← Tilbake til forsiden

NorwAI Shield Databehandleravtale

Sist oppdatert: Mars 2026 — I henhold til GDPR artikkel 28

1. Parter

Denne databehandleravtalen («Avtalen») er inngått mellom:

Behandlingsansvarlig («Kunden»):
Organisasjonen som har registrert en bedriftskonto hos NorwAI Shield, som identifisert ved registrering.

Databehandler («Leverandøren»):
NorwAI Shield AS
Organisasjonsnummer: 936 915 698
Trondheim, Norge
E-post: kontakt@norwaishield.no

2. Bakgrunn og formål

Denne Avtalen regulerer Leverandørens behandling av personopplysninger på vegne av Kunden i forbindelse med levering av NorwAI Shield-tjenesten, i henhold til personvernforordningen (GDPR) artikkel 28.

Avtalen er et tillegg til brukervilkårene og personvernerklæringen, og skal leses i sammenheng med disse.

3. Definisjoner

Begreper som benyttes i denne Avtalen har samme betydning som i GDPR artikkel 4, med mindre annet er angitt:

• «Personopplysninger» — Enhver opplysning om en identifisert eller identifiserbar fysisk person som behandles i forbindelse med Tjenesten.
• «Behandling» — Enhver operasjon som gjøres med personopplysninger, herunder innsamling, lagring, bruk og sletting.
• «Registrert» — Den personen personopplysningene gjelder.
• «Avvik» — Brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring eller uautorisert utlevering av personopplysninger.

4. Behandlingens art, formål og varighet

4.1 Formål

Leverandøren behandler personopplysninger utelukkende for å levere NorwAI Shield-tjenesten til Kunden, herunder:

• Mottak og lagring av deteksjonshendelser fra nettleserutvidelsen
• Presentasjon av statistikk og hendelseslogg i dashboard
• Generering av compliance-rapporter
• Utsendelse av varsler via e-post og webhooks (Slack/Teams)
• Brukeradministrasjon og autentisering

4.2 Behandlingens art

Behandlingen omfatter innsamling, lagring, strukturering, bruk, overføring (varsler) og sletting av personopplysninger som beskrevet i punkt 5.

4.3 Varighet

Avtalen gjelder så lenge Kunden har et aktivt abonnement hos Leverandøren. Ved opphør gjelder punkt 14 om sletting og tilbakelevering.

5. Kategorier av personopplysninger og registrerte

5.1 Kategorier av registrerte

• Kundens ansatte og brukere som benytter NorwAI Shield-tjenesten
• Administratorer med tilgang til dashboard

5.2 Kategorier av personopplysninger

Kategori	Eksempler	Særkategori?
Kontaktinformasjon	Navn, e-postadresse	Nei
Autentiseringsdata	Krypterte passord-hasher, sesjonstokens	Nei
Brukeraktivitet	Påloggingstidspunkt, enhetsinformasjon	Nei
Hendelsesmetadata	Type sensitiv data oppdaget, handling utført, plattform, tidspunkt	Nei
Organisasjonsdata	Bedriftsnavn, organisasjonsnummer, innstillinger	Nei

6. Leverandørens forpliktelser

Leverandøren forplikter seg til å:

1. Kun behandle personopplysninger i henhold til Kundens dokumenterte instrukser, som angitt i denne Avtalen og brukervilkårene. Dersom Leverandøren mener en instruks er i strid med GDPR eller annen personvernlovgivning, skal Kunden varsles umiddelbart.
2. Sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt.
3. Treffe alle tiltak som kreves etter GDPR artikkel 32 (sikkerhet ved behandling), jf. punkt 8.
4. Overholde vilkårene for bruk av underleverandører, jf. punkt 9.
5. Bistå Kunden med å oppfylle sine forpliktelser overfor registrerte, jf. punkt 10.
6. Bistå Kunden med å overholde forpliktelsene i GDPR artikkel 32–36 (sikkerhet, avvikshåndtering, vurdering av personvernkonsekvenser).
7. Slette eller tilbakelevere personopplysninger ved Avtalens opphør, jf. punkt 14.
8. Gi Kunden tilgang til all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene i GDPR artikkel 28, og tillate og bidra til revisjoner, jf. punkt 12.

7. Kundens forpliktelser

Kunden som behandlingsansvarlig forplikter seg til å:

1. Sørge for at det foreligger gyldig behandlingsgrunnlag for behandlingen av personopplysninger.
2. Gi Leverandøren dokumenterte instrukser for behandlingen.
3. Informere sine ansatte om bruken av NorwAI Shield og behandlingen av personopplysninger i den forbindelse.
4. Håndtere innsynsbegjæringer og andre henvendelser fra registrerte, med bistand fra Leverandøren ved behov.
5. Vurdere om det er nødvendig å gjennomføre en vurdering av personvernkonsekvenser (DPIA) for bruken av Tjenesten.

