Tilbake til forsiden
GDPR artikkel 28

Databehandleravtale

Avtale om behandling av personopplysninger mellom kunden og AIX2

Om denne avtalen

Denne databehandleravtalen regulerer AIXHUB AS (AIX2) sin behandling av personopplysninger på vegne av kunden ved bruk av AIX2-plattformen. Avtalen utgjør et tillegg til tjenesteavtalen mellom partene og oppfyller kravene i GDPR artikkel 28.

Denne avtalen aktiveres automatisk når du tar i bruk AIX2-plattformen og behandler personopplysninger via tjenesten.

1. Parter

Behandlingsansvarlig (Kunden): Den juridiske enheten som har inngått avtale om bruk av AIX2-plattformen.

Databehandler: AIXHUB AS, org.nr. 936482775 (heretter «AIX2» eller «Databehandler»).

2. Bakgrunn og formål

Databehandler leverer AIX2-plattformen, en B2B-salgsplattform som gir kunden tilgang til bedriftsinformasjon, kontaktberikelse og e-postutsendelse. I den forbindelse behandler Databehandler personopplysninger på vegne av Behandlingsansvarlig.

Denne avtalen regulerer Databehandlers plikter ved slik behandling, i samsvar med personvernforordningen (GDPR) artikkel 28.

3. Omfang og kategorier

3.1 Kategorier av registrerte

  • Kundens brukere (ansatte med tilgang til plattformen)
  • Kontaktpersoner hos kundens prospekter og leads
  • Styremedlemmer og daglige ledere i selskaper registrert i offentlige registre

3.2 Kategorier av personopplysninger

  • Kontaktopplysninger (navn, e-postadresse, telefonnummer)
  • Stillingsinformasjon og firmatilknytning
  • E-postinnhold (ved tilkobling av e-postkonto)
  • Teknisk brukerdata (innlogging, handlinger i plattformen)

3.3 Behandlingens art og formål

Behandlingsaktivitet Formål
Lagring av brukerkontoerGi brukeren tilgang til plattformen
Kontaktberikelse (e-postfunn)Finne kontaktinformasjon til prospekter via offentlige kilder
E-postutsending og -synkroniseringSende og motta e-post på vegne av brukeren
AI-analyse av bedriftsdataGenerere bedriftsprofiler og kvalifisere leads
Lagring av e-posttilkoblingerOpprettholde integrering med brukerens e-postkonto

4. Databehandlers plikter

Databehandler skal:

  • Kun behandle personopplysninger i henhold til dokumenterte instrukser fra Behandlingsansvarlig, med mindre behandling kreves etter EU-rett eller norsk rett
  • Sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet
  • Treffe alle tiltak som kreves etter GDPR artikkel 32 (sikkerhet ved behandling)
  • Respektere vilkårene for bruk av andre databehandlere (underleverandører), jf. punkt 6
  • Bistå Behandlingsansvarlig med å oppfylle sin plikt til å svare på henvendelser om utøvelse av den registrertes rettigheter
  • Bistå Behandlingsansvarlig med å overholde forpliktelsene etter GDPR artikkel 32-36
  • Etter Behandlingsansvarligs valg, slette eller tilbakelevere alle personopplysninger etter at tjenestene er levert, og slette eksisterende kopier med mindre lagring er påkrevd etter EU-rett eller norsk rett
  • Gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen er overholdt, samt muliggjøre og bidra til revisjoner

5. Sikkerhetstiltak

Databehandler har implementert tekniske og organisatoriske tiltak for å sikre et tilstrekkelig sikkerhetsnivå:

  • Kryptering i transit: All kommunikasjon over HTTPS/TLS 1.2+
  • Kryptering av sensitiv data: E-postkredentialer kryptert med AES-256-CBC
  • Tilgangskontroll: Rollebasert tilgangsstyring (eier, administrator, bruker)
  • Autentisering: OAuth 2.0 med state-validering for e-posttilkoblinger
  • Inputvalidering: Beskyttelse mot injeksjonsangrep (XSS, SQL-injeksjon)
  • Dataminimering: Kun nødvendig data samles inn og behandles
  • Logging: Sporbarhet på handlinger i plattformen
  • Backup: Regelmessig sikkerhetskopiering av database

6. Bruk av underleverandører

Behandlingsansvarlig gir Databehandler en generell skriftlig godkjennelse til å benytte underleverandører (underdatabehandlere).

