Splošni pogoji aplikacije asistent

Splošni pogoji aplikacije asistent
October 21, 2019 admin

SPLOŠNI POGOJI
aplikacije asistent

RAZLIČICA v2.4 Z DNE 21. 10. 2019


1. člen

Uvodna določba

Aplikacija asistent (v nadaljevanju: aplikacija) kot “SaaS” (software-as-a-service) ponuja poslovni informacijski sistem v oblaku, in sicer z naslednjimi funkcionalnostmi:

  • komunikacija med naročnikom in izvajalcem zdravstvenih storitev (IZS),
  • varno pošiljanje pacientove dokumentacije do IZS prek šifriranega kanala,
  • proces rezervacije zdravstvenih storitev z neposrednim vpogledom v proste termine IZS,
  • ažurno pridobivanje povratnih informacij o zaključenih in morebitnih prihajajočih obravnavah pacientov,
  • vodenje zgodovine pacientovih dogodkov: interna opravila, zaznamki in obvestila, pregled učinkovitosti operaterjev, (opcijsko) izvedba ocene zadovoljstva pacientov z izvedenimi storitvami in IZS.

2. člen

Opredelitev izrazov

Izrazi, uporabljeni v teh Splošnih pogojih, imajo naslednji pomen:

  • izvajalec je družba Medifit d.o.o.;
  • naročnik je poslovni subjekt, ki sklene najemno pogodbo in se zaveže plačevati najemnino za koriščenje aplikacije kot “SaaS” (software-as-a-service);
  • uporabnik aplikacije ali uporabnik je fizična oseba, pooblaščena s strani naročnika, ki uporablja aplikacijo v poslovne namene v imenu Naročnika in se v procesu prijave v aplikacijo identificira s svojim elektronskim naslovom in geslom.

3. člen

Registracija uporabnikov

Aplikacija je dostopna na naslovu https://asistent.medifit.si 

Uporabnik mora imeti za ustrezno delovanje aplikacije dostop do interneta ter delujočo programsko in strojno opremo (namizni ali prenosni računalnik, tablica, pametni telefon), kar je stvar dogovora med uporabnikom in naročnikom.

Aplikacija vsebuje zbirko podatkov: bazo uporabniških računov, bazo podatkov o zavarovancih (v nadaljevanju lahko tudi: pacientih) in dnevnik akcij v aplikaciji. Z zbirko upravlja izvajalec (Medifit). Namen zbiranja in hranjenja teh podatkov je uporaba aplikacije, ki je predmet teh Splošnih pogojev. Zbirka vsebuje naslednje podatke:

  • osebne podatke uporabnikov: ime in priimek, telefonsko številko, elektronski (e-mail) naslov, ustanovo ali podjetje, v katerem uporabnik dela;
  • osebne podatke zavarovancev:  ime in priimek, spol, datum rojstva, država rojstva, identifikator zavarovanca oz. pacienta (EMŠO ali KZZ ali drug unikatni identifikator), kontaktni podatki (naslov, pošta, kraj, elektronski naslov, telefonska številka), zdravstveno stanje;
  • podatke primerov (avtorizacij): skrbnik avtorizacije, ID avtorizacije, storitev, delež kritja, obravnave, izvajalec, interne beležke.

Ko postane uporabniški račun neaktiven (npr. na izrecno željo naročnika, uporabnika, ali po 3 letih popolne neaktivnosti uporabniškega računa), slednjega onemogočimo tako, da izbrišemo vse osebne podatke uporabnika, ohranimo pa vse ostale dogodke, vezane na ID uporabnika, s čimer je še vedno zagotovljena revizijska sled, obenem pa neprepoznavnost uporabnika.

Ob sklenitvi naročniške pogodbe med naročnikom in izvajalcem, slednji za naročnika ustvari želeno število uporabniških računov za uporabnike aplikacije. Uporabniške račune kreira izvajalec na osnovi zahtevka naročnika, ki mora biti oddan na dogovorjen način in na predpisanem dokumentu, s čimer je potrjena verodostojnost zahtevka. 

