Databehandleravtale

Versjon 1.1 – 25. mai 2026. Denne databehandleravtalen («Avtalen») regulerer behandlingen av personopplysninger som Databehandler utfører på vegne av Behandlingsansvarlig i forbindelse med bruk av tjenesten Rapportagenten. Avtalen er inngått i henhold til personvernforordningen (GDPR) artikkel 28 og gjelder som vedlegg til brukervilkårene.

1. Parter

Behandlingsansvarlig

Organisasjon
Kundens organisasjon, som oppgitt ved registrering i Rapportagenten
Kontaktperson
Angitt under kontooppsett
Rolle
Behandlingsansvarlig (jf. GDPR art. 4 nr. 7)

Databehandler

Selskap
OhJoy Ventures AS
Org.nr.
932 480 956
Adresse
5094 Bergen, Norge
Kontakt
[email protected]
Rolle
Databehandler (jf. GDPR art. 4 nr. 8)

Denne avtalen inngås ved aksept under registrering og gjelder som vedlegg til brukervilkårene mellom partene. Ved motstrid mellom denne Avtalen og brukervilkårene gjelder denne Avtalens bestemmelser for behandling av personopplysninger.

2. Formål og instrukser

Databehandler behandler personopplysninger utelukkende for å levere Rapportagenten-tjenesten til Behandlingsansvarlig. Behandlingen er begrenset til det som er nødvendig for å oppfylle denne hensikten.

Behandlingen som utføres av Databehandler omfatter:

  • Mottak og sikker lagring av lydopptak lastet opp av Behandlingsansvarlig
  • Transkripsjon av lydopptak til tekst ved hjelp av talegjenkjenningsteknologi
  • Generering av tekniske rapporter basert på transkribert innhold og instrukser
  • Lagring og tilgjengeliggjøring av ferdige rapporter for Behandlingsansvarligs brukere
  • Autentisering og tilgangsstyring for Behandlingsansvarligs brukere

Databehandler handler kun etter dokumenterte instrukser fra Behandlingsansvarlig. Disse instruksene fremgår av brukervilkårene, denne Avtalen og de innstillinger Behandlingsansvarlig konfigurerer i tjenesten.

Dersom Databehandler er rettslig forpliktet til å behandle personopplysninger utover det som følger av Behandlingsansvarligs instrukser, varsles Behandlingsansvarlig om dette på forhånd, med mindre varsling er forbudt av hensyn til viktige allmenne interesser.

Behandlingsansvarligs instrukser omfatter ikke krav om at AI-generert output fra Rapportagenten skal anses som juridisk, teknisk eller annen profesjonell rådgivning fra Databehandler. Output er arbeidsutkast som Behandlingsansvarlig kvalitetssikrer selv før bruk overfor tredjepart, jf. brukervilkårene § 4.1. Databehandlers rolle er begrenset til den tekniske leveransen av tjenesten på vegne av Behandlingsansvarlig.

3. Kategorier av registrerte og personopplysninger

Registrerte

Behandlingen berører følgende kategorier av registrerte:

  • Behandlingsansvarliges ansatte og øvrige medarbeidere som er til stede under lydopptak
  • Kontaktpersoner, oppdragsgivere eller andre tredjeparter som nevnes eller omtales i lydopptak
  • Behandlingsansvarliges administratorer og brukere av Rapportagenten-tjenesten

Kategorier av personopplysninger

Kategori Beskrivelse
Lydopptak Digitale lydopptak lastet opp av Behandlingsansvarlig; kan inneholde stemmer og navn på ansatte og andre
Transkribert tekst Tekstversjon av lydopptak; samme innhold og personopplysninger som opptaket
Rapportinnhold Genererte tekniske rapporter basert på lydopptak; kan inneholde navn, roller og prosjektdetaljer
Prosjektinformasjon Metadata om oppdrag og prosjekter, som Behandlingsansvarlig legger inn i tjenesten
Autentiseringsdata E-postadresser, brukernavn og roller for Behandlingsansvarligs brukere av tjenesten

Behandlingsansvarliges ansvar: Behandlingsansvarlig er ansvarlig for å sikre at personopplysninger som fremgår av lydopptak behandles med gyldig rettslig grunnlag, og at de registrerte er informert om behandlingen i tråd med GDPR artiklene 13 og 14.

Behandlingen omfatter ikke særlige kategorier av personopplysninger (jf. GDPR art. 9) med mindre Behandlingsansvarlig eksplisitt inkluderer slike i lydopptak. Behandlingsansvarlig er ansvarlig for å unnlate dette dersom nødvendig rettslig grunnlag mangler.

4. Konfidensialitet

Databehandler sikrer at alle personer som er autorisert til å behandle personopplysningene er underlagt taushetsplikt. Taushetsplikten gjelder personopplysninger Databehandler behandler på vegne av Behandlingsansvarlig, og fortsetter å gjelde også etter at arbeidsforholdet eller oppdraget er avsluttet.

