Databehandleravtale

Versjon 1.0 | Ikrafttredelsesdato: 14. april 2026

Databehandleravtale

Versjon 1.0 | Ikrafttredelsesdato: 14. april 2026

Databehandleravtale

1 Partene i avtalen

1.1 Behandlingsansvarlig:

Kunden som har inngått Tjenesteavtalen. Personen som har inngått Tjenesteavtalen på vegne av Kunden, anses som kontaktperson.

1.2 Databehandler:

CARL HQ AS, Adresse: Bogstadveien 54 0366 OSLO Norge, organisasjonsnummer: 934440323

Kontaktperson: Petter Samuelsen, tittel: CTO, telefon: 4745266868, e-post: petter@carlhq.com

Den behandlingsansvarlige og databehandleren omtales individuelt som en «Part» og samlet som «Partene».

2 Bakgrunn og formål med avtalen

Databehandleren har forpliktet seg til å levere tjenestene som er beskrevet i CARL HQ AS' standardvilkår («Tjenesteavtalen»). Utførelsen av dette arbeidet innebærer at databehandleren vil behandle personopplysninger på vegne av den behandlingsansvarlige.

Som kunde bestemmer den behandlingsansvarlige formålet med behandlingen av personopplysninger og hvilke midler som skal brukes.

Denne databehandleravtalen («Databehandleravtalen») fastsetter rammene for databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige.

Formålet med denne Databehandleravtalen er å:

regulere partenes rettigheter og plikter ved behandling av personopplysninger,

sikre at kravene i personvernlovgivningen og GDPR overholdes ved utførelsen av Tjenesteavtalen, og

sikre at personopplysninger ikke behandles ulovlig, kommer på avveie til uvedkommende eller behandles til andre formål enn de som er angitt i denne Databehandleravtalen.

Ved motstrid mellom bestemmelsene i denne Databehandleravtalen og andre avtaler mellom Partene, herunder Tjenesteavtalen, skal bestemmelsene i Databehandleravtalen ha forrang.

3 Definisjoner

Følgende definisjoner gjelder for denne Databehandleravtalen:

«Databehandleravtale» betyr bestemmelsene som er angitt i denne databehandleravtalen med vedlegg.

«Personopplysninger» betyr alle typer opplysninger eller data som anses som personopplysninger etter personvernlovgivningen og GDPR. Dette omfatter blant annet opplysningene i Vedlegg 1.

«Behandling» (av personopplysninger) betyr enhver bruk av personopplysninger, for eksempel innsamling, lagring, organisering, endring eller tilpasning, utlevering og/eller overføring.

«GDPR» betyr EU-forordning 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt oppheving av direktiv 95/46/EF (slik den er gjennomført i norsk rett).

«Personvernlovgivningen» betyr lov om behandling av personopplysninger av 15. juni 2018 nr. 38 med tilhørende forskrifter som gjennomfører GDPR og all annen relevant lovgivning som regulerer partenes behandling av personopplysninger.

«Lov» betyr all annen gjeldende lovgivning Partene er underlagt.

«Underdatabehandler» betyr andre databehandlere som databehandleren bruker til å behandle personopplysningene.

«Registrerte» betyr enhver identifisert eller identifiserbar person som personopplysningene gjelder.

4 Generelt

Partene skal behandle personopplysninger i samsvar med personvernlovgivningen, GDPR og denne Databehandleravtalen.

Databehandleren skal kun samle inn, registrere, sammenstille, lagre og på annen måte behandle personopplysninger i den utstrekning det er nødvendig for å oppfylle Tjenesteavtalen og Databehandleravtalen.

Den behandlingsansvarlige må sørge for at det foreligger et lovlig grunnlag for behandlingen av personopplysningene.

5 Den behandlingsansvarliges rett til å gi instrukser

Databehandleren skal kun behandle personopplysninger i henhold til dokumenterte instrukser fra den behandlingsansvarlige.

Databehandleren kan også behandle personopplysninger dersom dette kreves i henhold til lov som databehandleren er underlagt. I så fall skal databehandleren varsle den behandlingsansvarlige om den rettslige forpliktelsen før behandlingen, med mindre den relevante loven forbyr at slik informasjon gis av hensyn til offentlige interesser.

Den behandlingsansvarliges instrukser til databehandleren er angitt i denne Databehandleravtalen med vedlegg.

Vedlegg 1 til Databehandleravtalen beskriver hvilke kategorier av personopplysninger databehandleren kan behandle og formålet med behandlingen. Databehandleren skal ikke behandle personopplysninger til andre formål enn de som er angitt her.