V primeru, ko pogodbeno razmerje med naročnikom in uporabnikom preneha in uporabnik ni več aktivni sodelavec naročnika, mora ta zanj izvajalcu nemudoma podati zahtevek za ukinitev uporabniškega računa. Zahtevek za ukinitev odda naročnik izvajalcu na enak način kot zahtevek za registracijo, s čimer je potrjena verodostojnost.

4. člen

Prijava uporabnikov

Ob prijavi v aplikacijo se uporabnik identificira z dodeljenim uporabniškim imenom in geslom (v nadaljevanju: uporabniškim računom), ki se za vsakega uporabnika ustvari skladno s 3. členom teh Splošnih pogojev in je namenjen izključno osebi (uporabniku), ki ji je bil dodeljen dostop ter ga nikakor ne sme posredovati drugemu uporabniku pri naročniku ali katerikoli tretji osebi.

Uporabnik bo skrbno ravnal s svojim geslom in skrbel zanj skladno z dobrimi praksami ravnanja z uporabniškimi računi, kar vključuje tudi skrb za dovolj pogosto preventivno zamenjavo gesla iz varnostnih razlogov.

Uporabnik se bo po končanem delu iz aplikacije odjavil (izpisal) tako, da na uporabnikovi napravi uporaba aplikacije ne bo več mogoča brez ponovnega vpisa z uporabniškim računom. Odjavo (izpis) bo uporabnik izvedel najmanj enkrat dnevno (npr. ob zaključku delovnika). V času odsotnosti od naprave (namiznega ali prenosnega računalnika, tablice ali pametnega telefona) se bo uporabnik posluževal varnostnega pristopa “politike čistega zaslona” in skrbel za varnostno zaklepanje naprave, s čimer bo preprečil nepooblaščeni dostop tako v napravo kot v samo aplikacijo.

V primeru suma zlorabe uporabniškega računa (npr. pridobitev nepooblaščenega dostopa) je tako uporabnik kot tudi sam naročnik dolžan izvajalcu čim prej pisno prijaviti incident in nato postopati skladno z naročnikovo politiko varovanja podatkov. Izvajalec ni odgovoren za zlorabe, do katerih bi prišlo zaradi neskrbnega ravnanja z geslom ali nespoštovanja koncepta “politike čistega zaslona” ipd., skladno z 8. členom teh Splošnih pogojev.

5. člen

Obseg transakcij v aplikaciji

Aplikacija je orodje, ki posreduje dokumentacijo od naročnika do izvajalca zdravstvenih storitev in obratno.

Dokumentacija (npr. dokumenti fizičnih oseb, ki se lahko smatrajo kot posebne vrste osebnih podatkov) se v aplikaciji varno predpomnijo za omejen časovni obseg. Brisanje dokumentacije se izvaja v dogovoru z naročnikom.

Transakcije se beležijo v povezavi z uporabniškim računom, katerega uporaba je povzročila kreiranje transakcije. Zaračunavanje transakcij je izvedeno na osnovi uporabnikovih akcij.

Transakcijo, ki je predmet zaračunavanja, skladno s 7. členom teh Splošnih pogojev, definira dogodek kreiranja avtorizacije pri izvajalcu zdravstvenih storitev. Če je bil pred avtorizacijo izveden ePosvet (tj. pošiljanje pacientove dokumentacije izvajalcu zdravstvenih storitev z namenom ugotavljanja potrebe po izvedbi zdravstvene storitve) prek orodja asistent, se predhodni ePosvet ne šteje kot ločena transakcija, temveč je transakcija le avtorizacija, ki je posledica ePosveta. V primeru, da ePosvet ne vodi v avtorizacijo, se sam takšen ePosvet šteje kot transakcija.

6. člen

Storitev zagotavljanja komunikacije strankam

Storitvi elektronskega obveščanja prek sporočil SMS in elektronske pošte se izvajata prek spletne aplikacije ali vmesnika, ki ga ponuja izvajalčev podizvajalec. Storitev je opcijska.

