Databehandleravtale
Sist oppdatert: 12. mars 2026
Denne databehandleravtalen ("Avtalen") regulerer behandling av personopplysninger mellom kunden ("Behandlingsansvarlig") og Preik ("Databehandler") i henhold til GDPR art. 28. Avtalen utgjør en integrert del av vilkårene for bruk.
1. Formål og omfang
Databehandler behandler personopplysninger utelukkende for å levere AI-chatbot-tjenesten til Behandlingsansvarlig, herunder:
• Mottak og prosessering av chat-meldinger fra sluttbrukere
• Generering av AI-svar basert på Behandlingsansvarligs innhold
• Lagring av samtalehistorikk for tjenesteleveranse
• Analytisk innsikt i samtalemønstre (anonymisert)
2. Kategorier av personopplysninger
Følgende personopplysninger behandles:
• Chat-meldinger: Tekstinnhold sendt av sluttbrukere
• Sesjons-ID: Anonymisert identifikator for samtaleflyt
• Teknisk data: IP-adresse og brukeragent (for sikkerhet og hastighetsbegrensning)
• Tidsstempler: Tidspunkt for meldinger
Kategorier av registrerte: Sluttbrukere som benytter chat-widgeten på Behandlingsansvarligs nettside.
3. Databehandlers plikter
Databehandler forplikter seg til å:
• Kun behandle personopplysninger etter dokumentert instruks fra Behandlingsansvarlig (GDPR art. 28(3)(a))
• Sikre at personer med tilgang til personopplysningene er underlagt taushetsplikt (art. 28(3)(b))
• Iverksette nødvendige tekniske og organisatoriske sikkerhetstiltak (art. 28(3)(c), art. 32)
• Ikke benytte underleverandører uten forhåndsgodkjenning fra Behandlingsansvarlig (art. 28(2))
• Bistå Behandlingsansvarlig med å oppfylle registrertes rettigheter (art. 28(3)(e))
• Bistå med etterlevelse av art. 32-36 (sikkerhet, konsekvensanalyse, forhåndsdrøfting) (art. 28(3)(f))
• Slette eller returnere alle personopplysninger ved opphør av avtalen (art. 28(3)(g))
• Gi Behandlingsansvarlig tilgang til nødvendig informasjon for å påvise etterlevelse (art. 28(3)(h))
4. Sikkerhetstiltak
Databehandler har implementert følgende sikkerhetstiltak:
• Kryptering: TLS 1.2+ for all data i transit, AES-256 for data i ro
• Tilgangskontroll: Rollebasert tilgang med Row-Level Security (RLS) i databasen
• Autentisering: Sikker sesjonshåndtering med Supabase Auth
• Hastighetsbegrensning: Beskyttelse mot misbruk på alle endepunkter
• Revisjonslogg: Logging av alle administrative handlinger
• SSRF-beskyttelse: Validering av alle eksterne URL-er
• Sikkerhetshoder: CSP, HSTS, X-Frame-Options på alle svar
5. Underleverandører
Behandlingsansvarlig godkjenner herved bruk av følgende underleverandører. Databehandler skal varsle Behandlingsansvarlig minst 30 dager før endringer i underleverandører.
| Leverandør | Formål | Lokasjon | Overføringsmekanisme |
|---|---|---|---|
| OpenAI | AI-modell (GPT-4o-mini) | USA | EU-US DPF + SCCs |
| Google Cloud (Vertex AI) | Reserve AI-modell (Gemini) | EU | EU-basert |
| Supabase | Database og autentisering | EU (Frankfurt) | EU-basert |
| Vercel | Hosting og serverløs kjøring | Global (edge) | SCCs |
| Resend | E-postutsending | USA | SCCs |
| Upstash | Hastighetsbegrensning | EU (Frankfurt) | EU-basert |
| Firecrawl | Nettskraping for innholdsimport | USA | SCCs |
6. Lagringstid og sletting
Personopplysninger slettes automatisk etter følgende perioder:
• Chat-samtaler: 90 dager
• Kontakthenvendelser: 180 dager
• Kredittlogg: 365 dager
Ved opphør av avtalen slettes alle personopplysninger innen 30 dager, med mindre Behandlingsansvarlig ber om eksport av data. Sletting bekreftes skriftlig på forespørsel.
7. Bistand ved registrertes rettigheter
Databehandler bistår Behandlingsansvarlig med å oppfylle forespørsler fra registrerte om innsyn, retting, sletting, dataportabilitet, begrensning og protest.
Henvendelser fra registrerte som mottas direkte av Databehandler videresendes til Behandlingsansvarlig uten ugrunnet opphold.
Behandlingsansvarlig kan slette samtaler via administrasjonspanelet eller ved å kontakte hei@preik.ai.
8. Sikkerhetsbrudd
Ved brudd på personopplysningssikkerheten skal Databehandler varsle Behandlingsansvarlig uten ugrunnet opphold, og senest innen 48 timer etter at bruddet ble oppdaget (GDPR art. 33).
Varselet skal inneholde:
• Beskrivelse av bruddet og hvilke data som er berørt
• Antall registrerte og dataposter som er berørt
• Kontaktinformasjon for ansvarlig hos Databehandler
• Sannsynlige konsekvenser av bruddet
• Tiltak som er iverksatt eller planlagt for å håndtere bruddet
9. Overføring til tredjeland
Overføring av personopplysninger til land utenfor EU/EØS skjer kun til underleverandører oppført i punkt 5, og er beskyttet gjennom:
• EU-US Data Privacy Framework (DPF) for sertifiserte selskaper
• EUs standardkontraktsklausuler (SCCs) der DPF ikke gjelder
• Tilleggsgarantier (TIA) der påkrevd etter Schrems II
10. Varighet og opphør
Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Ved opphør gjelder punkt 6 om sletting.
11. Kontakt
For spørsmål om denne avtalen, kontakt oss på hei@preik.ai