Sluttbrukeravtale

Time Updated:

16. november 2025

Sluttbrukeravtale

Sist oppdatert: 18. november 2025
Organisasjonsnummer: 936 578 195
Kontakt: contact@opisense.com

Disse vilkårene ("Avtalen") regulerer rettigheter og forpliktelser for tjenester levert av Opisense AS ("Opisense") til deg som Kunde og Bruker av Systemet.

Avtalen inneholder:

  • Brukeravtale - regulerer avtaleforholdet mellom Opisense og deg som Kunde.

  • Databehandleravtale (vedlegg) - regulerer Opisenses behandling og forvaltning av personopplysninger på dine vegne som Kunde.

Kort oppsummert

De viktigste delene i Avtalen:

  • Partene har en gjensidig konfidensialitetsplikt, som beskrevet i konfidensialitetsklausulen nederst i Avtalen.

  • Opisense selger et Abonnement som gir Kunden en begrenset, ikke-overførbar bruksrett til Systemet. Opisense skal levere Systemet til Kunden som en tjeneste levert via internett (Software as a Service/SaaS).

  • Prisen på Abonnementet følger Opisenses prisliste som er tilgjengelig i Systemet og gjelder per foretak. Abonnementet har en løpende abonnementsperiode som faktureres forskuddsvis. Prisen og varigheten for abonnementsperioden velges i Systemet eller avtales særskilt.

  • Opisense kan fra tid til annen gjennomføre rutinemessig vedlikehold som vil føre til nedetid for Systemet. I den grad det er praktisk mulig, vil Opisense gi informasjon om utilgjengeligheten på forhånd.

  • Opisense er ikke ansvarlig for nøyaktigheten og korrektheten av innholdet som blir generert av Systemet. AI-generert innhold kan være unøyaktig og misvisende, og bør alltid kvalitetssikres av et menneske hos Kunden.

  • Kunden er ansvarlig for innholdet og korrektheten av opplysninger som legges inn i Systemet, samt for å følge gjeldende lovgivning ved bruk av Systemet.

  • Kunden har ansvar for å sikre at påloggingsinformasjonen til Kundens Brukere og tilgangen til Systemet ikke deles med uvedkommende.

  • Kunden er ansvarlig for at Kundens Brukere oppgir korrekt informasjon i Systemet og at Systemet ikke misbrukes.

Definisjoner

"Abonnement": Kundens nettbaserte abonnement på Systemet.

"Bruker": person(en)(er) som er autorisert til å få tilgang til å bruke Systemet på vegne av Kunden.

"Kunde": den juridiske enheten som skal bruke Systemet og er registrert som en Kunde når Abonnementet opprettes.

"Systemet": programvare levert av Opisense som gjør det enklere for bedrifter å effektivisere og automatisere forretningsprosesser gjennom AI-drevne løsninger, tilgjengelig på https://opisense.com og https://app.opisense.com.

"Kundedata": data som Kunden selv laster opp eller registrerer i Systemet.

Brukeravtale

Brukeravtalen (inkludert vedlegg) er inngått mellom:

  • Opisense AS ("Opisense"), organisasjonsnummer 936 578 195, og Kunden.

Kunden er ansvarlig for enhver Bruker som Kunden har autorisert for å bruke Systemet.

Avtalen godkjennes elektronisk av Kunden når de registrerer seg i Systemet, eller ved inngåelse av særskilt lisensavtale med Opisense. Eventuelle oppdateringer av Avtalen vil bli kommunisert til Kunden. Den siste versjonen vil også alltid være tilgjengelig på https://www.opisense.com/legal-page/sluttbrukeravtale.

Opisenses plikter, rettigheter og ansvar

Plikter

  • Opisense skal levere Systemet til Kunden som en tjeneste levert via internett (Software as a Service/SaaS).

  • Opisense skal ikke bruke Kundedata til å trene eller finjustere KI/AI/ML-modeller uten Kundens forhåndstillatelse eller instruks.

  • Opisense skal tilby og videreutvikle Systemet etter beste evne.

