Databehandleravtale
Mellom
[Behandlingsansvarliges firmanavn], org.nr. [oppgis ved aksept]
(«Behandlingsansvarlig»)
og
CWV Ventures AS, org.nr. 925 948 136, Myrullvegen 8, 6422 Molde, representert ved daglig leder Carl-Wilhelm Vedvik
(«Databehandler»)
(samlet kalt «Partene»)
1. Bakgrunn og avtalens omfang
1.1 Bakgrunn. Behandlingsansvarlig har inngått en abonnementsavtale med Databehandler om bruk av tjenesten Regnskapsagent (heretter «Tjenesten»), som er en hostet integrasjon som lar AI-assistenter aksessere Behandlingsansvarliges data i Tripletex via Model Context Protocol (MCP). Tjenesten leveres gjennom regnskapsagent.no.
1.2 Formål med Avtalen. Denne databehandleravtalen («Avtalen») regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig, og oppfyller kravene i personvernforordningen (forordning (EU) 2016/679, «GDPR») artikkel 28.
1.3 Hva Avtalen omfatter. Avtalen regulerer all behandling av personopplysninger som Databehandler utfører på vegne av Behandlingsansvarlig i forbindelse med leveransen av Tjenesten. Avtalen omfatter ikke:
(a) Behandlingsansvarliges Tripletex-konto, som reguleres av et selvstendig avtaleforhold mellom Behandlingsansvarlig og Tripletex AS,
(b) Behandlingsansvarliges valgte AI-klient (eksempelvis Claude Desktop, Claude Code, Cursor eller annen MCP-kompatibel klient), inkludert den underliggende AI-leverandøren, som reguleres av selvstendige avtaleforhold mellom Behandlingsansvarlig og leverandøren av AI-klienten/AI-tjenesten, og
(c) Personopplysninger som Databehandler behandler som selvstendig behandlingsansvarlig, herunder kontoinformasjon for Behandlingsansvarliges egne brukere (e-post, navn), faktureringsdata og driftslogger som Databehandler oppbevarer for sikkerhets- og forretningsformål. Slik behandling reguleres av Databehandlerens personvernerklæring.
1.4 Forrang. Ved motstrid mellom Avtalen og hovedavtalen om Tjenesten, går Avtalen foran for spørsmål om personvern.
2. Definisjoner
Begreper som brukes i Avtalen har samme betydning som i GDPR. I tillegg gjelder:
- Tjenesten: Regnskapsagent, som beskrevet i punkt 1.1.
- MCP: Model Context Protocol, en åpen standard for kommunikasjon mellom AI-klienter og dataleverandører.
- Tripletex-token: Employee-token som Behandlingsansvarlig genererer i sin Tripletex-konto, og som autoriserer Databehandler til å aksessere Tripletex-API-et på Behandlingsansvarliges vegne.
- Underbehandler: Tredjepart som Databehandler engasjerer til å behandle personopplysninger på Databehandlerens vegne i forbindelse med leveransen av Tjenesten.
3. Behandlingens formål, art og varighet
3.1 Behandlingens formål, art, type personopplysninger, kategorier av registrerte og varighet er angitt i Bilag A.
3.2 Behandlingens grunnleggende karakter. Tjenesten formidler API-kall fra Behandlingsansvarliges valgte AI-klient til Tripletex-API-et og tilbake. Personopplysninger som passerer gjennom Tjenesten lagres ikke utover det som er nødvendig for å utføre det enkelte API-kallet, med unntak av (a) Behandlingsansvarliges Tripletex-token, som lagres kryptert for å muliggjøre autentisering ved fremtidige kall, og (b) driftslogger som beskrevet i Bilag A.
4. Roller og ansvar
4.1 Behandlingsansvarlig. Behandlingsansvarlig bestemmer formålet med og midlene for behandlingen av personopplysninger som behandles via Tjenesten, og har det overordnede ansvaret for at behandlingen har et gyldig rettslig grunnlag etter GDPR artikkel 6 og eventuelt artikkel 9.
4.2 Databehandler. Databehandler skal kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig. Avtalen og Behandlingsansvarliges bruk av Tjenesten utgjør slike instrukser.
