/ legal / databehandleravtale / v1.0 / 23 april 2026

Databehandler­avtale

Denne avtalen regulerer Solidlabs behandling av personopplysninger på vegne av deg som kunde — etter GDPR artikkel 28. Den er integrert del av Tjenesteavtalen og går foran ved motstrid.

/ 01Avtalens parter

Behandlingsansvarlig

Kunden som har inngått Tjenesteavtalen med Databehandler. Den personen som har inngått Tjenesteavtalen på vegne av Kunden anses som kontaktperson.

Databehandler

/ selskap
Stå på Pinne AS (merkenavn: Solidlab)
/ org.nr
935 233 488
/ adresse
Tunveien 13, 4016 Stavanger
/ kontakt
Ulrik Gjellesvik Andresen, daglig leder
/ telefon
+47 400 93 494
/ e-post
legal@solidlab.ai

Behandlingsansvarlig og Databehandler omtales enkeltvis som "Part" og i fellesskap som "Partene".

/ 02Bakgrunn og formål

Databehandler leverer tjenestene beskrevet i Tjenesteavtalen. Utføringen innebærer at Databehandler vil Behandle Personopplysninger på vegne av Behandlingsansvarlig. Kunden bestemmer formålet og hvilke midler som skal benyttes.

Formålet med Databehandleravtalen:

  • regulere partenes rettigheter og plikter ved behandling av personopplysninger
  • sikre etterlevelse av Personvernlovgivningen og GDPR
  • sikre at personopplysninger ikke behandles urettmessig eller til andre formål enn det avtalen fastsetter

Ved motstrid mellom denne avtalen og andre avtaler, herunder Tjenesteavtalen, går Databehandleravtalen foran.

/ 03Definisjoner

  • "Databehandleravtalen" — bestemmelsene i denne avtalen med vedlegg.
  • "Personopplysning" — alle typer opplysninger som anses som personopplysninger etter Personvernlovgivningen og GDPR. Omfatter opplysningene i Vedlegg 1.
  • "Behandling" — enhver bruk av personopplysninger: innsamling, lagring, organisering, endring, utlevering, overføring.
  • "GDPR" — EU-forordning 2016/679 av 27. april 2016.
  • "Personvernlovgivning" — lov om behandling av personopplysninger av 15. juni 2018 nr. 38 med forskrift.
  • "Lov" — enhver annen gjeldende lovgivning partene er underlagt.
  • "Underdatabehandler" — andre databehandlere Databehandler bruker.
  • "De registrerte" — enhver identifisert eller identifiserbar person opplysningene knytter seg til.

/ 04Generelt

Partene skal behandle personopplysninger i samsvar med Personvernlovgivningen, GDPR og denne avtalen. Databehandler skal kun behandle opplysninger i den utstrekning det er nødvendig for å oppfylle Tjenesteavtalen og Databehandleravtalen. Behandlingsansvarlig må sikre at det finnes lovlig grunnlag for behandlingen.

/ 05Instruksjonsmyndighet

Databehandler skal kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig. Databehandler kan også behandle opplysninger hvis det kreves etter Lov som Databehandler er underlagt, og skal da varsle Behandlingsansvarlig i forkant, med mindre Loven forbyr slik informasjon av hensyn til allmenn interesse.

Instruksene er fastsatt av denne avtalen med vedlegg. Vedlegg 1 beskriver hvilke kategorier personopplysninger som behandles og formålet. Partene skal umiddelbart varsle hverandre dersom instrukser eller krav anses å være i strid med Personvernlovgivningen eller GDPR.

/ 06Plikt til å bistå

Idet det tas hensyn til behandlingens art og tilgjengelig informasjon, skal Databehandler bistå Behandlingsansvarlig med å oppfylle forpliktelsene i GDPR artikkel 32–36. Dette omfatter bistand ved vurdering av personvernkonsekvenser og forhåndsdrøftelser.

/ 07Personopplysningssikkerhet

Databehandler skal oppfylle krav til informasjonssikkerhet etter Personvernlovgivningen og GDPR, herunder gjennomføre egnede tekniske og organisatoriske tiltak i tråd med GDPR artikkel 32.

Tiltakene er beskrevet i Vedlegg 2. Databehandler etterlever prinsippene om innebygd personvern og dataminimering — systemene er utformet slik at mengden personopplysninger som behandles begrenses til det som er nødvendig.

/ 08Underdatabehandlere

Dersom Databehandler engasjerer en underdatabehandler, pålegges denne de samme forpliktelsene som fastsatt i denne avtalen gjennom avtale eller annet rettslig dokument. Databehandler er overfor Behandlingsansvarlig fullt ut ansvarlig for at underdatabehandler oppfyller sine forpliktelser.

De underdatabehandlere som benyttes fremgår av Vedlegg 3 og på solidlab.ai/legal/subprocessors. Behandlingsansvarlig aksepterer bruken av disse.

Ved bruk av nye underdatabehandlere skal Databehandler varsle Behandlingsansvarlig minst 30 dager før de tas i bruk. Behandlingsansvarlig har rett til å motsette seg bruk innen varslingsfristen.

/ 09Overføring til utlandet

Databehandler kan overføre personopplysninger til de land der Databehandler og underdatabehandlerne driver virksomhet, som angitt i Vedlegg 3. Primær lagring skjer innenfor EU/EØS.

Databehandler skal ikke overføre personopplysninger til land utenfor EU/EØS eller til internasjonal organisasjon uten at overføringen skjer i tråd med GDPR kapittel V — gjennom Standard Contractual Clauses (SCC), adequacy decisions eller EU-US Data Privacy Framework.