8. Sikkerhetstiltak

Leverandøren har implementert følgende tekniske og organisatoriske tiltak for å sikre et passende sikkerhetsnivå i henhold til GDPR artikkel 32:

8.1 Tekniske tiltak

• Kryptering i transitt: All kommunikasjon mellom utvidelsen, dashboard og servere skjer over HTTPS/TLS 1.2+
• Kryptering ved lagring: Database kryptert med AES-256. Backups kryptert
• Lokal prosessering: Sensitiv datadeteksjon skjer utelukkende i brukerens nettleser — ingen sensitiv data overføres til servere
• API-nøkler: Lagres som enveis krypterte hasher (SHA-256). Klartekst-nøkler vises kun ved opprettelse
• Autentisering: JWT-basert med automatisk token-fornyelse. Maksimalt 5 samtidige sesjoner per bruker
• Tilgangskontroll: Rollebasert tilgangskontroll (RBAC) med rollene eier, administrator og medlem
• Nettverkssikkerhet: Row Level Security (RLS) i database. API-ruter validerer autorisasjon

8.2 Organisatoriske tiltak

• Prinsippet om minste privilegium for all tilgang til produksjonssystemer
• Regelmessig sikkerhetsgjennomgang av kode og infrastruktur
• Logging av administrativ tilgang og endringer
• Oppdaterte avhengigheter og sikkerhetsoppdateringer

9. Underleverandører (underdatabehandlere)

9.1 Godkjente underleverandører

Kunden gir herved en generell skriftlig forhåndsgodkjenning til bruk av underleverandører, jf. GDPR artikkel 28 nr. 2. Følgende underleverandører benyttes per dato for denne Avtalen:

Leverandør	Formål	Lokasjon	Overføringsgrunnlag
Supabase Inc.	Database, autentisering, serverløse funksjoner	EU (Frankfurt, Tyskland)	Data forblir i EU
Stripe Inc.	Betalingsbehandling	EU/USA	EU Standard Contractual Clauses (SCC)
Vercel Inc.	Hosting av dashboard-applikasjon	EU-region	Data forblir i EU

9.2 Endring av underleverandører

Leverandøren skal varsle Kunden minst 30 dager før nye underleverandører tas i bruk eller eksisterende erstattes. Kunden kan protestere mot endringen innen 14 dager etter mottatt varsel. Dersom Kunden protesterer og partene ikke kommer til enighet, kan Kunden si opp Avtalen med virkning fra den dato den nye underleverandøren tas i bruk.

9.3 Underleverandøravtaler

Leverandøren skal pålegge sine underleverandører de samme forpliktelsene vedrørende personvern og sikkerhet som følger av denne Avtalen. Leverandøren er fullt ansvarlig overfor Kunden for underleverandørens oppfyllelse.

10. Bistand til registrertes rettigheter

Leverandøren skal, tatt i betraktning behandlingens art, bistå Kunden med å oppfylle sin plikt til å svare på henvendelser fra registrerte om utøvelse av deres rettigheter etter GDPR kapittel III, herunder:

• Innsyn (art. 15): Leverandøren gir Kunden tilgang til å eksportere brukerdata via dashboard
• Retting (art. 16): Kunden kan oppdatere brukerinformasjon direkte i dashboard
• Sletting (art. 17): Kunden kan slette brukere og tilhørende data. Leverandøren bistår ved forespørsel om fullstendig sletting
• Dataportabilitet (art. 20): Hendelsesdata kan eksporteres i CSV-format fra dashboard

Leverandøren svarer på slike henvendelser fra Kunden uten ugrunnet opphold og senest innen 10 virkedager.

11. Avvikshåndtering

11.1 Varslingsplikt

Leverandøren skal uten ugrunnet opphold, og senest innen 24 timer etter å ha blitt kjent med det, varsle Kunden om ethvert brudd på sikkerheten (avvik) som berører personopplysninger behandlet på vegne av Kunden.

