Status: UTKAST — ikke advokat-godkjent. Dette er en signerbar databehandleravtale (DPA) skrevet for Råd-Kompis fra bunnen av (HR-Kompis har ingen ferdig DPA å arve fra), strukturert etter GDPR art. 28 og Datatilsynets sjekkliste. Den skal gjennomgås av advokat før den tilbys pilotbyrå for signering.
Kilder konsultert: GDPR art. 28 (krav til databehandleravtale), art. 32 (sikkerhet), art. 33 (brudd), art. 44–49 (overføring utenfor EØS); personopplysningsloven; Datatilsynets veiledning «Hvordan lage en databehandleravtale» (sjekkliste for instruks, konfidensialitet, sikkerhet, underdatabehandlere, bistand til registrertes rettigheter, brudd-varsling, sletting/retur, revisjon). Ikke avklart / flagget for advokat: endelig formulering av ansvars- og revisjonsbestemmelsene; bekreftelse av nøyaktige personopplysningskategorier i Vedlegg A; hvorvidt enkelte pilotbyrå krever særskilte tillegg.
Databehandleravtale (DPA) — Råd-Kompis
Denne databehandleravtalen ("Avtalen") inngås mellom:
- Behandlingsansvarlig: regnskapsbyrået som er kunde av Råd-Kompis ("Kunden", "byrået"), og
- Databehandler: AgerTechAI Consulting AS, org.nr. 937 616 694, Flafjellet 34a, 1454 Fagerstrand ("AgerTechAI").
samlet kalt "Partene".
Sist oppdatert: 9. juni 2026.
1. Bakgrunn og forholdet til hovedavtalen
AgerTechAI leverer Råd-Kompis, en tjeneste som trekker ut data fra byråets regnskapsplattform og genererer rådgivningsutkast. Ved leveransen behandler AgerTechAI personopplysninger på vegne av Kunden. Denne Avtalen regulerer den behandlingen, jf. GDPR art. 28, og utgjør et vedlegg til vilkårene for bruk av Råd-Kompis ("Hovedavtalen"). Ved motstrid går denne Avtalen foran Hovedavtalen for spørsmål om behandling av personopplysninger.
Kjede av behandlingsansvar: Klientdataene byrået kobler til er som regel byråets klients personopplysninger. Der byrået selv er databehandler for sin klient, opptrer AgerTechAI som underdatabehandler, og Kunden innestår for å ha nødvendig grunnlag og tillatelse fra sin klient (behandlingsansvarlig) til å bruke AgerTechAI. Der ikke annet er avtalt, anvendes begrepet "Kunden som behandlingsansvarlig" i denne Avtalen tilsvarende på Kunden i rollen som databehandler for egen klient.
2. Formålet med og omfanget av behandlingen
AgerTechAI skal kun behandle personopplysninger for å levere og drifte Råd-Kompis slik beskrevet i Hovedavtalen og spesifisert i Vedlegg A (behandlingens art, formål, varighet, kategorier av registrerte og typer personopplysninger).
3. Kundens instruksjonsmyndighet
AgerTechAI skal kun behandle personopplysninger etter dokumenterte instrukser fra Kunden, slik de fremgår av denne Avtalen, Hovedavtalen og Kundens bruk av tjenestens funksjoner. Behandling utover dette skjer bare når det kreves etter EØS- eller norsk rett som AgerTechAI er underlagt; i så fall informerer AgerTechAI Kunden om kravet før behandlingen, med mindre retten forbyr slik informasjon.
AgerTechAI skal umiddelbart varsle Kunden dersom en instruks etter AgerTechAIs syn er i strid med personvernforordningen eller annen personvernlovgivning.
4. AgerTechAIs plikter
AgerTechAI skal:
a) behandle personopplysninger kun etter pkt. 3,
b) sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og at tilgang er begrenset til dem som trenger det for å levere tjenesten,
c) gjennomføre alle nødvendige tekniske og organisatoriske sikkerhetstiltak etter GDPR art. 32, som nærmere beskrevet i Vedlegg B,
d) overholde vilkårene for bruk av underdatabehandlere i pkt. 5,
e) bistå Kunden med egnede tekniske og organisatoriske tiltak, så langt det er mulig, slik at Kunden kan oppfylle sin plikt til å besvare henvendelser om utøvelse av de registrertes rettigheter (innsyn, retting, sletting, begrensning, dataportabilitet, innsigelse) etter GDPR kap. III,
f) bistå Kunden med å overholde pliktene etter GDPR art. 32–36 (sikkerhet, melding om brudd, kommunikasjon til registrerte, vurdering av personvernkonsekvenser og forhåndsdrøfting), hensyntatt behandlingens art og informasjonen AgerTechAI har tilgjengelig,
g) etter Kundens valg slette eller tilbakelevere alle personopplysninger ved opphør (pkt. 9),
h) gjøre tilgjengelig for Kunden all informasjon som er nødvendig for å påvise at pliktene i art. 28 overholdes, og muliggjøre og bidra til revisjoner, herunder inspeksjoner (pkt. 8).
