Databehandleravtale (DPA)

Sist oppdatert: 27. mars 2026

Parter

Behandlingsansvarlig (kunden): [Kundens virksomhetsnavn], [Org.nr], [Kontaktperson], [Adresse]

Databehandler: B17 Invest AS (DinBot.io), Org.nr 932 953 474, Kontaktperson: Morten Jacobsen, Fredrikstad, Norge. Nettside: dinbot.io

Bakgrunn og formål

Denne avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med levering av tjenesten DinBot.io.

Formålet med behandlingen er å levere AI-assistenttjenesten, herunder:
  • Besvare spørsmål basert på kundens forretningsdata
  • Oppsummere og analysere dokumenter, e-poster og kalenderoppføringer
  • Integrere med kundens tredjepartssystemer etter kundens instruks
  • Lagre og indeksere kundens data for å gi relevante og kontekstuelle svar
Avtalen er inngått for å oppfylle kravene i personvernforordningen (GDPR) artikkel 28 nr. 3.

Typer personopplysninger

  • Kontaktinformasjon: Navn, e-postadresser, telefonnumre, adresser
  • Kalenderdata: Møteinformasjon, tidspunkt, deltakere, møtebeskrivelser
  • E-postinnhold: Emne, avsender, mottaker, innhold og vedlegg
  • Dokumenter: Opplastede forretningsdokumenter (kontrakter, rapporter, notater m.m.)
  • CRM-data: Kundeinformasjon, salgshistorikk, kontakthistorikk
  • Regnskapsdata: Fakturainformasjon, kundenavn, leverandørinformasjon, transaksjonsdata
  • Chatmeldinger: Meldinger sendt mellom kunden og AI-assistenten via Telegram
  • Notion-data: Sider, databaser og innhold fra kundens Notion-arbeidsområde
Databehandler skal ikke behandle særlige kategorier av personopplysninger (GDPR artikkel 9) med mindre dette er uttrykkelig avtalt skriftlig.

Databehandlers plikter

  • Behandling etter instruks: Databehandler skal kun behandle personopplysninger i henhold til dokumenterte instrukser fra Behandlingsansvarlig.
  • Taushetsplikt: Alle personer autorisert til å behandle personopplysningene har forpliktet seg til taushetsplikt.
  • Sikkerhetstiltak: Databehandler skal iverksette alle tiltak som kreves i henhold til GDPR artikkel 32.
  • Underleverandører: Databehandler skal ikke engasjere nye underleverandører uten forhåndsgodkjenning.
  • Registrertes rettigheter: Databehandler skal bistå med å oppfylle registrertes rettigheter (innsyn, retting, sletting, dataportabilitet m.m.).
  • Sletting og tilbakelevering: Ved opphør av avtalen slettes all kundedata innen 30 dager.
  • Tilsyn og revisjon: Behandlingsansvarlig har rett til å gjennomføre revisjon av Databehandlers etterlevelse.

Sikkerhetstiltak

  • Kryptering i transit: All kommunikasjon via TLS 1.2+ (HTTPS)
  • Kryptering at rest: Kundedata krypteres med AES-256 i databasen
  • Tenant-isolasjon: Hver kunde har isolert datamiljø — ingen krysslesing
  • Tilgangskontroll (RBAC): Rollebasert tilgang, kun autorisert personell
  • Logging og overvåking: Alle datatilganger logges med tidsstempel og bruker-ID
  • Sikkerhetskopiering: Automatisk daglig backup med kryptering
  • Sårbarhetstesting: Regelmessig testing av infrastruktur og applikasjoner
  • Fysisk sikkerhet: Skybasert infrastruktur hos sertifiserte leverandører (ISO 27001)
  • Hendelseshåndtering: Dokumentert prosedyre for håndtering av sikkerhetsbrudd

Underleverandører

  • Anthropic — AI-behandling (Claude API) — USA — EU Standard Contractual Clauses
  • OpenAI — AI-behandling (GPT API) — USA — EU Standard Contractual Clauses
  • Vercel — Hosting og CDN — USA/EU — EU Standard Contractual Clauses
  • Supabase — Database og lagring — EU (Frankfurt) — EU/EØS, ingen overføring
  • Telegram — Meldingsplattform — UAE/UK — EU Standard Contractual Clauses
  • Google — OAuth og integrasjoner — USA — EU Standard Contractual Clauses
Viktig: Kundedata brukes aldri til å trene AI-modeller. Alle API-kall til Anthropic og OpenAI skjer via enterprise-avtaler der data ikke benyttes til modelltrening.

Overføring til tredjeland

Overføring av personopplysninger til land utenfor EU/EØS skjer i henhold til EU Standard Contractual Clauses (SCC) og supplerende tiltak i tråd med Schrems II-dommen.

Varighet og opphør

  • Avtalen gjelder så lenge DinBot.io-tjenesten leveres
  • Ved opphør slettes all kundedata innen 30 kalenderdager
  • Kunden kan når som helst be om eksport av sine data

Sikkerhetsbrudd

  • Databehandler varsler Behandlingsansvarlig innen 48 timer etter å ha blitt kjent med et sikkerhetsbrudd
  • Varselet skal inneholde: art, omfang, konsekvenser og tiltak iverksatt
  • Databehandler bistår med varsling til Datatilsynet (innen 72 timer iht. GDPR Art. 33)

Lovvalg

Avtalen er underlagt norsk rett. Verneting er Fredrikstad tingrett.