4.3 Forhold til Tripletex og AI-klient. Behandlingsansvarlig bekrefter at:
(a) Behandlingsansvarlig har et selvstendig avtaleforhold med Tripletex AS, og at Tripletex-tokenet som overleveres til Databehandler er gyldig utstedt under dette,
(b) Behandlingsansvarlig er selvstendig ansvarlig for valg, konfigurasjon og bruk av MCP-klient og tilhørende AI-leverandør, herunder for at det foreligger nødvendig rettslig grunnlag for AI-leverandørens behandling av personopplysninger som overføres fra Tjenesten til AI-klienten, og
(c) Tripletex AS og leverandøren av Behandlingsansvarliges AI-klient er ikke Databehandlerens underbehandlere.
5. Behandlingsansvarliges plikter
5.1 Behandlingsansvarlig skal:
(a) sikre at det foreligger gyldig rettslig grunnlag for behandlingen,
(b) utstede Tripletex-tokens med minst mulig nødvendig tilgang for det formålet som forfølges (prinsippet om dataminimering, GDPR artikkel 5(1)(c)),
(c) sørge for at Tripletex-tokens som ikke lenger er i bruk, tilbakekalles i Tripletex,
(d) informere de registrerte om behandlingen som finner sted i Tjenesten i tråd med GDPR artikkel 13 og 14,
(e) ikke bruke Tjenesten til behandling av særlige kategorier av personopplysninger etter GDPR artikkel 9 uten at dette er skriftlig avklart med Databehandler på forhånd, og
(f) vurdere behovet for vurdering av personvernkonsekvenser (DPIA) etter GDPR artikkel 35.
6. Databehandlerens plikter
6.1 Instruksfølge. Databehandler skal kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, jf. GDPR artikkel 28(3)(a). Hvis Databehandler mener at en instruks bryter med GDPR eller annen personvernlovgivning, skal Databehandler umiddelbart underrette Behandlingsansvarlig.
6.2 Konfidensialitet. Databehandler skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, jf. GDPR artikkel 28(3)(b).
6.3 Sikkerhet. Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå tilpasset risikoen, jf. GDPR artikkel 32. De konkrete tiltakene fremgår av Bilag B.
6.4 Bistand til Behandlingsansvarlig. Databehandler skal bistå Behandlingsansvarlig som angitt i punkt 9, og bistå med å oppfylle plikter etter GDPR artikkel 32–36 så langt det er praktisk mulig.
6.5 Varsling om brudd. Databehandler skal varsle Behandlingsansvarlig om brudd på personopplysningssikkerheten som angitt i punkt 10.
6.6 Bevis og revisjon. Databehandler skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å vise at forpliktelsene etter GDPR artikkel 28 og denne Avtalen oppfylles, og legge til rette for og bidra til revisjoner som angitt i punkt 11.
6.7 Egen bruk. Databehandler skal ikke benytte personopplysninger som behandles for Behandlingsansvarlig til egne formål, eller utlevere disse til tredjepart, med unntak av (a) underbehandlere som angitt i punkt 7, og (b) tilfeller hvor utlevering kreves etter EU-rett eller medlemsstats nasjonale rett, hvor Databehandler skal underrette Behandlingsansvarlig før behandlingen finner sted med mindre slik underretning er forbudt etter loven.
7. Bruk av underbehandlere
7.1 Generell godkjenning. Behandlingsansvarlig gir Databehandler generell skriftlig forhåndsgodkjenning til å bruke underbehandlere, jf. GDPR artikkel 28(2). Underbehandlere som er godkjent ved Avtalens inngåelse, fremgår av Bilag C.
7.2 Endring av underbehandlere. Ved planlagt endring eller tillegg av underbehandlere skal Databehandler varsle Behandlingsansvarlig minst 30 dager før endringen iverksettes. Behandlingsansvarlig kan innen 14 dager fra varselet protestere skriftlig på endringen. Dersom protest ikke kan løses gjennom dialog, har Behandlingsansvarlig rett til å si opp Avtalen og hovedavtalen om Tjenesten med virkning fra det tidspunkt underbehandlerendringen trer i kraft, uten videre forpliktelser ut over allerede påløpte abonnementsavgifter.