5. Underdatabehandlere
Kunden gir generell forhåndsgodkjenning til at AgerTechAI bruker underdatabehandlere til å levere tjenesten. Underdatabehandlere som benyttes ved Avtalens inngåelse er listet i Vedlegg C.
AgerTechAI skal:
a) pålegge enhver underdatabehandler de samme databeskyttelsesforpliktelsene som følger av denne Avtalen, ved avtale eller annet rettslig dokument, særlig tilstrekkelige garantier for art. 32-tiltak,
b) varsle Kunden på forhånd om planlagte endringer som gjelder tillegg eller utskifting av underdatabehandlere — normalt minst 30 dager før endringen trer i kraft — slik at Kunden får mulighet til å protestere,
c) forbli fullt ansvarlig overfor Kunden for at en underdatabehandler oppfyller sine forpliktelser.
Dersom Kunden har saklig grunn til å protestere mot en ny underdatabehandler, skal Partene i god tro søke en løsning. Lar det seg ikke løse, kan Kunden si opp den berørte delen av tjenesten.
6. Overføring til land utenfor EØS
Enkelte underdatabehandlere er etablert i USA (se Vedlegg C). Overføringer utenfor EØS skjer kun når et gyldig overføringsgrunnlag foreligger — EU–US Data Privacy Framework der mottakeren er sertifisert, eller EU-kommisjonens standardpersonvernbestemmelser (SCC) med supplerende tiltak etter Schrems II. AgerTechAI skal ikke overføre personopplysninger ut av EØS uten slikt grunnlag.
7. Brudd på personopplysningssikkerheten
AgerTechAI skal uten ugrunnet opphold varsle Kunden etter å ha blitt kjent med et brudd på personopplysningssikkerheten som omfatter personopplysninger behandlet på vegne av Kunden. Varselet skal inneholde den informasjonen Kunden trenger for å oppfylle sin egen meldeplikt til Datatilsynet (jf. GDPR art. 33) og eventuell varsling til de registrerte, herunder bruddets art, sannsynlige konsekvenser og iverksatte/foreslåtte tiltak, så langt dette er kjent.
AgerTechAI melder ikke brudd til Datatilsynet eller de registrerte på Kundens vegne med mindre dette uttrykkelig avtales.
8. Revisjon og kontroll
AgerTechAI skal gjøre tilgjengelig for Kunden den informasjon som er nødvendig for å påvise at forpliktelsene i denne Avtalen og GDPR art. 28 overholdes.
Kunden kan, med rimelig varsel (normalt minst 30 dager) og høyst én gang per år med mindre et brudd eller pålegg fra tilsynsmyndighet tilsier annet, gjennomføre eller la en uavhengig revisor gjennomføre en revisjon. Revisjon skal skje innenfor normal arbeidstid, uten urimelig forstyrrelse av AgerTechAIs drift, og under taushetsplikt. AgerTechAI kan oppfylle revisjonsretten ved å fremlegge oppdaterte tredjeparts revisjons- eller sertifiseringsrapporter der slike finnes.
9. Sletting og tilbakelevering ved opphør
Ved opphør av tjenesten skal AgerTechAI, etter Kundens valg, slette eller tilbakelevere alle personopplysninger som er behandlet på vegne av Kunden, og slette eksisterende kopier, med mindre EØS- eller norsk rett krever fortsatt lagring.
Med mindre Kunden ber om tilbakelevering eller sletting tidligere, slettes klientdata og genererte utkast senest 30 dager etter at kontoen opphører. AgerTechAI skal på forespørsel bekrefte at sletting er gjennomført.
Fakturagrunnlag og regnskapsbilag som AgerTechAI er pålagt å oppbevare etter bokføringsloven, beholdes i lovens oppbevaringstid (5 år) uavhengig av dette punktet.