  • Opisense skal rette opp feil i Systemet etter beste evne dersom de oppstår. Kunden skal varsles avhengig av feilens alvorlighetsgrad, etter Opisenses skjønn.

  • Opisense skal tilstrebe å opprettholde Systemets oppetid i henhold til bransjestandard, men systemet kan være utilgjengelig, og berørt av feil eller mangler i perioder. Kunden varsles om eventuell nedetid, avhengig av alvorlighetsgraden, etter Opisenses skjønn.

  • Opisense vil bistå Kunden med opplæring i Systemet gjennom chat, dokumentasjon og per e-post til contact@opisense.com. Opisense skal tilstrebe å svare på spørsmål fortløpende, og vanligvis innen 2 arbeidsdager. Støtte er begrenset til støtte for bruk av Systemet.

Rettigheter

  • Opisense selger et Abonnement som gir Kunden en begrenset, ikke-overførbar bruksrett til Systemet, som angitt i denne Avtalen.

  • Opisense har alle opphavs- og andre immaterielle rettigheter knyttet til Systemet, inkludert all videreutvikling.

  • Opisense har rett til å bruke Kundens data i den grad det er nødvendig for å levere Systemet til Kunden.

  • Opisense kan fra tid til annen gjennomføre rutinemessig vedlikehold som vil føre til nedetid for Systemet. I den grad det er praktisk mulig, vil Opisense gi informasjon om utilgjengeligheten på forhånd.

  • Opisense har rett til å gjennomføre undersøkelser som er rimelige og nødvendige for å sikre at Systemet benyttes i samsvar med Avtalen.

  • Opisense har rett til å nekte, fryse eller kansellere et Abonnement og/eller sperre adgang til Systemet dersom Kunden eller dennes Brukere har brutt med denne Avtalen.

Ansvar

  • Opisense er ikke ansvarlig for nøyaktigheten og korrektheten av innholdet som blir generert av Systemet. AI-generert innhold kan være unøyaktig og misvisende, og bør alltid kvalitetssikres av et menneske hos Kunden.

  • Opisense skal holdes skadesløs for alle utgifter og tap dersom det blir fremsatt krav mot Opisense fra noen av Kundens tredjeparter som følger av Kundens bruk av Systemet, herunder informasjon og data som Kunden legger inn i Systemet eller som genereres i Systemet. Kunden samtykker i å holde Opisense skadesløs.

  • Opisenses eventuelle erstatningsansvar under denne Avtalen er begrenset til direkte tap. Opisense er ikke ansvarlig for indirekte tap, som for eksempel tap av fortjeneste, tap grunnet nedetid, tap av data, avsavnstap og krav fra tredjepart. Erstatningsansvaret er begrenset til å kun dekke Kundens dokumenterte økonomiske tap, og kan ikke overstige 50% av vederlaget som Kunden har betalt for Systemet de siste 12 månedene før skaden oppsto.

Kundens plikter, rettigheter og ansvar

Plikter

  • Kunden har plikt til å oppgi korrekt informasjon i Systemet og sørge for at dennes Brukere også oppgir korrekt informasjon.

  • For å kunne benytte Systemet må Kunden og enhver Bruker motta elektronisk kommunikasjon som er relevant for bruk av Systemet, enten i Systemet og/eller via e-post.

  • Kunden har ansvar for å sikre at påloggingsinformasjonen til Kundens Brukere og tilgangen til Systemet ikke deles med uvedkommende.

  • Kunden skal bruke Systemet i samsvar med gjeldende lovgivning, herunder arbeidsmiljøloven, personvernlovgivningen og annen relevant regulering.

Rettigheter

  • Kunden kjøper et Abonnement fra Opisense som gir Kunden en begrenset, ikke-overførbar bruksrett til Systemet, som angitt i denne Avtalen.

  • Kunden har eierskap og immaterielle rettigheter til sin egen Kundedata.

  • Kunden har rett til å endre, eksportere og slette sin egen Kundedata i henhold til gjeldende lovgivning.

  • Ved opphør av Avtalen har Kunden rett til å få all sin egen Kundedata eksportert i et strukturert og maskinlesbart format.

