Skip to content
Dara hjelpesenter home
Dara hjelpesenter home

Databehandleravtale

1 Avtalens parter

1.1 Behandlingsansvarlig:

Kunden som har inngått Tjenesteavtalen. Den personen som har inngått Tjenesteneavtalen på vegne av Kunden anses som kontaktperson.

1.2 Databehandler:

SORIA AS, Adresse: Dronning Eufemias gate 16 0191 OSLO Norge, Organisasjonsnummer: 936462995

Kontaktperson:

Ludvig Støre,

Tittel: Daglig leder,

Telefon: 40612021,

E-mail: l@soriaventures.no

Behandlingsansvarlig og Databehandler omtales enkeltvis som “Part” og i fellesskap som “Partene”.

2 Avtalens bakgrunn og formål

Databehandler har forpliktet seg til å levere tjenestene beskrevet i Vilkår for bruk av Dara (“Tjenesteavtalen”). Utføringen av dette arbeidet innebærer at Databehandler vil Behandle Personopplysninger på vegne av Behandlingsansvarlig.

Som kunde bestemmer Behandlingsansvarlig formålet med Behandlingen av Personopplysningene og hvilke midler som skal benyttes.

Denne databehandleravtalen (“Databehandleravtalen”) fastsetter rammene for Databehandlers Behandling av Personopplysninger på vegne av Behandlingsansvarlig.

Formålet med denne Databehandleravtalen er å:

  • regulere Partenes rettigheter og plikter ved Behandling av Personopplysninger,

  • sikre at kravene i Personopplysningslovgivningen og GDPR etterleves ved gjennomføringen av Tjenesteavtalen, og

  • sikre at Personopplysninger ikke Behandles urettmessig, kommer uberettigede i hende eller Behandles til andre formål enn det som er fastsatt i denne Databehandleravtalen.

Ved motstrid mellom bestemmelsene i denne Databehandleravtaler og andre avtaler mellom Partene, herunder Tjenesteavtalen, skal bestemmelsene i Databehandleravtalen gå foran.

3 Definisjoner

Følgende definisjoner gjelder for denne Databehandleravtalen:

Databehandleravtalen” betyr de bestemmelser som fremgår av denne databehandleravtalen med vedlegg.

Personopplysning” betyr alle typer opplysninger eller informasjon som anses som personopplysninger etter Personvernlovgivningen og GDPR. Dette omfatter, men er ikke begrenset til, de opplysningene som fremgår av Vedlegg 1.

Behandling” (av Personopplysninger) betyr enhver bruk av Personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring.

GDPR” betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (slik den er implementert i norsk rett).

Personvernlovgivning” betyr lov om behandling av personopplysninger av 15. juni 2018 nr. 38 med tilførende forskrift som implementerer GDPR og all annen relevant lovgivning som regulerer partenes behandling av Personopplysninger.

Lov” betyr enhver annen gjeldende lovgivning som Partene er underlagt.

Underdatabehandler” betyr andre databehandlere som Databehandleren bruker til å behandle Personopplysningene.

De registrerte” betyr enhver identifisert eller identifiserbar person som Personopplysningene knytter seg til.

4 Generelt

Partene skal Behandle Personopplysninger i samsvar med Personvernlovgivningen, GDPR og denne Databehandleravtalen.

Databehandler skal utelukkende samle inn, registrere, sammenstille, lagre og på andre måter Behandle Personopplysninger i den utstrekning det er nødvendig for å oppfylle Tjenesteavtalen og Databehandleravtalen.

Behandlingsansvarlig må sikre at det finnes et lovlig grunnlag for Behandlingen av Personopplysningene.

5 Behandlingsansvarliges instruksjonsmyndighet

Databehandler skal kun Behandle Personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig.

Databehandler kan også Behandle Personopplysninger hvis dette kreves i henhold til Lov som Databehandler er underlagt. I så tilfelle skal Databehandler varsle Behandlingsansvarlig om den rettslige forpliktelsen i forkant av Behandlingen, med mindre den aktuelle Loven forbyr at slik informasjon gis av hensyn til allmenn interesse.

Behandlingsansvarliges instrukser til Databehandler er fastsatt av denne Databehandleravtalen med vedlegg.

