Hjem Produkt Pilotprogram Priser Kontakt Book demo

Databehandleravtale

Versjon: 2.0

Ikrafttredelsesdato: 16. mars 2026

Denne databehandleravtalen utgjør en del av Nevorths SaaS-vilkår og gjelder der Nevorth behandler personopplysninger på vegne av Kunden.

1. Roller

Kunden er behandlingsansvarlig.

Nevorth er databehandler.

2. Gjenstand; varighet; art og formål

Nevorth behandler personopplysninger for å levere tjenesten Decision Referee. Dette omfatter:

  • Mottak av beslutningsinput via Slack.
  • Generering av KI-assisterte outputer.
  • Lagring av beslutningshistorikk (tidligere beslutningsinput, analyseoutputer og outcome-tilbakemeldinger) i Cloudflare D1 for å muliggjøre kontekstuell analyse for samme Kunde over tid.
  • Drift av integrasjoner (Cloudflare Worker, Cloudflare D1 og Make-scenarier).
  • Yting av support og opprettholdelse av tjenestesikkerhet.

Behandlingen fortsetter så lenge abonnementsperioden varer og i en begrenset periode som kreves for sletting og backup-sykluser som beskrevet i punkt 9.

3. Typer personopplysninger og kategorier registrerte

Registrerte: Kundens ansatte (autoriserte brukere) og andre personer hvis identifikatorer kan fremgå av Slack-metadata.

Kategorier av personopplysninger (typisk):

  • Slack-identifikatorer for arbeidsområde, bruker og kanal; meldingsmetadata; tidsstempler.
  • Beslutningsinput i tekstform sendt inn via Slack-kommandoer, som utilsiktet kan inneholde personopplysninger til tross for Kundens forbud mot dette.
  • Beslutningshistorikk: lagrede oppføringer over tidligere beslutningsinput, analyseoutputer og outcome-tilbakemeldinger, lagret i Cloudflare D1.
  • Firmaprofilfelter og forretningskontekst, i den grad dette oppgis av Kunden.

Nevorth har ikke til hensikt å behandle særlige kategorier av personopplysninger. Kunden må ikke sende inn slike opplysninger.

4. Databehandlers forpliktelser

Nevorth skal:

  • Behandle personopplysninger kun etter dokumenterte instrukser fra Kunden (slik de fremgår av vilkårene og denne databehandleravtalen).
  • Sørge for konfidensialitet hos personell.
  • Iverksette rimelige sikkerhetstiltak (se vedlegg 2).
  • Bistå Kunden med forespørsler fra registrerte i den grad det er relevant og teknisk gjennomførbart.
  • Bistå Kunden med DPIA-er og konsultasjon der dette kreves, i den grad tjenesten er involvert.
  • Varsle Kunden uten ugrunnet opphold etter å ha blitt kjent med et brudd på personopplysningssikkerheten som påvirker Kundedata.
  • Ved opphør slette eller returnere personopplysninger under Nevorths kontroll slik beskrevet i punkt 9.

5. Underdatabehandlere

5.1. Generell autorisasjon. Kunden gir en generell autorisasjon til at Nevorth kan engasjere underdatabehandlere.

5.2. Liste og endringer. Gjeldende underdatabehandlere er oppført på https://www.nevorth.com/no/legal/subprocessors.html. Nevorth vil varsle om vesentlige endringer ved å oppdatere listen og, der det er rimelig, via e-post til Kundens varslingsadresse.

5.3. Videreføring. Nevorth vil pålegge underdatabehandlere databeskyttelsesforpliktelser som i det vesentlige tilsvarer denne databehandleravtalen.

6. Internasjonale overføringer

Kunden erkjenner at underdatabehandlere kan behandle data utenfor EØS. Der dette kreves, vil overføringer skje med egnede garantier (for eksempel SCC-er) slik disse er implementert av den relevante underdatabehandleren og/eller Nevorth.

7. Sikkerhet

Sikkerhetstiltakene er beskrevet i vedlegg 2. Kunden erkjenner at tjenesten er avhengig av tredjepartsplattformer og deres kontroller.

8. Revisjoner

Etter skriftlig forespørsel, ikke mer enn én gang per år, vil Nevorth gi rimelig informasjon for å dokumentere etterlevelse (skriftlige sammendrag, retningslinjer, leverandørdokumentasjon). Revisjoner på stedet inngår ikke med mindre dette er avtalt i et enterprise-bestillingsskjema, og vil være underlagt konfidensialitet, avgrensning av omfang og refusjon av kostnader.

9. Sletting/retur

Innen 30 dager etter oppsigelse eller utløp vil Nevorth slette personopplysninger under sin kontroll, inkludert beslutningshistorikk lagret i Cloudflare D1, med mindre Nevorth er rettslig forpliktet til å oppbevare dem. Resterende kopier i backuper og hos underdatabehandlere kan bestå i opptil 90 dager eller i henhold til underdatabehandlerens oppbevaringssykluser.

Etter skriftlig forespørsel i abonnementsperioden kan Kunden be om sletting av konkrete oppføringer i beslutningshistorikken. Nevorth vil bruke forretningsmessig rimelige anstrengelser for å etterkomme slike forespørsler innen 30 dager.

10. Ansvar

Ansvar etter denne databehandleravtalen er underlagt ansvarsbegrensningen i vilkårene, med mindre annet er avtalt i et enterprise-bestillingsskjema.

Vedlegg 1 — Behandlingsdetaljer

Som angitt i punkt 2 og 3 ovenfor.

Vedlegg 2 — Sikkerhetstiltak (sammendrag)

  • Kryptering under overføring: TLS/HTTPS for ekstern kommunikasjon.
  • Kryptering ved lagring: slik dette tilbys av underdatabehandlere, inkludert Cloudflare D1.
  • Tilgangsbegrensning: administrativ tilgang er begrenset til autorisert personell.
  • Operasjonell logging for feilsøking og drift av tjenesten.
  • Periodiske oppdateringer og patching av konfigurasjoner og avhengigheter der dette er relevant.
  • Avhengighet av sikkerhetskontroller hos underdatabehandlere for hosting- og integrasjonslag (Slack, Make, Cloudflare, OpenAI, Stripe, Webnode).