Databehandleravtale (DPA)

Sist oppdatert: 27. februar 2026

Denne avtalen gjelder mellom Mosaiq AS («Databehandler») og kunden («Behandlingsansvarlig»). Den regulerer behandling av personopplysninger i forbindelse med levering av KonversAI-tjenesten. Kontakt oss på contact@mosaiq.ai for å inngå avtalen formelt.

1Omfang og formål

Denne avtalen regulerer Mosaiq AS («Databehandler») sin behandling av personopplysninger på vegne av Kunden («Behandlingsansvarlig»). Formålet er å levere AI-baserte tjenester som spesifisert i hovedavtalen.

2Instruks og behandling

  • Databehandler skal kun behandle opplysninger i tråd med Kundens dokumenterte instrukser.
  • Behandlingen inkluderer innsamling, analyse og lagring for å levere og forbedre tjenesten.
  • AI-spesifikt: Databehandler kan bruke anonymiserte og aggregerte data for statistikk og forbedring av algoritmer. Personopplysninger skal ikke brukes til å trene modeller på en måte som gjør dataene tilgjengelige for andre kunder.

3Sikkerhet

  • Databehandler skal implementere tekniske og organisatoriske tiltak for å sikre konfidensialitet, integritet og tilgjengelighet (GDPR art. 32).
  • Dette inkluderer kryptering, tilgangsstyring og rutiner for å oppdage sikkerhetsbrudd.
  • Ved brudd på personopplysningssikkerheten skal Kunden varsles uten unødig opphold.

4Underdatabehandlere

  • Kunden samtykker til at Databehandler bruker underleverandører (f.eks. skytjenester som Azure/AWS eller AI-modeller som OpenAI).
  • En oppdatert liste over underdatabehandlere skal være tilgjengelig for Kunden.
  • Nye underleverandører skal varsles på forhånd, og Kunden har rett til å protestere dersom det foreligger saklig grunn knyttet til personvern.

5Overføring til tredjeland

  • Behandling skal skje innenfor EU/EØS og primært Norge.
  • Dersom data overføres til land utenfor EU/EØS, skal Databehandler sikre at gyldig overføringsgrunnlag (f.eks. EUs standardkontrakter) er på plass.

6Revisjon

  • Kunden har rett til å få bekreftet at Databehandler overholder sine forpliktelser.
  • Dette skjer primært ved innsyn i sikkerhetsrapporter og sertifiseringer. Eventuelle omfattende revisjoner utføres for Kundens regning.

7Sletting ved opphør

  • Ved oppsigelse skal Databehandler slette alle personopplysninger innen rimelig tid (standard 30 dager), med mindre lovverket krever videre lagring.
  • Kunden kan be om eksport av data før sletting.

Ønsker du å inngå en databehandleravtale med Mosaiq AS?

Ta kontakt på contact@mosaiq.ai