DORA-bilaga

Senast uppdaterad: 16 mars 2026

Denna bilaga ("DORA-bilagan") utgör ett tillägg till Exupps användarvillkor ("Villkoren") och gäller för kunder som är finansiella entiteter enligt Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn ("DORA"). Vid motstridighet mellan denna bilaga och Villkoren ska denna bilaga ha företräde.

Tjänstens karaktär: Exupp är en icke-kritisk IKT-tjänst som fungerar som ett verktyg för tillfällig dataöverföring. Tjänsten läser, överför och raderar data - inga affärskritiska uppgifter lagras permanent i Exupps system. All data som överförs finns kvar i kundens Fortnox-konto.

Innehåll

1. Definitioner
2. Tjänstebeskrivning och plats
3. Pris
4. Sekretess
5. Säkerhet och certifieringar
6. Incidenthantering
7. Dataåtkomst och återlämnande
8. Tillsyn, revision och myndighetssamarbete
9. Uppsägning
10. IKT-säkerhetsutbildning
11. Underleverantörer
12. Övrigt

1. Definitioner

I denna bilaga gäller följande definitioner utöver de som anges i Villkoren:

"DORA" - Europaparlamentets och rådets förordning (EU) 2022/2554 om digital operativ motståndskraft för finanssektorn.
"Kunden" - den finansiella entitet som använder Tjänsten.
"Leverantören" / "Exupp" - Reverendus AB (org.nr 559165-6490).
"IKT-tjänst" - den tjänst som beskrivs i Villkorens avsnitt 1 (Om Tjänsten).
"Behörig myndighet" - den tillsynsmyndighet som utövar tillsyn över Kunden enligt tillämplig lagstiftning.

2. Tjänstebeskrivning och plats

2.1 Tjänstens funktion

Exupp är en webbaserad tjänst för massimport av fakturor, ordrar och kunduppgifter till Fortnox bokföringssystem. Tjänsten fungerar som ett verktyg för tillfällig dataöverföring och lagrar som standard inte innehållet i importerade filer efter slutförd överföring.

2.2 Plats för tillhandahållande

Tjänsten tillhandahålls från EU/Frankfurt (DigitalOcean, FRA1). Applikationen hostas på servrar inom EU/EES. Kundens data behandlas och överförs inom EU/EES, med undantag för de underleverantörer som anges i avsnitt 11.

2.3 Datalagring

Kundens importdata lagras tillfälligt i EU/Frankfurt under pågående import och raderas automatiskt efter slutförd överföring. Kontoinformation och prenumerationsdata lagras i EU/Frankfurt. Se vår integritetspolicy för fullständig information om datalagring.

3. Pris

Aktuella priser för Tjänsten finns publicerade på exupp.se under prissidan. Priset baseras på kundens valda prenumerationsplan och radpaket. Exupp förbehåller sig rätten att justera priser med minst 30 dagars förvarning i enlighet med Villkorens avsnitt 9.

4. Sekretess

4.1 Sekretessåtagande

Exupp åtar sig att inte lämna ut, dela eller på annat sätt tillgängliggöra Kundens information till andra parter än de som uttryckligen anges i Villkoren och integritetspolicyn (dvs. Fortnox, Stripe och Mailgun enligt de ändamål som där beskrivs). Sekretessåtagandet gäller även efter att avtalet har upphört.

4.2 Omfattning

Sekretessen omfattar all information som Kunden tillhandahåller i samband med användningen av Tjänsten, inklusive men inte begränsat till uppladdade filer, företagsinformation och fakturauppgifter.

4.3 Sanktioner vid brott

Vid brott mot sekretessåtagandet har Kunden rätt till ersättning för den direkta skada som brottet orsakat. Exupps skadeståndsansvar är begränsat i enlighet med Villkorens avsnitt 6, dock med undantag för fall av uppsåt eller grov oaktsamhet där ingen ansvarsbegränsning gäller.

5. Säkerhet och certifieringar

5.1 Säkerhetsåtgärder

Exupp vidtar de tekniska och organisatoriska säkerhetsåtgärder som beskrivs i Villkorens avsnitt 5 och integritetspolicyns avsnitt 8, inklusive:

Krypterad kommunikation via HTTPS/TLS
Hashade lösenord (PBKDF2)
OAuth-baserad tokenautentisering mot Fortnox
CSRF-skydd och säkra sessionscookies
Begränsad åtkomst till system och data
Regelbundna säkerhetsgranskningar

5.2 Certifieringar

Exupp innehar för närvarande inga ISO-certifieringar eller motsvarande. Exupps betalningsleverantör Stripe är PCI DSS Level 1-certifierad. Exupp hanterar aldrig kortuppgifter direkt.

6. Incidenthantering

6.1 Rapporteringsskyldighet

Exupp ska utan onödigt dröjsmål, och senast inom 24 timmar efter upptäckt, informera Kunden om IKT-relaterade incidenter som påverkar eller rimligen kan påverka Tjänstens tillgänglighet, integritet eller konfidentialitet avseende Kundens data.

6.2 Incidentrapportens innehåll

Incidentrapporten ska innehålla:

Beskrivning av incidentens art och omfattning
Tidpunkt för upptäckt och uppskattad starttidpunkt
Åtgärder som vidtagits eller planeras
Bedömning av påverkan på Kundens data och tjänsteanvändning

6.3 Assistans

Exupp ska utan extra kostnad tillhandahålla rimlig assistans till Kunden i samband med incidentutredning och incidentrapportering, inklusive information och underlag som Kunden behöver för att uppfylla sina egna rapporteringsskyldigheter enligt DORA.