7.3 Krav til underbehandlere. Databehandler skal pålegge enhver underbehandler de samme personvernforpliktelser som Databehandler selv har etter Avtalen, gjennom skriftlig avtale, jf. GDPR artikkel 28(4). Databehandler er fullt ansvarlig overfor Behandlingsansvarlig for at underbehandleren oppfyller sine forpliktelser.
8. Overføring til tredjeland
8.1 Hovedregel. Behandling av personopplysninger skjer som hovedregel innenfor EU/EØS.
8.2 Overføring til tredjeland. Hvor en underbehandler eller tjeneste innebærer overføring av personopplysninger til land utenfor EU/EØS, skal slik overføring kun finne sted dersom det foreligger et gyldig overføringsgrunnlag etter GDPR kapittel V, herunder (a) beslutning om tilstrekkelig beskyttelsesnivå (artikkel 45), eller (b) EU-kommisjonens standard kontraktsbestemmelser («SCC») (artikkel 46(2)(c)), supplert med eventuelle nødvendige tilleggstiltak etter EDPB Recommendations 01/2020.
8.3 Dokumentasjon. Databehandler skal på forespørsel fra Behandlingsansvarlig dokumentere overføringsgrunnlaget for hver enkelt underbehandler etablert utenfor EU/EØS.
9. Bistand til Behandlingsansvarlig
9.1 De registrertes rettigheter. Databehandler skal, i den grad det er mulig, bistå Behandlingsansvarlig med å besvare henvendelser fra registrerte om utøvelse av deres rettigheter etter GDPR kapittel III, herunder rett til innsyn, retting, sletting, dataportabilitet, begrensning og innsigelse.
9.2 Henvendelser fra registrerte. Henvendelser fra registrerte som mottas direkte av Databehandler, skal videreformidles til Behandlingsansvarlig uten ugrunnet opphold. Databehandler skal ikke besvare slike henvendelser på selvstendig grunnlag uten forutgående instruks fra Behandlingsansvarlig.
9.3 Vederlag. Bistand som krever betydelig arbeidsinnsats utover det som er nevnt i punkt 9.1 (f.eks. bistand ved DPIA, tilsynsmyndighetstilsyn eller komplekse innsynsbegjæringer), kan faktureres etter Databehandlerens til enhver tid gjeldende timesatser. Behandlingsansvarlig skal informeres om forventet omfang før arbeidet igangsettes.
10. Varsling om brudd på personopplysningssikkerheten
10.1 Varslingsplikt. Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold, og senest innen 48 timer, etter å ha blitt kjent med et brudd på personopplysningssikkerheten som påvirker personopplysninger som behandles på vegne av Behandlingsansvarlig.
10.2 Innhold i varselet. Varselet skal i den grad informasjonen er tilgjengelig inneholde:
(a) beskrivelse av bruddets art, herunder kategorier og omtrentlig antall berørte registrerte og personopplysninger,
(b) navn og kontaktopplysninger til personvernombud eller annet kontaktpunkt,
(c) beskrivelse av sannsynlige konsekvenser av bruddet, og
(d) beskrivelse av tiltak som er truffet eller foreslås truffet for å håndtere bruddet, herunder tiltak for å begrense skadevirkninger.
10.3 Etterfølgende informasjon. Hvis det ikke er mulig å gi all informasjon samtidig, kan opplysningene gis trinnvis uten ugrunnet opphold.
10.4 Bistand ved varsling. Databehandler skal bistå Behandlingsansvarlig med å oppfylle plikten til å varsle tilsynsmyndighet etter GDPR artikkel 33 og registrerte etter GDPR artikkel 34.
11. Revisjon og kontroll
11.1 Dokumentasjon. Databehandler skal én gang i året, og ellers ved skriftlig forespørsel, gjøre tilgjengelig dokumentasjon på at sikkerhetstiltakene i Bilag B er gjennomført. Dokumentasjonen kan bestå av (a) egenerklæring fra Databehandler, (b) sertifiseringer (f.eks. ISO 27001) eller revisjonsrapporter fra Databehandlerens underbehandlere (f.eks. SOC 2 Type II), eller (c) resultater fra penetrasjonstester eller sikkerhetsrevisjoner.