  • Ved opphør av Avtalen har Kunden rett til å få sin egen Kundedata slettet, og Opisense skal gjennomføre slettingen innen rimelig tid etter at Kundens skriftlige forespørsel er mottatt.

Ansvar

  • Kunden er ansvarlig for å vurdere om Systemet og/eller den informasjon, svar eller anbefalinger de får gjennom Systemet passer for deres behov. Systemet vil kunne endres etter Opisenses eget skjønn.

  • Kunden er ansvarlig for innholdet og korrektheten av opplysninger som legges inn i Systemet, samt for å følge gjeldende lovgivning ved bruk av Systemet.

  • Kunden er ansvarlig for lovligheten av at personopplysninger lastes opp i Systemet.

  • Kunden og dennes Brukere skal på ingen måte bruke Systemet med hensikt å lage eller bidra til å lage konkurrerende løsninger. Hvis det er mistanke om brudd på dette punktet, har Opisense rett til å umiddelbart stenge kundens konto, og si opp avtalen uten at Kunden har rett på tilbakebetaling eller annen kompensasjon.

  • Kundens eventuelle erstatningsansvar under denne Avtalen er begrenset til direkte tap. Kunden er ikke ansvarlig for indirekte tap, som for eksempel tap av fortjeneste, tap av data og krav fra tredjepart. Erstatningsansvaret er begrenset til å kun dekke Opisenses dokumenterte økonomiske tap, og kan ikke overstige 50% av det vederlaget som Kunden har betalt for Systemet de siste 12 månedene før skaden oppsto. Disse begrensningene gjelder imidlertid ikke hvis Kunden har utvist grov uaktsomhet eller forsett, samt ved brudd på immaterielle rettigheter som at Systemet er brukt i strid med Vilkårene for å utvikle en konkurrerende løsning til Systemet.

Varighet og oppsigelse

Tilgang til Systemet tilbys som et løpende abonnement der varigheten på abonnementsperioden velges i Systemet eller avtales særskilt.

Avtalen kan fritt sies opp av hver av partene med tre (3) måneders varsel, med mindre annet er avtalt. Oppsigelsestiden beregnes fra den første i den påfølgende måned etter at skriftlig varsel om oppsigelse er sendt. Dersom oppsigelsestiden overlapper med en ny abonnementsperiode, vil Kunden kun bli fakturert for abonnementet ut oppsigelsestiden. I tilfeller der abonnementsperioden varer mindre enn tre (3) måneder, gjelder oppsigelsestiden for et likt tidsintervall som abonnementsperioden.

Pris og betalingsbetingelser

Prisen for Abonnementet fremgår i Systemet og gjelder per foretak, med mindre annet avtales særskilt. Prisene er oppgitt eksklusiv mva.

Opisense har rett til å endre pris og prismodell for Abonnementet. Kunden skal bli informert med 3 (tre) måneders varsel ved endringer i pris som overstiger endringene i konsumprisindeksen.

Opisense fakturerer for Abonnementet forskuddsvis, med mindre annet avtales særskilt. Fakturering skjer med 14 dagers betalingsfrist fra fakturadato. Opisense refunderer ikke abonnementskostnader allerede betalt.

Ved forsinket betaling forbeholder Opisense seg retten til å midlertidig begrense tilgangen til Systemet inntil full betaling er mottatt. I slike tilfeller kan Opisense også kreve forsinkelsesrenter i henhold til gjeldende regelverk. Kunden forblir ansvarlig for å fullføre betalingen for abonnementet, og Opisense kan benytte alternative betalingsmetoder for innkreving av utestående beløp.

Konfidensialitet

Partene skal ikke utnytte, gis tilgang til eller utlevere informasjon mv. som må anses som konfidensiell for den andre part. Dette omfatter bl.a. informasjon om kunder, forretningsmessige forhold, teknologi, funksjonalitet, ny funksjonalitet, brukergrensesnitt, tilganger, kostnader og inntekter, markedsplaner og arbeidsmetoder mv. Partene skal behandle informasjonen med tilstrekkelig grad av konfidensialitet for å opprettholde, beholde og beskytte informasjonen. Konfidensialitetskravet gjelder både mens Avtalen gjelder eller etter dette. Er en part i tvil om informasjon er konfidensiell, skal den andre part forespørres før informasjon utnyttes, utleveres, gis tilgang mv. Som hovedregel skal all informasjon som legges inn i systemet, anses som konfidensiell med mindre den er offentlig tilgjengelig.