Vedlegg 1 til Databehandleravtalen beskriver hvilke kategorier Personopplysninger Databehandler kan Behandle og formålet med Behandlingen. Databehandler skal ikke Behandle Personopplysninger til andre formål enn det som fremgår her.

Behandlingsansvarlig kan gi Databehandler etterfølgende instrukser så lenge Databehandler Behandler Personopplysninger på vegne av Behandlingsansvarlig. Slike etterfølgende instrukser skal gis Databehandler skriftlig og må være dokumenterte.

Partene skal umiddelbart varsle hverandre dersom den ene Parten mener at instrukser eller krav fra den andre Parten er i strid med Personvernlovgivningen eller GDPR.

6 Databehandlers plikt å bistå behandlingssansvarlig

Idet det tas hensyn til Behandlingens art og den informasjonen som er tilgjengelig for Databehandler, skal Databehandler bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser i henhold til GDPR artikkel 32 – 36.

Dette innebærer at Databehandler vil måtte kunne bistå i forbindelse med vurdering av personvernkonsekvenser og forhåndsdrøftelser.

7 Personopplysningssikkerhet

Databehandler skal oppfylle de krav til informasjonssikkerhet som følger av Personvernlovgivningen og GDPR, og herunder gjennomføre egnede tekniske og organisatoriske sikkerhetstiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, i tråd med GDPR artikkel 32.

De tekniske og organisatoriske tiltakene som skal gjennomføres er beskrevet i vedlegg 2.

Databehandler skal også bistå Behandlingsansvarlig med å sikre overholdelse av Behandlingsansvarliges forpliktelser hva gjelder tilstrekkelig informasjonssikkerhet i henhold til GDPR artikkel 32.

Databehandler skal etterleve prinsippene om innebygd personvern og dataminimering ved utvikling og drift av tjenesten. Dette innebærer at systemene er utformet slik at mengden Personopplysninger som behandles, begrenses til det som er nødvendig for å levere tjenesten. Funksjoner som ikke krever lagring av Personopplysninger, skal benyttes uten slik lagring der det er mulig. Databehandler skal kontinuerlig vurdere hvordan tekniske og organisatoriske tiltak kan styrke personvernet til de registrerte.

8 Databehandlerens bruk av underdatabehandler

Dersom Databehandler engasjerer en Underdatabehandler til å utføre spesifikke behandlingsaktiviteter på vegne av Behandlingsansvarlig, skal den aktuelle Underdatabehandleren pålegges de samme forpliktelsene som fastsatt i denne Databehandleravtalen gjennom en avtale eller annet rettslig dokument.

Databehandler skal sikre at Underdatabehandler er kjent med Databehandlers avtalemessige og lovmessige forpliktelser og oppfyller disse kravene.

Databehandler skal overfor Behandlingsansvarlig være fullt ut ansvarlig for at Underdatabehandler oppfyller sine forpliktelser.

De Underdatabehandlerne som Databehandler benytter i forbindelse med Tjenesteavtalen fremgår av Vedlegg 3. Behandlingsansvarlig aksepterer at Databehandler benytter disse Underdatabehandlerne.

Behandlingsansvarlig aksepterer at Databehandler benytter andre Underdatabehandlere enn de som er beskrevet i Vedlegg 3. Dersom Databehandler ønsker å benytte seg av nye Underdatabehandlere skal Databehandleren underrette Behandlingsansvarlig om navn og kontaktinformasjon på Underdatabehandlere i forkant. Behandlingsansvarlig har rett til å motsette seg Databehandlers bruk av Underdatabehandlere. Dersom Behandlingsansvarlig motsetter seg bruk av ny Underdatabehandler, skal Behandlingsansvarlig informere Databehandler uten ugrunnet opphold.

9 Databehandlerens overføring av personopplysninger til utlandet

Databehandler kan overføre de Personopplysningene Databehandler behandler på vegne av Behandlingsansvarlig til de land der Databehandler og Underdatabehandlerne driver sin virksomhet og lagre dem der. Disse landene er angitt i Vedlegg 3. Behandlingsansvarlig er kjent med dette og godtar denne overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.