11.2 Revisjonsrett. Behandlingsansvarlig har rett til å gjennomføre revisjon, herunder inspeksjon, av Databehandlerens behandling av personopplysninger, eller å la dette utføres av en uavhengig tredjepart underlagt taushetsplikt. Revisjon kan foretas inntil én gang i året, med minst 30 dagers skriftlig varsel, og skal gjennomføres på en måte som ikke unødvendig forstyrrer Databehandlerens drift.
11.3 Kostnader. Hver part dekker sine egne kostnader knyttet til revisjon. Hvis revisjonen avdekker vesentlig mislighold fra Databehandlerens side, dekker Databehandler likevel rimelige kostnader Behandlingsansvarlig har hatt til revisjonen.
11.4 Tilsynsmyndighet. Databehandler skal samarbeide med tilsynsmyndigheter (Datatilsynet) i utøvelsen av deres oppgaver, og skal underrette Behandlingsansvarlig om eventuelle henvendelser fra tilsynsmyndighet som gjelder Behandlingsansvarliges personopplysninger.
12. Konfidensialitet
12.1 Databehandler og enhver person som handler under Databehandlerens myndighet, har taushetsplikt om all informasjon de får tilgang til som ledd i utførelsen av Avtalen, herunder personopplysninger og forretningssensitiv informasjon. Taushetsplikten gjelder også etter Avtalens opphør.
12.2 Databehandler skal sikre at ansatte og andre som behandler personopplysninger på Databehandlerens vegne, har signert konfidensialitetserklæring eller er underlagt tilsvarende lovbestemt taushetsplikt.
13. Ansvar og erstatning
13.1 Erstatningsansvar. Hver part er ansvarlig for skade voldt ved brudd på Avtalen i samsvar med alminnelige erstatningsrettslige regler og GDPR artikkel 82.
13.2 Ansvarsbegrensning. Databehandlerens samlede erstatningsansvar overfor Behandlingsansvarlig under denne Avtalen er begrenset til et beløp tilsvarende tolv (12) månedsabonnementer betalt av Behandlingsansvarlig i de tolv (12) månedene forut for det skadevoldende forholdet.
13.3 Unntak fra ansvarsbegrensning. Ansvarsbegrensningen i punkt 13.2 gjelder ikke for skade voldt ved forsett eller grov uaktsomhet, eller for ansvar som ikke kan begrenses etter ufravikelig lovgivning, herunder bot eller overtredelsesgebyr ilagt av tilsynsmyndighet i samsvar med GDPR artikkel 83 hvor Databehandler er solidarisk ansvarlig.
13.4 Indirekte tap. Ingen av Partene er ansvarlig for indirekte tap, herunder tap av fortjeneste, tap av forventet besparelse, tap av data eller tap av omdømme, med mindre tapet skyldes forsett eller grov uaktsomhet.
13.5 Regress. Hvis en part dekker erstatning eller bot som etter sin art skulle vært dekket av den annen part, har vedkommende rett til regress.
14. Avtalens varighet og opphør
14.1 Inngåelse og ikrafttredelse. Avtalen inngås elektronisk i Tjenestens brukergrensesnitt. Ved første tilkobling av en Tripletex-konto bekrefter Behandlingsansvarlig (a) firmanavn og organisasjonsnummer, (b) at den fysiske personen som aksepterer Avtalen har myndighet til å forplikte Behandlingsansvarlig, og (c) at Avtalen i sin helhet er lest og godtatt. Aksept registreres med tidspunkt, IP-adresse, brukeragent og dokumentversjon, og utgjør «skriftlig form» i henhold til GDPR artikkel 28(9). Avtalen trer i kraft ved aksept og gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.
14.2 Fysisk signering. Dersom Behandlingsansvarlig krever fysisk eller kvalifisert elektronisk signering (f.eks. for offentlig sektor eller etter intern policy), gjøres dette tilgjengelig på forespørsel til carl@cwv.no. Det signerte eksemplaret erstatter da elektronisk aksept i sin helhet.
14.3 Opphør. Avtalen opphører automatisk ved opphør av hovedavtalen om Tjenesten. Behandlingsansvarlig kan dessuten si opp Avtalen med umiddelbar virkning ved Databehandlerens vesentlige mislighold som ikke er rettet innen 30 dager fra skriftlig varsel.
