Mal for databehandleravtale i henhold til GDPR Art. 28
Denne avtalen inngås automatisk når en kunde aksepterer Recoups tjenestevilkår. Avtalen kan også signeres separat. Ta kontakt på kontakt@articonsult.no for fysisk signert versjon.
Parter
Denne databehandleravtalen («Avtalen») er inngått mellom:
- Behandlingsansvarlig: Kunden («Kunden»), identifisert ved organisasjonsnummeret som er registrert på kontoen i Recoup-tjenesten
- Databehandler: ARTI Consult AS, org.nr 929 098 609, C. Sundts gate 55, 5004 Bergen, som leverer tjenesten under varemerket «Recoup» («Recoup»)
1. Avtalens omfang
Recoup behandler personopplysninger på vegne av Kunden i forbindelse med levering av Recoup-tjenesten – AI-drevet faktura- og kontrakts-analyse for å identifisere avvik og forbedre innkjøp. Avtalen regulerer denne behandlingen i henhold til personopplysningsloven og GDPR (forordning 2016/679) artikkel 28.
Avtalen gjelder så lenge Kunden har et aktivt abonnement, og i 30 dager etter avslutning for å gi Kunden mulighet til dataeksport.
2. Behandlingens art og formål
| Element | Beskrivelse |
|---|---|
| Formål | Identifisere avvik på leverandørfakturaer, ekstrahere kontraktsvilkår, og gi Kunden innsikt for å redusere innkjøpskostnader. |
| Behandlings-aktiviteter | Lagring, analyse, AI-prosessering, e-postkommunikasjon, rapportering |
| Type personopplysninger | Navn, e-postadresse, kontaktinformasjon på leverandør- og ansatt-nivå, IP-adresser, eventuelle personopplysninger på fakturalinjer (f.eks. konsulentnavn, prosjektreferanser) |
| Kategorier registrerte | Kundens ansatte, leverandørenes kontaktpersoner, eventuelle tredjeparter nevnt på fakturalinjer |
| Sensitive opplysninger | Avtalen omfatter ikke sensitive opplysninger etter GDPR Art. 9 (helse, religion, fagforening osv.). Kunden skal ikke laste opp slike opplysninger. |
| Varighet | Avtaleperioden + maksimalt 5 år for bokføringsplikt. PDF-er og kontraktsdokumenter slettes etter 60 måneder. |
3. Databehandlers plikter
Recoup forplikter seg til å:
- Bare behandle personopplysninger etter dokumenterte instrukser fra Kunden, slik de er nedfelt i denne Avtalen og i bruken av tjenesten.
- Sørge for at personer som behandler opplysningene har taushetsplikt (gjennom ansettelseskontrakter eller særskilt avtale).
- Iverksette egnede tekniske og organisatoriske sikkerhetstiltak (jf. GDPR Art. 32), inkludert:
- Kryptering av data i transit (TLS 1.2+) og i ro
- Multi-tenant isolering via Row Level Security i Postgres
- To-faktor autentisering for admin-tilgang
- Audit-logg for alle handlinger som påvirker kundedata
- Regelmessig sikkerhetsopplæring av ansatte og leverandører
- Rutiner for sikkerhetskopi og gjenoppretting
- Bistå Kunden med å oppfylle plikter overfor registrerte (innsyn, retting, sletting, dataportabilitet) i den grad dette er teknisk mulig.
- Bistå Kunden med å oppfylle pliktene etter Art. 32-36 (sikkerhet, avviks-melding, vurdering av personvernkonsekvenser).
- Ved opphør av Avtalen, slette eller returnere alle personopplysninger innen 30 dager etter Kundens valg, med mindre EU-rett eller norsk lov krever fortsatt lagring.
- Stille til rådighet all informasjon Kunden trenger for å dokumentere at pliktene etter Art. 28 er oppfylt, og bidra til revisjoner.
4. Avviks-håndtering
Recoup varsler Kunden uten ugrunnet opphold, og senest innen 72 timer, etter å ha blitt kjent med brudd på personopplysningssikkerheten som omfatter Kundens data. Varselet skal inneholde:
- Beskrivelse av bruddets art og omfang
- Antall berørte registrerte og typer opplysninger
- Sannsynlige konsekvenser
- Tiltak iverksatt eller foreslått
- Kontaktpunkt for ytterligere informasjon
5. Underleverandører (sub-processors)
Kunden gir Recoup generelt samtykke til å bruke følgende underleverandører:
| Underleverandør | Tjeneste | Lokasjon |
|---|---|---|
| Supabase Inc. | Database, Auth, Storage | EU (eu-west-1) |
| Vercel Inc. | Webapplikasjons-hosting | Tyskland (fra1) |
| Anthropic, PBC | AI-analyse | USA (SCC + GDPR-DPA) |
| Inngest, Inc. | Bakgrunns-jobber | EU |
| Resend, Inc. | E-post-utsendelse | EU |
| Stripe Payments Europe Ltd. | Fakturering | Irland |
| Functional Software, Inc. (Sentry) | Feilovervåking | Tyskland (de.sentry.io) |
| PostHog Inc. | Bruksanalyse | EU (eu.posthog.com) |
Recoup varsler Kunden minst 30 dager før vi tar i bruk en ny underleverandør som behandler personopplysninger. Kunden kan innen denne fristen motsette seg endringen. Ved motsigelse kan Recoup velge å tilby en alternativ løsning eller heve Avtalen med rimelig oppsigelsestid.
6. Overføring til tredjeland
Anthropic er etablert i USA. Overføringen er sikret gjennom EUs standardkontraktbestemmelser (Module 3 – Processor to Processor) supplert med tekniske tiltak: pseudonymisering der mulig, formålsbegrensning per forespørsel, og null lagring av kundens fri-tekst-data utover én prosesseringssyklus.
7. Revisjonsrett
Kunden har rett til å gjennomføre revisjon av Recoups behandling, enten selv eller via uavhengig tredjepart, en gang per kalenderår, med minst 30 dagers varsel og under taushetsplikt. Kostnader bæres av den rekvirerende parten. Recoup oppfyller normalt revisjonsplikten ved å levere en SOC 2 Type II-rapport eller tilsvarende uavhengig attestasjon når denne foreligger.
8. Erstatning og ansvar
Partene er hver for seg ansvarlige for skade som skyldes brudd på denne Avtalen, jf. GDPR Art. 82. Recoups samlede erstatningsansvar er begrenset til det Kunden har betalt for tjenesten i de siste 12 månedene før hendelsen, med mindre annet følger av ufravikelig lov.
9. Lovvalg og verneting
Avtalen reguleres av norsk rett. Tvister søkes løst i minnelighet. Hvis ikke løsning oppnås, er Bergen tingrett verneting.
10. Aksept
Kunden aksepterer denne avtalen ved å registrere seg som bruker av Recoup-tjenesten, eller ved å signere et separat avtaledokument. Det sist daterte avtaledokumentet har forrang ved motstrid.
Versjon 1.0 · sist endret 6. mai 2026