Bruksvilkår for Leide

1. Definisjoner

2. Tjenestebeskrivelse

Leide er et webbasert verktøy for å gjennomføre risikoanalyser og ROS-vurderinger. Tjenesten lar Kunden:

• Definere analyseobjekter (assets) og knytte risiko-scenarier til dem
• Vurdere sannsynlighet og konsekvens
• Definere og dokumentere risikoreduserende tiltak (mitigations)
• Laste opp støttedokumenter som attachments
• Samarbeide med flere Brukere i samme workspace
• Eksportere analyser til kjente formater

Tjenesten leveres via internett og krever moderne nettleser, internett-tilkobling og brukerkonto.

3. Aksept av vilkår og opprettelse av brukerkonto

3.1 Bindende aksept

Disse vilkårene har to aksept-lag:

a) Brukeraksept (per Bruker): Når Brukeren oppretter en konto eller logger inn i Tjenesten første gang, aksepterer Brukeren disse vilkårene for sin egen bruk. Brukeren erklærer samtidig at:

• Opplysningene som oppgis (navn, e-postadresse) er korrekte
• Brukeren er over 18 år
• Brukeren forstår at Tjenesten er i pilot-fase

b) Selskapsaksept (per Kunde): Selskapet (Kunden) bindes ikke av disse vilkårene gjennom enkeltbrukers innlogging alene. Kunden bindes av:

• Pilotavtalen, signert av en autorisert representant for Kunden
• Databehandleravtalen (DPA), signert av en autorisert representant før Kundedata lastes inn i Tjenesten

Pilotkundens administrator er ansvarlig for å sikre at workspace-medlemmer er informert om vilkår, personvernerklæring og DPA før de inviteres inn.

3.2 Brukerkonto

Brukerkontoer opprettes via vår autentiseringsleverandør Clerk (se Subprosessor-listen). Brukeren er ansvarlig for å:

• Holde passord og innloggingsinformasjon hemmelig
• Bruke en sterk passordkombinasjon og aktivere flerfaktor-autentisering hvor tilgjengelig
• Varsle Leverandør umiddelbart ved mistanke om uautorisert tilgang til kontoen

3.3 Kunde-administratorer

Hver Kunde har én eller flere administratorer som styrer hvem som har tilgang til Kundens workspace og hvilke roller de har. Kunden er ansvarlig for å:

• Sørge for at workspace-medlemmer har et reelt behov for tilgang
• Fjerne tilganger når ansatte slutter eller skifter rolle
• Sørge for at workspace-medlemmer er informert om Kundens egen personvernpraksis

4. Lisens og tjenestebruk

Leverandøren gir Kunden og Brukerne en ikke-eksklusiv, ikke-overførbar lisens til å bruke Tjenesten i Pilot-perioden, i henhold til disse vilkårene og avtalen mellom Leverandøren og Kunden.

Lisensen omfatter ikke retten til å:

• Videreselge, leie ut eller på annen måte gjøre Tjenesten tilgjengelig for andre
• Reverse-engineere, dekompilere eller kopiere Tjenestens kildekode
• Kopiere Tjenestens design eller brukergrensesnitt for å lage en konkurrerende tjeneste
• Bruke Tjenesten på en måte som bryter denne avtalen eller norsk lov

5. Akseptabel bruk

Brukeren skal ikke:

• Bruke Tjenesten til ulovlige formål eller for å lagre/behandle ulovlig innhold
• Forsøke å skaffe seg uautorisert tilgang til andre Kunders data eller til Leverandørens systemer
• Drive sikkerhetstesting (penetrasjonstesting, sårbarhets-scanning) uten skriftlig forhåndsavtale med Leverandøren
• Skrape, høste eller masseuttak av data fra Tjenesten utover normal eksport-funksjonalitet
• Laste opp innhold som krenker tredjeparters opphavsrett, varemerkerett eller andre immaterielle rettigheter
• Sende spam, phishing-forsøk eller annet uønsket innhold via Tjenesten
• Forstyrre Tjenestens drift med automatisert trafikk, denial-of-service-angrep eller liknende
• Bruke Tjenesten til å lagre særlige kategorier personopplysninger (helse, etnisitet, politisk oppfatning, fagforeningsmedlemskap osv. — GDPR Art. 9) eller opplysninger om straffbare forhold (Art. 10) uten skriftlig forhåndsavtale med Leverandøren. Kunden skal varsle Leverandøren før slik behandling planlegges, slik at Leverandøren kan vurdere om sikkerhetstiltakene er tilstrekkelige

