# Databehandleravtale (DPA) — jille

**Sist oppdatert:** 2. mai 2026

Denne avtalen («Avtalen») regulerer behandling av personopplysninger som
medtek KI AS («Databehandler») utfører på vegne av kunden
(«Behandlingsansvarlig») i forbindelse med levering av tjenesten jille.
Avtalen oppfyller kravene i personvernforordningen (GDPR) artikkel 28.

## 1. Parter

**Behandlingsansvarlig**

- Virksomhet: ____________________
- Organisasjonsnummer: ____________________
- Adresse: ____________________
- Kontaktperson: ____________________
- E-post: ____________________

**Databehandler**

- Virksomhet: medtek KI AS
- Organisasjonsnummer: 932 014 887
- Adresse: ____________________
- Kontaktperson: Erik Hafnor
- E-post: hei@gille.no

## 2. Formål og varighet

Databehandler behandler personopplysninger utelukkende for å levere
tjenesten jille til Behandlingsansvarlig i henhold til Brukervilkårene.
Avtalen gjelder så lenge Behandlingsansvarlig har et aktivt abonnement, og
opphører automatisk når abonnementet termineres.

## 3. Type opplysninger og kategorier av registrerte

**Kategorier av personopplysninger** som behandles inkluderer:

- Konto- og innloggingsdata (e-post, navn, bruker-id)
- Betalingsmetadata (kunde-id, abonnementsstatus, fakturahistorikk)
- Idé- og agentinnhold som Behandlingsansvarlig eller dens brukere mater inn
- E-postpreferanser
- Tekniske loggdata

**Kategorier av registrerte** omfatter ansatte, samarbeidspartnere og andre
som Behandlingsansvarlig oppretter konto eller mater inn opplysninger om i
tjenesten.

## 4. Behandlingsansvarliges instruksjoner

Databehandler skal kun behandle personopplysninger etter dokumenterte
instrukser fra Behandlingsansvarlig, inkludert overføringer til tredjeland,
med mindre annet er pålagt etter EU/EØS-rett eller norsk rett.
Brukervilkårene og denne Avtalen utgjør de stående instruksjonene.

## 5. Konfidensialitet

Databehandler skal sikre at personer som er autorisert til å behandle
personopplysningene har forpliktet seg til konfidensialitet eller er
underlagt en passende lovbestemt taushetsplikt.

## 6. Tekniske og organisatoriske tiltak

Databehandler iverksetter egnede tekniske og organisatoriske tiltak for å
sikre et sikkerhetsnivå tilpasset risikoen, herunder:

- Kryptering av personopplysninger i transit (TLS 1.2+) og ved lagring.
- Tilgangsstyring etter «least privilege»-prinsippet.
- Logging av tilgang til produksjonsmiljø.
- Rutiner for sikker utvikling, kodegjennomgang og avhengighetsoppdatering.
- Periodiske gjenopprettingstester av sikkerhetskopier.
- Beredskap for håndtering av sikkerhetshendelser.

## 7. Underleverandører

Behandlingsansvarlig gir generelt forhåndssamtykke til Databehandlers bruk
av følgende underleverandører:

| Underleverandør | Tjeneste | Lokasjon |
|---|---|---|
| Clerk | Autentisering og brukerkonto | EU/EØS |
| Stripe | Betaling og fakturering | EU/EØS + USA (SCC) |
| Neon | Driftet Postgres-database | EU/EØS |
| Vercel | Hosting og kjøremiljø | EU/EØS + USA (SCC) |
| Resend | Utsending av e-post | EU/EØS + USA (SCC) |
| Anthropic via Vercel AI Gateway | Kjøring av språkmodeller | USA (SCC) |

Databehandler skal varsle Behandlingsansvarlig om planlagte endringer i
underleverandørkjeden minst 30 dager i forkant. Behandlingsansvarlig kan
innen denne fristen gjøre innsigelse på saklig grunnlag.

## 8. Bistand til Behandlingsansvarlig

Databehandler bistår Behandlingsansvarlig med å oppfylle plikter overfor
registrerte, herunder forespørsler om innsyn, retting, sletting og
dataportabilitet, samt med å oppfylle plikter etter GDPR artikkel 32–36
(sikkerhet, brudd, vurdering av personvernkonsekvenser).

## 9. Varsling ved sikkerhetsbrudd

Databehandler skal uten ugrunnet opphold, og senest innen 72 timer etter at
bruddet er kjent, varsle Behandlingsansvarlig skriftlig om sikkerhetsbrudd
som kan påvirke personopplysninger. Varselet skal inneholde all informasjon
som er nødvendig for at Behandlingsansvarlig kan oppfylle sin meldeplikt
overfor Datatilsynet.

## 10. Sletting og tilbakelevering

Ved opphør av Avtalen skal Databehandler, etter Behandlingsansvarliges valg,
slette eller returnere alle personopplysninger og slette eksisterende kopier,
med mindre fortsatt lagring er pålagt etter EU/EØS-rett eller norsk rett
(typisk bokføringspliktige bilag).

## 11. Revisjon og dokumentasjon

Databehandler stiller den dokumentasjonen til disposisjon som er nødvendig
for å påvise etterlevelse av Avtalen. Behandlingsansvarlig kan, med
rimelig varsel og på egen kostnad, gjennomføre revisjoner inntil én gang per
år, eller ved konkret mistanke om brudd.

## 12. Lovvalg og verneting

Avtalen reguleres av norsk rett. Tvister søkes løst i minnelighet, og
bringes ellers inn for Oslo tingrett som avtalt verneting.

## 13. Underskrifter

| For Behandlingsansvarlig | For Databehandler (medtek KI AS) |
|---|---|
| Sted og dato: | Sted og dato: |
| Navn: | Navn: Erik Hafnor |
| Stilling: | Stilling: Daglig leder |
| Signatur: | Signatur: |

---

*Denne malen er et utgangspunkt og erstatter ikke juridisk rådgivning.
Større virksomheter bør få avtalen gjennomgått av egen jurist før signering.*