6.4 Uppföljning

Exupp ska tillhandahålla löpande uppdateringar under incidentens hantering samt en slutrapport med grundorsaksanalys och vidtagna åtgärder för att förhindra upprepning.

7. Dataåtkomst och återlämnande

7.1 Tjänstens karaktär

Exupp fungerar som ett verktyg för tillfällig dataöverföring. Importdata raderas efter slutförd överföring och lagras inte permanent i Exupps system. All överförd data finns tillgänglig i Kundens Fortnox-konto.

7.2 Kontodata

Kunden kan när som helst begära export av sin kontoinformation (profiluppgifter, företagsinformation, importhistorik) i ett maskinläsbart format (CSV eller JSON). Sådan begäran hanteras utan onödigt dröjsmål och senast inom 30 dagar.

7.3 Vid insolvens, resolution eller nedläggning

I händelse av Exupps insolvens, resolution eller nedläggning av verksamheten åtar sig Exupp att:

Informera Kunden minst 90 dagar i förväg (eller omedelbart vid oförutsedda händelser)
Tillhandahålla Kunden möjlighet att exportera sin kontoinformation enligt avsnitt 7.2
Säkerställa att Kundens data som redan överförts till Fortnox inte påverkas, då den lagras i Kundens eget Fortnox-konto
Radera all Kundens data ur Exupps system efter avslutad migrationsperiod

7.4 Vid uppsägning

Vid uppsägning av Tjänsten gäller samma rättigheter som i avsnitt 7.2-7.3. Kunden ges minst 30 dagar efter uppsägningens ikraftträdande att begära export av kontodata.

8. Tillsyn, revision och myndighetssamarbete

8.1 Inspektions- och revisionsrätt

Kunden och dess behöriga myndigheter, inklusive resolutionsmyndigheter och av dem utsedda personer, har rätt att utföra inspektioner och revisioner av Exupp i den utsträckning som krävs enligt DORA. Sådana inspektioner och revisioner ska:

Aviseras minst 30 dagar i förväg (undantaget vid akuta tillsynsärenden)
Genomföras under ordinarie kontorstid
Ske på ett sätt som minimerar störningar av Exupps verksamhet
Vara proportionerliga i förhållande till Tjänstens karaktär som icke-kritisk IKT-tjänst

Inget i Villkoren eller denna bilaga ska begränsa Kundens eller dess tillsynsmyndigheters rätt till inspektion och revision i enlighet med DORA.

8.2 Myndighetssamarbete

Exupp åtar sig att samarbeta fullt ut med Kundens behöriga myndigheter och resolutionsmyndigheter, inklusive personer som utsetts av dem, i den utsträckning som krävs enligt DORA och annan tillämplig lagstiftning.

9. Uppsägning

9.1 Kundens rätt till omedelbar uppsägning

Utöver vad som anges i Villkorens avsnitt 8 har Kunden rätt att säga upp Tjänsten till omedelbart upphörande om:

(i) Exupp väsentligt bryter mot tillämpliga lagar, förordningar eller väsentliga avtalsvillkor;
(ii) det påvisas väsentliga brister i Exupps hantering av data som påverkar säkerheten eller integriteten i Tjänsten; eller
(iii) Kundens behöriga myndighet bedömer att effektiv tillsyn inte längre kan utövas på grund av omständigheter hänförliga till avtalsförhållandet med Exupp.

9.2 Exupps uppsägning

I tillägg till Villkorens avsnitt 8.2 gäller att Exupp vid uppsägning ska ge Kunden en uppsägningstid om minst 90 dagar för att möjliggöra en ordnad övergång till alternativ lösning eller internalisering av tjänsten. Under uppsägningstiden ska Tjänsten fortsätta att fungera som normalt.

9.3 Övergångsplan

Vid uppsägning, oavsett orsak, ska Exupp på Kundens begäran tillhandahålla rimlig assistans för att underlätta övergången, inklusive export av kontodata enligt avsnitt 7.

10. IKT-säkerhetsutbildning

Exupp ska, när det är tillämpligt och relevant för leveransen av Tjänsten, delta i av Kunden tillhandahållen utbildning om medvetenhet om IKT-säkerhet och digital operativ motståndskraft. Exupp är berättigad till skälig ersättning för sådant deltagande med hänsyn till tid och omfattning, vilket överenskommes mellan parterna i förväg.

11. Underleverantörer

Exupp använder följande underleverantörer för att tillhandahålla Tjänsten:

Fortnox AB (Sverige) - Bokföringssystem och datasynkronisering
Stripe, Inc. (USA/EU) - Betalningshantering. Certifierade under EU-US Data Privacy Framework, använder EU:s standardavtalsklausuler och har datacenters i EU.
Mailgun/Sinch (EU) - E-postutskick för transaktionella meddelanden.

Exupp ska informera Kunden minst 30 dagar i förväg om planerade väsentliga ändringar av underleverantörer som hanterar Kundens data.

12. Övrigt

12.1 Bilagens varaktighet

Denna bilaga gäller så länge Kunden nyttjar Tjänsten och är en finansiell entitet som omfattas av DORA.

12.2 Ändringar

Väsentliga ändringar av denna bilaga kommuniceras till Kunden minst 30 dagar i förväg. Kunden har rätt att invända mot ändringar och, om parterna inte kan enas, säga upp avtalet.

12.3 Tillämplig lag

Denna bilaga regleras av svensk lag i enlighet med Villkorens avsnitt 11.

Kontakt: Vid frågor om denna DORA-bilaga, kontakta oss på [email protected].

Denna bilaga har upprättats i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (DORA) och svensk lagstiftning.