Leverandøren forbeholder seg retten til å suspendere kontoer eller funksjonalitet ved brudd, kreve sletting av innhold som er lagt inn i strid med disse vilkårene, og å rapportere ulovlig aktivitet til myndighetene.

6. Kundedata

6.1 Eierskap

Kunden eier alle data Kunden eller Brukerne laster opp eller skaper i Tjenesten (Kundedata). Leverandøren får kun de bruksrettighetene som er nødvendige for å levere Tjenesten, jamfør DPA.

6.2 Leverandørens tilgang til Kundedata

Leverandøren får ikke tilgang til Kundedata på rutinemessig basis. Tilgang kan skje i følgende situasjoner:

• Når Kunden eksplisitt ber om support og samtykker til at Leverandøren ser på spesifikke data
• For sikkerhetsformål ved mistanke om misbruk eller sikkerhetsbrudd
• For systemvedlikehold der det er teknisk nødvendig (for eksempel feilretting i database-spørringer)
• Der vi er pålagt ved lov

All slik tilgang logges i audit-loggen og er formålsbegrenset.

6.3 Eksport av Kundedata

Kunden kan når som helst be om en eksport av Kundedata i JSON-format. Eksport leveres innen 10 arbeidsdager etter forespørsel sendt til kontakt@leide.app.

6.4 Sletting

Når avtalen avsluttes, har Kunden 30 dagers grace-periode for å eksportere data. Etter denne perioden slettes Kundedata fra Leverandørens systemer, med unntak av:

• Anonymiserte audit-rader (uten identifiserende felter) som beholdes i 3 år for sikkerhetsformål per intern policy
• Faktura- og bokføringsdata som må beholdes i 5 år etter bokføringsloven §13

7. Leverandørens immaterielle rettigheter

Leverandøren eier alle rettigheter til Tjenesten, inkludert:

• Programvare og kildekode
• Design, logoer, varemerker (inkludert "Leide" og "Just presis")
• Dokumentasjon og opplæringsmateriell
• Forretningsmodell og tekniske konsepter

Disse vilkårene gir ikke Kunden noen rettigheter til Leverandørens immaterielle eiendom utover det som er nødvendig for å bruke Tjenesten.

8. Pris og betaling

Pris for Pilot-perioden avtales separat mellom Leverandør og Kunde i en egen pilotavtale. Avtalen kan omfatte gratis bruk, fast pilotpris eller annen avtalt modell.

Hvis det avtales betalt pilot:

• Faktura sendes elektronisk på avtalt frekvens
• Betalingsfrist er 14 dager fra fakturadato med mindre annet er avtalt
• Forsinket betaling påløper morarenter etter lov om renter ved forsinket betaling
• Ved manglende betaling utover 60 dager kan Leverandøren suspendere tilgangen til Tjenesten

9. Tilgjengelighet og support

9.1 Tilgjengelighet under pilot

Leverandøren tilstreber høy oppetid, men gir ingen formell SLA-garanti under Pilot-perioden. Tjenesten kan være utilgjengelig på grunn av:

• Planlagt vedlikehold (varsles på forhånd hvor det er praktisk mulig)
• Tredjeparts-leverandørproblemer (Vercel, Supabase, Cloudflare, Clerk)
• Uventede feil eller sikkerhetshendelser
• Force majeure

9.2 Support

Support gis per e-post til kontakt@leide.app. Vi tilstreber respons innen to arbeidsdager under Pilot-perioden. Vi tilbyr ikke telefonsupport.

9.3 Sikkerhetshendelser

Ved sikkerhetsbrudd som berører Kundedata, varsler Leverandøren Kunden uten ugrunnet opphold etter at vi har blitt klar over bruddet. Dette gir Kunden anledning til å overholde sin egen 72-timersfrist mot Datatilsynet etter GDPR Art. 33, der dette gjelder. Detaljerte plikter er regulert i DPA.

