Databehandleravtale

Time Updated:

18. november 2025

Databehandleravtale (DPA)

Sist oppdatert: 18. november 2025
Mellom: Kunde (Behandlingsansvarlig) og Opisense AS (Databehandler)
Organisasjonsnummer: 936 578 195

Avtale om behandling av personopplysninger i henhold til GDPR Artikkel 28

1. Avtalens formål og omfang

1.1 Formål

Denne databehandleravtalen ("DPA") regulerer Opisense AS' ("Databehandler") behandling av personopplysninger på vegne av Kunde ("Behandlingsansvarlig") i forbindelse med levering av Opisense-plattformen ("Tjenesten").

1.2 Avtalens gyldighet

Denne DPA trer i kraft når Kunde registrerer seg for Tjenesten og gjelder så lenge Opisense behandler personopplysninger på vegne av Kunde.

1.3 Rettslig grunnlag

DPA er utarbeidet i samsvar med:

  • Europaparlaments- og rådsforordning (EU) 2016/679 (GDPR)

  • Personopplysningsloven (Norge)

  • Datatilsynets retningslinjer

1.4 Prioritetsrekkefølge

Ved konflikt mellom dokumenter gjelder følgende rekkefølge:

  1. Denne databehandleravtalen (DPA)

  2. Brukervilkår

  3. Personvernerklæring

2. Definisjoner

I denne avtalen betyr:

  • Personopplysninger: Informasjon som kan identifisere en fysisk person

  • Behandling: Enhver operasjon utført på personopplysninger

  • Behandlingsansvarlig: Kunde som bestemmer formål og midler for behandlingen

  • Databehandler: Opisense som behandler personopplysninger på vegne av Kunde

  • Underbehandler: Tredjeparts-leverandør som Opisense engasjerer for behandling

  • Registrerte: Fysiske personer hvis personopplysninger behandles (f.eks. Kundes ansatte/brukere)

  • Datatilsynet: Norsk tilsynsmyndighet (Datatilsynet)

  • EØS: Det europeiske økonomiske samarbeidsområdet

3. Behandlingens art, formål og varighet

3.1 Behandlingens art

Opisense behandler personopplysninger ved å:

  • Motta voice-data (lydopptak) fra Kundes brukere

  • Transkripsjon av voice-data til tekst ved hjelp av AI

  • Lagring av voice-data og transkripsjon

  • Automatisk ruting og analyse av innhold

  • Generering av metadata (tidsstempler, bruker-ID, etc.)

3.2 Behandlingens formål

Personopplysningene behandles utelukkende for:

  • Å levere Tjenesten i henhold til Kundens instruksjoner

  • Teknisk drift og vedlikehold av Plattformen

  • Sikkerhet og feilsøking

  • Overholdelse av lovpålagte forpliktelser

3.3 Varighet

Behandlingen varer fra registreringsdato til 30 dager etter avslutning av kundeforholdet, med mindre loven krever lengre lagring.

3.4 Kategorier av registrerte

  • Kundens ansatte

  • Kundens kontraktører

  • Kundens kunder (dersom Kunde velger å behandle deres data)

  • Kundens administrative brukere

4. Typer personopplysninger

4.1 Kategorier av personopplysninger

Opisense kan behandle følgende typer personopplysninger avhengig av Kundens bruk:

Identifikasjonsdata:

  • Navn

  • E-postadresse

  • Telefonnummer

  • Bruker-ID

  • IP-adresse

Voice-data:

  • Lydopptak av Kundens brukere

  • Transkripsjon av lydopptak

  • Språkidentifikasjon

  • Stemmekarakteristikker (for kvalitetssikring)

Tekniske data:

  • Logg-data (tidsstempler, handlinger)

  • Enhets-informasjon

  • Nettleser-informasjon

  • API-forespørsler

Innholdsdata:

  • Tekst generert fra voice-data

  • Metadata om rapporter/loggføringer

  • Ruting-informasjon

4.2 Sensitive personopplysninger

Opisense behandler IKKE følgende kategorier med mindre Kunde eksplisitt instruerer dette:

  • Rasemessig eller etnisk opprinnelse

  • Politisk oppfatning

  • Religiøs eller filosofisk overbevisning

  • Fagforeningsmedlemskap

  • Genetiske data

  • Biometriske data for identifikasjon

  • Helsedata

  • Data om seksuelle forhold eller legning

VIKTIG: Dersom Kunde instruerer behandling av sensitive personopplysninger, må Kunde sikre at de har lovlig grunnlag og informere Opisense skriftlig.