Tilgang til personopplysninger begrenses til autorisert personell som har et tjenstlig behov for tilgang for å kunne levere tjenesten. Databehandler fører ikke tilgang til personopplysninger utover det som er nødvendig for å oppfylle formålet med denne Avtalen.

5. Sikkerhetstiltak

Databehandler har iverksatt tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet i forhold til risikoen, jf. GDPR artikkel 32. Tiltakene inkluderer:

  • Kryptering under transport: TLS 1.3 for all kommunikasjon mellom klient og server
  • Kryptering i hvile: Personopplysninger i database og filsystem krypteres
  • Rollebasert tilgangskontroll (RBAC): Tilgang til data styres av definerte roller på bruker- og organisasjonsnivå
  • Multi-tenant isolering: Organisasjoners data er isolert på database- og filsystemnivå; én organisasjons data er utilgjengelig for andre
  • 3-2-1 backup: Daglige sikkerhetskopier til tre separate lokasjoner — VPS Frankfurt (primær), Hetzner Storage Box Helsinki (sekundær) og Backblaze B2 Amsterdam (tertiær)
  • Automatisk feilovervåking: Sentry for feilsporing og Better Stack for oppetidsovervåking
  • Regelmessig sikkerhetsskanning: Kode og infrastruktur gjennomgår regelmessig statisk analyse og sikkerhetssjekk

Databehandler gjennomfører jevnlig vurdering av sikkerhetstiltak og oppdaterer disse ved behov basert på trusselbilde og ny teknologi.

6. Bruk av underleverandører (underbehandlere)

Behandlingsansvarlig gir herved generell forhåndsgodkjenning til at Databehandler kan benytte underbehandlere for å levere tjenesten. En oppdatert liste over underbehandlere finnes på trust.rapportagenten.com/underleverandorer.html.

Ved endringer i bruken av underbehandlere — enten ved tillegg av nye eller erstatning av eksisterende — gjelder følgende prosedyre:

  • Databehandler varsler Behandlingsansvarlig skriftlig minst 30 dager før endringen trer i kraft
  • Behandlingsansvarlig kan innen varslingsfristen protestere skriftlig mot endringen
  • Dersom Behandlingsansvarlig protesterer, kan Databehandler si opp Avtalen med rimelig varsel dersom tjenesten ikke kan leveres uten den aktuelle underbehandleren

Databehandler sikrer at alle underbehandlere er bundet av tilsvarende forpliktelser om personvern og datasikkerhet som fremgår av denne Avtalen, og at dette skjer gjennom skriftlig avtale med den aktuelle underbehandleren.

7. Overføring til tredjeland

Deler av personopplysningene overføres til tjenesteleverandører i USA for teknisk prosessering. Overføringene er sikret gjennom følgende mekanismer:

Leverandør Formål Overføringsgrunnlag
OpenAI Transkripsjon av lydopptak Standard Contractual Clauses (SCCs)
Anthropic Generering av rapporter Standard Contractual Clauses (SCCs)
Clerk Autentisering og brukerstyring EU-US Data Privacy Framework
Vercel Frontend-hosting (app.rapportagenten.com) EU-US Data Privacy Framework
Stripe Betaling og fakturering EU-US Data Privacy Framework
Twilio SendGrid Transaksjonell e-post EU-US Data Privacy Framework
Cloudflare DNS og e-postruting EU-US Data Privacy Framework

All primærlagring av personopplysninger skjer innenfor EU/EØS — Frankfurt (VPS), Helsinki (Hetzner) og Amsterdam (Backblaze B2). Personopplysninger lagres ikke permanent hos leverandørene i USA; disse behandler kun data for å levere sine tjenester og lagrer ikke data utover det som er nødvendig for den aktuelle prosesseringen.

8. Bistand til registrertes rettigheter

Databehandler bistår Behandlingsansvarlig med å oppfylle de registrertes rettigheter etter GDPR kapittel III, herunder:

  • Rett til innsyn (art. 15)
  • Rett til retting (art. 16)
  • Rett til sletting («retten til å bli glemt», art. 17)
  • Rett til begrensning av behandling (art. 18)
  • Rett til dataportabilitet (art. 20)
  • Rett til å protestere (art. 21)

Henvendelser fra Behandlingsansvarlig om bistand til registrertes rettigheter besvares innen 72 timer. Behandlingsansvarlig kan benytte eksportfunksjonen i tjenesten for å oppfylle krav om innsyn og dataportabilitet for sine brukere og oppdrag. For sletting av enkeltpersoners data, ta kontakt via [email protected].

9. Avviksvarsling

Dersom Databehandler blir kjent med brudd på personopplysningssikkerheten som berører personopplysninger Databehandler behandler på vegne av Behandlingsansvarlig, varsles Behandlingsansvarlig uten unødig opphold og senest 36 timer etter at Databehandler ble kjent med bruddet.