Konfidensialiteten omfatter ikke informasjon som er nødvendig for utøvelsen av rettigheter og plikter etter Avtalen eller for å administrere forholdet til Avtalen.

Annet

  • Partene skal bestrebe seg på å løse eventuelle konflikter eller uenigheter gjennom forhandlinger. Tvister som måtte oppstå og som ikke løses gjennom forhandlinger innen rimelig tid (ikke mer enn 60 dager) skal avgjøres av norsk rett med Trondheim tingrett som verneting.

  • Avtalen kan overdras ved for eksempel fusjoner eller kjøp/salg av selskaper.

  • Kontakt Opisense på contact@opisense.com hvis du har spørsmål angående denne Avtalen.


Databehandleravtale

Sist oppdatert: 2025-11-15

Mellom Kunden, som angitt ovenfor i Avtalen som denne databehandleravtalen er en del av ("Behandlingsansvarlig") og Opisense AS ("Databehandler") er avtale om behandling av personopplysninger ("Databehandleravtalen") som Databehandler skal foreta for Behandlingsansvarlig som følge av Avtalen.

Databehandleravtalens formål

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig på den bakgrunn som følger ovenfor.

Formålet med behandlingen er å levere Systemet som beskrevet i Avtalen. Videre skal opplysningene gi Behandlingsansvarlig mulighet til å bruke Systemet for sine forretningsformål.

Varigheten av behandlingen, behandlingens art, de typer personopplysninger som skal behandles og kategorier av registrerte følger av vedlegg til Databehandleravtalen.

Databehandleravtalen skal sikre at personopplysninger behandles i samsvar med de til enhver gjeldende kravene til behandling av personopplysninger, herunder bl.a. personopplysningsloven, Europaparlaments- og rådsforordning om beskyttelse av individer ved behandling av personopplysninger og om fri flyt av slike opplysninger og om oppheving av direktiv 95/46/EF (personvernforordningen eller GDPR), annen norsk lov med tilhørende forskrifter som har betydning for behandling av personopplysning, og lovverk som senere erstatter nevnte lovverk ("Personvernlovgivningen").

Databehandler skal behandle personopplysningene på den måte som er beskrevet i Databehandleravtalen, samt på annen måte dersom dette er skriftlig avtalt mellom Databehandleren og Behandlingsansvarlig.

Begreper og definisjoner benyttet i Databehandleravtalen skal forstås på samme måte som i Personvernlovgivningen.

Databehandlers plikter

Databehandleren bekrefter at denne vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Databehandleravtalen oppfyller kravene i Personvernlovgivningen og vern av den registrertes rettigheter, herunder innfrir alle kravene etter personvernforordningens artikkel 32. Se også ytterligere plikter i punktet om "Sikkerhet og avvik" nedenfor.

Databehandleren skal kun behandle personopplysningene basert på dokumenterte instrukser fra Behandlingsansvarlig. Databehandleren skal til enhver tid kunne dokumentere slike instrukser. Databehandler skal ikke behandle personopplysninger Databehandleren får tilgang til på annen måte enn det som er nødvendig for å utføre den behandling som Databehandler skal gjøre for Behandlingsansvarlig.

Databehandleren skal bistå Behandlingsansvarlig i å svare på anmodninger fra registrerte hensyntatt behandlingens art og i den grad det er mulig, bistås, ved hjelp av egnede tekniske og organisatoriske tiltak. Dette gjelder både anmodninger fra de registrerte om å utøve sine rettigheter etter personvernforordningens kapittel III samt bistå Behandlingsansvarlig med å sikre overholdelse av forpliktelsene knyttet til personopplysningssikkerhet.

Databehandleren skal føre protokoll over behandlingsaktiviteter denne utfører på vegne av Behandlingsansvarlig, som skal inneholde minimum den informasjon som er pålagt etter personvernforordningen artikkel 30 nr. 2.