Databehandler skal:

  • Føre en oppdatert oversikt over alle underleverandører på www.aix2.no/underleverandorer
  • Varsle Behandlingsansvarlig minst 30 dager før planlagte endringer i bruk av underleverandører
  • Inngå databehandleravtaler med alle underleverandører som pålegger dem de samme forpliktelsene som følger av denne avtalen

Behandlingsansvarlig har rett til å motsette seg endringer i bruk av underleverandører. Ved uenighet kan Behandlingsansvarlig si opp tjenesteavtalen uten ekstra kostnad.

7. Overføring til tredjeland

All primær datalagring skjer innenfor EU/EØS (Stockholm, Sverige).

For tjenester som behandler data utenfor EU/EØS (Google Gemini API, OpenAI API, SerpAPI), er det inngått:

  • Standard Contractual Clauses (SCCs) i henhold til EU-kommisjonens gjennomføringsbeslutning 2021/914
  • Tilleggstiltak der dette er påkrevd (kryptering, dataminimering)

Ingen personopplysninger overføres til land uten tilstrekkelig beskyttelsesnivå uten at passende garantier er på plass.

8. Varsling ved sikkerhetsbrudd

Databehandler skal uten ugrunnet opphold, og senest innen 48 timer, varsle Behandlingsansvarlig etter å ha blitt kjent med et brudd på personopplysningssikkerheten.

Varselet skal minst inneholde:

  • Beskrivelse av bruddets art, inkludert kategorier og omtrentlig antall registrerte og personopplysninger som er berørt
  • Navn og kontaktopplysninger til personvernombudet eller annet kontaktpunkt
  • Beskrivelse av sannsynlige konsekvenser
  • Beskrivelse av tiltak som er truffet eller foreslås for å håndtere bruddet

9. Bistand ved utøvelse av rettigheter

Databehandler skal bistå Behandlingsansvarlig med å oppfylle henvendelser fra registrerte om:

  • Innsyn i egne personopplysninger
  • Retting av uriktige opplysninger
  • Sletting av personopplysninger
  • Begrensning av behandling
  • Dataportabilitet
  • Innsigelse mot behandling

Slik bistand ytes uten ugrunnet opphold og senest innen 10 virkedager.

10. Sletting og tilbakelevering

Ved opphør av tjenesteavtalen skal Databehandler, etter Behandlingsansvarligs valg:

  • Slette alle personopplysninger, inkludert alle eksisterende kopier; eller
  • Tilbakelevere alle personopplysninger i et alminnelig brukt, maskinlesbart format (JSON eller CSV)

Sletting eller tilbakelevering skal gjennomføres innen 90 dager etter opphør. Data som må oppbevares etter lov (f.eks. bokføringsdata) unntas, men behandles ikke til andre formål.

11. Revisjon og etterlevelse

Behandlingsansvarlig eller en uavhengig tredjepart utpekt av Behandlingsansvarlig har rett til å gjennomføre revisjoner for å verifisere at Databehandler overholder denne avtalen.

Databehandler skal:

  • Gi tilgang til relevant dokumentasjon, lokaler og systemer
  • Samarbeide fullt ut ved gjennomføring av revisjoner
  • Dekke egne kostnader ved revisjon

12. Varighet

Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Avtalen opphører automatisk når all behandling er avsluttet og personopplysningene er slettet eller tilbakelevert i henhold til punkt 10.

13. Kontakt

Henvendelser knyttet til denne avtalen rettes til:

AIXHUB AS
E-post: personvern@aix2.no
Nettside: www.aix2.no

Sist oppdatert: 31.05.2026