Krescado/ LearnJuridisk · Databehandleravtale
Tilbake til forsiden
Juridisk · Databehandleravtale

Databehandler avtale.

Denne databehandleravtalen («Avtalen») regulerer Krescado AS sin behandling av personopplysninger på vegne av behandlingsansvarlig («Kunden») i forbindelse med AI Kompetansebevis-plattformen.

Avtalen er utformet i samsvar med GDPR artikkel 28 og supplerer tjenesteavtalen mellom partene.

§ 1Parter

Behandlingsansvarlig
Kundens virksomhet (den som registrerer seg og inviterer ansatte til AI Kompetansebevis).
Databehandler
Krescado AS, org.nr. 933 246 957, personvern@krescado.no

§ 2Formål og omfang

Databehandler behandler personopplysninger utelukkende for å levere AI Kompetansebevis-tjenesten på vegne av Kunden. Behandlingen omfatter:

  • Lagring og forvaltning av ansattdata (navn, e-post)
  • Gjennomføring og lagring av quiz-resultater og fremdrift
  • Utstedelse og forvaltning av kompetansesertifikater
  • Utsending av e-post (invitasjoner, påminnelser, verifisering)
  • Generering av compliance-rapporter for Kunden

§ 3Kategorier av personopplysninger

Identifikasjon
Navn, e-postadresse
Organisatorisk
Bedriftstilknytning, rolle (ansatt/leder)
Kursdata
Quiz-resultater, modulfremdrift, antall forsøk, svake kategorier
Sertifikater
Verifiseringskode, score, utstedelsesdato, utløpsdato
Teknisk
Tidsstempler, IP-adresse (ved registrering)

Det behandles ingen særlige kategorier av personopplysninger (sensitive data).

§ 4Databehandlers plikter

  • Behandle personopplysninger kun etter dokumentert instruks fra Kunden og i samsvar med denne avtalen
  • Sikre at personer som behandler personopplysningene er underlagt taushetsplikt
  • Gjennomføre egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet i forhold til risikoen (jf. GDPR art. 32)
  • Bistå Kunden med å oppfylle sine forpliktelser overfor registrerte (innsyn, retting, sletting/anonymisering)
  • Varsle Kunden uten ugrunnet opphold ved brudd på personopplysningssikkerheten
  • Slette eller anonymisere alle personopplysninger ved avtalens opphør, med mindre lovpålagte oppbevaringsfrister krever fortsatt lagring
  • Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen er oppfylt

§ 5Sikkerhetstiltak

Databehandler har implementert følgende tekniske og organisatoriske tiltak:

  • Kryptering: AES-256 for data i hvile, TLS 1.2+ for data i transitt
  • Tilgangskontroll: Tofaktorautentisering (MFA) for alle administratorer, rollebasert tilgangsstyring (RBAC), Row-Level Security (RLS) i databasen
  • Dataminimering: Kun nødvendige opplysninger samles inn og lagres
  • Revisjonslogg: Alle sensitive handlinger logges med tidsstempel og aktør
  • Sikkerhetskopier: Daglige backups med point-in-time recovery
  • Tenant-isolasjon: Hver kundes data er logisk isolert med company_id-filtrering og RLS

Fullstendig sikkerhetsoversikt er tilgjengelig på /sikkerhet.

§ 6Underleverandører (underdatabehandlere)

Kunden gir herved generell skriftlig forhåndsgodkjenning til bruk av underleverandører. Databehandler skal varsle Kunden minst 30 dager før nye underleverandører tas i bruk. Kunden kan protestere mot endringer.

Gjeldende underleverandører er listet på /underleverandorer. Overføringer til tredjeland er dokumentert på /tredjeland.

§ 7Lagringstid og sletting

  • Kurs- og quizdata: Lagres mens ansettelsesforholdet består + 2 år. Kan anonymiseres av Kunden via admin-panelet.
  • Sertifikater: Opptil 5 år etter utstedelse.
  • Vurderingsdata: 24 måneder etter innsending. Slettes automatisk.
  • E-postlogger: 90 dager etter sending.
  • Revisjonslogg: 5 år.

Ved avtalens opphør slettes eller anonymiseres alle personopplysninger innen 90 dager, med mindre Kunden ber om eksport før eller lovpålagte oppbevaringsfrister krever annet.

§ 8Registrertes rettigheter

Databehandler bistår Kunden med å oppfylle registrertes rettigheter:

  • Innsyn: Kunden kan eksportere data via admin-panelet (CSV-eksport). Forespørsler til Databehandler besvares innen 30 dager.
  • Retting: Kunden kan oppdatere ansattinformasjon via admin-panelet.
  • Sletting/anonymisering: Kunden kan anonymisere enkeltpersoner via admin-panelet. Anonymisering erstatter navn og e-post med generiske verdier.
  • Dataportabilitet: CSV-eksport av alle lagrede personopplysninger.

§ 9Varsling ved brudd

Databehandler skal varsle Kunden uten ugrunnet opphold, og senest innen 48 timer, etter å ha blitt kjent med brudd på personopplysningssikkerheten. Varselet skal inneholde:

  • Beskrivelse av bruddet og berørte kategorier av data
  • Antatt antall berørte registrerte
  • Tiltak iverksatt eller planlagt for å håndtere bruddet
  • Kontaktpunkt hos Databehandler

§ 10Revisjon

Kunden har rett til å gjennomføre eller få gjennomført revisjoner av Databehandlers etterlevelse av denne avtalen. Databehandler skal bistå ved slike revisjoner i rimelig omfang. Revisjoner skal varsles minst 30 dager i forveien og gjennomføres på en måte som ikke unødig forstyrrer driften.

§ 11Varighet og opphør

Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Kunden. Ved opphør av tjenesteavtalen opphører også denne avtalen. Databehandlers forpliktelser knyttet til sletting, konfidensialitet og sikkerhetstiltak består etter avtalens opphør.

§ 12Kontakt

Henvendelser om denne avtalen rettes til:

Krescado AS
E-post: personvern@krescado.no
Org.nr.
933 246 957

§ 13Aksept

Behandlingsansvarlig aksepterer denne databehandleravtalen ved registrering i AI Kompetansebevis-plattformen. Den som oppretter virksomheten i løsningen bekrefter at vedkommende har fullmakt til å inngå avtalen på vegne av behandlingsansvarlig. Aksepten logges med tidsstempel, IP-adresse og versjon av avtalen.

Versjon 1.0 · Sist oppdatert: 6. mars 2026

Databehandleravtale | AI Kompetansebevis