5. Databehandlers plikter og instruksjoner

5.1 Behandling etter instruksjoner

Opisense skal:

  • Kun behandle personopplysninger i henhold til Kundens dokumenterte instruksjoner

  • Ikke behandle personopplysninger til andre formål enn levert Tjeneste

  • Umiddelbart informere Kunde hvis en instruksjon strider mot GDPR eller norsk lov

5.2 Dokumenterte instruksjoner

Kundens instruksjoner er dokumentert i:

  • Denne DPA

  • Brukervilkår

  • Kundens bruk av Plattformens funksjoner (self-service portal)

  • Skriftlige instruksjoner sendt til contact@opisense.com

5.3 Taushetsplikt

Opisense sikrer at alle ansatte og konsulenter som behandler personopplysninger:

  • Er bundet av konfidensialitet (NDA eller lovpålagt taushetsplikt)

  • Har mottatt nødvendig opplæring i personvern

  • Kun har tilgang til data som er nødvendig for deres arbeid

5.4 Endringer i behandlingen

Vesentlige endringer i måten personopplysninger behandles på vil varsles Kunde minimum 30 dager i forveien.

6. Sikkerhetstiltak

6.1 Tekniske sikkerhetstiltak

Opisense implementerer følgende tekniske tiltak:

Kryptering:

  • TLS 1.3 for data i transitt

  • AES-256 kryptering for data i hvile

  • Krypterte database-tilkoblinger

Tilgangskontroll:

  • Multi-faktor autentisering (MFA) for administrative brukere

  • Rollbasert tilgangskontroll (RBAC)

  • Regelmessig review av tilganger

Nettverkssikkerhet:

  • Firewall og intrusion detection

  • DDoS-beskyttelse

  • Nettverkssegmentering

Logging og overvåking:

  • Sikkerhetslogging av alle tilganger

  • Automatisk varsling ved avvik

  • Log retention i minimum 90 dager

6.2 Organisatoriske sikkerhetstiltak

Personell:

  • Bakgrunnssjekk av ansatte med databehandlingsansvar

  • Regelmessig sikkerhetsopplæring

  • Clear desk / clear screen-policy

Sikkerhetsrutiner:

  • Incident response plan

  • Business continuity plan

  • Regelmessige sikkerhetsrevisjoner

Datalagring:

  • Voice-data lagres i AWS Frankfurt (EU-region)

  • Automatisk sletting av voice-data etter 7 dager (med mindre Kunde velger annet)

  • Backup tas daglig med 30 dagers retention

6.3 Testing og evaluering

Opisense gjennomfører:

  • Årlig penetrasjonstesting av Plattformen

  • Kvartalsvise sårbarhetsscans

  • Kontinuerlig oppdatering av sikkerhetspatcher

7. Underbehandlere (Sub-processorer)

7.1 Autorisasjon

Kunde autoriserer Opisense til å engasjere underbehandlere for å levere Tjenesten.

7.2 Nåværende underbehandlere

Underbehandler

Tjeneste

Lokasjon

Formål

Amazon Web Services (AWS)

Cloud infrastruktur

Frankfurt, Tyskland (EU)

Datalagring og hosting

Elevenlabs

Voice-teknologi

USA (EU-servere)

Voice-transkripsjon og -syntese

Stripe

Betalingsbehandling

USA/EU

Fakturering og betalinger

Clerk

Autentisering

USA/EU

Brukerautentisering og identitetshåndtering

Oppdatert liste: Fullstendig liste over underbehandlere finnes alltid på opisense.com/subprocessors

7.3 Krav til underbehandlere

Opisense sikrer at alle underbehandlere:

