Databehandleravtale

DigTic AS («Databehandler») Org.nr. 937 242 298 Sist oppdatert: april 2026

Denne avtalen gjelder mellom DigTic AS og Kunden («Behandlingsansvarlig») og inngår som en del av Vilkårene for bruk.

1. Definisjoner

• Behandlingsansvarlig: Kunden som bestemmer formål og midler for behandlingen
• Databehandler: DigTic AS, som behandler personopplysninger på vegne av Behandlingsansvarlig
• Personopplysninger: Opplysninger som behandles via DigTic-plattformen i henhold til Kundens instrukser
• GDPR: Europaparlamentets og Rådets forordning (EU) 2016/679

2. Behandlingens omfang

Databehandler behandler personopplysninger utelukkende for å levere API-tjenesten som beskrevet i Vilkårene for bruk. Behandlingen omfatter:

Kategorier av registrerte: Kundens sluttbrukere og ansatte Typer personopplysninger: Token-metadata, wallet-referanser, operasjonslogger Formål: Utsteding, validering og tilbakekalling av digitale tilgangsrettigheter Varighet: Avtalens løpetid

3. Databehandlers forpliktelser

Databehandler skal:

• Behandle personopplysninger kun etter dokumenterte instrukser fra Behandlingsansvarlig
• Sikre at autorisert personell er underlagt taushetsplikt
• Implementere egnede tekniske og organisatoriske sikkerhetstiltak (jf. GDPR art. 32)
• Bistå Behandlingsansvarlig med å oppfylle de registrertes rettigheter
• Varsle Behandlingsansvarlig uten ugrunnet opphold ved kjennskap til sikkerhetsbrudd
• Slette eller returnere alle personopplysninger ved avtalens opphør
• Stille til disposisjon all informasjon som er nødvendig for å påvise etterlevelse

4. Underdatabehandlere

Behandlingsansvarlig gir generell forhåndsgodkjenning til bruk av underdatabehandlere. Gjeldende underdatabehandlere:

| Leverandør | Formål | Lokasjon | |------------|--------|----------| | Amazon Web Services | Infrastruktur og lagring | EU (eu-north-1) | | Auth0 (Okta) | Autentisering | EU |

DigTic varsler om endringer i underdatabehandlere med rimelig frist, og Behandlingsansvarlig kan protestere mot endringer.

5. Sikkerhetstiltak

DigTic implementerer og vedlikeholder følgende tiltak:

• Kryptering i overføring (TLS 1.2+) og hvile (AWS KMS)
• Rollebasert tilgangskontroll (RBAC) og minste-privilegiums-prinsippet
• Regelmessige sikkerhetsvurderinger
• Automatisert overvåking og varsling ved avvik
• Logging av alle API-operasjoner på tokenlivssyklus

6. Brudd på personopplysningssikkerheten

Ved kjennskap til sikkerhetsbrudd som påvirker personopplysninger, varsler DigTic Behandlingsansvarlig uten ugrunnet opphold og senest innen 72 timer. Varslet inkluderer:

• Beskrivelse av bruddet
• Berørte kategorier og antall registrerte (estimat)
• Sannsynlige konsekvenser
• Iverksatte eller planlagte tiltak

7. Sletting og retur av data

Ved avtalens opphør skal DigTic, etter Behandlingsansvarligs valg:

• Slette alle personopplysninger, eller
• Returnere data i maskinlesbart format

Sletting bekreftes skriftlig senest 30 dager etter avtalens opphør. Unntak gjelder der norsk eller europeisk rett pålegger videre oppbevaring.

8. Revisjon

Behandlingsansvarlig kan, med 30 dagers skriftlig varsel og for egen regning, gjennomføre eller engasjere uavhengig tredjepart til å gjennomføre revisjon av Databehandlers etterlevelse av denne avtalen.

9. Gjeldende rett

Denne avtalen er underlagt GDPR og norsk personvernlovgivning.

DigTic AS · Org.nr. 937 242 298 · privacy@digtic.no