Behandlingsansvarlig godtar at Personopplysningene behandles utenfor Norge. Databehandler skal likevel ikke overføre Personopplysninger til land utenfor EU/EØS-området eller til en internasjonal organisasjon uten etter forutgående skriftlig samtykke fra Behandlingsansvarlig, med mindre EU-kommisjonen har fastslått at landet eller den internasjonale organisasjonen sikrer et tilstrekkelig beskyttelsesnivå.

Dersom Behandlingsansvarlig godtar en slik overføring av Personopplysninger til et land utenfor EU/EØS-området eller til en internasjonal organisasjon, skal Databehandler sørge for at overføringen skjer i tråd med reglene i GDPR kapittel V.

Databehandleren forplikter seg også til å vurdere beskyttelsesnivået i det tredjelandet eller de tredjeland som personopplysninger skal overføres til, og sørge for at det iverksettes supplerende tiltak av tekniske, organisatoriske eller kontraktsmessige tiltak for å sikre et i hovedsak tilsvarende beskyttelsesnivå som i EU/EØS.

10 Håndtering av De registrertes rettigheter

Behandlingsansvarlig skal være kontaktpunkt for De registrerte og gi nødvendig informasjon om Behandlingen.

Behandlingsansvarlig er ansvarlig for håndteringen av De registrertes anmodninger om innsyn, retting, sletting, begrensning, dataportabilitet mv., samt å sikre at slike anmodninger imøtekommes.

Databehandler skal, idet det tas hensyn til Behandlingens art og i den grad det er mulig ved hjelp av egnede tekniske og organisatoriske tiltak, bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å svare på anmodninger som De registrerte inngir med henblikk på å utøve sine rettigheter fastsatt i GDPR kapittel III.

Dersom Databehandler mottar en forespørsel fra Den registrerte, skal Databehandler snarest mulig varsle Behandlingsansvarlig.

11 Avvikshåndtering og varsling

Enhver bruk av informasjonssystemer i strid med Databehandlers fastlagte rutiner, Behandlingsansvarliges instrukser, Personvernlovgivningen eller GDPR, samt ethvert annet sikkerhetsbrudd, skal håndteres som et avvik.

Partene skal etablere og opprettholde rutiner og systematiske tiltak for oppfølging av avvik, herunder tiltak for gjenoppretting av normaltilstand, fjerning av årsaken til avviket og hindre gjentakelse.

Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold og senest innen 36 timer, informere hverandre om eventuelle sikkerhetsbrudd og umiddelbart iverksette alle nødvendige og hensiktsmessige tiltak for å gjenopprette normaltilstand.

Behandlingsansvarlig er ansvarlig for å sende avviksmelding til Datatilsynet og De registrerte i henhold til GDPR artikkel 33 og 34. Databehandler skal, om nødvendig, bistå Behandlingsansvarlig med å sikre at GDPR artikkel 33 og 34 overholdes.

12 Revisjon og inspeksjon

Databehandler skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise overholdelse av Databehandlers forpliktelser i henhold til Personvernlovgivningen, GDPR og denne Databehandleravtalen.

Databehandler skal muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen inspektør på fullmakt fra Behandlingsansvarlig, av Databehandlers overholdelse av GDPR, Personvernlovgivningen og denne Databehandleravtalen. Behandlingsansvarlig har rett til å gjennomføre slike revisjoner på egen kostnad, maksimalt én gang i året med fire ukers forhåndsvarsel.

13 Konfidensialitet og taushetsplikt

Databehandler har taushetsplikt om de Personopplysninger og den dokumentasjon som Databehandler får tilgang til gjennom Databehandleravtalen. Taushetsplikten gjelder også etter Databehandleravtalens opphør.

Databehandler skal ikke utlevere eller gi tilgang til Personopplysningene til andre enn egne ansatte, Underdatabehandlere eller til ansatte hos Behandlingsansvarlig, uten at dette er avtalt skriftlig med Behandlingsansvarlig eller følger av lov, forskrift eller vedtak av offentlig myndighet.

Databehandler skal sikre at personer som er autorisert til å Behandle Personopplysningene, har forpliktet seg til å Behandle opplysningene konfidensielt i form av en konfidensialitetsavtale eller er underlagt en egnet lovfestet taushetsplikt.

14 Avtalens varighet

Avtalen gjelder så lenge Databehandler behandler Personopplysninger på vegne av Behandlingsansvarlig.

