Databehandleravtale (DPA)

Sist oppdatert: 6. april 2026

1. Parter

Denne databehandleravtalen ("Avtalen") er inngått mellom:

  • Den behandlingsansvarlige: [Bedriftens navn og organisasjonsnummer]
  • Databehandleren: Meso (org. nr. XXX XXX XXX)

2. Bakgrunn og formål

Avtalen er inngått i samsvar med personvernforordningen (GDPR) artikkel 28 og regulerer databehandlerens behandling av personopplysninger på vegne av den behandlingsansvarlige.

Databehandleren skal behandle personopplysninger for å levere AI-basert kundeservicetjeneste, inkludert chat-widget, samtalsadministrasjon og analysefunksjoner.

3. Behandlingsomfang

3.1 Kategorier av registrerte

  • Kunder og besøkende som bruker chat-widgeten
  • Ansatte og brukere av den behandlingsansvarliges systemer

3.2 Kategorier av personopplysninger

  • Kontaktopplysninger (navn, e-post, telefon)
  • Samtaleinnhold og henvendelser
  • Tekniske opplysninger (IP-adresse, nettleser, enhet)
  • Tilbakemeldinger og vurderinger

3.3 Behandlingsformål

  • Levering av AI-basert kundeservice
  • Lagring og administrasjon av samtaler
  • Analyse og rapportering
  • Sikkerhet og feilsøking

4. Databehandlerens forpliktelser

Databehandleren forplikter seg til å:

  • Behandle personopplysninger kun i samsvar med den behandlingsansvarliges dokumenterte instruksjoner
  • Sikre at personer som får tilgang til personopplysningene har forpliktet seg til taushetsplikt
  • Implementere passende tekniske og organisatoriske sikkerhetstiltak
  • Respektere vilkårene for bruk av underbehandlere
  • Bistå den behandlingsansvarlige med å oppfylle de registrertes rettigheter
  • Bistå den behandlingsansvarlige med sikkerhetsvurderinger og konsekvensutredninger
  • Varsle den behandlingsansvarlige om brudd på personsikkerheten uten ugrunnet opphold
  • Slette eller returnere alle personopplysninger etter opphør av tjenesten
  • Gjøre all nødvendig informasjon tilgjengelig for å påvise overholdelse av GDPR

5. Underbehandlere

Den behandlingsansvarlige gir generell tillatelse til bruk av følgende underbehandlere:

  • OpenRouter, Inc. — AI-modell-leverandør (USA)
  • Vercel, Inc. — Skyplattform (USA/EU)
  • Google Ireland Limited — Autentiseringstjeneste (Irland/USA)

Databehandleren skal varsle den behandlingsansvarlige om endringer i underbehandlere og gi mulighet til å motsette seg.

6. Overføring til tredjeland

Ved overføring av personopplysninger til land utenfor EØS skal databehandleren sikre at passende sikkerhetstiltak er på plass, herunder:

  • Standard kontraktsklausuler (SCCs) vedtatt av EU-kommisjonen
  • Tilleggstiltak for å sikre et vernivå som i hovedsak tilsvarer det i EØS
  • Vurdering av mottakerlandets lovgivning om tilgang til personopplysninger

7. Brudd på personsikkerheten

Databehandleren skal varsle den behandlingsansvarlige om brudd på personsikkerheten uten ugrunnet opphold og senest innen 24 timer etter at databehandleren blir kjent med bruddet. Varslingen skal omfatte:

  • Beskrivelse av bruddets art
  • Kategorier og antall berørte registrerte
  • Sannsynlige konsekvenser av bruddet
  • Tiltak som er foreslått eller iverksatt

8. Varighet og opphør

Avtalen gjelder så lenge tjenesten leveres. Ved opphør skal databehandleren, etter den behandlingsansvarliges valg, slette eller returnere alle personopplysninger innen 30 dager, med mindre lovgivning krever lengre lagring.

9. Kontakt

For spørsmål om denne avtalen, kontakt personvern@kundeservice-ai.no.

Tilbake til forsiden