Villkor för användning av NorthTrygg

NorthTrygg är en webbaserad tjänst för registrering av deltagare samt hantering av incheckning och utcheckning vid event genom användning av QR-koder och administrativa verktyg.

Tjänsten tillhandahålls av utvecklarna bakom NorthTrygg ("Leverantören"). NorthTrygg är ett administrativt verktyg — inte medicinsk programvara, journalsystem eller certifierat säkerhetssystem.

Arrangören ansvarar alltid för:

• deltagarnas säkerhet
• bemanning och tillsyn
• kontrollräkning och uppföljning
• kommunikation med deltagare och vårdnadshavare
• beslut och åtgärder vid incidenter eller nödlägen

Primär lagring av eventdata och databasinformation sker på servrar placerade i Sverige och kontrollerade av Leverantören.

Tjänsten kan samtidigt använda externa underleverantörer för driftrelaterade funktioner såsom DNS, nätverk, betalningar, e-post eller annan teknisk infrastruktur. Sådana leverantörer behandlar endast information i den utsträckning som krävs för att tillhandahålla tjänsten.

Leverantören eftersträvar att begränsa överföring av personuppgifter utanför EU/EES men kan inte garantera att all teknisk infrastruktur alltid är geografiskt begränsad till EU/EES.

Tjänsten tillhandahålls utan garanterad tillgänglighet eller servicenivå (SLA).

Avbrott, fördröjningar, nätverksproblem, underhåll eller tekniska fel kan förekomma. Leverantören garanterar inte att tjänsten alltid är fri från driftstörningar eller säkerhetsrisker.

Kunden ansvarar för att ha rimliga reservrutiner och beredskapsplaner om tjänsten skulle vara otillgänglig eller inte fungera som förväntat under ett event, exempelvis papperslistor, manuell närvaroräkning eller alternativa kommunikationsvägar.

Kunden ansvarar för att:

• uppgifter som registreras i tjänsten är korrekta och relevanta
• deltagare och vårdnadshavare informeras på ett tydligt och begripligt sätt, i enlighet med GDPR artiklarna 12–14 (transparens och information)
• nödvändiga samtycken och rättsliga grunder finns för behandling av personuppgifter, inklusive vid behandling av barns data och särskilda kategorier av personuppgifter
• endast behöriga administratörer får åtkomst till rätt event och uppgifter
• QR-koder och inloggningsuppgifter hanteras på ett säkert sätt
• tjänsten används i enlighet med gällande lagar och regler

Kunden ansvarar för att ha rätt att registrera uppgifter om deltagare, inklusive minderåriga, samt eventuella hälsouppgifter, specialkost eller andra känsliga uppgifter.

Kunden ansvarar för att inhämta nödvändiga tillstånd eller samtycken från vårdnadshavare när så krävs. NorthTrygg verifierar inte vårdnadshavares identitet, samtycke eller att registrerade personer är minderåriga.

Information som ges till barn ska vara begriplig för barnets ålder och utformad så att barnet förstår vad uppgifterna används till.

NorthTrygg behandlar personuppgifter endast enligt dokumenterade instruktioner från kunden, om inte annat krävs enligt tillämplig lag.

Instruktioner utgörs av kundens användning av tjänsten (registreringsformulär, administratörsgränssnitt, export, radering) samt skriftliga begäran till support. Om en instruktion uppenbart strider mot GDPR eller annan tillämplig dataskyddslagstiftning kan Leverantören meddela kunden innan behandling genomförs, i den utsträckning lagen tillåter.

Kunden ansvarar själv för att ha giltig rättslig grund (GDPR artikel 6 och, vid behov, artikel 9) för all behandling som initieras via tjänsten. NorthTrygg bedömer inte kundens rättsliga grund och tillhandahåller inte juridisk rådgivning.

