Databehandleravtale

Aktsom · Mal · Sist oppdatert 2026-06-02

Om denne malen: Avtaletekst (§§1–18) og Vedlegg B (sikkerhetstiltak) er hentet fra AgerTechAI Consulting AS sin advokat-godkjente DPA-mal (samme juridiske eier). Vedlegg A (Aktsom-spesifikke behandlingsaktiviteter) og Vedlegg C (Aktsom-spesifikke underdatabehandlere) gjenspeiler faktisk teknisk implementasjon, og bør få en kort advokat-gjennomgang før første pilotkunde signerer. Den operative avtalen signeres mellom pilotkunde (behandlingsansvarlig) og AgerTechAI Consulting AS (databehandler) ved oppstart av pilot.

Avtale i henhold til personvernforordningen (GDPR) artikkel 28 og personopplysningsloven.

Partene

Behandlingsansvarlig:

Firmanavn: [KUNDE AS]
Organisasjonsnummer: [ORG.NR]
Adresse: [ADRESSE]
Kontaktperson: [NAVN, E-POST, TLF]

Databehandler:

Firmanavn: AgerTechAI Consulting AS
Organisasjonsnummer: 937 616 694
Adresse: Flafjellet 34a, 1454 Fagerstrand, Norge
Kontaktperson: Roger Agerup, post@agertechai.no

Heretter hver for seg kalt «Part» og samlet kalt «Partene».

1. Bakgrunn og formål

Denne avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med levering av tjenesten Aktsom — AI-drevet aktsomhetsvurdering og redegjørelse under åpenhetsloven, heretter «Tjenesten».

Formålet med avtalen er å sikre at behandlingen skjer i samsvar med personvernforordningen (EU) 2016/679 («GDPR»), personopplysningsloven og øvrig personvernlovgivning.

2. Definisjoner

Begreper i denne avtalen skal forstås slik de er definert i GDPR artikkel 4, herunder «personopplysninger», «behandling», «behandlingsansvarlig», «databehandler», «underdatabehandler», «registrert», «brudd på personopplysningssikkerheten» og «tredjeland».

3. Avtaledokumenter og rang

Ved motstrid gjelder følgende prioritet:

Denne databehandleravtalen
Vedlegg A, B og C
Hovedavtalen mellom Partene (pilot-avtale eller abonnementsavtale)

Personvernlovgivningen har likevel alltid forrang foran avtaledokumentene.

4. Formål, art, varighet og kategorier

Art, formål, varighet, typer personopplysninger og kategorier av registrerte er beskrevet i Vedlegg A — Behandlingsaktiviteter.

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og forpliktelser om sletting/tilbakelevering, taushetsplikt og ansvar overlever opphør.

5. Behandlingsansvarliges ansvar og instruksjoner

Behandlingsansvarlig skal:

sikre at det foreligger gyldig behandlingsgrunnlag for all behandling som utføres av Databehandler,
gi Databehandler dokumenterte instruksjoner om behandlingen,
oppfylle informasjonsplikten overfor de registrerte, og
gjennomføre eventuell vurdering av personvernkonsekvenser (DPIA) der dette kreves.

Stand-instruksjon: Databehandler skal kun behandle personopplysninger for å levere Tjenesten som beskrevet i Vedlegg A og denne avtalen. Øvrige instruksjoner skal gis skriftlig.

6. Databehandlers plikter

Databehandler skal:

kun behandle personopplysninger etter dokumenterte instruksjoner fra Behandlingsansvarlig, herunder om overføring til tredjeland, med mindre annet følger av rett Databehandler er underlagt,
umiddelbart varsle Behandlingsansvarlig dersom en instruksjon etter Databehandlers oppfatning er i strid med personvernlovgivningen,
sørge for at personer autorisert til å behandle personopplysningene har forpliktet seg til taushetsplikt eller er underlagt lovbestemt taushetsplikt,
iverksette alle nødvendige tiltak etter GDPR artikkel 32 (se pkt. 7),
bistå Behandlingsansvarlig med å oppfylle plikten til å svare på henvendelser om utøvelse av de registrertes rettigheter (innsyn, retting, sletting, begrensning, dataportabilitet, innsigelse),
bistå Behandlingsansvarlig med å oppfylle forpliktelsene etter GDPR art. 32–36 (sikkerhet, avviksmelding, personvernkonsekvensvurdering, forhåndsdrøfting),
etter valg fra Behandlingsansvarlig slette eller tilbakelevere alle personopplysninger ved opphør av Tjenesten (se pkt. 15),
gi Behandlingsansvarlig all informasjon som er nødvendig for å kunne dokumentere etterlevelse, og tilrettelegge for og bidra ved revisjoner (se pkt. 13).