15 Opphør

Når Databehandleravtalen opphører skal Databehandler levere tilbake alle Personopplysninger som omfattes av Databehandleravtalen i et format som er egnet for videre Behandling hos Behandlingsansvarlig eller en tredjepart som Behandlingsansvarlig utpeker.

Behandlingsansvarlig kan alternativt kreve at Personopplysningene slettes og/eller destrueres i samsvar med Behandlingsansvarliges skriftlige instruks.

Partene avtaler nærmere hvordan overføring, eller sletting og/eller destruering konkret skal skje.

Databehandleren skal skriftlig dokumentere at sletting og/eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter Databehandleravtalen opphører.

Unntak gjelder dersom Personvernlovgivningen, GDPR eller Lov krever at Personopplysningene skal oppbevares videre.

Databehandler er kun ansvarlig for tap som skyldes Databehandlers egne feil eller forsømmelser ved Behandling av Personopplysninger i strid med denne Databehandleravtalen eller gjeldende Personvernlovgivning. Databehandler kan ikke holdes ansvarlig for indirekte tap, herunder tapt fortjeneste, tap av data eller andre følgeskader, med mindre tapet skyldes forsett eller grov uaktsomhet. Behandlingsansvarlig er ansvarlig for at Personopplysningene behandles lovlig, og Databehandler kan ikke holdes ansvarlig for tap som skyldes mangelfulle eller uriktige instruksjoner fra Behandlingsansvarlig, eller Behandlingsansvarliges manglende grunnlag for Behandlingen.

16 Lovvalg og verneting

Avtalen er underlagt norsk rett. Partene vedtar Oslo tingrett som verneting. 

Vedlegg til avtalen

Vedlegg 1 Beskrivelse av personopplysningene og formålet med behandlingen

Vedlegg 2 Tekniske og organisatoriske tiltak for informasjonssikkerhet

Vedlegg 3 Oversikt over Databehandlers Underdatabehandlere

Vedlegg 1: Beskrivelse av personopplysningene og formålet med behandlingen

Behandlingen omfatter personopplysninger knyttet til brukere av tjenesten Dara, herunder navn, e-postadresse, kontoinformasjon, brukergenererte notater, og tekniske metadata som tidspunkt, enhetsinformasjon og IP-adresse. Videre kan behandlingen omfatte personopplysninger om møtedeltakere i både fysiske og digitale møter når brukeren aktiverer transkribering, inkludert lydopptak, transkripsjoner og innhold omtalt i møter. Dette kan gjelde ansatte, kunder, leverandører, kandidater, studenter, privatpersoner og andre tredjeparter som nevnes i lydopptak, transkripsjoner eller brukergenerert materiale.

Lydopptak som behandles for transkribering, lagres kun midlertidig og slettes automatisk umiddelbart etter at transkripsjonen er generert. Databehandler lagrer ikke lydfiler utover dette og behandler kun tekstlig transkripsjon.

I tillegg kan behandlingen omfatte personopplysninger som fremkommer i dokumenter, tekst, utdrag eller annet materiale som brukeren selv velger å laste opp eller legge inn i tjenesten. Dette innebærer også at særlige kategorier av personopplysninger etter GDPR art. 9 kan fremkomme som en konsekvens av brukerens handlinger. Soria foretar ingen klassifisering eller egen behandling av sensitive opplysninger utover det som følger av brukerens instruksjon.

Formålet med behandlingen er å muliggjøre transkribering av møter, lagring av møteinnhold, generering av oppsummeringer, analyser og støttefunksjoner basert på brukerens forespørsler, samt å sikre drift, feilretting, sikkerhet og leveranse av Dara som tjeneste. Personopplysningene behandles utelukkende for å levere de funksjonene som følger av Tjenesteavtalen og den behandlingsansvarliges instruksjoner, herunder å gi brukere tilgang til sin møtedokumentasjon, organisering av notater og mapper, deling av innhold med kollegaer og bruk av funksjonen “Spør Dara” for å hente ut informasjon fra tidligere møter. Ingen opplysninger behandles til egne formål hos databehandler.

