Databehandleravtale

Versjon 1.0 — 8. april 2026

Denne databehandleravtalen («Avtalen») regulerer behandlingen av personopplysninger som Databehandler utfører på vegne av Behandlingsansvarlig i forbindelse med bruk av tjenesten Rapportagenten. Avtalen er inngått i henhold til personvernforordningen (GDPR) artikkel 28 og gjelder som vedlegg til brukervilkårene.

1. Parter

Behandlingsansvarlig

Organisasjon: Kundens organisasjon, som oppgitt ved registrering i Rapportagenten

Kontaktperson: Angitt under kontooppsett

Rolle: Behandlingsansvarlig (jf. GDPR art. 4 nr. 7)

Databehandler

Selskap: Trygt Overvann AS

Organisasjonsnummer: 932 480 956

Adresse: 5094 Bergen, Norge

E-post: contact@rapportagenten.com

Rolle: Databehandler (jf. GDPR art. 4 nr. 8)

Denne avtalen inngås ved aksept under registrering og gjelder som vedlegg til brukervilkårene mellom partene. Ved motstrid mellom denne Avtalen og brukervilkårene gjelder denne Avtalens bestemmelser for behandling av personopplysninger.

2. Formål og instrukser

Databehandler behandler personopplysninger utelukkende for å levere Rapportagenten-tjenesten til Behandlingsansvarlig. Behandlingen er begrenset til det som er nødvendig for å oppfylle denne hensikten.

Behandlingen som utføres av Databehandler omfatter:

Mottak og sikker lagring av lydopptak lastet opp av Behandlingsansvarlig
Transkripsjon av lydopptak til tekst ved hjelp av talegjenkjenningsteknologi
Generering av tekniske rapporter basert på transkribert innhold og instrukser
Lagring og tilgjengeliggjøring av ferdige rapporter for Behandlingsansvarligs brukere
Autentisering og tilgangsstyring for Behandlingsansvarligs brukere

Databehandler handler kun etter dokumenterte instrukser fra Behandlingsansvarlig. Disse instruksene fremgår av brukervilkårene, denne Avtalen og de innstillinger Behandlingsansvarlig konfigurerer i tjenesten.

Dersom Databehandler er rettslig forpliktet til å behandle personopplysninger utover det som følger av Behandlingsansvarligs instrukser, varsles Behandlingsansvarlig om dette på forhånd, med mindre varsling er forbudt av hensyn til viktige allmenne interesser.

3. Kategorier av registrerte og personopplysninger

Registrerte

Behandlingen berører følgende kategorier av registrerte:

Behandlingsansvarliges ansatte og øvrige medarbeidere som er til stede under lydopptak
Kontaktpersoner, oppdragsgivere eller andre tredjeparter som nevnes eller omtales i lydopptak
Behandlingsansvarliges administratorer og brukere av Rapportagenten-tjenesten

Kategorier av personopplysninger

Kategori	Beskrivelse
Lydopptak	Digitale lydopptak lastet opp av Behandlingsansvarlig; kan inneholde stemmer og navn på ansatte og andre
Transkribert tekst	Tekstversjon av lydopptak; samme innhold og personopplysninger som opptaket
Rapportinnhold	Genererte tekniske rapporter basert på lydopptak; kan inneholde navn, roller og prosjektdetaljer
Prosjektinformasjon	Metadata om oppdrag og prosjekter, som Behandlingsansvarlig legger inn i tjenesten
Autentiseringsdata	E-postadresser, brukernavn og roller for Behandlingsansvarligs brukere av tjenesten

Behandlingsansvarliges ansvar: Behandlingsansvarlig er ansvarlig for å sikre at personopplysninger som fremgår av lydopptak behandles med gyldig rettslig grunnlag, og at de registrerte er informert om behandlingen i tråd med GDPR artiklene 13 og 14.

Behandlingen omfatter ikke særlige kategorier av personopplysninger (jf. GDPR art. 9) med mindre Behandlingsansvarlig eksplisitt inkluderer slike i lydopptak. Behandlingsansvarlig er ansvarlig for å unnlate dette dersom nødvendig rettslig grunnlag mangler.

4. Konfidensialitet

Databehandler sikrer at alle personer som er autorisert til å behandle personopplysningene er underlagt taushetsplikt. Taushetsplikten gjelder personopplysninger Databehandler behandler på vegne av Behandlingsansvarlig, og fortsetter å gjelde også etter at arbeidsforholdet eller oppdraget er avsluttet.

