Databehandleravtale

etter Art. 28 GDPR – mellom den behandlingsansvarlige og AX1S / AIGOY (databehandler)

Dette er en uforpliktende norsk oversettelse. Den bindende, signerbare avtalen er den tyske versjonen («Auftragsverarbeitungsvertrag»); ved avvik har den tyske versjonen forrang. Nedlastingene ovenfor inneholder den tyske originalen.

Behandlingsansvarlig

[Selskap / Navn]
[Gate, nr.]
[Postnummer, by], [Land]
representert ved: [Navn]
«Behandlingsansvarlig»

Databehandler

Thomas Brandt, enkeltpersonforetak
som driver under merkenavnet AX1S / AIGOY
AX1S c/o Clevver, Winterhuder Weg 29
22085 Hamburg, Tyskland
«Databehandler»

§ 1 Gjenstand og varighet

Behandling av personopplysninger utført av databehandleren på vegne av den behandlingsansvarlige i forbindelse med leveringen av AIGOY-plattformen (AI Governance, Risk & Compliance). Varigheten følger hovedavtalen og opphører ved oppsigelsen av denne.

§ 2 Art, omfang og formål

Levering av AIGOY-plattformen og dens moduler (AI-inventar, Risk Management, Policy Management, Compliance Reporting, Board Portal, Training Hub, Whistleblowing) og AI-støttet utarbeidelse av retningslinjer og risikovurderinger ved Compliance CoWorker «Felix» etter firøyneprinsippet. Behandlingen skjer utelukkende for å levere tjenestene og etter den behandlingsansvarliges dokumenterte instrukser.

§ 3 Typer opplysninger og kategorier av registrerte

Typer personopplysninger (typisk):

Stam-/kontaktopplysninger (navn, forretnings-e-post, avdeling, rolle)
Autentiseringsdata (hashet passord, innloggingstidspunkt, økt-token)
Bruks- og loggdata for plattformen (inkl. revisjonsspor)
Opplærings-/kompetansedata (modulfremdrift, sertifikater)
Innholdsdata lagt inn av den behandlingsansvarlige (f.eks. retningslinjer, risikoer, rapporter)

Kategorier av registrerte: den behandlingsansvarliges ansatte, ledere og tillitspersoner, plattformbrukere, og der det er aktuelt tredjeparter hvis data den behandlingsansvarlige legger inn som del av sine compliance-prosesser.

Særlige kategorier (Art. 9 GDPR) inngår ikke i den tiltenkte bruken; inntasting av slike er utelukkende den behandlingsansvarliges ansvar og bør unngås.

§ 4 Databehandlerens plikter

I henhold til Art. 28(3) GDPR forplikter databehandleren seg særlig til å:

kun behandle opplysninger etter den behandlingsansvarliges dokumenterte instrukser (inkl. overføringer til tredjeland, med mindre det er lovpålagt).
sikre at personer som er autorisert til å behandle opplysningene har forpliktet seg til konfidensialitet.
iverksette de tekniske og organisatoriske tiltakene som kreves etter Art. 32 GDPR (Vedlegg 1).
overholde vilkårene for å engasjere ytterligere databehandlere (Art. 28(2) og (4)) (§ 6, Vedlegg 2).
bistå den behandlingsansvarlige med å oppfylle de registrertes rettigheter (Art. 12–23).
bistå den behandlingsansvarlige med plikter etter Art. 32–36 (sikkerhet, varsling om brudd, DPIA).
slette eller tilbakelevere personopplysninger etter at behandlingen er avsluttet, etter den behandlingsansvarliges valg (§ 10).
fremlegge dokumentasjon på etterlevelse og tillate revisjoner (§ 9).

§ 5 Tekniske og organisatoriske tiltak (TOM)

De tekniske og organisatoriske tiltakene i Vedlegg 1 (Art. 32 GDPR) gjelder. Tiltakene kan tilpasses den tekniske utviklingen forutsatt at beskyttelsesnivået ikke reduseres.

§ 6 Underdatabehandlere

Den behandlingsansvarlige gir generell tillatelse for underdatabehandlerne som er oppført i Vedlegg 2. Databehandleren inngår avtaler etter Art. 28 GDPR med disse som pålegger tilsvarende forpliktelser. Endringer varsles på forhånd; den behandlingsansvarlige kan motsette seg dem på vektige personvernrelaterte grunner. For overføringer til tredjeland gjelder passende garantier (standard personvernbestemmelser etter Art. 46(2)(c) GDPR eller EU-U.S. Data Privacy Framework).