  • Er bundet av databehandleravtale med samme krav som denne DPA

  • Implementerer tilstrekkelige tekniske og organisatoriske tiltak

  • Er underlagt regelmessig evaluering

  • Har signert Standard Contractual Clauses (SCC) for overføringer til tredjeland

7.4 Varsel om nye underbehandlere

Opisense vil varsle Kunde minimum 30 dager før nye underbehandlere engasjeres via:

  • E-post til registrert kontakt

  • Oppdatering på opisense.com/subprocessors

7.5 Kundens innsigelsesrett

Kunde kan innsige mot nye underbehandlere innen 14 dager etter varsel hvis de har berettigede personvernhensyn. Ved innsigelse vil Opisense:

  • Forsøke å finne en alternativ løsning

  • Dersom dette ikke er mulig, kan Kunde si opp avtalen uten kostnad

8. Dataoverføring til tredjeland

8.1 Hovedregel

Personopplysninger lagres primært i AWS Frankfurt (EU). Enkelte underbehandlere (Elevenlabs, Stripe, Clerk) er USA-baserte selskaper som kan involvere overføring til tredjeland.

8.2 Lovlig grunnlag for overføring

Overføring til tredjeland gjøres kun basert på:

  • Standard Contractual Clauses (SCC): EU-godkjente standardavtaler med alle USA-baserte leverandører

  • EU-US Data Privacy Framework: For leverandører sertifisert under denne ordningen

  • Beskyttelsestiltak: Kryptering, tilgangskontroll og auditrettigheter

8.3 Dokumentasjon

Kopi av SCC med underbehandlere er tilgjengelig ved forespørsel til contact@opisense.com.

8.4 Myndighetstilgang

Opisense vil:

  • Motsette seg forespørsler om datatilgang fra utenlandske myndigheter som ikke har hjemmel i EU-lov

  • Umiddelbart informere Kunde dersom vi mottar slike forespørsler (så fremt det er lovlig å gjøre dette)

  • Ikke gi tilgang uten Kundens eller relevant tilsynsmyndighets godkjenning

9. Bistand til behandlingsansvarlig

9.1 Registrertes rettigheter

Opisense vil bistå Kunde med å oppfylle registrertes rettigheter i henhold til GDPR Kapittel III:

Tilgang (Art. 15):

  • Kunde kan eksportere alle sine data via selvbetjeningsportal

  • Forespørsler besvares innen 14 dager

Retting (Art. 16):

  • Kunde kan redigere data direkte i Plattformen

  • Forespørsel om retting håndteres innen 7 dager

Sletting (Art. 17):

  • Kunde kan slette data via selvbetjeningsportal

  • Full sletting utføres innen 30 dager

  • Voice-data slettes automatisk etter 7 dager

Dataportabilitet (Art. 20):

  • Data eksporteres i JSON eller CSV-format

  • Eksport tilgjengelig via selvbetjeningsportal

Innsigelse (Art. 21):

  • Kunde kan stoppe behandling ved å deaktivere funksjoner eller avslutte avtalen

9.2 Konsekvensvurdering (DPIA)

Ved forespørsel vil Opisense bistå Kunde med nødvendig informasjon for å gjennomføre personvernkonsekvensvurdering (DPIA).

9.3 Sikkerhetshendelser

Ved personvernbrudd vil Opisense:

  • Varsle Kunde innen 24 timer etter oppdagelse

  • Gi detaljert beskrivelse av hendelsen

  • Beskrive tiltak som er iverksatt

  • Bistå Kunde med å oppfylle 72-timers varslingsfrist til Datatilsynet

10. Sletting og retur av data

10.1 Ved avslutning

Ved avslutning av kundeforhold skal Kunde velge mellom:

  • Retur: Opisense returnerer alle personopplysninger i strukturert format (JSON/CSV)

  • Sletting: Opisense sletter alle personopplysninger permanent

10.2 Tidsfrister

  • Kunde har 30 dager etter avtaleslutt til å eksportere data

  • Voice-data slettes automatisk etter 7 dager (i henhold til retention policy)

  • Øvrige personopplysninger slettes senest 60 dager etter avtaleslutt

10.3 Unntak fra sletting

Personopplysninger som må oppbevares i henhold til lov (f.eks. regnskapsloven) vil lagres adskilt og kun brukes til lovpålagte formål.

