1. Avtalens parter
Org.nr: [Org.nr]
Adresse: [Adresse]
Kontaktperson: [Navn og e-post]
Org.nr: [Org.nr]
Adresse: [Adresse], Norge
Kontaktperson: kontakt@smartjuss.no
Den behandlingsansvarlige og databehandleren omtales samlet som «partene» og enkeltvis som «parten».
2. Formål og varighet
2.1 Formål
Databehandleren behandler personopplysninger på vegne av den behandlingsansvarlige for å levere SmartJuss-plattformen, som er en juridisk AI-assistent for forvaltningsstøtte. Tjenesten omfatter:
- AI-basert juridisk rådgivning og saksbehandlingsstøtte
- Håndtering og lagring av saksdokumenter
- E-postkommunikasjon via plattformens e-postfunksjon
- Chat-historikk og samlingsvisninger for brukerne
2.2 Varighet
Avtalen gjelder fra signeringsdato og løper så lenge den behandlingsansvarlige benytter SmartJuss sine tjenester. Avtalen opphører automatisk ved avtalens utløp eller oppsigelse av tjenesteavtalen.
3. Beskrivelse av behandlingen
3.1 Kategorier av registrerte
- Ansatte hos den behandlingsansvarlige som bruker plattformen
- Parter i saker der den behandlingsansvarlige benytter plattformen til saksbehandling
3.2 Kategorier av personopplysninger
| Kategori | Eksempler | Sensitivitet |
|---|---|---|
| Kontaktinformasjon | Navn, e-postadresse, brukernavn | Alminnelig |
| Brukerinnhold | Spørsmål til AI, saksbeskrivelser, chat-historikk | Alminnelig / kan inneholde sensitive opplysninger |
| Dokumenter | Opplastede filer og vedlegg | Avhenger av innholdet |
| Tekniske data | IP-adresse, sesjonsinformasjon, tidsstempler | Alminnelig |
| Bruksdata | Pålogginger, handlinger i systemet | Alminnelig |
Merk: Plattformen er ikke tilrettelagt for behandling av særlige kategorier av personopplysninger (GDPR art. 9) som helseopplysninger, straffedommer mv., med mindre den behandlingsansvarlige eksplisitt har avklart dette med databehandleren og supplerende sikkerhetstiltak er på plass.
3.3 Behandlingsoperasjoner
- Innsamling og registrering ved brukeropprettelse og bruk
- Lagring i krypterte databaser og fillagring
- Prosessering via AI-modeller for å generere svar
- Oversending av e-post via e-postleverandør
- Sletting ved brukers eller behandlingsansvarliges forespørsel
4. Databehandlerens plikter
4.1 Instruksjon
Databehandleren skal kun behandle personopplysninger etter dokumentert instruks fra den behandlingsansvarlige. Denne avtalen, sammen med tjenesteavtalen, utgjør slik instruks. Databehandleren skal umiddelbart varsle den behandlingsansvarlige dersom en instruks etter databehandlerens vurdering er i strid med GDPR eller annen personvernlovgivning.
4.2 Konfidensialitet
Databehandleren skal sørge for at alle personer som behandler personopplysningene, er underlagt taushetsplikt. Databehandleren skal ta rimelige tiltak for å sikre at kun autoriserte ansatte har tilgang til personopplysningene.
4.3 Sikkerhet (GDPR art. 32)
Databehandleren har implementert følgende tekniske og organisatoriske sikkerhetstiltak:
- Kryptering under overføring: TLS 1.2/1.3 for all datatrafikk
- Kryptering av lagrede data: Passord hashes med PBKDF2-SHA256 og unik salt per bruker
- Tilgangskontroll: Rollebasert tilgang, HttpOnly-sesjonscookies med kort levetid
- Nettverksbeskyttelse: Cloudflare WAF, DDoS-beskyttelse, og rate-limiting
- Logging og overvåking: Systemhendelser logges med tidsstempler
- Størrelsesbegrensning: Forespørsler begrenses til 1 MB for å forhindre misbruk
- Sikkerhetshoder: HSTS, CSP, X-Frame-Options, Referrer-Policy på alle svar
4.4 Bistand til den behandlingsansvarlige
Databehandleren skal bistå den behandlingsansvarlige med å overholde forpliktelsene etter GDPR art. 32–36, herunder:
- Besvare forespørsler om innsyn, retting, sletting og dataportabilitet
- Varsle om avvik (brudd på personopplysningssikkerheten)
- Bistå ved konsekvensutredning (DPIA) dersom relevant
4.5 Dataportabilitet
Den behandlingsansvarlige kan til enhver tid eksportere all brukerdata i maskinlesbart JSON-format via endepunktet GET /api/user/export (krever innlogging). Eksporten inneholder profil, saker, samtaler, e-poster, dokumentmetadata og innstillinger.
5. Bruk av underdatabehandlere
Den behandlingsansvarlige gir herved en generell skriftlig tillatelse til at databehandleren kan benytte underdatabehandlere. Databehandleren er ansvarlig for at underdatabehandlerne oppfyller krav tilsvarende denne avtalen.