Tjänsten kan hantera exempelvis:

• namn och kontaktuppgifter
• närvarohistorik och platskopplingar vid incheckning
• vårdnadshavarkontakter
• kost- och allergiinformation
• medicinska anteckningar och sjukdomsinformation
• interna anteckningar kopplade till deltagare

Särskilda kategorier av personuppgifter (GDPR artikel 9)

Vissa uppgifter som kan registreras i tjänsten — exempelvis medicinska anteckningar, allergi- eller kostinformation kopplad till hälsa, eller sjukdomsinformation — kan utgöra särskilda kategorier av personuppgifter enligt GDPR artikel 9.

Kunden ska själv bedöma vilka uppgifter som är nödvändiga för eventet och säkerställa att det finns en tillåten rättslig grund (t.ex. uttryckligt samtycke) innan sådana uppgifter registreras. NorthTrygg validerar inte kundens rättsliga grund och är inte medicinsk programvara.

Leverantören tillämpar tekniska och organisatoriska skydd — såsom kryptering av utvalda känsliga textfält, rollbaserad åtkomst och loggning av vissa känsliga visningar — men detta utgör inte garanti för fullständig säkerhet eller medicinsk certifiering.

Barns personuppgifter

När kunden registrerar minderåriga deltagare ansvarar kunden för att behandlingen sker lagligt, att barn och vårdnadshavare informeras på lämpligt sätt, och att eventuella samtycken inhämtas enligt gällande regler. NorthTrygg verifierar inte ålder, vårdnadshavarskap eller samtycke.

Integritetsskydd i design

Leverantören tillämpar bland annat:

• dataminimering — endast fält som behövs för tjänsten erbjuds
• kort lagringstid efter event (se §8)
• isolering mellan event — administratörer når normalt endast tilldelade event
• rollbaserad åtkomst (t.ex. visningsbehörighet utan känslig detaljdata)
• kryptering av utvalda känsliga textfält i databasen när fältkryptering är aktiverad

Vissa operativa fält — exempelvis namn, e-post och telefonnummer — lagras okrypterat i databasen för att möjliggöra sökning, återställning och drift. Detta är ett medvetet tekniskt avvägande, inte en garanti att all data är krypterad i vila.

NorthTrygg använder cookies och lokal lagring i webbläsaren för att tjänsten ska fungera korrekt.

Detta kan bland annat användas för att:

• hålla användare inloggade
• komma ihåg vald organisation eller event
• möjliggöra snabb växling mellan olika områden eller funktioner i tjänsten
• hantera sessionsinformation
• förbättra användarupplevelsen och säkerheten

Om cookies eller lokal lagring blockeras kan delar av tjänsten fungera begränsat eller inte fungera alls.

Genom att använda tjänsten accepterar kunden att sådana tekniker används i den utsträckning som krävs för tjänstens funktion.

Data kopplad till ett event raderas normalt senast 30 dagar efter eventets slutdatum, om inte kunden tidigare begär radering eller om längre lagring krävs enligt lag.

Kunden kan begära tidigare radering eller export av eventdata genom support, i den utsträckning funktionerna i tjänsten eller avtalad assistans medger.

Permanent radering kan inte ångras.

Krypterade säkerhetskopior kan tillfälligt innehålla raderad live-data tills backup roteras bort (normalt inom cirka 35 dagar). Säkerhetskopior används för katastrofåterställning — inte för att återställa raderad kunddata på begäran, om inte det krävs för att återställa tjänsten efter allvarlig driftstörning.

Leverantören förbehåller sig rätten att radera inaktiva event eller konton för att upprätthålla drift och säkerhet.

Vissa känsliga textfält kan lagras krypterat i databasen när fältkryptering är aktiverad i driftmiljön. Detta kan exempelvis omfatta vissa hälsorelaterade anteckningar och vårdnadshavarkontakter.

Inte all information i tjänsten lagras krypterat. Viss information, såsom namn, e-post, telefonnummer, tekniska identifierare, statusfält, tidpunkter, eventkopplingar och vissa sök- eller driftrelaterade uppgifter, kan behöva lagras okrypterat för att tjänsten ska fungera.

Lösenord lagras aldrig i klartext utan som hash.

Trots säkerhetsåtgärder kan Leverantören inte garantera fullständig säkerhet mot obehörig åtkomst, intrång eller dataförlust. Leverantören erbjuder ingen garanterad drifttid (SLA).