Ne glede na vsebino sporočila, priporoča izvajalec naročnikom in uporabnikom obveščanja, da pred pošiljanjem sporočil pridobijo jasno, nedvoumno in s Splošno uredbo o varstvu podatkov skladno privolitev s strani prejemnika tovrstnih sporočil. Potencialni prejemnik mora biti pred privolitvijo natančno seznanjen, v katerem primeru bo prejel sporočilo in katere vrste podatkov bodo posredovane v njem.

Sporočila SMS in elektronska pošta so posredovani v zunanji sistem.

6.1. Storitev pošiljanja sporočil SMS 

Za pošiljanje avtomatiziranih sporočil SMS uporabljamo storitev ponudnika 2Mobile d.o.o.. 

S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).

Varnost povezave je zagotovljena z uporabo ustrezno kompleksne avtorizacijske glave in povezave TLS.

Podjetje Medifit daje ponudniku pošiljanja sporočil SMS pravico do uporabe, shranjevanja in reproduciranja sporočil SMS le za namen zagotavljanja poti za pošiljanje naslovnikom.

Podzvajalec in posledično izvajalec ne jamčita za nedostavljena sporočila zaradi izklopljenega ali nedosegljivega mobilnega telefona za več kot 72 ur oz. za nastavljeni čas veljavnosti poslanega sporočila. Skladno s pogoji mobilnih operaterjev se ta sporočila zaračunajo naročniku kot poslana. 

6.2. Storitev pošiljanja e-poštne komunikacije

Za pošiljanje avtomatiziranih elektronskih (email) sporočil uporabljamo storitev ponudnika Mailgun Technologies. 

S ponudnikom imamo sklenjeno pogodbo o obdelavi osebnih podatkov (angl. DPA – Data Processing Agreement), uporabljamo pa izključno njihove strežnike znotraj teritorija Evropske unije (EU).

Varnost povezave je zagotovljena z uporabo ustrezno kompleksnega API ključa in povezave TLS, dodatno pa je vzpostavljen mehanizem omejevanja dostopa nepooblaščenih IP naslovov klicočih strežnikov. Pri pošiljanju elektronske pošte sta v uporabi zapisa SPF in DKIM.

S ponudnikom imamo individualno dogovorjene skrajšane čase hrambe poslanih elektronskih sporočil:

  • 1 uro, če gre za sporočila iz aplikacij, ki lahko vsebujejo posebne vrste osebnih podatkov,
  • 1 dan, če gre za druga elektronska sporočila. 

Po navedenem času so vsa poslana elektronska sporočila trajno in nepovratno zavržena. Dostop do dnevnikov poslanih elektronskih sporočil, ki je potreben zgolj v primerih odkrivanja morebitnih napak pri delovanju sistemov, ima izključno ožje vodstvo družbe Medifit, za dostop pa je uporabljena dodatna zaščita z dvostopenjsko avtentikacijo (2FA).

Podizvajalec in posledično izvajalec ne jamčita za nedostavljena elektronska sporočila zaradi začasnih ali trajnih blokad poštnega strežnika prejemnika, ki so lahko posledica predhodno prejetih elektronskih sporočil drugih ponudnikov, ki uporabljajo enak IP naslov ali sorodnega IP naslovnega prostora, ki bi lahko povzročil blokado poslanega sporočila. Izvajalec se trudi zagotavljati sledljivost dostavljivosti elektronskih sporočil.

7. člen

Zaračunavanje

Naročnik plačuje za uporabo aplikacije najemnino, ki je pogodbeno dogovorjena med izvajalcem in naročnikom in je sestavljena iz fiksnega ter variabilnega dela.

Določene postavke so variabilne narave oziroma so odvisne od števila dogodkov in bodo obračunane naročniku po določenem obdobju, skladno s pogodbo.

Zaračunavanje variabilnih postavk se izvede na osnovi transakcij, ki jih je kreirala akcija s strani uporabnika (uporabniškega računa), kot to definira 5. člen teh Splošnih pogojev

V primeru morebitne zlorabe uporabniškega računa (npr. pridobitve nepooblaščenega dostopa) si izvajalec pridržuje pravico, da vse transakcije obravnava kot avtentične in jih skladno s 5. členom teh Splošnih pogojev vključi v obseg obračuna. Zato je ključnega pomena, da morebitne incidente naročnik izvajalcu nemudoma prijavi, kot to narekuje 4. člen teh Splošnih pogojev.