9.4 Backup og gjenoppretting

Leverandøren tar daglig backup av Kundedata. Backups oppbevares i 7 dager. Ved katastrofal feil mellom to backups kan inntil 24 timers arbeid gå tapt ved gjenoppretting. Dette er en bevisst pilot-konfigurasjon for å holde driftskostnadene nede; Punkt-i-tid-gjenoppretting (PITR) som gir tap-fri gjenoppretting til vilkårlig tidspunkt vurderes ved generell lansering.

Leverandøren anbefaler at Kunden eksporterer viktige analyser jevnlig som PDF eller JSON via funksjonalitet i Tjenesten, for å sikre ekstern arkivering av forretningskritisk innhold gjennom Pilot-perioden.

Tekniske detaljer om backup-rutine, restore-test og kundens egen eksport-rolle er beskrevet i DPA Vedlegg C (Security Annex) §3.

10. Ansvarsbegrensning

10.1 Generell ansvarsbegrensning

Tjenesten leveres "som den er" under Pilot-perioden. Leverandøren fraskriver seg, så langt loven tillater, ansvar for:

• Indirekte tap (tapt fortjeneste, tap av goodwill, datatap utover det Kunden kunne forhindret med rimelig backup-rutine)
• Følgeskader og pønalitetsskade
• Tap som følge av Kundens egne valg om hvordan Tjenesten brukes
• Tap som følge av tredjeparts-leverandører (subprosessorer) og force majeure

10.2 Maksimalt ansvar

Leverandørens samlede ansvar overfor Kunden i Pilot-perioden er begrenset til det største av:

• Det Kunden faktisk har betalt for Tjenesten i de siste 12 månedene (eller hele Pilot-perioden hvis kortere), eller
• 10 000 NOK

Ansvarsbegrensningen gjelder ikke for:

• Ansvar som ikke kan begrenses etter ufravikelig norsk lov (særlig personopplysningsloven og personvernforordningen art. 82)
• Forsett eller grov uaktsomhet fra Leverandørens side
• Brudd på konfidensialitet i den grad slikt ansvar følger av pilotavtalen eller DPA
• Krenkelse av tredjeparts immaterielle rettigheter forårsaket av Leverandørens dokumenterte feil

10.3 Kundens egne forpliktelser

Kunden er selv ansvarlig for:

• Å vurdere om Tjenesten er egnet for Kundens formål under Pilot-vilkårene
• Å sikre at Kundedata som lastes opp er lovlig og at Kunden har rett til å behandle dem
• Å holde sine workspace-medlemmer informert om Tjenestens behandlingspraksis
• Å gjennomføre risikovurderinger og DPIA der det er påkrevd etter personvernregelverket
• Å eksportere data jevnlig hvis Kunden krever lokal kopi for backup-formål
• Å vurdere om Kundens behandling også omfattes av arkivplikter. Dersom Kunden er offentlig organ eller på annen måte arkivpliktig (for eksempel under arkivlova), er Kunden selv ansvarlig for å vurdere journalføring, arkivering, bevaring og kassasjon. Leide er ikke et Noark-godkjent arkivsystem eller arkivkjerne, og Kunden må eksportere eller overføre arkivpliktig dokumentasjon til eget arkivsystem der regelverket krever det

11. Personvern og databehandleravtale

Behandling av personopplysninger i Tjenesten reguleres av to dokumenter:

• Personvernerklæringen (leide.app/personvern) dekker behandlinger der Leverandør er behandlingsansvarlig (besøkende, brukerkontoer, support-henvendelser)
• Databehandleravtalen (DPA) dekker behandlinger der Leverandør er databehandler på Kundens vegne (selve risikoanalyse-innholdet og workspace-medlemmer som Kunden har invitert inn)

Kunden er ansvarlig for å gjennomgå og signere DPA før Kundens egne data lastes inn i Tjenesten.

