Tilbake til forsiden
GDPR artikkel 28

Databehandleravtale

Avtale om behandling av personopplysninger mellom kunden og AIX2

Om denne avtalen

Denne databehandleravtalen regulerer AIXHUB AS (AIX2) sin behandling av personopplysninger på vegne av kunden ved bruk av AIX2-plattformen. Avtalen utgjør et tillegg til tjenesteavtalen mellom partene og oppfyller kravene i GDPR artikkel 28.

Denne avtalen aktiveres automatisk når du tar i bruk AIX2-plattformen og behandler personopplysninger via tjenesten.

1. Parter

Behandlingsansvarlig (Kunden): Den juridiske enheten som har inngått avtale om bruk av AIX2-plattformen.

Databehandler: AIXHUB AS, org.nr. 936 482 775 (heretter «AIX2» eller «Databehandler»).

2. Bakgrunn og formål

Databehandler leverer AIX2-plattformen, en B2B-salgsplattform som gir kunden tilgang til bedriftsinformasjon, kontaktberikelse og e-postutsendelse. I den forbindelse behandler Databehandler personopplysninger på vegne av Behandlingsansvarlig, i samsvar med personvernforordningen (GDPR) artikkel 28.

3. Omfang og kategorier

3.1 Kategorier av registrerte

  • Kundens brukere (ansatte med tilgang til plattformen)
  • Kontaktpersoner hos kundens prospekter og leads
  • Styremedlemmer og daglige ledere i selskaper registrert i offentlige registre

3.2 Kategorier av personopplysninger

  • Kontaktopplysninger (navn, e-postadresse, telefonnummer)
  • Stillingsinformasjon og firmatilknytning
  • E-postinnhold (ved tilkobling av e-postkonto)
  • Teknisk brukerdata (innlogging, handlinger i plattformen)

Det behandles ikke særlige kategorier av personopplysninger (sensitive personopplysninger) som definert i GDPR artikkel 9.

3.3 Behandlingens art og formål

Behandlingsaktivitet Formål
Lagring av brukerkontoerGi brukeren tilgang til plattformen
Kontaktberikelse (e-postfunn)Finne kontaktinformasjon til prospekter via offentlige kilder
E-postutsending og -synkroniseringSende og motta e-post på vegne av brukeren
AI-analyse av bedriftsdataGenerere bedriftsprofiler og kvalifisere leads
Lagring av e-posttilkoblingerOpprettholde integrering med brukerens e-postkonto

4. Databehandlers plikter

Databehandler skal:

  • Kun behandle personopplysninger i henhold til dokumenterte instrukser fra Behandlingsansvarlig, med mindre behandling kreves etter EU-rett eller norsk rett
  • Sikre at autoriserte personer har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt
  • Treffe alle tiltak som kreves etter GDPR artikkel 32 (sikkerhet ved behandling)
  • Respektere vilkårene for bruk av underleverandører (underdatabehandlere), jf. punkt 6
  • Bistå Behandlingsansvarlig med å oppfylle sin plikt til å svare på henvendelser om utøvelse av den registrertes rettigheter
  • Bistå Behandlingsansvarlig med å overholde forpliktelsene etter GDPR artikkel 32–36
  • Etter Behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger etter at tjenestene er avsluttet
  • Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen er overholdt, samt muliggjøre og bidra til revisjoner

5. Sikkerhetstiltak

Databehandler har implementert tekniske og organisatoriske tiltak for å sikre et tilstrekkelig sikkerhetsnivå:

  • Kryptering i transit: All kommunikasjon over HTTPS/TLS 1.2+
  • Kryptering av sensitiv data: E-postkredentialer og tokens kryptert med AES-256-CBC
  • Passord: Kryptert med bcrypt
  • Tilgangskontroll: Rollebasert tilgangsstyring (eier, administrator, bruker)
  • Autentisering: OAuth 2.0 med state-validering for e-posttilkoblinger
  • Inputvalidering: Beskyttelse mot injeksjonsangrep (XSS, SQL-injeksjon)
  • Dataminimering: Kun nødvendig data samles inn og behandles
  • Logging: Sporbarhet på handlinger i plattformen
  • Backup: Daglig sikkerhetskopiering av database

6. Bruk av underleverandører

Behandlingsansvarlig gir Databehandler en generell skriftlig godkjennelse til å benytte underleverandører (underdatabehandlere).