8. člen

Omejitev odgovornosti

Izvajalec izjavlja, da so aplikacija in vsi njeni moduli, funkcionalnosti in možnosti uporabe, ki jih ponuja, na voljo takšni, kot so, brez kakršnegakoli jamstva za njihovo pravilnost in uporabnost pri uporabnikovem delu oziroma za njegov namen. Naročnik uporablja aplikacijo in z njo povezane module na lastno odgovornost. Izvajalec ni odgovoren za nikakršno neposredno ali posredno škodo, ki bi jo uporabnik in/ali naročnik utrpela zaradi uporabe produkta in/ali modulov izvajalca oziroma zaradi morebitnih napak ali možnosti, ki jih omogoča aplikacija, ali zaradi morebitne nepooblaščene uporabe ali zlorabe dostopa, skladno s 4. členom teh Splošnih pogojev.

Naročnik izjavlja, da bodo uporabniki aplikacije seznanjeni z vsemi zahtevami in pravili (splošni pogoji, politika zasebnosti ali drugi dogovori med naročnikom in izvajalcem); seznanitev uporabnikov je v domeni naročnika, ki v celoti prevzema odgovornost za informiranje uporabnikov o uporabi aplikacije.

9. člen

Razvoj po meri naročnika

Za storitve morebitnega razvoja dodatnih funkcionalnosti, ki niso predmet delovanja aplikacije, vendar jih želi naročnik dodatno, po svoji meri, bo izvajalec na osnovi zajema grobih specifikacij s strani naročnika pripravil oceno dela in ponudbo. 

Naročnik in izvajalec se morata dogovoriti, ali gre za razvojni projekt ekskluzivne narave (tj. dodatno funkcionalnost bo uporabljal izključno naročnik) ali deljene narave (tj. dodatno funkcionalnost bo izvajalec ponudil tudi ostalim strankam proti plačilu), kar vpliva na ponujeno ceno razvoja po meri naročnika. 

Če naročnik ponudbo potrdi, se s tem šteje, da se strinja s časovnimi roki in plačilnimi pogoji, izvajalec pa bo izvedel dogovorjeni razvoj po meri. Po zaključku razvoja bo izvajalec izstavil naročniku račun na osnovi potrjene ponudbe (ali naročilnice, če naročnik posluje na takšen način). Izvajalec mora računu priložiti specifikacijo dejansko opravljenega dela po ponudbi.

10. člen

Pravica do dopolnitve, popravka,
blokiranja, izbrisa in ugovora

Omogočamo vam, da stopite v stik z nami prek elektronskega naslova dpo@medifit.si in oddate zahtevo po popravku, posodobitvi, umiku ali drugačni omejitvi naše uporabe vaših podatkov. Poskušali bomo ugoditi vaši zahtevi takoj, ko bo to mogoče, vendar ne kasneje kot v 30 dneh.  

11. člen

Sprememba Splošnih pogojev

O vsaki spremembi dokumenta mora biti naročnik obveščen najmanj deset (10) delovnih dni pred uveljavitvijo sprememb. Pri tem ima naročnik pravico v istem roku, brez odpovednega roka, odstopiti od naročniške pogodbe, če se s predlaganimi spremembami ne strinja. Če naročnik ne zahteva prekinitve pogodbe v tem roku, se šteje, da s spremenjenimi pogoji soglaša.

12. člen

Prehodne in končne določbe

Ti Splošni pogoji začnejo veljati z dnem objave na spletnih straneh družbe Medifit.

Če je katera koli določba iz teh Splošnih pogojev neveljavna ali neizvršljiva, ostanejo preostali pogoji in določbe teh Splošnih pogojev v polni veljavi.


V Ljubljani, dne 21. 10. 2019


MEDIFIT
Medifit d.o.o.

Direktor
Anže Polanec