§ 7 De registrertes rettigheter

Databehandleren støtter den behandlingsansvarlige i å besvare henvendelser fra registrerte og videresender uten unødig opphold enhver henvendelse som rettes direkte til den.

§ 8 Varsling om brudd på personopplysningssikkerheten

Databehandleren varsler den behandlingsansvarlige uten unødig opphold etter å ha blitt oppmerksom på et brudd på personopplysningssikkerheten, med informasjonen som kreves etter Art. 33 GDPR, slik at den behandlingsansvarlige kan oppfylle sine plikter etter Art. 33, 34 GDPR.

§ 9 Revisjons- og dokumentasjonsrettigheter

Dokumentasjon fremlegges primært gjennom egnet dokumentasjon (f.eks. SOC 2 Type II for den benyttede infrastrukturen, revisjonsrapporter, TOM-dokumentasjon). Der det er nødvendig, muliggjør databehandleren revisjoner med rimelig varsel og uten uforholdsmessig forstyrrelse.

§ 10 Sletting og tilbakelevering

Etter at behandlingen er avsluttet, sletter eller tilbakeleverer databehandleren alle personopplysninger etter den behandlingsansvarliges valg og tilintetgjør kopier, med mindre en lovbestemt oppbevaringsplikt gjelder. Sletting bekreftes på forespørsel.

§ 11 Ansvar

Ansvar reguleres av Art. 82 GDPR og hovedavtalen.

§ 12 Sluttbestemmelser

Endringer krever tekstform. Ved konflikt har personvernbestemmelsene i denne avtalen forrang fremfor hovedavtalen. Tysk rett gjelder.

Sted, dato – Behandlingsansvarlig
Navn / funksjon

Sted, dato – Databehandler (AX1S / AIGOY)
Thomas Brandt

Vedlegg 1 – Tekniske og organisatoriske tiltak (Art. 32 GDPR)

AIGOY er utviklet i Tyskland, hostet i Tyskland og supportert fra Tyskland.

Formål	Tiltak
Konfidensialitet	Kryptering under overføring (TLS 1.2+) og i hvile (AES-256); Row Level Security (RLS); rollebasert tilgang etter minste privilegium.
Integritet	INSERT-only revisjonsspor; firøyne-godkjenningscockpit – enhver skriveoperasjon fra Felix trer i kraft først etter godkjenning.
Tilgjengelighet & robusthet	Regelmessige sikkerhetskopier innenfor EU-regionen; herdet infrastruktur (Supabase / AWS eu-central-1 Frankfurt, SOC 2 Type II).
Datalokasjon	Behandling/lagring i EU (Frankfurt/Tyskland). AI-inferens: ingen trening på dataene; EU-inferens (AWS Bedrock Frankfurt) under forberedelse.
Adskillelse	Logisk tenant-adskillelse (tenant_id) håndhevet via RLS.
Engasjementskontroll	Art. 28-databehandleravtaler med alle underdatabehandlere; SCC/DPF for overføringer til tredjeland.

Vedlegg 2 – Godkjente underdatabehandlere

Underdatabehandler	Lokasjon	Tjeneste / formål	Merknad
IONOS SE	Montabaur, Tyskland 🇩🇪	Webhosting	Art. 28-databehandleravtale
Supabase Inc.	AWS eu-central-1, Frankfurt 🇩🇪 (EU)	Backend, database, autentisering, Edge Functions	Art. 28-databehandleravtale; SOC 2 Type II
Anthropic PBC	USA 🇺🇸	AI-tjeneste (Claude-modell) for analyser / CoWorker Felix	Ingen trening på data; SCC + EU-U.S. DPF; Art. 28-databehandleravtale
Stripe Payments Europe, Ltd.	Dublin, Irland 🇮🇪 (EU)	Betalingsbehandling	Kun Business-/Enterprise-planer

Sist oppdatert: mai 2026. Denne malen er et utgangspunkt og utgjør ikke juridisk rådgivning. Tilpass den til det konkrete tilfellet og få den juridisk gjennomgått før bruk. En oppdatert liste over underdatabehandlere er publisert på Tillit & Sikkerhet-siden.