Databehandleren skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene fastsatt i dette punktet er oppfylt, samt muliggjøre og bidra til revisjoner, herunder inspeksjoner, som gjennomføres av Behandlingsansvarlig eller en annen etter fullmakt fra Behandlingsansvarlig.

Databehandleren har taushetsplikt om personopplysninger som vedkommende får tilgang til som en følge av Databehandleravtalen og behandling av personopplysningene, og skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovfestet taushetsplikt. Denne bestemmelsen gjelder også etter Databehandleravtalens opphør.

Databehandleren skal ikke utlevere opplysninger eller informasjon som denne behandler for Behandlingsansvarlig til andre uten eksplisitt pålegg fra Behandlingsansvarlig. Henvendelser til Databehandleren skal Databehandleren videreformidle til Behandlingsansvarlig så raskt som mulig.

Er Databehandleren av den oppfatning at en instruks fra Behandlingsansvarlig er i strid med Personvernlovgivningen, skal Databehandleren umiddelbart underrette Behandlingsansvarlig om Databehandlerens oppfatning.

Behandlingsansvarliges plikter og rettigheter

Behandlingsansvarlig er ansvarlig for at personopplysninger blir behandlet i samsvar med Personvernlovgivningen, og har både en rett og en forpliktelse til å bestemme hvilke formål, og hvilke hjelpemidler som kan brukes i behandlingen som Databehandleren forestår. Derfor skal Behandlingsansvarlig gi Databehandler dokumenterte instrukser for hvordan personopplysninger skal behandles, hvor instruksene kan enten være en del av Databehandleravtalen eller lagt ved Databehandleravtalen som et vedlegg. Instruksjonene kan også være gitt etter Databehandleravtalens inngåelse.

Behandlingsansvarlig har rett til å si opp Databehandleravtalen dersom Databehandleren ikke lenger oppfyller personvernforordningens krav etter artikkel 28 nr. 1.

Bruk av underleverandør

Databehandleren skal kun benytte underleverandører til behandling av personopplysninger (underdatabehandler) som er skriftlig godkjent av Behandlingsansvarlig og som har bekreftet å gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at all behandling under denne Databehandleravtalen oppfyller kravene i Personvernlovgivningen, og vern av den registrertes rettigheter.

Godkjente underdatabehandlere ved Databehandleravtalens inngåelse er spesifisert i vedlegg til Databehandleravtalen.

Behandlingsansvarlig gir Databehandleren generell tillatelse til bruk av underdatabehandler for behandling av personopplysninger etter Databehandleravtalen. I tilfelle Databehandleren har planer om å benytte andre underdatabehandlere eller skifte ut underdatabehandlere, skal Databehandleren underrette Behandlingsansvarlig om planene med minst fire ukers varsel og dermed gi Behandlingsansvarlig muligheten til å motsette seg slike endringer. Slik underretning kan gis i Systemet. De til enhver tid gjeldende underdatabehandlere skal være tilgjengelig på https://opisense.com/juridisk/underdatabehandlere.

Godkjenner ikke Behandlingsansvarlig bruken av underdatabehandler etter ovennevnte, skal partene bli enige om hvordan Avtalen skal gjennomføres uten bruk av underdatabehandleren.

Underdatabehandler skal pålegges de samme forpliktelsene med hensyn til vern av personopplysninger som er fastsatt i Databehandleravtalen i bindende avtale hvor underdatabehandler skal gi tilstrekkelige garantier for at det vil bli gjennomført tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller lovmessige krav. Dersom underdatabehandler ikke oppfyller sine forpliktelser med hensyn til Personvernlovgivningen, vern av personopplysninger og kravene i Databehandleravtalen, skal Databehandleren overfor Behandlingsansvarlig ha fullt ansvar for at underdatabehandler oppfyller sine forpliktelser.

Sikkerhet og avvik

Databehandleren skal oppfylle de krav til sikkerhetstiltak som stilles etter Personvernlovgivningen og bransjestandarder som er relevant for behandling av personopplysninger etter Avtalen. Databehandleren skal kunne dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på Behandlingsansvarliges forespørsel.