14.4 Sletting eller tilbakelevering ved opphør. Etter Avtalens opphør skal Databehandler, etter Behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger som behandles på Behandlingsansvarliges vegne, og slette eksisterende kopier, med mindre EU-rett eller nasjonal rett krever fortsatt lagring:
(a) Tripletex-tokens slettes umiddelbart ved oppsigelse,
(b) driftslogger slettes etter den retensjonstid som er angitt i Bilag A, og
(c) sikkerhetskopier slettes etter Databehandlerens ordinære rotasjonsperiode (maksimalt 35 dager etter Avtalens opphør).
14.5 Bekreftelse. Databehandler skal på skriftlig forespørsel bekrefte at sletting er gjennomført.
15. Endringer
15.1 Vesentlige endringer. Vesentlige endringer i Avtalen som svekker beskyttelsen av de registrerte eller endrer Behandlingsansvarliges rettigheter, krever ny aksept fra Behandlingsansvarlig. Slik aksept innhentes elektronisk i Tjenesten ved neste innlogging og blokkerer videre bruk av Tjenesten inntil aksept er registrert. Behandlingsansvarlig som ikke ønsker å akseptere de nye vilkårene, har rett til å si opp Avtalen og hovedavtalen om Tjenesten med umiddelbar virkning, uten videre forpliktelser ut over allerede påløpte abonnementsavgifter.
15.2 Mindre endringer. Databehandler kan ensidig oppdatere språklige presiseringer, Bilag B (sikkerhetstiltak) og Bilag C (underbehandlere) dersom oppdateringen ikke svekker beskyttelsesnivået. Behandlingsansvarlig informeres skriftlig minst 30 dager før endringen iverksettes. Endring av underbehandlere følger prosedyren i punkt 7.2.
15.3 Versjonering. Hver versjon av Avtalen identifiseres med versjonsnummer og ikrafttredelsesdato. Behandlingsansvarlig kan til enhver tid laste ned signert kopi av sin gjeldende versjon fra dashbordet (/dashboard/settings).
15.4 Lovpålagte endringer. Hvis endringer i lovgivning eller veiledning fra Datatilsynet eller EDPB nødvendiggjør endringer i Avtalen, skal Partene i god tro forhandle frem nødvendige tilpasninger.
16. Lovvalg og verneting
16.1 Avtalen er underlagt norsk rett.
16.2 Tvister som måtte oppstå i forbindelse med Avtalen, skal søkes løst i minnelighet. Hvis tvist ikke kan løses i minnelighet, skal den avgjøres ved de ordinære norske domstoler med Møre og Romsdal tingrett som verneting i første instans.
17. Underskrift
17.1 Elektronisk inngåelse (hovedregel). Avtalen er inngått elektronisk i tråd med § 14.1. Følgende informasjon er registrert ved aksept og inngår som integrert del av Avtalen:
- Behandlingsansvarliges firmanavn og organisasjonsnummer
- Navn og e-postadresse til den fysiske personen som aksepterte Avtalen
- Tidspunkt for aksept (UTC)
- IP-adresse og brukeragent
- Dokumentversjon
Behandlingsansvarlig kan laste ned personalisert kopi av Avtalen med ovenstående informasjon innfelt fra /dashboard/settings.
17.2 Fysisk inngåelse (alternativ). Ved fysisk eller kvalifisert elektronisk signering (jf. § 14.2) gjøres Avtalen tilgjengelig som PDF for signering på begge sider ved henvendelse til carl@cwv.no.
Bilag A: Behandlingens innhold
A.1 Formål med behandlingen. Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig for følgende formål: å formidle API-kall mellom Behandlingsansvarliges valgte AI-klient og Tripletex-API-et, å autentisere Behandlingsansvarliges AI-klient mot Tjenesten, å autentisere Tjenesten mot Tripletex-API-et på Behandlingsansvarliges vegne, og å føre driftslogger for sikkerhets-, feilsøkings- og kapasitetsformål.
A.2 Behandlingens art. Lagring (av krypterte tokens), transmisjon, momentan dekryptering for autentisering, og strukturert overføring av API-anropsmetadata til driftslogg.
A.3 Type personopplysninger.