Ved bruk av AI-funksjonalitet genereres analyser, forslag, oppsummeringer og samtaler basert på inngitt møteinnhold og forespørsler. Svarene er maskinelt generert og kan inneholde unøyaktigheter. Databehandler er ikke ansvarlig for beslutninger Behandlingsansvarlig treffer på bakgrunn av AI-genererte resultater, og Behandlingsansvarlig er ansvarlig for å kvalitetssikre innholdet før videre bruk.

Vedlegg 2: Beskrivelse av tekniske og organisatoriske sikkerhetstiltak

Behandlingen av personopplysninger skal gjennomføres med et sikkerhetsnivå som står i forhold til behandlingens art, omfang, formål og risikoen for de registrertes rettigheter og friheter. Databehandler skal sikre personopplysninger gjennom både tekniske og organisatoriske tiltak som til enhver tid oppfyller kravene i GDPR artikkel 32.

Dette innebærer blant annet bruk av kryptering ved både lagring og overføring av data, segmentert infrastruktur for å redusere risiko for uautorisert tilgang, og tilgangsstyring basert på prinsippet om minste privilegium. Kun autoriserte personer hos Databehandler skal ha tilgang til personopplysninger, og all tilgang skal være rollebassert og loggført. Det skal foreligge mekanismer for kontinuerlig logging av relevante systemhendelser, detektering av uvanlig aktivitet og regelmessig gjennomgang av tilgangsrettigheter.

Databehandler skal sørge for at alle systemer hvor personopplysninger lagres, sikres mot uautorisert innsyn, endring, sletting eller annen skade. Dette inkluderer sikring av servermiljøer, kontroll av leverandører, tiltak for beskyttelse mot ondsinnet programvare, og rutiner for sikkerhetskopiering og gjenoppretting. Personopplysninger skal ikke lagres lenger enn nødvendig og skal slettes på en måte som hindrer gjenoppretting etter sletting.

Databehandler skal videre ha etablerte rutiner for risikovurdering, hendelseshåndtering og intern opplæring av ansatte som kan få tilgang til personopplysninger. Ved overføring av personopplysninger, herunder mellom systemer eller til underleverandører, skal det benyttes sikre overføringsmekanismer og tilstrekkelige garantier. Dersom pseudonymisering kan redusere risikoen for de registrerte, skal dette benyttes der det er relevant.

Databehandler plikter å sørge for at sikkerhetstiltakene kontinuerlig vurderes og oppdateres for å opprettholde et sikkerhetsnivå som står i forhold til den teknologiske utviklingen og trusselbildet.

I tillegg skal Databehandler opprettholde tilstrekkelig sporbarhet i alle systemer som behandler Personopplysninger. Dette omfatter logging av tilgangsforsøk, endringer i systemkonfigurasjon og relevante systemhendelser knyttet til Behandling av Personopplysninger. Tilgang til slike logger skal være strengt begrenset og kun tilgjengelig for autorisert personell. Databehandler skal regelmessig gjennomgå tilgangsrettigheter og sikre at prinsippet om minste privilegium etterleves.

Vedlegg 3: Oversikt over Databehandlers underdatabehandlere

Supabase https://supabase.com
Benyttes for drift av database, lagring av transkripsjoner og systemadministrasjon.

AWS (Amazon Web Services – Stockholm Region) https://aws.amazon.com
Benyttes av Supabase for lagring og databaseserver (primært Postgres) i EU/EØS.

Anthropic (Claude) https://www.anthropic.com
Benyttes for språklige AI-funksjoner som oppsummeringer, analyse og samtale med møtenotater. Overføring av data skjer kun når brukeren aktiverer AI-funksjonalitet.

ElevenLabshttps://www.elevenlabs.io
Benyttes til sanntids tale-til-tekst-funksjonalitet (opptak/transkripsjon). Lyddata behandles midlertidig og slettes automatisk etter transkribering.

Stripe https://stripe.com
Benyttes til betalingshåndtering, abonnementer og fakturering.

Microsoft / Google https://microsoft.com / https://google.com
Benyttes for e-post, kalender, intern administrasjon og kundekommunikasjon.

Sentry https://sentry.io
Benyttes for teknisk feilsporing, logging av systemfeil og overvåking av stabilitet. Sentry behandler kun pseudonymiserte tekniske logger og mottar ikke innhold fra møter eller transkripsjoner.



Powered by Plain