7. Sikkerhetstiltak

Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen, jf. GDPR art. 32. Minimumstiltak er spesifisert i Vedlegg B — Sikkerhetstiltak.

Tiltakene skal løpende vurderes og oppdateres i takt med teknologisk utvikling og endringer i risikobildet.

8. Taushetsplikt

Databehandler og personer som utfører arbeid for Databehandler, har taushetsplikt om personopplysninger og annen konfidensiell informasjon Databehandler får tilgang til. Taushetsplikten gjelder også etter avtalens opphør.

9. Underdatabehandlere

Behandlingsansvarlig gir herved Databehandler generell skriftlig godkjenning til å benytte underdatabehandlere. Godkjente underdatabehandlere ved avtaleinngåelse fremgår av Vedlegg C.

Databehandler skal:

varsle Behandlingsansvarlig minst 30 dager før endringer i listen over underdatabehandlere,
gi Behandlingsansvarlig mulighet til å protestere mot endringen innen varslingsfristen; ved begrunnet protest skal Partene i god tro søke en løsning, og dersom enighet ikke oppnås, har Behandlingsansvarlig rett til å si opp den berørte delen av Tjenesten uten kostnad,
inngå skriftlig avtale med hver underdatabehandler som minst pålegger tilsvarende forpliktelser som denne avtalen,
forbli fullt ut ansvarlig overfor Behandlingsansvarlig for underdatabehandlers oppfyllelse.

10. Overføring til tredjeland

Enhver overføring av personopplysninger til tredjeland (utenfor EØS) forutsetter et gyldig overføringsgrunnlag etter GDPR kapittel V, herunder:

beslutning om tilstrekkelig beskyttelsesnivå (adekvansbeslutning), f.eks. EU–US Data Privacy Framework for sertifiserte amerikanske mottakere,
standardpersonvernbestemmelser (SCC) vedtatt av EU-kommisjonen, kombinert med nødvendige supplerende tiltak etter Schrems II-avgjørelsen, eller
annet gyldig grunnlag etter GDPR art. 46–49.

Aktuelle overføringer og grunnlag fremgår av Vedlegg C. Databehandler gjennomfører overføringsvurdering (TIA) der SCC benyttes.

11. Bistand til Behandlingsansvarlig

Databehandler skal, hensyntatt behandlingens art og opplysningenes tilgjengelighet, bistå Behandlingsansvarlig med egnede tekniske og organisatoriske tiltak for å svare på henvendelser fra registrerte og oppfylle forpliktelsene etter GDPR art. 32–36.

Rimelig bistand innenfor avtalens formål utføres uten tilleggsvederlag. Omfattende bistand kan faktureres etter Databehandlers gjeldende timesatser, med forhåndsvarsel til Behandlingsansvarlig.

12. Avviksmelding (brudd på personopplysningssikkerheten)

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold, og senest innen 24 timer, etter å ha blitt kjent med et brudd på personopplysningssikkerheten som berører personopplysninger behandlet for Behandlingsansvarlig.

Varselet skal minst inneholde:

beskrivelse av bruddet, herunder kategorier og omtrentlig antall berørte registrerte og opplysninger,
sannsynlige konsekvenser,
iverksatte og foreslåtte tiltak, og
kontaktpunkt for oppfølging.

Databehandler skal dokumentere alle brudd og gi Behandlingsansvarlig nødvendig bistand med melding til Datatilsynet og varsling av berørte registrerte.

13. Revisjon og inspeksjon

Databehandler skal på anmodning gjøre tilgjengelig all informasjon som er nødvendig for å dokumentere etterlevelse, og tillate og bidra til revisjoner, inkludert inspeksjoner, utført av Behandlingsansvarlig eller en revisor utpekt av Behandlingsansvarlig.