Den behandlingsansvarlige kan gi databehandleren senere instrukser så lenge databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige. Slike senere instrukser skal gis skriftlig til databehandleren og må dokumenteres.

Partene skal umiddelbart varsle hverandre dersom en part mener at instrukser eller krav fra den andre parten er i strid med personvernlovgivningen eller GDPR.

6 Databehandlerens plikt til å bistå den behandlingsansvarlige

Under hensyn til behandlingens karakter og opplysningene som er tilgjengelige for databehandleren, skal databehandleren bistå den behandlingsansvarlige med å sikre samsvar med den behandlingsansvarliges forpliktelser etter GDPR artikkel 32–36.

Dette innebærer at databehandleren må kunne bistå i forbindelse med vurderinger av personvernkonsekvenser og forhåndsdrøftelser.

7 Sikkerhet for personopplysninger

Databehandleren skal overholde kravene til informasjonssikkerhet som følger av personvernlovgivningen og GDPR, og iverksette egnede tekniske og organisatoriske sikkerhetstiltak for å oppnå et sikkerhetsnivå som er tilpasset risikoen, i samsvar med GDPR artikkel 32.

De tekniske og organisatoriske tiltakene som skal gjennomføres, er beskrevet i Vedlegg 2.

Databehandleren skal også bistå den behandlingsansvarlige med å sikre samsvar med den behandlingsansvarliges forpliktelser vedrørende tilstrekkelig informasjonssikkerhet i henhold til GDPR artikkel 32.

8 Databehandlerens bruk av underdatabehandlere

Dersom databehandleren engasjerer en underdatabehandler til å utføre bestemte behandlingsaktiviteter på vegne av den behandlingsansvarlige, skal den relevante underdatabehandleren være underlagt de samme forpliktelsene som angitt i denne Databehandleravtalen gjennom en avtale eller annet juridisk dokument.

Databehandleren skal sikre at underdatabehandleren er kjent med databehandlerens kontraktsmessige og rettslige forpliktelser og overholder disse kravene.

Databehandleren er fullt ut ansvarlig overfor den behandlingsansvarlige for underdatabehandlerens oppfyllelse av sine forpliktelser.

Underdatabehandlerne som databehandleren bruker i forbindelse med Tjenesteavtalen, er angitt i Vedlegg 3. Den behandlingsansvarlige aksepterer at databehandleren bruker disse underdatabehandlerne.

Den behandlingsansvarlige aksepterer at databehandleren bruker andre underdatabehandlere enn dem som er beskrevet i Vedlegg 3. Dersom databehandleren ønsker å bruke nye underdatabehandlere, skal databehandleren på forhånd varsle den behandlingsansvarlige om navn og kontaktinformasjon til underdatabehandlerne. Den behandlingsansvarlige har rett til å protestere mot databehandlerens bruk av underdatabehandlere. Dersom den behandlingsansvarlige protesterer mot bruk av en ny underdatabehandler, skal den behandlingsansvarlige informere databehandleren uten ugrunnet opphold.

9 Databehandlerens overføring av personopplysninger til utlandet

Databehandleren kan overføre personopplysningene som databehandleren behandler på vegne av den behandlingsansvarlige, til de landene der databehandleren og underdatabehandlerne driver sin virksomhet og lagrer dem. Disse landene er angitt i Vedlegg 3. Den behandlingsansvarlige er kjent med dette og godkjenner overføringen så lenge den er nødvendig for å gjennomføre de avtalte leveransene.

Den behandlingsansvarlige aksepterer at personopplysningene behandles utenfor Norge. Databehandleren skal imidlertid ikke overføre personopplysninger til land utenfor EU/EØS-området eller til en internasjonal organisasjon uten skriftlig forhåndssamtykke fra den behandlingsansvarlige, med mindre EU-kommisjonen har fastslått at landet eller den internasjonale organisasjonen sikrer et tilstrekkelig beskyttelsesnivå.

Dersom den behandlingsansvarlige godkjenner slik overføring av personopplysninger til et land utenfor EU/EØS-området eller til en internasjonal organisasjon, skal databehandleren sikre at overføringen skjer i samsvar med reglene i GDPR kapittel V.

Databehandleren forplikter seg også til å vurdere beskyttelsesnivået i det eller de tredjelandene personopplysningene skal overføres til, og sikre at det iverksettes supplerende tiltak av teknisk, organisatorisk eller kontraktsmessig art for å sikre et i hovedsak tilsvarende beskyttelsesnivå som i EU/EØS.