10.4 Bekreftelse på sletting

Opisense vil på forespørsel utstede skriftlig bekreftelse på at data er slettet.

11. Revisjon og dokumentasjon

11.1 Kundens revisjonsrett

Kunde har rett til å:

  • Gjennomføre revisjoner av Opisenses databehandling

  • Be om dokumentasjon som viser overholdelse av denne DPA

  • Engasjere tredjepart revisor (med taushetsplikt)

11.2 Revisjonsfrekvens

  • Kunde kan gjennomføre revisjon én gang per år uten kostnad

  • Ytterligere revisjoner kan medføre rimelig kostnad

  • Ved sikkerhetsbrudd kan Kunde gjennomføre umiddelbar revisjon

11.3 Dokumentasjon

Opisense vil på forespørsel gi tilgang til:

  • Sikkerhetspolicyer og -prosedyrer

  • Logg over tilgang til personopplysninger

  • Avtaler med underbehandlere

  • Resultater fra sikkerhetstesting

11.4 Varsel ved revisjon

Kunde må varsle minimum 14 dager før planlagt revisjon. Opisense kan nekte tilgang til områder som inneholder andre kunders konfidensielle data.

12. Ansvar og erstatning

12.1 Ansvarsfordeling

  • Kunde: Ansvarlig overfor registrerte for behandlingen

  • Opisense: Ansvarlig kun for brudd på denne DPA eller instruksjoner fra Kunde

12.2 Ansvarsbegrensning

Opisenses ansvar er begrenset som beskrevet i Brukervilkår, med unntak for:

  • Grov uaktsomhet eller forsett

  • Brudd på GDPR som medfører administrative sanksjoner

  • Sikkerhetsbrudd forårsaket av Opisenses handlinger

12.3 Varsling ved brudd

Begge parter plikter å umiddelbart varsle den andre part ved:

  • Personvernbrudd

  • Tilsynsforespørsler fra Datatilsynet

  • Rettslige krav knyttet til personopplysninger

13. Varighet og opphør

13.1 Varighet

Denne DPA gjelder så lenge Opisense behandler personopplysninger på vegne av Kunde.

13.2 Konsekvenser ved opphør

Ved opphør av kundeforhold:

  • Behandling av personopplysninger opphører umiddelbart

  • Data returneres eller slettes i henhold til Kundens valg (jf. punkt 10)

  • Taushetsplikt fortsetter å gjelde

14. Endringer i DPA

Opisense kan oppdatere denne DPA ved:

  • Endringer i lovgivning (GDPR, personopplysningsloven)

  • Nye retningslinjer fra Datatilsynet

  • Vesentlige endringer i Tjenesten

Endringer varsles Kunde minimum 30 dager i forveien via e-post. Fortsatt bruk av Tjenesten etter varslet endring utgjør aksept.

15. Lovvalg og jurisdiksjon

15.1 Lovvalg

Denne DPA er underlagt norsk rett og tolkes i samsvar med GDPR.

15.2 Tilsynsmyndighet

Relevant tilsynsmyndighet er Datatilsynet (Norge).

Datatilsynet
Postboks 458 Sentrum
0105 Oslo
Telefon: 22 39 69 00
E-post: postkasse@datatilsynet.no

15.3 Tvisteløsning

Tvister søkes løst i minnelighet. Ved rettslig prøving er Trondheim tingrett verneting.

16. Kontaktinformasjon

Databehandler: Opisense AS
Organisasjonsnummer: 936 578 195
E-post: contact@opisense.com
Personvernspørsmål: contact@opisense.com
Nettside: opisense.com

For spørsmål om denne DPA eller databehandling, kontakt oss på e-postadressen over.

Ved å bruke Opisense aksepterer Kunde denne databehandleravtalen i sin helhet.