Direkte fra Behandlingsansvarlig til Databehandler:
- Tripletex employee-token (regnes som personopplysning når det knyttes til navngitt ansatt)
- Eventuell selskapsetikett eller intern referanse satt av Behandlingsansvarlig
Som passerer gjennom Tjenesten ved API-kall:
Avhengig av hvilke verktøykall AI-klienten utfører kan dette omfatte data om Behandlingsansvarliges ansatte (navn, e-post, ansattnummer, timeregistreringer), Behandlingsansvarliges kunder og leverandører (navn, kontaktinformasjon, organisasjonsnummer, fakturahistorikk), og personer nevnt i regnskapsdata (fakturaer, bilag, prosjektnotater). Databehandler oppbevarer ikke slike personopplysninger ut over det som er nødvendig for å utføre det enkelte API-kallet.
Driftslogger oppbevart av Databehandler:
- connection_id (peker til Behandlingsansvarliges konto)
- verktøynavn (f.eks. «create_invoice», «search_customers»)
- HTTP-statuskode
- tidspunkt
- klient-IP
Driftslogger inneholder ikke innholdsdata fra API-kallene.
A.4 Kategorier av registrerte.
- Behandlingsansvarliges ansatte og medarbeidere
- Behandlingsansvarliges kunder, herunder eventuelle kontaktpersoner
- Behandlingsansvarliges leverandører, herunder eventuelle kontaktpersoner
- Andre personer som er omtalt i Behandlingsansvarliges regnskapsdata i Tripletex
A.5 Særlige kategorier. Tjenesten er ikke designet for og skal ikke benyttes til behandling av særlige kategorier av personopplysninger etter GDPR artikkel 9, eller personopplysninger om straffedommer og lovovertredelser etter GDPR artikkel 10.
A.6 Varighet og retensjon. Behandlingen pågår så lenge Avtalen er i kraft.
| Kategori | Retensjonstid |
|---|---|
| Tripletex-tokens (kryptert) | Til tokenet slettes av Behandlingsansvarlig eller Avtalen opphører |
| Innholdsdata fra API-kall | Behandles momentant, lagres ikke |
| Driftslogger | 90 dager |
| Sikkerhetskopier | Maksimalt 35 dager |
Bilag B: Tekniske og organisatoriske sikkerhetstiltak
B.1 Kryptering. Tripletex-tokens og annen sensitiv autentiseringsinformasjon krypteres i ro med AES-256-GCM. Krypteringsnøkler oppbevares i miljøvariabler isolert fra databasen og er kun tilgjengelig for Tjenestens prosesser ved kjøring. All kommunikasjon mellom AI-klient, Tjenesten, underbehandlere og Tripletex-API-et skjer over TLS 1.2 eller nyere.
B.2 Tilgangskontroll. Behandlingsansvarliges autentisering mot Tjenesten skjer via individuelle kontoer i Supabase Auth med passord eller magisk lenke. Autentisering mot MCP-endepunktet skjer via unik API-nøkkel pr. tilkobling. Hver Behandlingsansvarliges data er logisk isolert i databasen via Row Level Security (RLS). API-nøkler er kryptografisk tilfeldige (32-byte) og unike pr. tilkobling. Tripletex-sesjonstokens caches isolert pr. tenant.
B.3 Administrativ tilgang. Administrativ tilgang til produksjonsmiljøer er begrenset til Databehandlerens autoriserte personell, gitt etter prinsippet om tjenstlig behov, og logges. To-faktor-autentisering er pålagt for alle administrative kontoer.
B.4 Autentisering mot Tripletex.Sesjonstokens fra Tripletex caches kun i minnet på serveren og roteres etter Tripletex' utløpsregler. Tripletex consumer-token oppbevares som miljøvariabel, eksponeres aldri til klienter, og logges aldri.
B.5 Logging og overvåking. Driftslogger fanger metadata om API-kall (verktøynavn, statuskode, tidspunkt, IP) men ikke innholdsdata. Logger overvåkes for unormal aktivitet. Logger oppbevares som angitt i Bilag A.
B.6 Inntrengningsbeskyttelse. Tjenesten har rate-limiting pr. API-nøkkel (60 requests/minutt) for å motvirke misbruk. Stripe-webhooks valideres med signatur. All input valideres før behandling.