12. Konfidensialitet

Begge parter forplikter seg til å holde konfidensielt:

• Den andre partens forretningshemmeligheter
• Kundens forretningssensitive innhold i Tjenesten
• Leverandørens tekniske detaljer som ikke er offentlig kjent
• Vilkår i pilotavtalen

Konfidensialitetsplikten gjelder også etter at avtalen er avsluttet, så lenge informasjonen ikke er offentlig kjent.

13. Oppsigelse

13.1 Oppsigelse fra Kunden

Kunden kan si opp avtalen når som helst ved å varsle Leverandøren skriftlig på kontakt@leide.app. Oppsigelse trer i kraft umiddelbart eller på avtalt dato.

13.2 Oppsigelse fra Leverandøren

Leverandøren kan si opp avtalen:

• Med 30 dagers skriftlig varsel uten grunn
• Umiddelbart ved Kundens vesentlige brudd på disse vilkårene (for eksempel ulovlig bruk eller manglende betaling utover 60 dager)
• Umiddelbart hvis Pilot-fasen avsluttes og Kunden ikke ønsker å gå over til kommersielle vilkår

13.3 Konsekvenser av oppsigelse

Ved oppsigelse:

• Kunden mister tilgang til Tjenesten etter grace-perioden (30 dager)
• Kunden får tilbud om JSON-eksport av Kundedata
• Kundedata slettes som beskrevet i seksjon 6.4
• Bestemmelser om konfidensialitet, immaterielle rettigheter og ansvarsbegrensning gjelder også etter oppsigelse

14. Endringer i vilkårene

Leverandøren kan endre disse vilkårene. Vesentlige endringer varsles til Kunden per e-post minst 30 dager før de trer i kraft. Mindre språklige justeringer eller presiseringer kan publiseres uten varsel.

Hvis Kunden ikke aksepterer endringer i vilkårene, kan Kunden si opp avtalen før endringene trer i kraft. Fortsatt bruk av Tjenesten etter at endringene har trådt i kraft, regnes som aksept av nye vilkår.

15. Force majeure

Ingen av partene er ansvarlig for forsinkelser eller manglende oppfyllelse som skyldes forhold utenfor partens kontroll og som ikke med rimelighet kunne vært forutsett eller unngått. Dette omfatter blant annet:

• Naturkatastrofer
• Krig, terror, opptøyer
• Pandemier og offentlige restriksjoner
• Strømbrudd og telekommunikasjons-svikt utenfor partens kontroll
• Vesentlige avbrudd hos kritiske subprosessorer (Vercel, Supabase, Cloudflare, Clerk) som varer mer enn 48 timer

Parten som rammes skal varsle den andre parten så raskt som mulig.

16. Tvister og lovvalg

Disse vilkårene reguleres av norsk lov.

Tvister som ikke kan løses ved forhandlinger eller eventuell megling, skal behandles ved Oslo tingrett som verneting.

17. Generelle bestemmelser

17.1 Hele avtalen

Disse vilkårene, sammen med pilotavtalen, DPA og personvernerklæringen, utgjør hele avtalen mellom partene om Tjenesten. Tidligere avtaler eller forståelser er ikke gjeldende med mindre de er uttrykkelig referert i disse dokumentene.

17.2 Ugyldighet

Hvis en bestemmelse i disse vilkårene viser seg å være ugyldig eller uten virkning, skal resten av vilkårene fortsatt gjelde. Den ugyldige bestemmelsen erstattes så langt mulig av en gyldig bestemmelse med tilsvarende virkning.

17.3 Overdragelse

Kunden kan ikke overdra rettigheter eller plikter under disse vilkårene uten Leverandørens skriftlige samtykke. Leverandøren kan overdra avtalen ved fusjon, oppkjøp eller salg av virksomheten, med varsel til Kunden.

17.4 Avkall

Manglende håndhevelse av en bestemmelse i disse vilkårene innebærer ikke avkall på retten til senere å håndheve den.

18. Kontaktinformasjon

Just presis AS
Kongleveien 71, 9510 Alta, Norge
Org.nr 928 177 564

For generelle henvendelser: kontakt@leide.app
For personvernspørsmål: personvern@leide.app
For supporthenvendelser: kontakt@leide.app