruk interesse på vegne av kunden. Det er kunden som anses være lisensbruker av systemet og vil belastes for aktiv(e) lisenser.

Denne databehandleravtalen behandler forholdet mellom databehandler og behandlingsansvarlig - og skal sikre at personopplysninger behandles i henhold til gjeldende lover og regler. Avtalens anses å være inngått og være gjeldende når et kundeforhold opprettes - typisk ved opprettelse av konto via www.nøgd.no eller våre andre systemer. 

  1. Formålet med avtalen

De data som samles inn og formålet med behandlingen av all data, er for å kunne tilby bruk av våre systemer som bistår i håndteringen av komplekse problemstillinger. 

De innsamlede data er nødvendig for å kunne bruke våre systemer. Semje Software vil videre overføre disse data i innkjøpte regnskaps- og CRM systemer (Tripletex) for fakturering og oppfølging. 

  1. Data som behandles: spesifikt

Når kunden oppretter konto i våre systemer, registreres følgende (for å kunne bruke våre systemer og systemenes funksjoner):

  • Bedriftsnavn eller kontoeier, bedriftens eller kontoeiers epost og telefonnummer

  • Ansattes eller systembrukeres navn, epost og telefonnummer

For å senere følge opp kunder i regnskapssystemer og CRM systemer vil øvrig informasjon hentes inn gjennom senere kontakt:

  • Faktureringsadresse og kontaktadresse

  1. Rettigheter og plikter: Semje Software (Databehandler)

Semje Software forvalter data som kunden/bruker legger inn i systemet. Semje Software har ikke eierskap over personopplysninger. Alle personopplysninger som behandlingsansvarlig (typisk: kunden/bruker) selv legger inn i systemet behandles som regulert i denne databehandleravtalen.

Semje Software har interne rutiner for interne forhold i samsvar med kravene i GDPR. dette innebærer rutiner for risikoanalyse og sårbarhetsanalyse, ansattes taushetsplikt om sensitive kundedata og fortrolig håndtering av data - og jevnlig gjennomgang av oppdaterte krav i personopplysningsloven og krav i GDPR.

Semje Software vil imøtekomme forespørsler fra dataansvarlige for å oppfylle de til enhver tid plikter og krav som ligger i personopplysningsloven og/eller GDPR lovgivningen. Semje Software vil også imøtekomme behandlingsansvarliges behov for dokumentasjon om våre rutiner og bestemmelser knyttet til personopplysningsloven og/eller GDPR lovgivningen. Ved slike henvendelser kan medgått tid belastes behandlingsansvarlig etter nærmere avtale. 

Semje Software vil ubegrunnet eller uten forespørsel fra dataansvarlig informere om systemtekniske feil eller dataangrep som gir sannsynlig grunn for å hevde at personopplysninger er kommet på avveie. 

Semje Software vil på ethvert tidspunkt forbeholde seg retten til å benytte anonymiserte innsamlede data (typisk etter bruk av systemet) for å kunne forske på egne data med sikte på kunnskapsformidling eller systemforbedringer, delta i forskning i samarbeid med 3. part, eller selge data til 3. part. Slike data det her er snakk om vil ikke kunne spores til kunde/bruker og eller inneholde opplysninger som kan benyttes av 3. part til markedsføring eller lignende direkte mot kunde/bruker.

Semje Software vil kunne overføre data til 3. parts systemer for oppfølging av fakturering og/eller salg. Denne informasjonen legges typisk inn i semje Softwares faktura- og/eller CRM-systemer.

Semje Software forbeholder seg retten til å inaktivere eller slette konto om aktiviteten på denne vurderes som mistenkelig. Mistenkelig aktivitet kan typisk være at brukerdata ikke stemmer med offentlige registre eller at bruken av systemet ikke gjøres slik den er intendert av systemet. Semje Software vil gjøre rimelige forsøk på å avklare slike forhold ved å være i direkte dialog med den registrerte kunde og/eller bruker.

Semje Software vil øvrig bestrebe å være i dialog med databehandler om forhold hvor det knytter seg til mulige misforståelser, uenigheter eller forhold som direkte står i strid med personvernlovgivning og/eller GDPR.

  1. Rettigheter og plikter: Kunde/bruker (Behandlingsansvarlig)

Ved inngåelse av avtale bekrefter behandlingsansvarlig at:

  • ved opprettelse av konto gjøres dette med rett myndighet. Dette betyr at konto oppretter/skaper er juridisk representativ (har rett til) og kan påta seg ansvaret for registrering av data i systemer som eies av Semje Software (dataansvarlig).

