Tilbake til innlogging
Takringen AI

Databehandleravtale

Versjon 1.0 · Gjelder fra 01.06.2026

Takringen AI Portal – behandling av personopplysninger etter GDPR artikkel 28

Denne databehandleravtalen («Avtalen») inngås mellom:

BehandlingsansvarligMedlemsbedriften som benytter Takringen AI Portal («Behandlingsansvarlig»)
DatabehandlerTakringen AS, org.nr. 934 785 657, Tømmerkrana 5, 3048 Drammen («Databehandler» / «Takringen»)

Avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av Takringen AI Portal («Portalen»), og utgjør en integrert del av avtaleforholdet mellom partene. Ved motstrid om behandling av personopplysninger går denne Avtalen foran bruksvilkårene.

Rollefordeling. Behandlingsansvarlig (Medlemsbedriften) bestemmer formål og midler for behandlingen og instruerer Databehandler. Takringen behandler personopplysninger utelukkende på vegne av og etter dokumentert instruks fra Behandlingsansvarlig. Underleverandører som Supabase, Vercel og Google opptrer som underdatabehandlere.

1. Bakgrunn og formål

Behandlingsansvarlig benytter Portalen til AI-støttede verktøy for blant annet kontraktsanalyse, kundevurdering og faglig kunnskapssøk. For å levere disse tjenestene behandler Databehandler personopplysninger på vegne av Behandlingsansvarlig. Avtalen oppfyller kravet i personvernforordningen (GDPR) artikkel 28 nr. 3 om en skriftlig databehandleravtale, og skal sikre at behandlingen skjer i samsvar med GDPR og personopplysningsloven.

2. Behandlingens art, formål og varighet

Databehandler skal kun behandle personopplysninger i den utstrekning det er nødvendig for å levere og drifte Portalen, herunder:

  • autentisering og administrasjon av brukertilgang;
  • lagring og prosessering av dokumenter og data som Behandlingsansvarlig laster opp eller genererer i Portalen;
  • formidling av forespørsler til AI-modell for å generere svar og analyser; og
  • drift, sikkerhet, feilretting og forbedring av tjenesten.

Behandlingen varer så lenge avtaleforholdet om bruk av Portalen består, med mindre annet følger av Avtalen eller ufravikelig rett.

3. Kategorier av registrerte og personopplysninger

Kategorier av registrerte:

  • ansatte og brukere hos Behandlingsansvarlig;
  • kontaktpersoner hos kunder, leverandører og samarbeidspartnere som omtales i opplastet materiale eller i forespørsler til Portalen.

Kategorier av personopplysninger:

  • kontaktopplysninger (navn, e-post, telefon, stilling, virksomhetstilknytning);
  • påloggings- og bruksdata (bruker-ID, logger, IP-adresse, tidsstempler);
  • innhold i opplastede dokumenter og fritekst-forespørsler, som kan inneholde personopplysninger avhengig av Behandlingsansvarligs bruk.
Særlige kategorier. Portalen er ikke ment for behandling av særlige kategorier av personopplysninger (GDPR art. 9) eller opplysninger om straffedommer (art. 10). Behandlingsansvarlig skal ikke laste opp slike opplysninger uten forutgående skriftlig avtale med Databehandler om nødvendige tilleggstiltak.

4. Databehandlers plikter

4.1 Behandling kun etter instruks

Databehandler skal bare behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, herunder ved overføring til tredjeland, med mindre annet kreves etter EØS-rett eller norsk rett som Databehandler er underlagt. Avtalen med tilhørende bruksvilkår og konfigurasjon av Portalen utgjør Behandlingsansvarligs grunnleggende instruks. Dersom Databehandler mener en instruks er i strid med personvernregelverket, skal Databehandler umiddelbart varsle Behandlingsansvarlig.

4.2 Konfidensialitet

Databehandler skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og at tilgang er begrenset etter prinsippet om tjenstlig behov.

4.3 Informasjonssikkerhet (art. 32)

Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå tilpasset risikoen. Tiltakene fremgår av Vedlegg B og omfatter blant annet kryptering under overføring og lagring, tilgangsstyring, logging, og hosting innenfor EU/EØS.

4.4 Bistand til Behandlingsansvarlig

Databehandler skal, i den grad det er mulig og forholdsmessig, bistå Behandlingsansvarlig med:

  • å besvare henvendelser om de registrertes rettigheter (innsyn, retting, sletting, dataportabilitet mv.);
  • å ivareta forpliktelsene etter art. 32–36, herunder sikkerhet, avviksvarsling og personvernkonsekvensvurderinger (DPIA).

4.5 Avviksvarsling

Databehandler skal uten ugrunnet opphold, og senest innen 48 timer etter at Databehandler har blitt kjent med et brudd på personopplysningssikkerheten, varsle Behandlingsansvarlig skriftlig. Varselet skal inneholde tilgjengelig informasjon som nevnt i art. 33 nr. 3, slik at Behandlingsansvarlig kan oppfylle sin meldeplikt til Datatilsynet.

5. Bruk av underdatabehandlere

Behandlingsansvarlig gir Databehandler generell skriftlig godkjenning til å benytte underdatabehandlere. Databehandler skal pålegge enhver underdatabehandler de samme databeskyttelsesforpliktelsene som følger av denne Avtalen, og forblir fullt ut ansvarlig overfor Behandlingsansvarlig for underdatabehandlerens oppfyllelse.