Varselet vil så vidt mulig inneholde:

  • En beskrivelse av bruddets karakter, herunder berørte kategorier av registrerte og personopplysninger
  • Estimert antall berørte registrerte og opplysningsenheter
  • Sannsynlige konsekvenser av bruddet
  • Tiltak som er iverksatt eller planlegges for å håndtere bruddet og begrense skade
  • Navn og kontaktopplysninger for Databehandlers kontaktperson i saken

Dersom ikke all informasjon er tilgjengelig ved det første varselet, gis supplerende opplysninger så snart de foreligger. Databehandler bistår Behandlingsansvarlig med eventuell varsling til Datatilsynet (jf. GDPR art. 33) og de registrerte (jf. GDPR art. 34).

10. Sletting og retur av data

Ved opphør av denne Avtalen eller abonnementsavtalen mellom partene, gjelder følgende:

  • Aktive systemer: alle personopplysninger Databehandler har behandlet på vegne av Behandlingsansvarlig — herunder transkripsjoner, rapporter, treningsdokumenter og brukerdata — slettes fra aktive systemer innen 90 dager etter avtaleopphør
  • Lydopptak: slettes umiddelbart etter vellykket transkripsjon, med mindre Behandlingsansvarlig eksplisitt har anmodet om lengre lagring. Lydopptak finnes derfor normalt ikke i aktive systemer på opphørstidspunktet
  • Eksport-vindu: Behandlingsansvarlig kan innen 30 dager etter opphør be om eksport av rapportdata (metadata og filer) ved å sende forespørsel til [email protected]. Eksport er også tilgjengelig via tjenestens /me/export-endepunkt mens kontoen er aktiv
  • Backup: sikkerhetskopier rulleres automatisk (31 dager daglig, 12 måneder månedlig). Data som er slettet fra aktive systemer, fjernes fra backup ved neste rotasjon — siste forekomst forsvinner senest 12 måneder etter sletting fra aktive systemer. Databehandler gjenoppretter ikke personopplysninger fra backup etter Avtalens opphør med mindre Behandlingsansvarlig eksplisitt anmoder om dette innen eksport-vinduet
  • Anonymiserte aggregerte data: data som ikke kan knyttes til enkeltpersoner eller organisasjoner, kan beholdes lenger for statistiske formål

Databehandler bekrefter skriftlig til Behandlingsansvarlig at sletting er gjennomført, dersom Behandlingsansvarlig ber om dette.

11. Revisjon og dokumentasjon

Databehandler stiller nødvendig dokumentasjon tilgjengelig for å påvise etterlevelse av denne Avtalen og GDPR artikkel 28, jf. GDPR artikkel 5(2).

Behandlingsansvarlig eller en representant utpekt av Behandlingsansvarlig kan gjennomføre revisjon av Databehandlers behandlingsaktiviteter, på følgende vilkår:

  • Skriftlig varsel sendes Databehandler minst 30 dager i forveien
  • Revisjon gjennomføres i Databehandlers lokaler eller ved skriftlig attestasjon/egenerklæring, etter Databehandlers valg
  • Revisjon gjennomføres i normal arbeidstid og på en måte som ikke uforholdsmessig forstyrrer Databehandlers virksomhet
  • Kostnader ved revisjon, herunder Databehandlers medgåtte tid, dekkes av Behandlingsansvarlig
  • Revisors taushetsplikt gjelder for all konfidensiell informasjon som avdekkes under revisjonen

12. Avtalens varighet

Denne databehandleravtalen gjelder så lenge abonnementsavtalen mellom partene er aktiv. Avtalen opphører automatisk når abonnementsavtalen avsluttes.

Forpliktelsene om konfidensialitet (punkt 4) og sletting av data (punkt 10) gjelder også etter Avtalens opphør, inntil alle personopplysninger er slettet i henhold til punkt 10.

13. Lovvalg og tvisteløsning

Denne Avtalen er underlagt norsk rett og skal tolkes i samsvar med:

  • Europaparlamentets og Rådets forordning (EU) 2016/679 (GDPR), som gjennomført i norsk rett
  • Personopplysningsloven av 15. juni 2018 nr. 38

Tvister om Avtalens innhold eller gyldighet søkes løst ved forhandlinger mellom partene. Dersom enighet ikke oppnås, avgjøres tvisten av norske domstoler med Bergen tingrett som verneting.

14. Kontakt

Henvendelser vedrørende denne databehandleravtalen, personvern eller behandling av personopplysninger rettes til:

Selskap
OhJoy Ventures AS
Org.nr.
932 480 956
Adresse
5094 Bergen, Norge
Kontakt
[email protected]

Behandlingsansvarlig kan også kontakte Datatilsynet (datatilsynet.no) dersom det er bekymringer knyttet til behandlingen av personopplysninger.

Trenger dere en kundespesifikk DPA? Send oss en e-post på [email protected].

Versjon 1.1 · 25. mai 2026