B.7 Sikkerhetskopier. Sikkerhetskopier av databasen håndteres av Supabase i henhold til deres standardrutiner, kryptert i ro, og roterer etter maksimalt 35 dager.
B.8 Fysisk sikkerhet. Fysisk sikkerhet ivaretas av Databehandlerens hostingunderbehandlere (Vercel, Supabase) som er sertifisert etter relevante standarder (ref. Bilag C).
B.9 Personell. Alle med tilgang til personopplysninger har signert konfidensialitetserklæring. Personell som behandler personopplysninger gjennomgår jevnlig opplæring i personvern og informasjonssikkerhet.
B.10 Hendelseshåndtering. Databehandler har skriftlige rutiner for håndtering av sikkerhetshendelser, herunder oppdagelse, klassifisering, varsling, begrensning og oppfølging. Rutinene gjennomgås minst årlig.
B.11 Endringshåndtering. Endringer i produksjonsmiljøet gjennomgås, testes og dokumenteres før utrulling. Kritiske sikkerhetsoppdateringer prioriteres.
B.12 Sårbarhetshåndtering. Databehandler følger med på sårbarheter i programvare og biblioteker som benyttes i Tjenesten, og oppdaterer disse i tråd med risiko.
B.13 Disaster recovery. Tjenesten benytter underbehandlere med høy oppetid og geografisk redundans (ref. Bilag C).
Bilag C: Underbehandlere
Følgende underbehandlere er godkjent ved Avtalens inngåelse:
C.1 Vercel Inc.
- Formål: Hosting av webapplikasjon, MCP-endepunkt og API-tjenester
- Personopplysninger: All data som passerer gjennom Tjenestens kjøretidsmiljø
- Lokasjon: Webapplikasjon og MCP-endepunkt deployes til EU/EØS-region (Frankfurt). Edge-funksjoner kan i begrensede tilfeller kjøres globalt; ingen Tripletex-tokens eller innholdsdata fra API-kall behandles i edge-funksjoner.
- Overføringsgrunnlag tredjeland: EU-kommisjonens standard kontraktsbestemmelser (DPA tilgjengelig på vercel.com)
- Sertifiseringer: SOC 2 Type II, ISO 27001
- Selskapsinformasjon: Vercel Inc., Delaware, USA
C.2 Supabase Inc.
- Formål: Database (PostgreSQL), autentisering, lagring av krypterte tokens og kontodata
- Personopplysninger: Brukerkontoer, krypterte Tripletex-tokens, abonnementsstatus, driftslogger
- Lokasjon: EU/EØS-region (Frankfurt eller Stockholm)
- Overføringsgrunnlag tredjeland: EU-kommisjonens standard kontraktsbestemmelser ved support eller backup-replisering
- Sertifiseringer: SOC 2 Type II
- Selskapsinformasjon: Supabase Inc., Delaware, USA
C.3 Stripe Payments Europe Ltd.
- Formål: Behandling av abonnementsbetaling
- Personopplysninger: Navn, e-post, faktureringsadresse for Behandlingsansvarliges kontaktperson. Kortdata behandles direkte mellom Behandlingsansvarlig og Stripe og passerer ikke gjennom Tjenesten.
- Lokasjon: EU (Irland)
- Overføringsgrunnlag tredjeland: EU-kommisjonens standard kontraktsbestemmelser
- Sertifiseringer: PCI DSS Level 1, SOC 1, SOC 2
- Selskapsinformasjon: Stripe Payments Europe Ltd., Dublin, Irland
C.4 Resend
- Formål: Levering av transaksjonelle e-poster (bekreftelser, varsler, sikkerhetsinformasjon)
- Personopplysninger: E-postadresse, navn og innhold i transaksjonelle meldinger
- Lokasjon: EU/EØS for europeiske kunder
- Overføringsgrunnlag tredjeland: EU-kommisjonens standard kontraktsbestemmelser
- Sertifiseringer: SOC 2 Type II
- Selskapsinformasjon: Resend, Inc., Delaware, USA
Kontakt
CWV Ventures AS
Carl-Wilhelm Vedvik, daglig leder
E-post: carl@cwv.no
Adresse: Myrullvegen 8, Molde
Org.nr.: 925 948 136