10 Håndtering av de registrertes rettigheter

Den behandlingsansvarlige skal være kontaktpunkt for de registrerte og gi nødvendig informasjon om behandlingen.

Den behandlingsansvarlige er ansvarlig for å håndtere registrertes anmodninger om innsyn, retting, sletting, begrensning, dataportabilitet mv., og for å sikre at slike anmodninger blir ivaretatt.

Databehandleren skal, under hensyn til behandlingens karakter og så langt det er mulig gjennom egnede tekniske og organisatoriske tiltak, bistå den behandlingsansvarlige med å oppfylle den behandlingsansvarliges plikt til å svare på anmodninger fra registrerte med henblikk på å utøve deres rettigheter etter GDPR kapittel III.

Dersom databehandleren mottar en anmodning fra en registrert, skal databehandleren varsle den behandlingsansvarlige så snart som mulig.

11 Håndtering og varsling av hendelser

Enhver bruk av informasjonssystemer i strid med databehandlerens etablerte prosedyrer, den behandlingsansvarliges instrukser, personvernlovgivningen eller GDPR, samt ethvert annet sikkerhetsbrudd, skal håndteres som en hendelse.

Partene skal etablere og opprettholde prosedyrer og systematiske tiltak for oppfølging av hendelser, herunder tiltak for gjenoppretting til normal tilstand, fjerning av årsaken til hendelsen og forebygging av gjentakelse.

Så snart Partene blir kjent med en hendelse, skal de uten ugrunnet opphold og senest innen 36 timer informere hverandre om eventuelle sikkerhetsbrudd og umiddelbart iverksette alle nødvendige og egnede tiltak for å gjenopprette normal tilstand.

Den behandlingsansvarlige er ansvarlig for å sende hendelsesvarsler til Datatilsynet og de registrerte i henhold til GDPR artikkel 33 og 34. Databehandleren skal, om nødvendig, bistå den behandlingsansvarlige med å sikre at GDPR artikkel 33 og 34 overholdes.

12 Revisjon og inspeksjon

Databehandleren skal gjøre all informasjon som er nødvendig for å dokumentere samsvar med databehandlerens forpliktelser etter personvernlovgivningen, GDPR og denne Databehandleravtalen, tilgjengelig for den behandlingsansvarlige.

Databehandleren skal legge til rette for og bidra til revisjoner, herunder inspeksjoner, utført av den behandlingsansvarlige eller en annen revisor autorisert av den behandlingsansvarlige, av databehandlerens samsvar med GDPR, personvernlovgivningen og denne Databehandleravtalen. Den behandlingsansvarlige har rett til å gjennomføre slike revisjoner for egen regning, maksimalt én gang per år, med fire ukers forhåndsvarsel.

13 Konfidensialitet og taushetsplikt

Databehandleren har taushetsplikt med hensyn til personopplysningene og dokumentasjonen som databehandleren får tilgang til gjennom Databehandleravtalen. Taushetsplikten gjelder også etter at Databehandleravtalen er utløpt.

Databehandleren skal ikke utlevere eller gi tilgang til personopplysningene til andre enn egne ansatte, underdatabehandlere eller ansatte hos den behandlingsansvarlige, med mindre dette er avtalt skriftlig med den behandlingsansvarlige eller følger av lov, forskrift eller beslutning fra offentlig myndighet.

Databehandleren skal sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til å behandle opplysningene konfidensielt i form av en taushetserklæring eller er underlagt en passende lovbestemt taushetsplikt.

14 Avtalens varighet

Avtalen gjelder så lenge databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige.

15 Opphør

Når Databehandleravtalen opphører, skal databehandleren returnere alle personopplysninger som omfattes av Databehandleravtalen, i et format som er egnet for videre behandling av den behandlingsansvarlige eller en tredjepart utpekt av den behandlingsansvarlige.

Alternativt kan den behandlingsansvarlige kreve at personopplysningene slettes og/eller destrueres i samsvar med den behandlingsansvarliges skriftlige instrukser.

Partene avtaler nærmere hvordan overføring, eller sletting og/eller destruksjon, konkret skal gjennomføres.

Databehandleren skal dokumentere skriftlig at sletting og/eller destruksjon er gjennomført i samsvar med avtalen innen rimelig tid etter at Databehandleravtalen opphører.

Unntak gjelder dersom personvernlovgivningen, GDPR eller lov krever at personopplysningene oppbevares videre.

16 Lovvalg og verneting

Avtalen er underlagt norsk rett. Partene er enige om Oslo tingrett som verneting.