Tilgang til personopplysninger begrenses til autorisert personell som har et tjenstlig behov for tilgang for å kunne levere tjenesten. Databehandler fører ikke tilgang til personopplysninger utover det som er nødvendig for å oppfylle formålet med denne Avtalen.

5. Sikkerhetstiltak

Databehandler har iverksatt tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet i forhold til risikoen, jf. GDPR artikkel 32. Tiltakene inkluderer:

Kryptering under transport: TLS 1.3 for all kommunikasjon mellom klient og server
Kryptering i hvile: Personopplysninger i database og filsystem krypteres
Rollebasert tilgangskontroll (RBAC): Tilgang til data styres av definerte roller på bruker- og organisasjonsnivå
Multi-tenant isolering: Organisasjoners data er isolert på database- og filsystemnivå; én organisasjons data er utilgjengelig for andre
3-2-1 backup: Daglige sikkerhetskopier til tre separate lokasjoner — VPS Frankfurt (primær), Hetzner Storage Box Helsinki (sekundær) og Backblaze B2 Amsterdam (tertiær)
Automatisk feilovervåking: Sentry for feilsporing og Better Stack for oppetidsovervåking
Regelmessig sikkerhetsskanning: Kode og infrastruktur gjennomgår regelmessig statisk analyse og sikkerhetssjekk

Databehandler gjennomfører jevnlig vurdering av sikkerhetstiltak og oppdaterer disse ved behov basert på trusselbilde og ny teknologi.

6. Bruk av underleverandører (underbehandlere)

Behandlingsansvarlig gir herved generell forhåndsgodkjenning til at Databehandler kan benytte underbehandlere for å levere tjenesten. En oppdatert liste over underbehandlere finnes på rapportagenten.com/underleverandorer.

Ved endringer i bruken av underbehandlere — enten ved tillegg av nye eller erstatning av eksisterende — gjelder følgende prosedyre:

Databehandler varsler Behandlingsansvarlig skriftlig minst 30 dager før endringen trer i kraft
Behandlingsansvarlig kan innen varslingsfristen protestere skriftlig mot endringen
Dersom Behandlingsansvarlig protesterer, kan Databehandler si opp Avtalen med rimelig varsel dersom tjenesten ikke kan leveres uten den aktuelle underbehandleren

Databehandler sikrer at alle underbehandlere er bundet av tilsvarende forpliktelser om personvern og datasikkerhet som fremgår av denne Avtalen, og at dette skjer gjennom skriftlig avtale med den aktuelle underbehandleren.

7. Overføring til tredjeland

Deler av personopplysningene overføres til tjenesteleverandører i USA for teknisk prosessering. Overføringene er sikret gjennom følgende mekanismer:

Leverandør	Formål	Overføringsgrunnlag
OpenAI	Transkripsjon av lydopptak	Standard Contractual Clauses (SCCs)
Anthropic	Generering av rapporter	Standard Contractual Clauses (SCCs)
Clerk	Autentisering og brukerstyring	EU-US Data Privacy Framework
Vercel	Frontend-hosting (app.rapportagenten.com)	EU-US Data Privacy Framework

All primærlagring av personopplysninger skjer innenfor EU/EØS — Frankfurt (VPS), Helsinki (Hetzner) og Amsterdam (Backblaze B2). Personopplysninger lagres ikke permanent hos leverandørene i USA; disse behandler kun data for å levere sine tjenester og lagrer ikke data utover det som er nødvendig for den aktuelle prosesseringen.

8. Bistand til registrertes rettigheter

Databehandler bistår Behandlingsansvarlig med å oppfylle de registrertes rettigheter etter GDPR kapittel III, herunder:

Rett til innsyn (art. 15)
Rett til retting (art. 16)
Rett til sletting («retten til å bli glemt», art. 17)
Rett til begrensning av behandling (art. 18)
Rett til dataportabilitet (art. 20)
Rett til å protestere (art. 21)

Henvendelser fra Behandlingsansvarlig om bistand til registrertes rettigheter besvares innen 72 timer. Behandlingsansvarlig kan benytte eksportfunksjonen i tjenesten for å oppfylle krav om innsyn og dataportabilitet for sine brukere og oppdrag. For sletting av enkeltpersoners data, ta kontakt via contact@rapportagenten.com.

