Ring mellom  09:00 - 20:00
contact@nevorth.com
+47 405 49 133
no

Databehandleravtale (DPA)


Versjon: 1.0

Ikrafttredelsesdato: 13. februar 2026

Denne databehandleravtalen («DPA») utgjør en del av Nevorths SaaS-vilkår og gjelder der Nevorth behandler personopplysninger på vegne av Kunden.

1. Roller

Kunden er behandlingsansvarlig («Controller»).

Nevorth er databehandler («Processor»).

2. Gjenstand; varighet; art og formål

Nevorth behandler personopplysninger for å levere tjenesten Decision Referee, herunder å (i) motta beslutningsinnspill via Slack, (ii) generere AI-assisterte svar, (iii) drifte integrasjoner (Cloudflare Worker og Make-scenarier), samt (iv) yte support og ivareta sikkerhet. Behandlingen varer i avtaleperioden og i en begrenset periode etter opphør som er nødvendig for sletting og/eller sykluser for sikkerhetskopier (backup).

3. Typer personopplysninger og registrerte

Registrerte: Kundens ansatte (Autoriserte brukere) og andre personer hvis identifikatorer kan fremkomme i Slack-metadata.

Typiske kategorier personopplysninger:

  • Identifikatorer for Slack workspace, bruker og kanal; meldingsmetadata; tidsstempler

  • Beslutningsinnspill (tekst) kan utilsiktet inneholde personopplysninger, til tross for Kundens forbud mot slik innsending

  • Nevorth har ikke til hensikt å behandle særlige kategorier personopplysninger (sensitive data); Kunden skal ikke sende inn slik informasjon

4. Databehandlers forpliktelser

Nevorth skal:

  • behandle personopplysninger kun etter dokumenterte instrukser fra Kunden (slik de fremgår av Vilkårene og denne DPA);

  • sikre at personell er underlagt konfidensialitetsforpliktelser;

  • implementere rimelige sikkerhetstiltak (se Vedlegg 2);

  • bistå Kunden med håndtering av registrertes rettighetskrav i den utstrekning det er relevant og teknisk gjennomførbart;

  • bistå Kunden med DPIA-er (personvernkonsekvensvurderinger) og eventuell forhåndsdrøfting med tilsynsmyndighet der dette kreves, i den utstrekning Tjenesten er involvert;

  • varsle Kunden uten ugrunnet opphold etter at Nevorth blir kjent med et brudd på personopplysningssikkerheten som berører Kundedata;

  • ved avtalens opphør slette eller returnere personopplysninger under Nevorths kontroll som beskrevet i punkt 9.

5. Underdatabehandlere

5.1 Generell autorisasjon. Kunden gir Nevorth generell autorisasjon til å benytte underdatabehandlere.

5.2 Liste og endringer. Gjeldende underdatabehandlere er listet på https://www.nevorth.com/subprocessors. Nevorth vil varsle om vesentlige endringer ved å oppdatere listen og, der det er rimelig, ved e-post til Kundens varslingsadresse.

5.3 Videreføring av forpliktelser. Nevorth skal pålegge underdatabehandlere personvernforpliktelser som i all hovedsak tilsvarer denne DPA.

6. Overføring til land utenfor EØS

Kunden erkjenner at underdatabehandlere kan behandle data utenfor EØS. Der dette kreves, vil overføringer skje med egnede overføringsgrunnlag og nødvendige garantier (for eksempel EUs standard personvernbestemmelser (SCC)) slik dette er implementert av den aktuelle underdatabehandleren og/eller Nevorth.

7. Sikkerhet

Sikkerhetstiltak er beskrevet i Vedlegg 2. Kunden er innforstått med at Tjenesten bygger på tredjepartsplattformer og deres sikkerhetskontroller.

8. Revisjon og kontroll

Etter skriftlig forespørsel, ikke mer enn én gang per år, skal Nevorth gi rimelig informasjon som dokumenterer etterlevelse (for eksempel skriftlige sammendrag, policyer og leverandørdokumentasjon). Revisjon på stedet inngår ikke med mindre dette avtales i et enterprise-Ordreskjema, og vil i så fall være underlagt taushetsplikt, avgrenset omfang og dekning av Nevorths kostnader.

9. Sletting/tilbakelevering

Innen 30 dager etter oppsigelse/utløp skal Nevorth slette personopplysninger under Nevorths kontroll, med mindre Nevorth er rettslig forpliktet til å lagre dem. Restkopier i sikkerhetskopier og i underdatabehandleres systemer kan vedvare i inntil 90 dager eller i tråd med underdatabehandlers lagrings-/backupsykluser.

10. Ansvar

Ansvar etter denne DPA er underlagt ansvarsbegrensningene i Vilkårene, med mindre annet er avtalt i et enterprise-Ordreskjema.

Vedlegg 1 — Behandlingsdetaljer

Som angitt i punkt 2–3 ovenfor.

Vedlegg 2 — Sikkerhetstiltak (oppsummering)

  • Kryptering under overføring: TLS/HTTPS for ekstern kommunikasjon

  • Tilgangsbegrensning: Administrativ tilgang begrenses til autorisert personell

  • Driftslogging: Logging for feilsøking og drift av tjenesten

  • Periodiske oppdateringer/patching: Oppdatering av konfigurasjoner og avhengigheter der relevant

  • Avhengighet av underdatabehandlers sikkerhetskontroller for hosting-/integrasjonslag (Slack, Make, Cloudflare, OpenAI, Stripe, Webnode)