Databehandlingsavtal (DPA)

Senast uppdaterad: 27 februari 2026

Detta avtal gäller mellan Mosaiq AS («Personuppgiftsbiträde») och kunden («Personuppgiftsansvarig»). Det reglerar behandling av personuppgifter i samband med leverans av KonversAI-tjänsten. Kontakta oss på contact@mosaiq.ai för att ingå avtalet formellt.

1Omfattning och ändamål

Detta avtal reglerar Mosaiq AS:s («Personuppgiftsbiträde») behandling av personuppgifter för Kundens räkning («Personuppgiftsansvarig»). Syftet är att leverera AI-baserade tjänster enligt specifikationen i huvudavtalet.

2Instruktion och behandling

  • Personuppgiftsbiträdet får bara behandla uppgifter i enlighet med Kundens dokumenterade instruktioner.
  • Behandlingen inkluderar insamling, analys och lagring för att leverera och förbättra tjänsten.
  • AI-specifikt: Personuppgiftsbiträdet kan använda anonymiserade och aggregerade data för statistik och förbättring av algoritmer. Personuppgifter får inte användas för att träna modeller på ett sätt som gör uppgifterna tillgängliga för andra kunder.

3Säkerhet

  • Personuppgiftsbiträdet ska implementera tekniska och organisatoriska åtgärder för att säkerställa konfidentialitet, integritet och tillgänglighet (GDPR art. 32).
  • Detta inkluderar kryptering, åtkomstkontroll och rutiner för att upptäcka säkerhetsintrång.
  • Vid personuppgiftsincident ska Kunden meddelas utan onödigt dröjsmål.

4Underbiträden

  • Kunden godkänner att Personuppgiftsbiträdet använder underleverantörer (t.ex. molntjänster som Azure/AWS eller AI-modeller som OpenAI).
  • En uppdaterad lista över underbiträden ska vara tillgänglig för Kunden.
  • Nya underleverantörer meddelas i förväg, och Kunden har rätt att invända om det finns saklig grund kopplad till dataskydd.

5Överföring till tredjeland

  • Behandling ska ske inom EU/EES och primärt Norge.
  • Om data överförs till länder utanför EU/EES ska Personuppgiftsbiträdet säkerställa att giltigt överföringsunderlag (t.ex. EU:s standardavtalsklausuler) finns på plats.

6Revision

  • Kunden har rätt att bekräfta att Personuppgiftsbiträdet uppfyller sina skyldigheter.
  • Detta sker primärt via insyn i säkerhetsrapporter och certifieringar. Eventuella omfattande revisioner utförs på Kundens bekostnad.

7Radering vid upphörande

  • Vid upphörande ska Personuppgiftsbiträdet radera alla personuppgifter inom skälig tid (standard 30 dagar), om inte lagstiftningen kräver fortsatt lagring.
  • Kunden kan begära export av data innan radering.

Vill du ingå ett databehandlingsavtal med Mosaiq AS?

Kontakta oss på contact@mosaiq.ai