Betalning sker per event enligt priset som visas innan köp genomförs.

Eventet eller funktioner kopplade till betalning aktiveras först efter genomförd och godkänd betalning.

Återbetalning hanteras manuellt och ges normalt inte efter att ett event aktiverats eller påbörjats, om inte annat uttryckligen överenskommits eller krävs enligt lag.

Tjänsten tillhandahålls i befintligt skick ("as is").

I den utsträckning lagen tillåter ansvarar Leverantören inte för:

• indirekta skador
• följdskador
• utebliven nytta eller intäkt
• dataförlust
• driftstopp
• nätverksproblem
• fel orsakade av tredje part
• beslut eller åtgärder som arrangören fattar

Leverantörens totala ansvar är begränsat till det belopp kunden betalat för det aktuella eventet.

Ingen ersättning utgår för skador som beror på felaktig användning, bristande rutiner, handhavandefel eller otillräcklig bemanning hos kunden.

Tjänsten får inte användas:

• för olaglig verksamhet
• för att registrera onödiga eller oproportionerliga personuppgifter
• för att lagra information som kunden saknar rätt att behandla
• på ett sätt som kan skada tjänstens säkerhet eller drift

Leverantören har rätt att begränsa eller stänga av åtkomst vid misstänkt missbruk, säkerhetsrisker eller brott mot dessa villkor.

Leverantören har rätt att när som helst uppdatera, ändra eller vidareutveckla tjänsten och dessa villkor.

Den senaste versionen av villkoren publiceras via tjänsten eller webbplatsen. Materialändringar kan medföra uppdaterad versionsmarkering som registreras vid nya köp och registreringar.

Leverantören ansvarar inte för förseningar, driftstörningar eller skador som orsakas av omständigheter utanför Leverantörens rimliga kontroll, exempelvis strömavbrott, nätverksfel, myndighetsbeslut, cyberattacker, arbetskonflikter eller liknande händelser.

Dessa villkor ska tolkas och tillämpas enligt svensk rätt.

Eventuella tvister ska i första hand lösas genom dialog mellan parterna.

Leverantören kan använda underleverantörer (personuppgiftsbiträden och underbiträden) för att tillhandahålla tjänsten, exempelvis för hosting, e-post, betalningar och nätverksinfrastruktur.

En aktuell lista över kategorier av underleverantörer, behandlingsändamål och geografisk placering publiceras på northtrygg.se/subprocessors.

Vid väsentliga ändringar av underleverantörer informeras kunden via publicerad uppdatering av listan. Kunden har rätt att invända mot väsentliga ändringar inom skälig tid om invändningen är motiverad enligt GDPR artikel 28, i den utsträckning parterna avtalat detta i personuppgiftsbiträdesavtal eller motsvarande skriftlig överenskommelse. Leverantören tillhandahåller inte automatiserade förhandlingsflöden i tjänsten; kontakt sker via support.

Detta avsnitt ger praktiska riktlinjer för kunden. Det ersätter inte kundens egen bedömning av laglighet eller nödvändighet.

• Minimering: registrera endast uppgifter som behövs för eventets genomförande och säkerhet.
• Nödvändighetsprincipen: fråga om varje fält verkligen behövs — särskilt fria textfält för medicinska eller interna anteckningar.
• Hälsouppgifter: överväg att begränsa hälsorelaterad information till det som krävs vid akuta situationer under eventet; undvik att samla in mer detaljerad medicinsk historik än nödvändigt.
• Vårdnadshavare: kunden ska informera vårdnadshavare och inhämta nödvändiga tillstånd; NorthTrygg verifierar inte detta.
• Barn: information till barn ska vara begriplig; kunden ansvarar för att barn och vårdnadshavare förstår vad som registreras och varför.
• Fria textfält: undvik att lagra onödig känslig information i allmänna anteckningsfält — de kan exporteras och visas av behöriga administratörer.

Mer vägledning finns i dokumentationen för arrangörer och i integritetspolicyn (/privacy).

Kontakt och frågor om tjänsten:

northtrygg@northtrygg.se