Revisjon skal:

varsles skriftlig minst 30 dager i forkant,
gjennomføres i ordinær arbeidstid og på en måte som ikke unødig forstyrrer Databehandlers drift,
dekkes økonomisk av Behandlingsansvarlig, med mindre revisjonen avdekker vesentlige avvik som Databehandler er ansvarlig for.

14. Ansvar og erstatning

Hver Part er ansvarlig for brudd på egne forpliktelser etter denne avtalen og personvernlovgivningen i samsvar med GDPR art. 82 og personopplysningsloven.

Øvrige ansvarsbegrensninger i hovedavtalen gjelder tilsvarende, likevel slik at ingen ansvarsbegrensning gjelder for ansvar som følger av ufravikelig lov.

15. Opphør — sletting eller tilbakelevering

Ved opphør av Tjenesten skal Databehandler, etter Behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger, samt slette eksisterende kopier, med mindre oppbevaring kreves etter lov.

Behandlingsansvarlig skal gi instruks senest 30 dager etter opphør. Utført sletting skal bekreftes skriftlig. Sikkerhetskopier slettes etter ordinær rotasjonssyklus, likevel senest innen 90 dager.

16. Endringer

Endringer i denne avtalen skal avtales skriftlig mellom Partene. Vedlegg A, B og C kan oppdateres ensidig av Databehandler der endringer kreves for å opprettholde samsvar med lov eller sikkerhetsstandarder, med forutgående varsel til Behandlingsansvarlig.

17. Lovvalg og verneting

Avtalen reguleres av norsk rett. Tvister skal søkes løst gjennom forhandlinger. Dersom enighet ikke oppnås, skal tvisten avgjøres ved ordinær domstolsbehandling med Oslo tingrett som avtalt verneting.

18. Signaturer

Behandlingsansvarlig	Databehandler
Sted/dato:	Sted/dato:
Navn:	Navn: Roger Agerup
Stilling:	Stilling: Daglig leder
Signatur:	Signatur:

Vedlegg A — Behandlingsaktiviteter

A.1 Formål med behandlingen

Levering av Aktsom-tjenesten, som omfatter følgende behandlinger på vegne av Behandlingsansvarlig:

Mottak og lagring av leverandørliste fra Behandlingsansvarlig (CSV eller manuell input).
Berikelse av leverandørdata gjennom oppslag mot offentlige kilder: Brønnøysundregistrene, EU Financial Sanctions Files, ITUC Global Rights Index, Transparency International CPI, og intern NACE-sektorrisiko-mapping.
AI-basert risikoscoring per leverandør etter OECDs 6-stegs rammeverk.
AI-basert utkastgenerering av redegjørelse etter åpenhetsloven §5.
Lagring av rapport-versjoner, kommentarer og audit-trail.
Levering av lenke-basert styre-godkjenningsflyt og eksport (HTML, PDF).

A.2 Art og varighet

Art: løpende SaaS-tjeneste med årlige rapporterings-sykluser.
Varighet: avtalt tjenesteperiode (pilot eller abonnement).

A.3 Typer personopplysninger

Kontaktopplysninger for Behandlingsansvarliges ansatte og styremedlemmer (navn, e-post, rolle, IP-adresse ved innlogging og signering).
Org.nr og navn på leverandører. For leverandører som er enkeltmannsforetak (ENK) er org.nr indirekte koblet til innehaveren og regnes som personopplysning.
Brukslogger og audit-trail-metadata (hvem leste, hvem signerte, når).
Eventuelle personopplysninger som inngår i leverandørrelaterte dokumenter eller kommentarer som Behandlingsansvarlig velger å laste opp.

Særlige kategorier etter GDPR art. 9 (helse, religion, politisk oppfatning mv.) skal ikke behandles under denne avtalen uten særskilt skriftlig tilleggsavtale.

A.4 Kategorier av registrerte

Behandlingsansvarliges ansatte (kontaktpersoner, brukere av plattformen, styremedlemmer som signerer).
Innehavere av leverandører som er enkeltmannsforetak (kun for ENK-leverandører).
Eventuelle navngitte personer som inngår i leverandør-/risikodokumentasjon Behandlingsansvarlig velger å dele.