Ved planlagte endringer i bruk av underdatabehandlere skal Databehandler varsle Behandlingsansvarlig i rimelig tid før endringen, slik at Behandlingsansvarlig kan motsette seg endringen. Godkjente underdatabehandlere på avtaletidspunktet:

UnderdatabehandlerTjeneste / formål — Lokasjon
SupabaseDatabase, autentisering og fillagring – EU/EØS-region
VercelHosting og drift av applikasjonen – EU/EØS-region der tilgjengelig
Google (Gemini API)AI-modell for generering av svar og analyser – behandling kan skje i USA

6. Overføring til tredjeland

Personopplysninger skal som hovedregel behandles innenfor EU/EØS. Dersom en underdatabehandler innebærer overføring av personopplysninger til land utenfor EU/EØS, skal slik overføring kun skje når det foreligger et gyldig overføringsgrunnlag etter GDPR kapittel V, for eksempel EU-kommisjonens standard personvernbestemmelser (SCC) supplert med nødvendige tilleggstiltak, eller en beslutning om tilstrekkelig beskyttelsesnivå. Databehandler skal på forespørsel dokumentere overføringsgrunnlaget overfor Behandlingsansvarlig.

Merknad om AI-leverandør. AI-funksjonaliteten leveres via Google (Gemini API). Behandling kan skje på servere i USA. Overføring skjer på grunnlag av EU-kommisjonens standard personvernbestemmelser (SCC) med nødvendige tilleggstiltak. Behandlingsansvarlig bør minimere eller anonymisere personopplysninger før de sendes til AI-modellen, og ikke sende særlige kategorier av personopplysninger til Portalen.

7. Revisjon og kontroll

Databehandler skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene i art. 28 og denne Avtalen overholdes, og muliggjøre og bidra til revisjoner, herunder inspeksjoner, gjennomført av Behandlingsansvarlig eller en revisor utpekt av denne. Revisjoner skal varsles i rimelig tid, gjennomføres innenfor normal arbeidstid og ikke unødig forstyrre Databehandlers drift. Databehandler kan oppfylle dokumentasjonsplikten ved å fremlegge relevante sertifiseringer eller revisjonsrapporter fra underdatabehandlere.

8. Sletting og tilbakelevering

Ved opphør av behandlingen skal Databehandler, etter Behandlingsansvarligs valg, slette eller tilbakelevere alle personopplysninger og slette eksisterende kopier, med mindre lagring kreves etter EØS-rett eller norsk rett. Sletting skal gjennomføres uten ugrunnet opphold og bekreftes skriftlig på forespørsel. Sletting hos underdatabehandlere skjer i samsvar med deres sletterutiner og avtalte frister.

Med mindre annet er avtalt, gjelder følgende veiledende oppbevaringstider: aktive data oppbevares så lenge brukerkontoen består og slettes ved kontoavslutning; sikkerhetskopier rulleres ut innen 30–90 dager; og tekniske logger oppbevares i inntil 12 måneder.

9. Ansvar

Partenes ansvar for behandling av personopplysninger følger av GDPR art. 82 og ufravikelig rett, og kan ikke fraskrives i denne Avtalen. Den enkelte parts ansvar overfor den registrerte og tilsynsmyndighet reguleres av regelverket. I det innbyrdes forholdet mellom partene gjelder ansvarsbegrensningene i bruksvilkårene så langt de er forenlige med ufravikelig rett; slike begrensninger får likevel ikke anvendelse på ansvar som etter art. 82 eller annen ufravikelig rett ikke kan begrenses.

10. Varighet og endringer

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Bestemmelser som etter sin art skal bestå etter opphør (herunder konfidensialitet og sletting), gjelder også etter avtaleslutt. Endringer i Avtalen skal være skriftlige. Ved endringer i regelverk eller hos underleverandører kan Databehandler foreslå oppdateringer, som varsles Behandlingsansvarlig.

11. Lovvalg og verneting

Avtalen er underlagt norsk rett. Tvister søkes løst i minnelighet, og bringes ellers inn for de ordinære domstoler med Buskerud tingrett som verneting.

12. Signatur

Aksept av databehandleravtalen registreres elektronisk i Portalen når en autorisert bruker hos Behandlingsansvarlig godkjenner avtalen ved innlogging. Tidspunkt, bruker og virksomhet logges som dokumentasjon på inngåelsen.

Vedlegg A – Behandlingsoversikt

Formål med behandlingenLevering av AI-støttede verktøy i Takringen AI Portal
Behandlingens artInnsamling, lagring, strukturering, bruk, overføring til underdatabehandlere og sletting
Kategorier registrerteBrukere hos Behandlingsansvarlig; kontaktpersoner omtalt i opplastet materiale
Kategorier opplysningerKontaktopplysninger, påloggings- og bruksdata, innhold i dokumenter og forespørsler
VarighetAvtaleperioden for bruk av Portalen

Vedlegg B – Tekniske og organisatoriske sikkerhetstiltak

  • Hosting og datalagring innenfor EU/EØS (Supabase EU-region).
  • Kryptering av data under overføring (TLS) og ved lagring («at rest»).
  • Tilgangsstyring med autentisering, rollebasert tilgang og prinsippet om minste privilegium.
  • Radnivå-sikkerhet (RLS) i databasen som isolerer data per virksomhet/bruker.
  • Logging av tilgang og hendelser for sporbarhet.
  • Rutiner for sikkerhetskopiering og gjenoppretting.
  • Rutiner for håndtering og varsling av sikkerhetsbrudd.
  • Databehandleravtaler med samtlige underdatabehandlere.