Følgende underdatabehandlere benyttes per avtaledato:
| Underdatabehandler | Land | Formål | Overføringsgrunnlag |
|---|---|---|---|
| Cloudflare, Inc. | USA (EU-noder) | Hosting, CDN, database (D1/KV/R2), DDoS-beskyttelse | EU Standard Contractual Clauses (SCCs) |
| Google LLC | EU (europe-west1, Belgia) | AI-prosessering via Google Vertex AI (Gemini 2.5 Flash). Data brukes ikke til modelltrening. Dekket av Google Cloud databehandleravtale (DPA). | Google Cloud DPA + EU Standard Contractual Clauses (SCCs) |
| Resend, Inc. | USA | Transaksjonell e-postlevering | EU Standard Contractual Clauses (SCCs) |
| Stripe, Inc. | USA | Betalingsprosessering (kun betalingsdata) | EU Standard Contractual Clauses (SCCs) |
Varsling ved endringer: Databehandleren skal varsle den behandlingsansvarlige minst 30 dager før en ny underdatabehandler tas i bruk eller eksisterende erstattes. Den behandlingsansvarlige kan i denne perioden innvende mot endringen.
5.1 Overføring til tredjeland
Overføring av personopplysninger til underdatabehandlere utenfor EU/EØS skjer kun på grunnlag av Standard Contractual Clauses godkjent av EU-kommisjonen (2021/914/EU), supplert av eventuelle tilleggstiltak i henhold til Schrems II-dommen.
6. Avvikshåndtering og bruddvarsling
6.1 Varsling
Ved brudd på personopplysningssikkerheten skal databehandleren uten ugrunnet opphold — og senest innen 36 timer etter å ha fått kjennskap til bruddet — varsle den behandlingsansvarlige skriftlig på e-post til den kontaktpersonen som er oppgitt i punkt 1.
6.2 Innhold i varselet
Varselet skal så langt mulig inneholde:
- En beskrivelse av arten av bruddet
- Kategoriene og det omtrentlige antallet av registrerte og poster som er berørt
- Sannsynlige konsekvenser av bruddet
- Tiltak som er iverksatt eller foreslås for å håndtere bruddet
6.3 Bistand til Datatilsynet
Databehandleren skal bistå den behandlingsansvarlige med å gi melding til Datatilsynet (GDPR art. 33) og eventuell underretning til de registrerte (GDPR art. 34) dersom den behandlingsansvarlige beslutter dette.
7. Sletting og tilbakelevering av data
7.1 Sletting ved avtalens opphør
Innen 30 dager etter at tjenesteavtalen er avsluttet, skal databehandleren slette alle personopplysninger som er behandlet på vegne av den behandlingsansvarlige, med mindre annen lovgivning krever at opplysningene oppbevares.
7.2 Eksport før sletting
Den behandlingsansvarlige kan kreve utlevering av alle personopplysninger i maskinlesbart format (JSON) innen rimelig frist før slettingen gjennomføres.
7.3 Bekreftelse
Databehandleren skal på forespørsel skriftlig bekrefte at slettingen er gjennomført.
7.4 Løpende sletting
Automatisert sletting av inaktive brukerkontoer skjer ikke. Sletting initieres av brukeren selv (selvbetjening) eller ved forespørsel til databehandleren.
8. Revisjon og innsyn
8.1 Rett til revisjon
Den behandlingsansvarlige har rett til å gjennomføre, eller la en uavhengig tredjepart gjennomføre, revisjon av databehandlerens behandling av personopplysningene. Slik revisjon skal varsles skriftlig minst 30 dager i forveien, gjennomføres innenfor normal arbeidstid og på den behandlingsansvarliges kostnad.
8.2 Dokumentasjon
Databehandleren skal stille til rådighet all dokumentasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen overholdes, herunder tekniske og organisatoriske sikkerhetstiltak.
8.3 Tredjepartsrevisjoner
Databehandleren kan som alternativ til separat revisjon fremlegge oppdaterte sertifikater fra anerkjente revisjonsordninger (ISO 27001, SOC 2 Type II e.l.) dersom slike foreligger.
9. Den behandlingsansvarliges plikter
Den behandlingsansvarlige er ansvarlig for at:
- Det finnes et rettslig grunnlag for behandlingen av personopplysninger, jf. GDPR art. 6
- De registrerte er informert om behandlingen, jf. GDPR art. 13/14
- Nødvendig behandlingsgrunnlag foreligger ved behandling av særlige kategorier (art. 9) dersom dette er aktuelt
- Opplysningene som legges inn i systemet er relevante og ikke unødvendige for formålet
- Brukertilgang administreres løpende og deaktiveres ved fratreden
10. Ansvar og erstatning
Partene er ansvarlige for tap forårsaket av brudd på GDPR i samsvar med GDPR art. 82. Databehandleren er fritatt for ansvar dersom vedkommende godtgjør at vedkommende ikke er ansvarlig for den hendelsen som forårsaket skaden.
Databehandlerens samlede erstatningsansvar overfor den behandlingsansvarlige for ett kalenderår er begrenset til det beløpet den behandlingsansvarlige har betalt for tjenesten i de siste 12 månedene, med mindre skaden er forårsaket av grov uaktsomhet eller forsett.
11. Lovvalg og tvisteløsning
Denne avtalen er underlagt norsk rett. Tvister som oppstår i forbindelse med avtalen, skal søkes løst gjennom forhandlinger. Dersom forhandlinger ikke fører frem, er Oslo tingrett verneting.
12. Signaturer
Denne avtalen er inngått i to eksemplarer, ett til hver av partene. Avtalen trer i kraft fra signeringsdato.