Kontrakt — GDPR artikkel 28

Databehandleravtale

Standardavtale mellom kunden (behandlingsansvarlig) og KETL AS (databehandler). Signer elektronisk ved onboarding, eller last ned PDF for intern gjennomgang.

Nedlasting og signering

Alle kunder på Team og Enterprise får automatisk DPA ved onboarding. Andre kan signere ved å kontakte oss.

Last ned PDF dpa@ketl.no

Avtalens innhold

1. Partene

Avtalen inngås mellom kunden (behandlingsansvarlig) og KETL AS (databehandler). Partene forplikter seg til å behandle personopplysninger i henhold til GDPR og norsk personvernlov.

2. Formål og varighet

KETL behandler personopplysninger kun for å levere tjenestene kunden abonnerer på. Avtalen gjelder så lenge kunden har aktivt abonnement, pluss retention-perioden beskrevet i personvernerklæringen.

3. Instrukser

KETL behandler personopplysninger kun etter dokumenterte instrukser fra kunden, inkludert ved overføring til tredjeland. Konsoll- og API-bruk regnes som instrukser.

4. Konfidensialitet

Alle ansatte hos KETL som har tilgang til personopplysninger har signert taushetsplikt og gjennomført årlig personvern- og sikkerhetstrening.

5. Sikkerhet

KETL implementerer egnede tekniske og organisatoriske tiltak, inkludert kryptering i transitt (TLS 1.3) og hvile (AES-256), tilgangskontroll basert på minste privilegium, og kontinuerlig overvåking.

6. Under-processors

KETL har et offentlig register over under-processors. Kunden får varsel minst 30 dager før nye under-processors tas i bruk, og har rett til å motsette seg endringer.

7. Bistand

KETL bistår kunden med å besvare forespørsler fra registrerte, å gjennomføre DPIA/konsekvensvurdering, og å varsle brudd på personopplysningssikkerheten innen 24 timer.

8. Sletting og retur

Ved avtaleopphør sletter KETL alle personopplysninger innen 30 dager, eller returnerer dem på kundens forespørsel. Kopier som kreves av lov beholdes med klare restriksjoner.

9. Revisjon

Kunden har rett til årlig tilsyn, som kan oppfylles gjennom at KETL deler uavhengige revisjonsrapporter (SOC 2 Type 2 og ISO 27001).

10. Tredjelandsoverføringer

All overføring til tredjeland skjer på grunnlag av standard kontraktsklausuler (SCC) 2021, supplert med tekniske tiltak som kryptering og pseudonymisering der relevant.

Vedlegg A: Godkjente under-processors

Liste over godkjente under-processors per 2026. Fullstendig oversikt med overføringsgrunnlag finnes på personvern-siden.

Navn	Rolle	Datalokasjon	Grunnlag
Google Cloud (Firebase, Firestore, Cloud Run)	infrastruktur	europe-north1 (Finland)	EU/EØS
Anthropic	ai-llm	USA (zero-retention-avtale)	standard-kontraktsklausuler
Google Gemini	ai-llm	europe-west1 (Belgia)	EU/EØS
Stripe	betaling	EU	EU/EØS
Resend	e-post	EU (eu-west)	standard-kontraktsklausuler
PostHog	analytikk	EU (eu.posthog.com)	EU/EØS
Sentry	feilsporing	EU (de.sentry.io)	EU/EØS
BetterStack	logging	EU	EU/EØS
Firebase Authentication	autentisering	global (auth-brikke)	EU/EØS