Databehandleravtale

Versjon 2026-06-27 · utkast til juridisk gjennomgang

Utkast. Avtalen beskriver hvordan Sentiqa faktisk er bygget og driftes, men er ikke ferdig juridisk gjennomgått. Den er et solid utgangspunkt — ikke en erstatning for juridisk rådgivning. Endelig, bindende versjon godkjennes før kommersiell lansering.

1. Parter og bakgrunn

Denne databehandleravtalen («Avtalen») inngås mellom R-G Invest AS, org.nr 937 861 621 («Databehandleren»), og kunden som tar i bruk Sentiqa («Behandlingsansvarlig»). Avtalen regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med leveransen av tjenesten Sentiqa, og utfyller partenes øvrige avtale om bruk av tjenesten.

Ved motstrid om behandling av personopplysninger går Avtalen foran øvrige avtaler mellom partene. Avtalen oppfyller kravene i personvernforordningen (GDPR) artikkel 28.

2. Formål og omfang

Databehandleren behandler personopplysninger utelukkende for å levere Sentiqa: innlogging og tilgangsstyring, innlesing og analyse av Behandlingsansvarliges egne drifts- og salgsrapporter, AI-genererte innsikter, samt drift, support og fakturering. Behandlingens art, formål, varighet, kategorier av registrerte og personopplysninger er nærmere beskrevet i Vedlegg A.

3. Behandlingsansvarliges instrukser

Databehandleren skal kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, slik de fremgår av Avtalen og bruken av tjenesten. Databehandleren varsler Behandlingsansvarlig dersom en instruks etter Databehandlerens syn er i strid med personvernregelverket. Behandlingsansvarlig er ansvarlig for at det foreligger gyldig behandlingsgrunnlag for opplysningene som legges inn i tjenesten.

4. Databehandlerens plikter

Behandle personopplysninger kun for de formål som er angitt, og ikke til egne formål.
Sikre at personer med tilgang er underlagt taushetsplikt (punkt 8).
Gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak (punkt 7).
Bistå Behandlingsansvarlig som angitt i punkt 9.
Stille til rådighet informasjon som er nødvendig for å vise at pliktene oppfylles (punkt 11).

5. Kategorier av registrerte og personopplysninger (Vedlegg A)

Registrerte: Behandlingsansvarliges ansatte og brukere (eiere, butikksjefer, kasserere m.fl.).
Personopplysninger: navn, e-postadresse, rolle og firmatilknytning; identifikatorer og navn knyttet til kasserer-/driftsdata i opplastede rapporter; PIN-innlogging der dette er aktivert; innloggings- og tilgangslogger.
Særlige kategorier: tjenesten er ikke ment for behandling av særlige kategorier personopplysninger (GDPR art. 9).

6. Underdatabehandlere (Vedlegg B)

Behandlingsansvarlig gir Databehandleren generell godkjenning til å benytte underdatabehandlere. Databehandleren inngår avtale med hver underdatabehandler som pålegger tilsvarende personvernforpliktelser, og er ansvarlig for deres utførelse. All lagring og behandling skjer i EU/EØS. Gjeldende underdatabehandlere:

Leverandør	Funksjon	Region
Supabase	Database, autentisering og fillagring	EU/EØS
Vercel	Drift og hosting av applikasjonen	EU/EØS
Anthropic	AI-modell for analyse og assistent	Se personvernerklæringen pkt. 5
E-post-/SMS-leverandør	Varsler og innlesing av rapporter på e-post	EU/EØS

Ved planlagte endringer i bruk av underdatabehandlere varsles Behandlingsansvarlig i rimelig tid, slik at det er mulig å motsette seg endringen. Se også personvernerklæringen.

7. Sikkerhet (art. 32)

Tenant-isolasjon: hver kundes data er adskilt fra alle andres på databasenivå (row-level security).
Kryptering av personopplysninger i transport og i ro.
Tilgangsstyring basert på roller, og logg over hvem som har sett hva.
PII-redaksjon i AI-loggføring; AI-en ser kun den enkelte kundens egne data.
Rutiner for testing og evaluering av tiltakenes effektivitet.

8. Konfidensialitet

Databehandleren sikrer at enhver som behandler personopplysninger under Avtalen, er underlagt taushetsplikt om opplysningene. Taushetsplikten består også etter at Avtalen er opphørt.

9. Bistand til Behandlingsansvarlig

Databehandleren bistår, hensyntatt behandlingens art og tilgjengelig informasjon, Behandlingsansvarlig med å oppfylle plikter knyttet til registrertes rettigheter (innsyn, retting, sletting, dataportabilitet m.m.), sikkerhet, melding om brudd, og eventuelle personvernkonsekvensvurderinger (GDPR art. 32–36).

10. Brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten varsler Databehandleren Behandlingsansvarlig uten ugrunnet opphold etter å ha blitt kjent med bruddet, og gir informasjon som gjør Behandlingsansvarlig i stand til å oppfylle egne varslingsplikter overfor Datatilsynet og berørte.

11. Revisjon og dokumentasjon

Databehandleren gjør tilgjengelig informasjon som er nødvendig for å vise at pliktene etter Avtalen oppfylles, og muliggjør og bidrar til revisjoner, herunder inspeksjoner, gjennomført av Behandlingsansvarlig eller en revisor utpekt av denne, på rimelige vilkår.

12. Varighet, opphør og sletting

Avtalen gjelder så lenge Databehandleren behandler personopplysninger på vegne av Behandlingsansvarlig. Ved opphør skal Databehandleren, etter Behandlingsansvarliges valg, tilbakeføre og/eller slette personopplysningene, med mindre lovpålagte oppbevaringskrav er til hinder for dette. Kunder kan be om eksport av egne data og om reell sletting ved avslutning.

13. Overføring til tredjeland

Personopplysninger overføres ikke til land utenfor EU/EØS uten at det foreligger et gyldig overføringsgrunnlag etter GDPR kapittel V.

14. Ansvar

Partenes ansvar for behandling av personopplysninger følger av GDPR og av den øvrige avtalen mellom partene om bruk av Sentiqa.

15. Lovvalg og verneting

Avtalen er underlagt norsk rett. Tvister søkes løst i minnelighet; om nødvendig avgjøres de av norske domstoler.

16. Kontakt

Henvendelser om Avtalen rettes til R-G Invest AS på post@sentiqa.ai.