Databehandleravtale

Avtale om behandling av personopplysninger (GDPR art. 28)

Sist oppdatert: Versjon 2026-05-11

1. Partene

Denne databehandleravtalen ("Avtalen") inngås mellom Driftselv (Ingun Nerlie ENK, org.nr 880 123 912, Bråtaberga 41, 3614 Kongsberg) som databehandler, og kunden hvis organisasjon er registrert ved bruk av Driftselv-tjenesten, heretter kalt behandlingsansvarlig.

2. Definisjoner

Begreper benyttet i Avtalen har samme betydning som i Personvernforordningen (EU) 2016/679 ("GDPR") art. 4.

3. Formål, varighet og opphør

Avtalen regulerer Driftselvs behandling av personopplysninger på vegne av behandlingsansvarlig som ledd i levering av Driftselv-tjenestene. Avtalen gjelder så lenge Driftselv behandler personopplysninger for kunden, og opphører når kundens abonnement avsluttes og data er slettet i samsvar med pkt. 11.

4. Behandlingens art og kategorier registrerte

Driftselv behandler følgende kategorier opplysninger:

  • Ansatte: navn, e-post, rolle, læringsfremdrift
  • Phishing-resultater: klikk- og svar-data per ansatt (auto-anonymiseres etter 90 dager)
  • M365-telemetri: data fra kundens tenant via Microsoft Graph (kun lest, aldri skrevet)
  • Microsoft 365-handlinger: foreslåtte endringer, godkjenninger, Graph request-ID-er, før-/ettertilstand, feilmeldinger og recovery-notater
  • AI-chat: chatmeldinger og nødvendig kontekst prosesseres hos AI-underleverandør for å generere svar; Driftselv lagrer normalt aggregerte tellere, ikke meldingsinnhold
  • Faktureringsdata: kontaktinfo, betalingsmetoder via Stripe

4.1 Dokumentert instruks for Microsoft 365-handlinger

For Microsoft 365-handlinger er kundens dokumenterte instruks den konkrete handlingen kunden godkjenner i Driftselv, inkludert valgt organisasjon, bruker, gruppe, lisens, policy eller annet Microsoft-objekt, samt den viste dry-run og risikoteksten. Driftselv skal ikke utføre Microsoft Graph-skrivekall uten en slik registrert godkjenning, med mindre det følger av en egen skriftlig avtale om support eller hendelseshåndtering.

Driftselv kan lagre ettertilstand og tekniske bevis for handlingen, inkludert Microsoft Graph request-ID, klient-request-ID, tidspunkt, administrator, resultat, feilmelding og gjenopprettingsnotat. Dette er nødvendig for å dokumentere instruksen, bistå kunden ved feil og vise etterlevelse.

5. Driftselvs forpliktelser (art. 28(3))

  • Behandle personopplysninger kun etter dokumentert instruks fra behandlingsansvarlig
  • Sikre konfidensialitet for personell med tilgang til opplysningene
  • Iverksette egnede tekniske og organisatoriske tiltak (jf. art. 32)
  • Bistå behandlingsansvarlig i å oppfylle plikter mot registrerte (art. 12-22)
  • Bistå med sikkerhetsbrudd-håndtering, DPIA-er og forhåndsdrøftinger (art. 32-36)
  • Slette eller tilbakelevere data ved opphør (jf. pkt. 11)
  • Stille til rådighet all informasjon nødvendig for å påvise etterlevelse

6. Sikkerhetstiltak (art. 32)

  • Kryptering i transit (TLS 1.2+) og at-rest (AES-256 hos Supabase)
  • Tilgangskontroll via Postgres Row-Level Security
  • Multi-faktor autentisering på all administrativ tilgang
  • Daglig backup hos Supabase med point-in-time-recovery
  • Audit-logging av all administrativ aksjon
  • Separat Microsoft app-registrering for write-handlinger, adskilt fra read-only helsesjekk
  • Feature flags og intern allowlist før Microsoft 365-handlinger gjøres tilgjengelig for kunder

7. Underdatabehandlere

Behandlingsansvarlig forhåndsgodkjenner generelt bruk av underdatabehandlere listet på /underleverandorer. Driftselv gir minst 30 dagers varsel via e-post til behandlingsansvarliges administrator før ny underdatabehandler tas i bruk. Behandlingsansvarlig kan innen 30 dager reservere seg, hvilket gir rett til terminering med pro-rata refusjon.

8. Tredjelands-overføringer

Underdatabehandlerne Anthropic, Resend, Stripe og Vercel kan behandle data i USA eller globalt. Overføringer ut av EØS skjer på grunnlag av EUs Standard Contractual Clauses (SCC), modul to (prosessor til ekstern prosessor), der dette kreves, inkorporert ved referanse til underdatabehandlernes egne databehandleravtaler.

9. Bistand til behandlingsansvarlig

  • Innsyn (art. 15): automatisert via /admin/personvern
  • Retting (art. 16): selvbetjent i /admin/ansatte
  • Sletting (art. 17): automatisert via /admin/personvern
  • Portabilitet (art. 20): automatisert (JSON-eksport)

9.1 Kundens ansvar ved ansattdata og kontrolltiltak

Kunden er ansvarlig for å vurdere om bruk av Driftselv-funksjoner overfor ansatte innebærer kontrolltiltak, overvåking eller annen behandling som krever særskilt informasjon, drøfting, protokollføring, interesseavveiing eller vurdering av personvernkonsekvenser. Driftselv kan tilby maler og teknisk dokumentasjon, men kunden må selv beslutte lovlig grunnlag og interne rutiner.

Microsoft 365-handlinger omfatter ikke innsyn i e-postinnhold eller private filer som standard. Hvis kunden ber om en tjeneste som krever slikt innsyn, skal dette håndteres som et særskilt oppdrag med egen prosedyre, avgrensning og dokumentert instruks.

10. Brudds-varsling

Driftselv varsler behandlingsansvarlig uten ugrunnet opphold, og senest innen 72 timer, etter at Driftselv blir kjent med et brudd på personopplysningssikkerheten som gjelder behandlingsansvarliges data.

11. Sletting og tilbakelevering ved opphør

Ved abonnement-slutt kanselleres datatilgang umiddelbart. Eksport av all data er tilgjengelig i 90 dager ("grace-perioden"). Etter 90 dager slettes alle identifiserbare data permanent, med unntak av audit-logger som anonymiseres og oppbevares i 3 år av compliance-hensyn, og Microsoft 365-handlingsbevis som anonymiseres og oppbevares i inntil 2 år.

12. Revisjonsrett

Behandlingsansvarlig kan én gang per år be om revisjons-rapport. Driftselv leverer egen-attestasjon basert på sikkerhetstiltak nevnt i pkt. 6, eller ekstern revisjons-rapport hvis slik er innhentet.

13. Mislighold og ansvar

Hver part er ansvarlig for eget mislighold. Driftselvs samlede ansvar i ett kalenderår er begrenset til kundens betalte avgifter for samme år.

14. Lovvalg og verneting

Norsk rett. Verneting: Oslo tingrett.

15. Endringer

Driftselv kan endre Avtalen med 30 dagers varsel. Vesentlige endringer krever ny aksept fra behandlingsansvarliges administrator.

Kontakt

Personvernspørsmål: personvern@driftselv.no
Sikkerhetshenvendelser: sikkerhet@driftselv.no