10. Ansvar
Partenes ansvar etter denne Avtalen følger ansvarsreguleringen i Hovedavtalen, med mindre annet følger av ufravikelig rett. GDPR art. 82 om erstatningsansvar og art. 83 om overtredelsesgebyr gjelder uavhengig av denne reguleringen.
11. Varighet
Avtalen gjelder så lenge AgerTechAI behandler personopplysninger på vegne av Kunden, og uansett så lenge Hovedavtalen løper. Bestemmelser som etter sin art skal bestå (konfidensialitet, sletting, ansvar) gjelder også etter opphør.
12. Lovvalg og verneting
Avtalen reguleres av norsk rett. Tvister avgjøres etter vernetingsbestemmelsen i Hovedavtalen (Oslo tingrett).
Vedlegg A — Beskrivelse av behandlingen
| Element | Beskrivelse |
|---|---|
| Behandlingens art | Innhenting (via byråets tilkoblede regnskapsplattform), lagring, strukturering, analyse og generering av rådgivningsutkast ved hjelp av språkmodell, samt visning og redigering i tjenesten. |
| Formål | Å levere Råd-Kompis: auto-generere månedlige rådgivningsutkast som byråets regnskapsfører reviderer og sender til klienten. |
| Varighet | Så lenge Kunden bruker tjenesten; sletting/retur etter pkt. 9. |
| Kategorier av registrerte | Byråets klienter og personer tilknyttet dem som fremgår av regnskapsdata — typisk innehavere av enkeltpersonforetak, kontaktpersoner, samt kunder og leverandører som er privatpersoner. Kan også omfatte byråets egne brukere i den grad deres opplysninger inngår. |
| Typer personopplysninger | Navn, organisasjons-/foretaksopplysninger knyttet til fysiske personer, kontaktopplysninger, samt økonomiske opplysninger som fremgår av resultat, balanse, nøkkeltall og kundeliste. Tjenesten er ikke ment for særlige kategorier (sensitive) personopplysninger eller personnumre, og Kunden skal ikke bevisst tilføre slike. |
| Behandlingssteder | EØS (Supabase, Stockholm; Vercel, EU), med overføring til USA for enkelte underdatabehandlere på gyldig grunnlag (se pkt. 6 og Vedlegg C). |
Vedlegg B — Tekniske og organisatoriske sikkerhetstiltak (art. 32)
AgerTechAI gjennomfører blant annet følgende tiltak:
- Kryptering av data i transitt (TLS) og i ro.
- Tilgangsstyring: radkjedet sikkerhet (Row Level Security) i databasen slik at hvert byrå kun ser sine egne data; minste-privilegium for tjenestekontoer; autentisering via magic link.
- Konfidensialitet: autoriserte personer er underlagt taushetsplikt; tilgang begrenset etter behov.
- Integritet og tilgjengelighet: regelmessige sikkerhetskopier; loggføring av kritiske operasjoner; rategrenser mot misbruk.
- Robusthet: drift på anerkjente skyleverandører (Supabase, Vercel) med etablerte sikkerhetsrutiner.
- Evaluering: periodisk gjennomgang av tiltakenes effektivitet, hensyntatt risiko og teknologisk utvikling.
- Ingen trening: klientdata og utkast brukes ikke til å trene språkmodeller.
Vedlegg C — Godkjente underdatabehandlere
| Underdatabehandler | Tjeneste | Behandlingssted | Overføringsgrunnlag (utenfor EØS) |
|---|---|---|---|
| Anthropic, PBC | Språkmodell Claude — genererer rådgivningsutkast fra regnskapsdata | USA | DPF / SCC |
| Supabase Inc. | Database, autentisering og lagring | Stockholm, EØS | — |
| Vercel Inc. | Hosting (Next.js bygg og kjøretid) | EØS | — |
| Resend, Inc. | Transaksjonell e-post (innlogging, invitasjoner, varsling) | USA | DPF / SCC |
Byråets egne tilkoblede systemer (Tripletex, Visma eAccounting / Spiris) er datakilder Kunden selv kobler til og er ikke AgerTechAIs underdatabehandlere.
Signatur
For Kunden (behandlingsansvarlig / databehandler for egen klient): ____________________ Dato: __________
For AgerTechAI Consulting AS (databehandler): ____________________ Dato: __________