Databehandleravtale (DPA) | Solven Solutions AS

1. Definisjoner

Behandlingsansvarlig:

Kunden som bestemmer formålet med og midlene for behandlingen av personopplysninger.

Databehandler:

Solven Solutions AS som behandler personopplysninger på vegne av Behandlingsansvarlig.

Personopplysninger:

Opplysninger som behandles i forbindelse med levering av AI-kundeserviceløsningen.

2. Behandlingens art, formål og varighet

2.1 Art og formål

Databehandler skal behandle personopplysninger for følgende formål:

Levere AI-kundeserviceløsning (chatbot, voice bot, etc.)
Behandle kundehenvendelser via chat, e-post, telefon eller skjermløsninger
Integrere med kundens CRM, kalender, POS og andre systemer
Analysere og rapportere på KPI-er og ytelse
Teknisk drift, vedlikehold og support
Sikkerhet og feilsøking

2.2 Type personopplysninger

Sluttkunders navn, e-post, telefonnummer
Chathistorikk og henvendelser
Bookingdetaljer og avtaler
Teknisk informasjon (IP-adresse, enhet)
Annen informasjon kunden velger å dele via sine systemer

2.3 Registrerte

Kundens sluttbrukere (kunder, potensielle kunder)
Kundens ansatte (ved intern bruk)

2.4 Varighet

Behandlingen varer så lenge avtalen mellom partene er i kraft, samt i henhold til slettingsrutiner beskrevet i punkt 8.

3. Databehandlers plikter

Databehandler forplikter seg til å:

Behandle personopplysninger kun i henhold til dokumenterte instruksjoner fra Behandlingsansvarlig
Sikre at personer autorisert til å behandle personopplysningene har påtatt seg en taushetsplikt
Treffe tiltak for å sikre personopplysningenes sikkerhet (se punkt 4)
Ikke engasjere underdatabehandler uten forhåndsgodkjenning (se punkt 5)
Bistå Behandlingsansvarlig med å oppfylle krav fra registrerte (innsyn, sletting, etc.)
Bistå ved personvernkonsekvensutredninger og konsultasjon med tilsynsmyndighet
Slette eller returnere personopplysninger ved avtalens opphør (se punkt 8)
Stille nødvendig informasjon tilgjengelig for å demonstrere overholdelse av forpliktelsene
Tillate og bidra til revisjoner og inspeksjoner utført av Behandlingsansvarlig eller en annen revisor

4. Sikkerhetstiltak

Databehandler skal implementere passende tekniske og organisatoriske tiltak:

Tekniske tiltak

Kryptering under overføring (TLS 1.2+)
Kryptering av data i ro (AES-256)
Tilgangskontroll og autentisering (MFA)
Logging og overvåkning
Regelmessige sikkerhetsoppdateringer
Brannmurer og nettverkssegmentering

Organisatoriske tiltak

Rollebasert tilgangskontroll
Taushetsplikt for ansatte
Sikkerhetsopplæring
Beredskapsplan for databrudd
Regelmessige risikovurderinger
Dokumentert sikkerhetsrammeverk

5. Underdatabehandlere

5.1 Godkjente underdatabehandlere

Behandlingsansvarlig godkjenner følgende underdatabehandlere:

OpenAI (USA)AI-modeller

Sikringsmekanisme: Standard Contractual Clauses (SCC)

Vercel Inc. (USA)Hosting og infrastruktur

Sikringsmekanisme: Standard Contractual Clauses (SCC)

Google Cloud (EU)Datalagring og analyse

Sikringsmekanisme: Data lagres i EU (GDPR-compliant)

5.2 Nye underdatabehandlere

Databehandler skal informere Behandlingsansvarlig om enhver planlagt endring med nye eller utskiftede underdatabehandlere minst 30 dager i forveien. Behandlingsansvarlig kan protestere innen 14 dager.

6. Dataoverføring til tredjeland

Personopplysninger kan overføres til USA gjennom følgende underdatabehandlere:

OpenAI - Sikret via Standard Contractual Clauses (SCC)
Vercel - Sikret via Standard Contractual Clauses (SCC)

Vi evaluerer jevnlig sikkerheten ved overføring til tredjeland og implementerer supplerende sikringstiltak ved behov.

7. Bistand til Behandlingsansvarlig

7.1 Registrertes rettigheter

Databehandler skal bistå Behandlingsansvarlig med å håndtere:

Innsyn i personopplysninger
Retting av uriktige opplysninger
Sletting av opplysninger
Begrensning av behandling
Dataportabilitet
Protest mot behandling

Responstid: Innen 5 virkedager. Bistand faktureres etter medgått tid (NOK 1.500/time) med mindre annet er avtalt.

7.2 Personvernkonsekvensutredning

Databehandler skal bistå Behandlingsansvarlig med personvernkonsekvensutredninger og konsultasjon med Datatilsynet ved behov.

8. Sletting og retur av data

Ved avtalens opphør skal Databehandler:

Slette alle personopplysninger innen 30 dager, eller
Returnere dataene til Behandlingsansvarlig i maskinlesbart format (JSON/CSV) hvis forespurt
Bekrefte sletting skriftlig
Slette eller anonymisere backup-kopier innen 90 dager

Unntak: Data som må oppbevares i henhold til lovkrav kan beholdes til lovpålagt oppbevaringsplikt utløper.

9. Melding om databrudd

Ved personopplysningsbrudd skal Databehandler:

Varsle Behandlingsansvarlig innen 24 timer etter at bruddet oppdages
Gi detaljert beskrivelse av bruddet
Angi type og omfang av berørte personopplysninger
Angi tiltak som er iverksatt for å begrense skaden
Oppgi kontaktperson for oppfølging

10. Revisjon og inspeksjon

Behandlingsansvarlig har rett til å utføre revisjoner og inspeksjoner av Databehandlers behandling av personopplysninger. Varsling skal skje minst 14 dager i forveien. Revisjon kan utføres av Behandlingsansvarlig selv eller en uavhengig revisor.

Databehandler stiller nødvendig dokumentasjon tilgjengelig, inkludert:

Behandlingsprotokoll
Sikkerhetsdokumentasjon
Underdatabehandleravtaler
Logg over databrudd

11. Ansvar og erstatning

Partene er ansvarlige i henhold til GDPR kapittel VIII. Databehandler er kun ansvarlig for skade forårsaket av brudd på GDPR-spesifikke forpliktelser for databehandlere, eller ved å ha handlet utenfor eller i strid med rettslige instruksjoner fra Behandlingsansvarlig.

Spørsmål om DPA?

For spørsmål om databehandleravtalen eller for å inngå signert DPA:

E-post: sales@solven.no
Telefon: +47 453 91 275

En formell, signert DPA-avtale vil bli inngått ved oppstart av kundeforhold.