Databehandleravtale (DPA)
Mal for signering. Felter i [klammer] fylles ut av institusjonen ved inngåelse. Ikke juridisk rådgivning.
Denne databehandleravtalen («Avtalen») inngås mellom [institusjonens navn], org.nr [org.nr] («Behandlingsansvarlig») og Lukas Thrane (enkeltpersonforetak), org.nr 936 043 925, Vegamot 1N, 7049 Trondheim («Databehandler», «Graidable»). Avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av Graidable, jf. personvernforordningen (GDPR) art. 28.
1. Formål og omfang
Databehandler behandler personopplysninger kun for å levere Graidable-tjenesten (KI-støttet utkast til vurdering og tilbakemelding) og kun etter Behandlingsansvarliges dokumenterte instrukser, slik de fremgår av denne Avtalen og hovedavtalen/vilkårene. Databehandler skal ikke behandle opplysningene til egne formål.
2. Varighet
Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og opphører når behandlingen avsluttes og opplysningene er slettet/returnert (jf. punkt 9).
3. Behandlingens art, kategorier og registrerte
Art og formål, kategorier av personopplysninger og registrerte fremgår av Vedlegg A. Behandlingen omfatter bl.a. studentbesvarelser, identifikatorer og vurderingsdata.
4. Databehandlers plikter
Databehandler skal:
- behandle personopplysninger kun etter dokumenterte instrukser, og varsle dersom en instruks anses å være i strid med personvernregelverket;
- sikre at personer med tilgang har taushetsplikt;
- iverksette egnede tekniske og organisatoriske tiltak etter GDPR art. 32 (se Vedlegg B);
- bistå Behandlingsansvarlig med å oppfylle plikter knyttet til de registrertes rettigheter, sikkerhet, personvernkonsekvensvurderinger (art. 35) og forhåndsdrøfting (art. 36);
- ikke bruke kunde- eller studentinnhold til å trene KI-modeller, og kontraktsfeste det samme overfor underdatabehandlere.
5. Brudd på personopplysningssikkerheten
Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig etter å ha blitt kjent med et brudd, og bistå med nødvendig informasjon slik at Behandlingsansvarlig kan oppfylle sin varslingsplikt etter art. 33–34.
6. Underdatabehandlere
Behandlingsansvarlig gir generell forhåndsgodkjenning til bruk av underdatabehandlerne i Vedlegg A. Databehandler skal pålegge underdatabehandlere tilsvarende forpliktelser som i denne Avtalen, og varsle Behandlingsansvarlig om planlagte endringer (nye eller utskiftede underdatabehandlere) i rimelig tid, slik at Behandlingsansvarlig kan motsette seg endringen.
7. Overføring til tredjeland
Lagrings- og OCR-kjeden er konfigurert innenfor EU/EØS. Ved overføring utenfor EØS (f.eks. enkelte LLM-leverandører) skal det foreligge et gyldig overføringsgrunnlag, normalt EUs standardvilkår (SCC) med nødvendige tilleggstiltak.
8. Revisjon og tilsyn
Databehandler skal gjøre tilgjengelig nødvendig informasjon for å dokumentere etterlevelse av art. 28, og muliggjøre og bidra til revisjoner, herunder inspeksjoner, utført av Behandlingsansvarlig eller en revisor utpekt av denne.
9. Retur og sletting
Ved avslutning av tjenesten skal Databehandler, etter Behandlingsansvarliges valg, slette eller returnere alle personopplysninger og slette eksisterende kopier, med mindre lagring er lovpålagt. Sletting utføres uten ugrunnet opphold på forespørsel.
10. Ansvar og lovvalg
Avtalen reguleres av norsk rett, med verneting Trøndelag tingrett. Hver part er ansvarlig etter personvernregelverket og hovedavtalen. De registrerte kan klage til Datatilsynet.
Vedlegg A – Behandlingsoversikt og underdatabehandlere
Formål: KI-støttet utkast til vurdering og tilbakemelding på studentarbeid. Registrerte: studenter/elever; lærere og undervisningsassistenter. Kategorier: identifikatorer (navn, student-ID, e-post), besvarelsesinnhold (kan inneholde særlige kategorier i fritekst), vurderingsdata, konto-/loggdata.
| Underdatabehandler | Funksjon | Lokasjon | Overføringsgrunnlag |
|---|---|---|---|
| Railway | App-hosting, database (Postgres), kø (Redis/RabbitMQ) | EU – EU West (Amsterdam) | DPA + SCC (US-selskap; data i EU) |
| Amazon Web Services | Lagring (S3), OCR (Textract), e-post (SES) | EU – eu-west-1 (Irland) | AWS DPA; EU-region |
| LandingAI | OCR / dokumentanalyse | EU (eu-west-1) eller US – etter behov | DPA; Zero Data Retention i begge regioner; lokalt/on-prem for full dataeierskap (enterprise) |
| OpenRouter / LLM-leverandør | KI-vurdering | EU / lokalt / Norge-hostet (konfigurerbar) | DPA; null-lagring + ingen trening; SCC ved USA |
| Stripe | Fakturering | EU (Irland) | Behandler ikke studentdata |
Vedlegg B – Tekniske og organisatoriske tiltak (art. 32)
Kryptering i transitt (TLS) og at rest; tilgangsstyring og rollebasert tilgang; isolasjon per besvarelse; logging; EU-/EØS-basert hosting; dataminimering (studentnavn sendes ikke til LLM – besvarelser identifiseres med intern ID); rutiner for avvikshåndtering og varsling innen fristene i art. 33.
Signatur
| Behandlingsansvarlig | Databehandler (Graidable) | |
|---|---|---|
| Navn | [navn] | Lukas Thrane |
| Dato | ||
| Signatur |