Databehandler skal:

  • Føre en oppdatert oversikt over alle underleverandører på www.aix2.no/underleverandorer
  • Varsle Behandlingsansvarlig minst 30 dager før planlagte endringer i bruk av underleverandører
  • Inngå databehandleravtaler med alle underleverandører som pålegger dem de samme forpliktelsene som følger av denne avtalen

Behandlingsansvarlig har rett til å motsette seg endringer i bruk av underleverandører. Ved uenighet kan Behandlingsansvarlig si opp tjenesteavtalen uten ekstra kostnad.

7. Overføring til tredjeland

All primær datalagring skjer innenfor EU/EØS (Stockholm, Sverige).

For tjenester som behandler data utenfor EU/EØS (Google Gemini API, OpenAI API, SerpAPI), er det inngått Standard Contractual Clauses (SCCs) i henhold til EU-kommisjonens gjennomføringsbeslutning 2021/914, samt tilleggstiltak der dette er påkrevd (kryptering, dataminimering).

8. Varsling ved sikkerhetsbrudd

Databehandler skal uten ugrunnet opphold, og senest innen 48 timer, varsle Behandlingsansvarlig etter å ha blitt kjent med et brudd på personopplysningssikkerheten. Varselet skal inneholde beskrivelse av bruddets art, berørte kategorier og antall registrerte, sannsynlige konsekvenser, samt tiltak som er truffet eller foreslås.

Databehandler skal bistå Behandlingsansvarlig med å oppfylle varslingsplikt overfor Datatilsynet (GDPR art. 33) og de registrerte (GDPR art. 34).

9. Bistand ved utøvelse av rettigheter

Databehandler skal bistå Behandlingsansvarlig med å oppfylle henvendelser fra registrerte om innsyn, retting, sletting, begrensning av behandling, dataportabilitet og innsigelse. Slik bistand ytes uten ugrunnet opphold og senest innen 10 virkedager.

10. Taushetsplikt

Databehandler og dennes ansatte har taushetsplikt om personopplysninger og sikkerhetstiltak som de får tilgang til under denne avtalen. Taushetsplikten gjelder også etter avtalens opphør.

11. Sletting og tilbakelevering

Ved opphør av tjenesteavtalen skal Databehandler, etter Behandlingsansvarliges valg, enten slette eller tilbakelevere alle personopplysninger i et maskinlesbart format (JSON eller CSV). Dette gjennomføres innen 60 dager etter opphør, og backup-kopier slettes senest innen 90 dager. Data som må oppbevares etter lov (f.eks. bokføringsdata) unntas, men behandles ikke til andre formål.

12. Revisjon og etterlevelse

Behandlingsansvarlig, eller en uavhengig tredjepart, har rett til å gjennomføre revisjoner for å verifisere at Databehandler overholder denne avtalen. Revisjon varsles minimum 30 dager i forkant. Databehandler skal gi tilgang til relevant dokumentasjon og samarbeide fullt ut ved gjennomføringen.

13. Ansvar og erstatning

Partenes ansvar følger av GDPR artikkel 82 og gjeldende norsk rett. Databehandler er ansvarlig for skade som oppstår som følge av behandling i strid med denne avtalen eller GDPR. Databehandlers samlede erstatningsansvar er begrenset til det beløp Behandlingsansvarlig har betalt for tjenesten de siste 12 månedene forut for hendelsen. Begrensningen gjelder ikke ved forsett eller grov uaktsomhet.

14. Lovvalg og varighet

Avtalen er underlagt norsk rett. Tvister søkes løst gjennom forhandlinger, og ved uenighet avgjøres de ved de alminnelige domstoler.

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og opphører automatisk når all behandling er avsluttet og personopplysningene er slettet eller tilbakelevert i henhold til punkt 11.

15. Kontakt

Henvendelser knyttet til denne avtalen rettes til:
AIXHUB AS
E-post: personvern@aix2.no
Nettside: www.aix2.no

Sist oppdatert: 03.06.2026