Vedlegg til avtalen

Vedlegg 1 Beskrivelse av personopplysningene og formålet med behandlingen

Vedlegg 2 Tekniske og organisatoriske tiltak for informasjonssikkerhet

Vedlegg 3 Oversikt over databehandlerens underdatabehandlere

Vedlegg 1: Beskrivelse av personopplysningene og formålet med behandlingen

Kontaktopplysninger (f.eks. telefonnummer), kommunikasjonsinnhold (f.eks. SMS-meldinger, taleopptak, transkripsjoner), samtalemetadata (f.eks. tidsstempler, meldingsstatus, samtalelogg). Atferdsdata (f.eks. sentimentanalyse, tagger for lead-kvalifisering).

Vedlegg 2: Beskrivelse av tekniske og organisatoriske sikkerhetstiltak Tilgjengelighet

Produksjonsarbeidslaster kjøres på administrert skyinfrastruktur med innebygd redundans på tvers av Vercel-, Render- og Supabase-plattformene. Databaseoperasjoner bruker Supabases automatiske failover- og point-in-time recovery-funksjoner. Applikasjonsservere bruker autoskalering og helsesovervåking for å håndtere trafikktopper og opprettholde tjenestetilgjengelighet. Temporal Cloud orkestrerer kritiske arbeidsflyter med innebygde mekanismer for nye forsøk og garantier for varig utførelse. Sanntidsovervåking via SigNoz og helsesjekker på applikasjonsnivå følger opp oppetid, ventetid og feilrater. Automatiserte varsler informerer driftsteamet om redusert ytelse eller driftsavbrudd. Underdatabehandlere velges basert på oppetids-SLA-er og infrastrukturens pålitelighet, med periodiske gjennomganger av statussider og hendelsesrapporter.

Integritet

Rollebasert tilgangskontroll begrenser datamodifikasjoner til kun autorisert personell. Alle databaseoperasjoner logges med tidsstempel, brukeridentitet og detaljert handling gjennom Supabase revisjonslogger. Validering på applikasjonsnivå og databasebegrensninger forhindrer ondsinnet eller utilsiktet datakorrupsjon ved innføringspunktene. Versjonskontroll og kodeutplasseringer med fagfellevurdering sikrer at kodeendringer er sporbare og reversible. Temporal-arbeidsflythistorikk gir uforanderlige revisjonsspor for all automatisert behandlingsaktivitet. Logger beholdes i 90 dager og gjennomgås under hendelsesundersøkelser. Underdatabehandlere må opprettholde tilsvarende loggfunksjoner og varsle Carl om eventuelle integritetshendelser uten ugrunnet opphold.

Konfidensialitet

All dataoverføring bruker TLS 1.3-kryptering. Data som lagres hos Supabase, krypteres med AES-256-kryptering og administrerte krypteringsnøkler. API-nøkler, legitimasjon og sensitiv konfigurasjon lagres i sikre systemer for administrasjon av miljøvariabler med tilgang begrenset til autoriserte tjenestekontoer. Ansatte og konsulenter signerer konfidensialitetsavtaler og gjennomfører opplæring i sikkerhetsbevissthet ved onboarding. Tilgang til produksjonssystemer krever flerfaktorautentisering og gis etter minste-privilegium-prinsippet. Tilgangsrettigheter gjennomgås kvartalsvis og trekkes tilbake umiddelbart ved rolleendringer eller opphør. Underdatabehandlere gjennomgår sikkerhetsvurderinger før onboarding og må dokumentere robuste tiltak for kryptering og tilgangskontroll.

Åpenhet

Carl opprettholder et oppdatert register over underdatabehandlere med informasjon om hver enhets rolle, lokasjon og behandlingsaktiviteter. Behandlingsansvarlige får minst 30 dagers varsel ved vesentlige endringer i underdatabehandlere, slik at de kan fremme innsigelser eller be om avklaringer. Dokumentasjon av behandlingsaktiviteter og sikkerhetspolicyer er tilgjengelig på forespørsel. Ved et brudd på personopplysninger vil Carl varsle den behandlingsansvarlige uten ugrunnet opphold og gi opplysninger om hendelsen, berørte datakategorier, mulig påvirkning og avbøtende tiltak. Logger over sikkerhetshendelser oppbevares for revisjonsformål og ansvarliggjøring.