I tilfelle sikkerhets- eller personvernbrudd, skal Databehandleren varsle Behandlingsansvarlig uten ugrunnet opphold. Melding om brudd skal minimum inneholde det som følger av personvernforordningen artikkel 33 nr. 3.

Dersom ikke alle opplysninger kan gis i første melding, skal opplysningene gis suksessivt så snart de foreligger.

Behandlingsansvarlig har ansvaret for å sende melding til tilsynsmyndighet. Databehandler gis rett til å sende meldinger og kontakte tilsynsmyndighet dersom det skjer avvik og Databehandler mener at tilsynsmyndighet og/eller de registrerte skal underrettes om avviket.

Overføring til land utenfor EØS (tredjeland)

Personopplysninger skal kun overføres til land utenfor EØS (tredjeland) etter instruks fra Behandlingsansvarlig. Databehandleren skal altså ikke overføre eller la personer i tredjeland på noen måte få tilgang til personopplysninger uten at Behandlingsansvarlig har eksplisitt godkjent dette skriftlig og gitt instruks om overføring eller tilgang på forhånd. Samtykke og instruks må dekke hvilke land opplysningene skal kunne overføres til. Overføring til tredjeland forutsetter, selv med samtykke og instruks, at de krav til sikkerhet og vern av de registrertes rettigheter som følger av personopplysningsloven og annet regelverk er ivaretatt.

Databehandleravtalens varighet, pålegg om stans, plikter ved opphør/oppsigelse

Databehandleravtalen gjelder så lenge Databehandleren behandler eller har tilgang til personopplysninger på vegne av Behandlingsansvarlig etter Avtalen.

Ved brudd på denne Databehandleravtalen, personopplysningsloven eller annet relevant regelverk, kan Behandlingsansvarlig pålegge Databehandleren å stoppe den videre behandlingen av personopplysningene med øyeblikkelig virkning.

Databehandleren skal, etter Behandlingsansvarliges instruksjon, slette eller tilbakelevere alle personopplysningene til Behandlingsansvarlig etter at tjenestene knyttet til behandlingen er levert, og sletter eksisterende kopier, med mindre det er et lovmessig krav om at personopplysningene skal fortsatt lagres. Dette gjelder også for eventuelle sikkerhetskopier, men hvor det er tilstrekkelig med å overskrive etter de etablerte rutiner for sikkerhetskopiering.

Behandlingsansvarlig skal motta en skriftlig bekreftelse fra Databehandleren på at alle personopplysninger er returnert eller slettet i henhold til Behandlingsansvarliges instruksjoner og at Databehandleren ikke har beholdt kopi, utskrifter eller andre former for personopplysninger i noen form.

Øvrige plikter og rettigheter

Øvrige plikter og rettigheter følger av Avtalen som gjelder mellom Databehandleren og Behandlingsansvarlig om tjenestene som nødvendiggjør behandling av personopplysninger og denne Avtale. De samme kontaktpersoner gjelder for Databehandleravtalen som etter Avtalen.


Vedlegg: Beskrivelse av behandling av personopplysninger

Formålet med behandlingen

Formålet med behandlingen er å gi Behandlingsansvarlig tilgang til Systemet og bruke de tjenester som Behandlingsansvarlig bestiller og Databehandleren leverer etter Avtalen.

Varigheten av behandlingen

Behandlingen skal vare så lenge Databehandleren yter tjenestene etter Avtalen til Behandlingsansvarlig og deretter i inntil 12 måneder som dataene til Behandlingsansvarlig oppbevares, se nedenfor.

Kunden kan slette hele foretak i Systemet. Ved valg om sletting av et helt foretak vil alle data, herunder personopplysninger, først slettes reelt 12 måneder etter at den logiske slettingen er gjort.

Kunden kan slette en bruker i Systemet gitt at alle tilhørende foretak også er slettet. En bruker vil fysisk slettes inntil 12 måneder etter at den logisk er slettet.