A.5 Varighet av behandlingen

Behandlingen pågår i hele perioden Tjenesten leveres, med etterfølgende sletting eller tilbakelevering etter pkt. 15.

Vedlegg B — Tekniske og organisatoriske sikkerhetstiltak

Databehandler iverksetter følgende tiltak, jf. GDPR art. 32:

B.1 Tilgangsstyring

Prinsipp om minste privilegium.
Unike brukerkontoer med sterk autentisering (magic-link + sesjons-tokens) for tilgang til plattformen.
Row-level security (RLS) på databaseplan — Behandlingsansvarliges data er logisk isolert per selskap.
Periodisk gjennomgang av tilganger (minimum halvårlig).
Umiddelbar sperring av tilgang ved endringer i arbeidsforhold.

B.2 Kryptering

Data i transitt: TLS 1.2 eller nyere.
Data i ro: kryptering på lagringsnivå (AES-256 eller tilsvarende) hos Supabase.
Nøkler håndteres av anerkjente skyleverandører.

B.3 Konfidensialitet

Taushetserklæringer for alle med tilgang.
Klassifisering av data og håndteringsregler.
Ingen lagring av kundedata på lokale enheter uten kryptering.

B.4 Integritet og tilgjengelighet

Sikkerhetskopiering daglig (Supabase Point-in-Time Recovery) og testing av gjenoppretting minst årlig.
Endringshåndtering og sporing (audit logs) i applikasjonen.
Audit-trail er WORM (write-once-read-many) etter signering av redegjørelse.
Driftskontinuitet og beredskapsplan.

B.5 Hendelseshåndtering

Prosess for deteksjon, eskalering og respons ved sikkerhetshendelser.
Logger gjennomgås jevnlig.
Avviksprosess med 24-timers varslingsfrist til Behandlingsansvarlig.

B.6 Organisatoriske tiltak

Årlig sikkerhets- og personverngjennomgang.
Opplæring av medarbeidere i personvern og informasjonssikkerhet.
Kontrakter med underdatabehandlere som minst speiler denne avtalens krav.

B.7 Leverandøroppfølging

Evaluering av underdatabehandleres sikkerhetsnivå før oppstart.
Oppfølging av sertifiseringer (ISO 27001, SOC 2) der tilgjengelig.

Vedlegg C — Underdatabehandlere

Følgende underdatabehandlere er godkjent ved avtaleinngåelse:

Leverandør	Tjeneste	Lokasjon	Overføringsgrunnlag
Supabase Inc.	Database, autentisering, lagring (pilot-leads, brukerdata, leverandørdata, rapport-versjoner, audit-trail)	Dublin, Irland (eu-west-1)	Data lagres innenfor EØS. Supabase Inc. er amerikansk morselskap; SCC + TIA benyttes som supplerende grunnlag.
Vercel Inc.	Frontend-hosting og serverløse funksjoner (Next.js-applikasjonen)	EU-region primært / global CDN	EU–US Data Privacy Framework / SCC + TIA
Anthropic, PBC	Claude språkmodell (AI-risikoscoring og redegjørelse-utkast) — aktiveres i Phase 2	USA (EU-regioner benyttes der tilgjengelig)	SCC + TIA
Resend, Inc.	Transaksjonell e-post (magic-link, pilot-bekreftelser, varsler) — aktiveres i Phase 2	USA	EU–US Data Privacy Framework / SCC + TIA
GitHub, Inc.	Kildekodehosting (ingen kundedata lagres her)	USA	EU–US Data Privacy Framework / SCC + TIA

Endringer i listen følger prosedyren i pkt. 9.

Merknad om tredjeland: Underdatabehandlere som behandler Behandlingsansvarliges personopplysninger i tredjeland skal kun brukes der et gyldig overføringsgrunnlag foreligger, og der Databehandler har vurdert tilstrekkelige supplerende tiltak etter Schrems II-avgjørelsen.

Mal sist oppdatert: 2026-06-02. Gjennomgås årlig og ved regulatoriske endringer.