Databehandleren forplikter seg til å vurdere beskyttelsesnivået i tredjeland og iverksette supplerende tiltak for å sikre tilsvarende beskyttelsesnivå som i EU/EØS.

/ 10Registrertes rettigheter

Behandlingsansvarlig er kontaktpunkt for De registrerte og gir nødvendig informasjon om behandlingen. Behandlingsansvarlig er ansvarlig for å håndtere anmodninger om innsyn, retting, sletting, begrensning, dataportabilitet mv.

Databehandler skal, med egnede tekniske og organisatoriske tiltak, bistå Behandlingsansvarlig med å svare på anmodninger etter GDPR kapittel III. Dersom Databehandler mottar en forespørsel direkte fra Den registrerte, skal Databehandler snarest mulig varsle Behandlingsansvarlig.

/ 11Avvikshåndtering og varsling

Enhver bruk av informasjonssystemer i strid med fastlagte rutiner, instrukser, Personvernlovgivningen eller GDPR, samt ethvert sikkerhetsbrudd, håndteres som avvik.

Partene skal, så snart de får kunnskap om et avvik, uten ugrunnet opphold og senest innen 36 timer, informere hverandre og iverksette nødvendige tiltak for å gjenopprette normaltilstand.

Behandlingsansvarlig er ansvarlig for å sende avviksmelding til Datatilsynet og De registrerte etter GDPR artikkel 33 og 34. Databehandler skal bistå om nødvendig.

/ 12Revisjon og inspeksjon

Databehandler skal gjøre tilgjengelig all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene etter avtalen. Databehandler skal muliggjøre og bidra til revisjoner som gjennomføres av Behandlingsansvarlig eller annen inspektør på fullmakt.

Behandlingsansvarlig har rett til å gjennomføre revisjoner på egen kostnad, maksimalt én gang i året, med fire ukers forhåndsvarsel.

/ 13Konfidensialitet

Databehandler har taushetsplikt om personopplysninger og dokumentasjon Databehandler får tilgang til gjennom avtalen. Taushetsplikten gjelder også etter avtalens opphør.

Databehandler skal ikke utlevere eller gi tilgang til personopplysninger til andre enn egne ansatte, underdatabehandlere eller ansatte hos Behandlingsansvarlig, uten at dette er skriftlig avtalt eller følger av lov. Databehandler skal sikre at personer med tilgang er forpliktet til konfidensialitet.

/ 14Varighet

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

/ 15Opphør

Ved avtalens opphør skal Databehandler levere tilbake alle personopplysninger i et format egnet for videre behandling, eller slette dem etter Behandlingsansvarliges skriftlige instruks. Sletting skal dokumenteres skriftlig innen rimelig tid.

Unntak gjelder dersom Personvernlovgivningen, GDPR eller Lov krever videre oppbevaring (f.eks. bokføringsloven).

Databehandler er kun ansvarlig for tap som skyldes egne feil eller forsømmelser. Databehandler holdes ikke ansvarlig for indirekte tap — tapt fortjeneste, følgeskader — med mindre tapet skyldes forsett eller grov uaktsomhet.

/ 16Lovvalg

Avtalen er underlagt norsk rett. Partene vedtar Stavanger tingrett som verneting.

/ 17Vedlegg

Vedlegg 1 — Personopplysninger og formål

Behandlingen omfatter personopplysninger knyttet til Behandlingsansvarliges brukere og kunder:

  • Identifikasjon: navn, e-post, telefon, brukernavn
  • Kontoinformasjon: hashede passord, sesjonsdata, brukerpreferanser
  • Teknisk metadata: IP-adresse, enhet, tidsstempel, nettleser
  • Brukergenerert innhold: data, bilder, tekst, dokumenter som brukere laster opp eller oppretter
  • Kommunikasjon: innhold i meldinger, supporthenvendelser, e-post

Enkelte tjenester kan omfatte sensitive personopplysninger etter GDPR artikkel 9 dersom brukere selv velger å legge inn slikt innhold. Databehandler foretar ingen egen klassifisering av sensitive opplysninger utover det som følger av instruks.

Formål: å levere avtalte tjenester — drift, support, feilsøking, sikkerhet, og AI-funksjonalitet der aktivert. Ingen opplysninger behandles til egne formål hos Databehandler.

Vedlegg 2 — Tekniske og organisatoriske sikkerhetstiltak

Sikkerhetstiltak i tråd med GDPR artikkel 32:

  • Kryptering ved lagring (AES-256) og overføring (TLS 1.3)
  • Segmentert infrastruktur med nettverksisolasjon og brannmurer
  • Tilgangsstyring etter minste privilegium, rollebasert
  • Tofaktorautentisering for alle administrative tilganger
  • Kontinuerlig logging av relevante systemhendelser og tilgangsforsøk
  • Sikkerhetskopiering med testede gjenopprettingsrutiner
  • Pseudonymisering der det er hensiktsmessig
  • Beskyttelse mot ondsinnet programvare og DDoS-angrep
  • Regelmessig gjennomgang av tilgangsrettigheter
  • Opplæring av personell med tilgang til personopplysninger
  • Rutiner for avvikshåndtering og sikkerhetsvarsling
  • Leverandørkontroll ved bruk av underdatabehandlere

Tiltakene vurderes og oppdateres kontinuerlig i tråd med teknologisk utvikling og trusselbildet.

Vedlegg 3 — Underdatabehandlere

Komplett og oppdatert oversikt — med tjenester og lokasjon — finnes på solidlab.ai/legal/subprocessors.

Per signeringsdato omfatter listen blant annet Vercel, Supabase (EU), AWS Ireland, Stripe, Resend, Cloudflare, Anthropic, Google og Sentry.