  • det legges inn nødvendige opplysninger slik at systemet kan benyttes og senere imøtekommer eventuelle ytterligere spørsmål om data slik at fakturering av konto muliggjøres.

  • alle data er oppdaterte slik at disse er riktige og representative for både virksomhet og brukere, både for bruk av system og øvrig nødvendig kontakt.

  • alle brukere av de(n) konto(er) dataansvarlig har opprettet er informert om denne gjeldende avtale og alle senere oppdateringer.

Dataansvarlig sørger for at alle opplysninger behandles i henhold til personvernlovgivning og/eller GDPR krav, og selv sørge for å svare på henvendelser fra brukere. Og selv ivareta egen konto og konto for brukere i henhold til forventninger om tekniske og organisatoriske tiltak (spesielt artikkel 32 i GDPR). 

Ved avvik fra denne avtale kan dataansvarlig meddele dette til databehandler eller meddele dette til datatilsynet.

Behandlingsansvarlig skal bare legge inn nødvendig informasjon om selskapet og dets brukere øvrig beskrevet. Dataansvarlig skal ikke legge inn ytterligere informasjon i systemet som ikke er nødvendig for å ivareta hensikten med systemfunksjoner. Data som ikke skal legges inn er personsensitiv data eller annen data som kan karakteriseres som kan knyttes til enkeltpersoner eller presentere forhold som ikke anses være allmenne eller anonyme.

  1. Behandling av data via 3. part

Ved inngåelse av denne databehandleravtale gjelder også følgende (under). Semje Software benytter 3. part for å kunne opprettholde et fullgodt produkt og et fullgodt system for ivaretakelse av kunder og drift. Semje Software vil inngå en databehandleravtale med de parter som gis alle opplysninger om deg/kunden. Dette være seg:

  • Regnskapsfører og regnskapssystem (www.tripletex.no)

  • Bruk av kundeoppfølgingssystem (www.tripletex.no)

Semje Software benytter 3. part for å løse hele eller deler av systemets drift, men som ikke vil ha tilgang til data knyttet til systemet. Disse er:

  • Domeneshop (les mer om deres personvernerklæring her: https://domene.shop/terms#privacy. Merk at Domeneshop skriver dette for Semje Software som kunde, og vil ikke ha tilgang til data som gjelder deg/deres virksomhet da disse ivaretas av Semje Software øvrig beskrevet i denne erklæringen.For e-post og web, så befinner serverne seg på en enkelt lokasjon i Norge (om ikke annet ønskes av kunde). Det tas offsite-backup av alle data daglig, slik at hvis det skulle oppstå brann, flom, eksplosjon eller lignende hendelse hos Domeneshop, så kan dataene gjenopprettes.

  • Mailgun. For ivaretakelse av systemdialog som sender epost ved registrering av konto, endring av passord og support kommunikasjon internt i systemet. Denne leverandør føler GDPR lovgivning, les mer: https://www.mailgun.com/gdpr/

  • phpMyadmin. For administering av database.

Semje Software vil ellers slette data om deg/virksomheten når disse ikke lenger er nødvendige for videre bruk. Semje Software vil kunne bruke øvrig data til forskningsformål eller statistiske formål uten at disse kan knyttes til deg/virksomheten. Data som benyttes til dette formål er derfor anonymiserte data. 

I tilfeller hvor dataansvarlig selger sin virksomhet eller bytter navn vil dette rettslig sett bety 3. part få tilgang til personopplysninger.

  1. Oppsigelse og sletting av konto

Ved oppsigelse av konto vil denne slettes 3 måneder etter oppsigelsestiden er over. Unntaket fra denne regelen vil spesielt være ved eventuelle tvister eller andre situasjoner hvor det er nødvendig å beholde dataene for en periode utover det vanlige. Dataansvarliges personopplysninger vil allikevel ikke beholdes lenger enn hva som anses rimelig og/eller nødvendig i denne sammenheng. Semje Software kan slette data ansvarliges konto om dette er ønskelig i oppsigelsesperioden ved skriftlig henvendelse.

Semje Software tar daglig backup, men om en konto er slettet vil ikke denne konto gjenopprettes senere da vi ikke har lagret backup av tidligere registrerte opplysninger fra dataansvarlig. En inaktivert og senere slettet konto må anses som tapt for alltid.