Databehandleravtale (DPA)

Denne databehandleravtalen ("DPA") inngås mellom deg eller din virksomhet ("Behandlingsansvarlig") og Ryen Import ENK (org.nr. 936 916 333, Åmotshagan 2, 2022 Gjerdrum), som driver AIbua ("Databehandler"), når du bruker AIbua til å behandle personopplysninger. Avtalen utfyller vilkårene og gjelder i tillegg til disse.

Bruker du AIbua privat og ikke på vegne av en virksomhet, trenger du normalt ikke denne avtalen.

Formål og omfang

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig utelukkende for å levere AIbuas verktøy slik de er beskrevet i vilkårene. Behandlingen varer så lenge avtaleforholdet består.

Type opplysninger og kategorier registrerte

Behandlingens art bestemmes av hva Behandlingsansvarlig velger å sende inn i verktøyene. Det kan omfatte opplysninger i tekst, dokumenter og bilder som behandles forbigående. Kategoriene av registrerte og opplysninger styres derfor av Behandlingsansvarlig, som er ansvarlig for å ha rettslig grunnlag for behandlingen.

Behandlingsansvarlig skal ikke sende inn særlige kategorier personopplysninger (sensitive opplysninger) uten et gyldig grunnlag og uten nødvendige tiltak.

Databehandlers plikter

Databehandler skal:

• bare behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, slik de fremgår av vilkårene og bruken av tjenesten
• sikre at personer med tilgang har taushetsplikt
• ikke lagre innholdet som behandles – innhold behandles i minnet og slettes umiddelbart etter at verktøyet har kjørt
• bistå Behandlingsansvarlig med å oppfylle plikter overfor de registrerte og tilsynsmyndighet, i den grad det er rimelig og relevant

Sikkerhet

Databehandler iverksetter egnede tekniske og organisatoriske tiltak etter personvernforordningen artikkel 32, blant annet: kryptering under overføring, tilgangsstyring, behandling i EU/EØS, og en arkitektur der innhold ikke lagres. Detaljer kan opplyses på forespørsel.

Underdatabehandlere

Behandlingsansvarlig godkjenner at Databehandler bruker underleverandører. Disse er valgt med tanke på behandling i EU/EØS:

• Clerk – autentisering (EU-dataresidens)
• Stripe – betaling
• Neon – database (EU, Frankfurt)
• Upstash – rate-limiting (EU, Frankfurt)
• Vercel – hosting (EU-regioner)
• AWS Bedrock / Anthropic – AI-prosessering (EU-region eu-central-1; innhold lagres ikke og brukes ikke til trening)
• PostHog (EU) og Sentry (EU) – analyse og feilovervåking uten innhold
• Resend og one.com – e-post

Databehandler varsler om endringer i listen over underdatabehandlere, slik at Behandlingsansvarlig kan protestere.

Overføring til tredjeland

All behandling skjer i EU/EØS. Anthropic er amerikansk-registrert, men kjøringen skjer i EU-region. Skulle overføring utenfor EØS bli nødvendig, skjer det på et gyldig overføringsgrunnlag (for eksempel EUs standardklausuler).

Brudd på personopplysningssikkerheten

Databehandler varsler Behandlingsansvarlig uten ugrunnet opphold etter å ha blitt kjent med et brudd på personopplysningssikkerheten, og bistår med informasjon som er nødvendig for Behandlingsansvarliges egne plikter.

Sletting ved opphør

Fordi innhold ikke lagres, finnes det normalt ingen behandlede personopplysninger å returnere eller slette ved avtalens opphør. Kontorelaterte opplysninger håndteres som beskrevet i personvernerklæringen.

Revisjon

Databehandler gjør tilgjengelig informasjon som er nødvendig for å vise at pliktene i denne avtalen overholdes, og bidrar ved rimelige revisjoner.

Varighet og endringer

Avtalen gjelder så lenge Behandlingsansvarlig bruker AIbua til behandling av personopplysninger. Gjeldende versjon er 1.0, med virkning fra 25.05.2026. Ved konflikt mellom denne avtalen og vilkårene, går denne avtalen foran for spørsmål om behandling av personopplysninger.

Kontakt

Spørsmål om databehandleravtalen, eller behov for en signert versjon? Skriv til hei@aibua.no.