Databehandleravtale

AI Kompetansebevis – Krescado AS

Denne databehandleravtalen («Avtalen») regulerer Krescado AS sin behandling av personopplysninger paa vegne av behandlingsansvarlig («Kunden») i forbindelse med AI Kompetansebevis-plattformen.

Avtalen er utformet i samsvar med GDPR artikkel 28 og supplerer tjenesteavtalen mellom partene.

1. Parter

Behandlingsansvarlig: Kundens virksomhet (den som registrerer seg og inviterer ansatte til AI Kompetansebevis).

Databehandler: Krescado AS, org.nr. 932 449 953, personvern@krescado.no

2. Formaal og omfang

Databehandler behandler personopplysninger utelukkende for aa levere AI Kompetansebevis-tjenesten paa vegne av Kunden. Behandlingen omfatter:

  • Lagring og forvaltning av ansattdata (navn, e-post)
  • Gjennomforing og lagring av quiz-resultater og fremdrift
  • Utstedelse og forvaltning av kompetansesertifikater
  • Utsending av e-post (invitasjoner, paaminnelser, verifisering)
  • Generering av compliance-rapporter for Kunden

3. Kategorier av personopplysninger

  • Identifikasjon: Navn, e-postadresse
  • Organisatorisk: Bedriftstilknytning, rolle (ansatt/leder)
  • Kursdata: Quiz-resultater, modulfremdrift, antall forsok, svake kategorier
  • Sertifikater: Verifiseringskode, score, utstedelsesdato, utlopsdato
  • Teknisk: Tidsstempler, IP-adresse (ved registrering)

Det behandles ingen saerlige kategorier av personopplysninger (sensitive data).

4. Databehandlers plikter

  • Behandle personopplysninger kun etter dokumentert instruks fra Kunden og i samsvar med denne avtalen
  • Sikre at personer som behandler personopplysningene er underlagt taushetsplikt
  • Gjennomfore egnede tekniske og organisatoriske tiltak for aa sikre et sikkerhetsnivaa som er egnet i forhold til risikoen (jf. GDPR art. 32)
  • Bistaa Kunden med aa oppfylle sine forpliktelser overfor registrerte (innsyn, retting, sletting/anonymisering)
  • Varsle Kunden uten ugrunnet opphold ved brudd paa personopplysningssikkerheten
  • Slette eller anonymisere alle personopplysninger ved avtalens opphoor, med mindre lovpaalagte oppbevaringsfrister krever fortsatt lagring
  • Gjore tilgjengelig all informasjon som er nodvendig for aa paavise at forpliktelsene i denne avtalen er oppfylt

5. Sikkerhetstiltak

Databehandler har implementert folgende tekniske og organisatoriske tiltak:

  • Kryptering: AES-256 for data i hvile, TLS 1.2+ for data i transitt
  • Tilgangskontroll: Tofaktorautentisering (MFA) for alle administratorer, rollebasert tilgangsstyring (RBAC), Row-Level Security (RLS) i databasen
  • Dataminimering: Kun nodvendige opplysninger samles inn og lagres
  • Revisjonslogg: Alle sensitive handlinger logges med tidsstempel og aktor
  • Sikkerhetskopier: Daglige backups med point-in-time recovery (7 dager)
  • Tenant-isolasjon: Hver kundes data er logisk isolert med company_id-filtrering og RLS

Fullstendig sikkerhetsoversikt er tilgjengelig paa /sikkerhet.

6. Underleverandorer (underdatabehandlere)

Kunden gir herved generell skriftlig forhaaandsgodkjenning til bruk av underleverandorer. Databehandler skal varsle Kunden minst 30 dager for nye underleverandorer tas i bruk. Kunden kan protestere mot endringer.

Gjeldende underleverandorer er listet paa /underleverandorer. Overforinger til tredjeland er dokumentert paa /tredjeland.

7. Lagringstid og sletting

  • Kurs- og quizdata: Lagres mens ansettelsesforholdet bestaar + 2 aar. Kan anonymiseres av Kunden via admin-panelet.
  • Sertifikater: Opptil 5 aar etter utstedelse.
  • Scorecard-data: 24 maaneder etter innsending. Slettes automatisk.
  • E-postlogger: 90 dager etter sending.
  • Revisjonslogg: 5 aar.

Ved avtalens opphoor slettes eller anonymiseres alle personopplysninger innen 90 dager, med mindre Kunden ber om eksport for eller lovpaalagte oppbevaringsfrister krever annet.

8. Registrertes rettigheter

Databehandler bistaar Kunden med aa oppfylle registrertes rettigheter:

  • Innsyn: Kunden kan eksportere data via admin-panelet (CSV-eksport). Foresporsler til Databehandler besvares innen 30 dager.
  • Retting: Kunden kan oppdatere ansattinformasjon via admin-panelet.
  • Sletting/anonymisering: Kunden kan anonymisere enkeltpersoner via admin-panelet. Anonymisering erstatter navn og e-post med generiske verdier.
  • Dataportabilitet: CSV-eksport av alle lagrede personopplysninger.

9. Varsling ved brudd

Databehandler skal varsle Kunden uten ugrunnet opphold, og senest innen 48 timer, etter aa ha blitt kjent med brudd paa personopplysningssikkerheten. Varselet skal inneholde:

  • Beskrivelse av bruddet og beroorte kategorier av data
  • Antatt antall beroorte registrerte
  • Tiltak iverksatt eller planlagt for aa haandtere bruddet
  • Kontaktpunkt hos Databehandler

10. Revisjon

Kunden har rett til aa gjennomfore eller faa gjennomfort revisjoner av Databehandlers etterlevelse av denne avtalen. Databehandler skal bistaa ved slike revisjoner i rimelig omfang. Revisjoner skal varsles minst 30 dager i forveien og gjennomfores paa en maate som ikke unodig forstyrrer driften.

11. Varighet og opphoor

Denne avtalen gjelder saa lenge Databehandler behandler personopplysninger paa vegne av Kunden. Ved opphoor av tjenesteavtalen opphorer ogsaa denne avtalen. Databehandlers forpliktelser knyttet til sletting, konfidensialitet og sikkerhetstiltak bestaar etter avtalens opphoor.

12. Kontakt

Henvendelser om denne avtalen rettes til:

Krescado AS
E-post: personvern@krescado.no
Org.nr.: 932 449 953

Aksept

Behandlingsansvarlig aksepterer denne databehandleravtalen ved registrering i AI Kompetansebevis-plattformen. Aksepten logges med tidsstempel, IP-adresse og versjon av avtalen.

Versjon 1.0 – Sist oppdatert: 6. mars 2026

Tilbake til forsidenPersonvernerklæringUnderleverandørerSikkerhetsoversiktTredjelandsoverføringerTilgjengelighet