For å ivareta krav til sikkerhet og konsistens vil det oppbevares en sikkerhetskopi av data i inntil tre måneder.

Dersom særlige grunner skulle tilsi at data skal slettes raskere enn nevnt ovenfor kan Databehandler kontaktes skriftlig.

Loggdata beholdes i tre år av sikkerhetshensyn, for å kunne spore forsøk på uautorisert tilgang.

Behandlingens art

All behandling av personopplysninger eller det som nødvendiggjør behandlingen under Avtalen.

Typer personopplysninger som skal behandles

I forbindelse med leveranse av Systemet som Kunden og dens brukere gjør behandles det følgende personopplysninger:

  • Navn og kontaktopplysninger på brukere av Systemet

  • Aktiviteter av brukere i Opisense

  • Kontaktopplysninger om ansatte hos Kunden

  • Navn og kontaktopplysninger på kunder av Kunden

  • Kontaktopplysninger på leverandører og samarbeidspartnere av Kunden

  • Opplysninger om andre personer som Kunden eller dennes brukere legger inn i dokumenter eller felt hvor det kan legges inn fritekst

  • Tekniske data knyttet til bruk av Systemet, som sikkerhetslogger, IP-adresse, registrering av aktiviteter og bruk mv.

Kategorier av registrerte

Brukere av systemet, ansatte hos Kunden, kontaktpersoner hos kunder, leverandører og samarbeidspartnere av Kunden, og andre personer som kan identifiseres i informasjon eller dokumentasjon som legges inn i Systemet.

Underdatabehandlere ved inngåelse av Avtalen

Databehandlere og andre som mottar data, herunder personopplysninger, som følge av behandlingen og tilgjengeliggjøring av Systemet er inntatt her: https://opisense.com/juridisk/underdatabehandlere.

Sikkerhetstiltak

Sikkerheten i Systemet utvikles og forbedres kontinuerlig. Følgende tiltak foreligger ved inngåelse av databehandleravtalen:

Kryptering

All data som sendes ut av datasenteret skal være kryptert. Det betyr at:

  • All kommunikasjon kunder har med opisense.com (og underdomener som help.opisense.com og blog.opisense.com) er kryptert

  • Eksterne tjenester Opisense benytter seg av er kryptert ved overføring av data

  • All administrasjon av servere, inkludert gjennomgang av logger, etc. foregår over kryptert forbindelse

I tillegg til at all data sendes kryptert, skal også alle produksjonsdata være kryptert. Dette inkluderer både data på eget datasenter, samt data som er lagret utenfor eget datasenter.

Passord

Brukeres passord skal ikke lagres i klartekst. I de tilfeller hvor det kun trengs passord for verifisering (for eksempel innlogging på opisense.com), lagres kun en sikker hash av passordet. Hashalgoritmene som brukes i disse tilfellene skal være ment for passordhashing (inkludere salting og key-stretching algoritmer) som gjør de robuste mot "brute force"-angrep.

Applikasjonspassord til viktige tjenester (som for eksempel databasepassord eller eksterne API-passord) skal ikke være innsjekket i klartekst i kildekode men håndteres av konfigurasjonsstyringssystem.

Ansattes tilgang til data

Ansattes tilgang til brukerdata er begrenset. Personell ansatt i Opisense AS med ansvar for drift, support mv. kan bruke sin administratortilgang til Behandlingsansvarliges data for å utføre brukerstøtte, gjøre driftsvedlikehold og videreutvikle tjenesten i henhold til Opisenses personvernerklæring.

Testdata til bruk for feilsøking, ytelsestester, etc. skal være anonymiserte.

Infrastruktur

Opisense bruker servere lokalisert i Norge, hvor datarommet er godt fysisk sikret og overvåket. Datahallen overholder bl.a. ISO 27001:2013 og ISO 9001:2015.

Tofaktorautentisering

Alle driftstjenester skal være satt opp med tofaktorautentisering. Dette inkluderer både eksterne tjenester (som e-post, DNS-administrasjon, etc.) samt administrasjon av servere. For kunder er det mulig å bruke tofaktorautentisering ved innlogging på opisense.com etter kundens eget valg.