9. Avviksvarsling

Dersom Databehandler blir kjent med brudd på personopplysningssikkerheten som berører personopplysninger Databehandler behandler på vegne av Behandlingsansvarlig, varsles Behandlingsansvarlig uten unødig opphold og senest 36 timer etter at Databehandler ble kjent med bruddet.

Varselet vil så vidt mulig inneholde:

En beskrivelse av bruddets karakter, herunder berørte kategorier av registrerte og personopplysninger
Estimert antall berørte registrerte og opplysningsenheter
Sannsynlige konsekvenser av bruddet
Tiltak som er iverksatt eller planlegges for å håndtere bruddet og begrense skade
Navn og kontaktopplysninger for Databehandlers kontaktperson i saken

Dersom ikke all informasjon er tilgjengelig ved det første varselet, gis supplerende opplysninger så snart de foreligger. Databehandler bistår Behandlingsansvarlig med eventuell varsling til Datatilsynet (jf. GDPR art. 33) og de registrerte (jf. GDPR art. 34).

10. Sletting og retur av data

Ved opphør av denne Avtalen eller abonnementsavtalen mellom partene, gjelder følgende:

Alle personopplysninger slettes fra aktive systemer innen 90 dager etter avtaleopphør
Behandlingsansvarlig kan innen 30 dager etter opphør be om eksport av rapportdata (metadata og filer) ved å sende forespørsel til contact@rapportagenten.com
Backup-kopier slettes i henhold til ordinær rotasjon: daglige backups slettes etter 31 dager, månedlige backups etter 12 måneder
Lydopptak slettes umiddelbart etter vellykket transkripsjon, med mindre Behandlingsansvarlig eksplisitt har anmodet om lengre lagring

Databehandler bekrefter skriftlig til Behandlingsansvarlig at sletting er gjennomført, dersom Behandlingsansvarlig ber om dette.

11. Revisjon og dokumentasjon

Databehandler stiller nødvendig dokumentasjon tilgjengelig for å påvise etterlevelse av denne Avtalen og GDPR artikkel 28, jf. GDPR artikkel 5(2).

Behandlingsansvarlig eller en representant utpekt av Behandlingsansvarlig kan gjennomføre revisjon av Databehandlers behandlingsaktiviteter, på følgende vilkår:

Skriftlig varsel sendes Databehandler minst 30 dager i forveien
Revisjon gjennomføres i Databehandlers lokaler eller ved skriftlig attestasjon/egenerklæring, etter Databehandlers valg
Revisjon gjennomføres i normal arbeidstid og på en måte som ikke uforholdsmessig forstyrrer Databehandlers virksomhet
Kostnader ved revisjon, herunder Databehandlers medgåtte tid, dekkes av Behandlingsansvarlig
Revisors taushetsplikt gjelder for all konfidensiell informasjon som avdekkes under revisjonen

12. Avtalens varighet

Denne databehandleravtalen gjelder så lenge abonnementsavtalen mellom partene er aktiv. Avtalen opphører automatisk når abonnementsavtalen avsluttes.

Forpliktelsene om konfidensialitet (punkt 4) og sletting av data (punkt 10) gjelder også etter Avtalens opphør, inntil alle personopplysninger er slettet i henhold til punkt 10.

13. Lovvalg og tvisteløsning

Denne Avtalen er underlagt norsk rett og skal tolkes i samsvar med:

Europaparlamentets og Rådets forordning (EU) 2016/679 (GDPR), som gjennomført i norsk rett
Personopplysningsloven av 15. juni 2018 nr. 38

Tvister om Avtalens innhold eller gyldighet søkes løst ved forhandlinger mellom partene. Dersom enighet ikke oppnås, avgjøres tvisten av norske domstoler med Bergen tingrett som verneting.

14. Kontakt

Henvendelser vedrørende denne databehandleravtalen, personvern eller behandling av personopplysninger rettes til:

Trygt Overvann AS

Org.nr. 932 480 956

5094 Bergen, Norge

E-post: contact@rapportagenten.com

Behandlingsansvarlig kan også kontakte Datatilsynet (datatilsynet.no) dersom det er bekymringer knyttet til behandlingen av personopplysninger.