11.2 Varselet skal inneholde

• Beskrivelse av avvikets art, herunder kategorier og omtrentlig antall berørte registrerte og personopplysninger
• Navn og kontaktinformasjon til Leverandørens kontaktperson
• Beskrivelse av sannsynlige konsekvenser av avviket
• Beskrivelse av tiltak som er truffet eller foreslått for å håndtere avviket og begrense mulige negative virkninger

11.3 Bistand

Leverandøren skal bistå Kunden med å oppfylle sin meldeplikt til Datatilsynet (GDPR art. 33) og eventuell underretningsplikt til registrerte (GDPR art. 34).

12. Revisjon og innsyn

Kunden, eller en uavhengig tredjepart utpekt av Kunden, har rett til å gjennomføre revisjoner for å verifisere at Leverandøren overholder sine forpliktelser etter denne Avtalen og GDPR.

• Revisjon skal varsles minst 30 dager i forveien
• Revisjon gjennomføres i normal arbeidstid og skal ikke urimelig forstyrre Leverandørens drift
• Kunden bærer egne kostnader ved revisjon
• Leverandøren kan tilby en uavhengig tredjepartsrevisjon som alternativ, og resultatene deles med Kunden

Leverandøren skal på forespørsel gi Kunden dokumentasjon på gjennomførte sikkerhetstiltak og eventuelt sertifiseringer.

13. Overføring til tredjeland

Personopplysninger skal som hovedregel behandles og lagres innenfor EU/EØS. Dersom overføring til land utenfor EU/EØS er nødvendig (f.eks. gjennom underleverandører), skal dette kun skje i henhold til GDPR kapittel V, basert på:

• EU-kommisjonens adekvathetsbeslutning for mottakerlandet, eller
• EU Standard Contractual Clauses (SCC) i henhold til GDPR artikkel 46 nr. 2 bokstav c, supplert med tilleggstiltak der nødvendig

Per dato for denne Avtalen lagres all primærdata i EU (Frankfurt, Tyskland). Stripe benytter SCC for eventuell behandling i USA.

14. Sletting og tilbakelevering

14.1 Ved Avtalens opphør

Ved opphør av kundeforholdet skal Leverandøren, etter Kundens valg:

1. Tilbakelevere alle personopplysninger til Kunden i et maskinlesbart format (CSV/JSON), eller
2. Slette alle personopplysninger og bekrefte slettingen skriftlig

Kunden må gi instruks om valget innen 30 dager etter Avtalens opphør. Dersom ingen instruks mottas, slettes alle personopplysninger automatisk innen 60 dager.

14.2 Unntak

Leverandøren kan beholde personopplysninger i den utstrekning det er påkrevd etter gjeldende lovgivning (f.eks. bokføringsloven). Slike opplysninger skal fortsatt behandles i samsvar med denne Avtalen og GDPR.

14.3 Oppbevaringstider under avtaleforholdet

Datakategori	Oppbevaringstid
Kontoinformasjon	Så lenge kontoen er aktiv + 30 dager etter sletting
Hendelsesdata	Iht. Kundens plan (7 dager – ubegrenset)
Serverlogger	Maks 90 dager
Regnskapsdata	5 år (bokføringsloven)

15. Erstatning og ansvar

Leverandørens erstatningsansvar under denne Avtalen følger ansvarsbegrensningen i brukervilkårene, med mindre strengere ansvar følger av ufravikelig lovgivning.

Dersom en registrert lider skade som følge av en overtredelse av GDPR, er Leverandøren ansvarlig for skaden i den utstrekning GDPR artikkel 82 bestemmer.

16. Varighet og oppsigelse

Denne Avtalen trer i kraft når Kunden aktiverer et betalt abonnement, og gjelder så lenge Leverandøren behandler personopplysninger på vegne av Kunden. Bestemmelsene om sletting (punkt 14), taushetsplikt og ansvar gjelder også etter Avtalens opphør.

17. Endringer

Leverandøren kan oppdatere denne Avtalen for å reflektere endringer i lovgivning, underleverandører eller tjenesten. Vesentlige endringer varsles minst 30 dager i forveien. Kundens fortsatte bruk av Tjenesten etter at endringene har trådt i kraft, utgjør aksept. Dersom Kunden ikke godtar endringene, kan Kunden si opp i henhold til brukervilkårene.

18. Lovvalg og verneting

Denne Avtalen er underlagt norsk lov. Tvister som oppstår i forbindelse med Avtalen skal søkes løst i minnelighet. Dersom dette ikke lykkes, avgjøres tvisten av Trondheim tingrett som eksklusivt verneting.

19. Kontakt

Henvendelser vedrørende denne Avtalen rettes til:

NorwAI Shield AS
Organisasjonsnummer: 936 915 698
Trondheim, Norge
E-post: kontakt@norwaishield.no
Nettside: www.norwaishield.no