Mulighet for inngripen

Behandlingsansvarlige kan få tilgang til, hente ut, korrigere, eksportere eller slette personopplysninger via Carls webplattform og API-er. Anmodninger fra registrerte behandles innen fem virkedager, og tiltakene videreformidles til alle relevante underdatabehandlere. Bekreftelse på fullførte tiltak gis til den behandlingsansvarlige. AI-generert innhold gjennomgår menneskelig gjennomgang og godkjenningsflyter administrert gjennom Temporal. Behandlingsansvarlige kan gripe inn når som helst for å endre, avvise eller stanse automatisert behandling. Data kan markeres som begrenset for å hindre videre automatiserte beslutninger mens innsigelser behandles.

Sikkerhetsrevisjoner

Carl gjennomfører årlige egenvurderinger av sikkerhet og sårbarhetsskanninger etter større lanseringer. Funn prioriteres, tildeles ansvarlige og følges opp til de er lukket. Sammendrag av sikkerhetsvurderinger kan deles med behandlingsansvarlige under passende konfidensialitetsavtaler. Behandlingsansvarlige kan gjennomføre én revisjon per kontraktsår med 30

dagers forhåndsvarsel, med forbehold om rimelige begrensninger knyttet til arbeidstid. Carl vil fremlegge bevis på sikkerhetskontroller og, der det er lovlig tillatt, samsvarsdokumentasjon eller revisjonsrapporter fra underdatabehandlere.

Portabilitet

På forespørsel eksporterer Carl alle personopplysninger i strukturerte formater, inkludert JSON og CSV. Eksportene omfatter samtalehistorikk, transkripsjoner, kundeprofiler, meldinger og tilhørende metadata. Data kan overføres direkte til en annen databehandler via sikre kanaler dersom dette er teknisk mulig. Eksportfunksjonaliteten testes kvartalsvis for å sikre fullstendighet og nøyaktighet. API-dokumentasjon vedlikeholdes for å gjøre det mulig for behandlingsansvarlige å utføre trinnvise dataeksporter når som helst i kontraktsperioden. Det brukes ingen proprietære formater som kan skape leverandørbinding.

Ansvarliggjøring

En utpekt personvernombud overvåker samsvar med GDPR, håndtering av sikkerhetshendelser og vedlikehold av retningslinjer. Carl opprettholder dokumenterte retningslinjer for informasjonssikkerhet i tråd med kravene i GDPR artikkel 32 og holder fortegnelsen over behandlingsaktiviteter oppdatert. Omfattende revisjonslogger registrerer administrative handlinger på tvers av alle systemer og bevares i minst ett år. Databehandleravtaler med underdatabehandlere inkluderer forpliktelser på GDPR-nivå, og Carl forblir ansvarlig overfor den behandlingsansvarlige for underdatabehandlernes ytelse. Kvartalsvise ledelsesgjennomganger vurderer kontrollenes effektivitet og godkjenner avbøtende planer.

Lagring og sletting av data

Personopplysninger lagres bare så lenge det er nødvendig for å oppfylle avtalte tjenester og rettslige forpliktelser. Automatiserte lagringspolicyer sørger for at utkastmeldinger utløper etter de konfigurerte tidsavbruddsperiodene. Samtaledata og tilhørende registre oppbevares i henhold til dokumenterte tidsplaner. Ved instruks fra den behandlingsansvarlige eller ved kontraktens opphør sletter Carl alle personopplysninger sikkert innen 30 dager, også fra sikkerhetskopisystemer når lagringsperiodene er utløpt. Sletteinstrukser videreformidles til alle underdatabehandlere, og skriftlig bekreftelse innhentes til revisjonsarkivet.

Fysisk sikkerhet Carl bruker leverandører av skyinfrastruktur med SOC 2 Type II- og ISO 27001-sertifiseringer. Fysisk datasenter-sikkerhet håndteres av Vercel, Render, Supabase og andre underdatabehandlere, som har 24/7-overvåkning, biometrisk tilgangskontroll og miljøovervåkning ved sine anlegg. Carls personell arbeider fra sikrede lokasjoner. Tapte eller stjålne enheter må rapporteres umiddelbart og slettes eksternt. Håndtering av fysiske dokumenter følger retningslinjer for ryddig skrivebord, med sikker destruksjon av alt materiale som inneholder personopplysninger.

Vedlegg 3: Oversikt over databehandlerens underdatabehandlere

Alle behandlingssteder er innenfor EU / EØS.

Microsoft Corporation

Adresse: One Microsoft Way, Redmond, WA 98052-6399, USA
Funksjon: AI-transkripsjonsmodeller, LLM-modeller, orkestrering av AI-agent, tale-til-tekst-transkripsjon
Selskapets etableringsland: US
Behandlingssteder: Sverige

LiveKit Incorporated