Databehandleravtale

Sist oppdatert: 18. juni 2026

Denne databehandleravtalen («Avtalen») regulerer Grow Snowballs (El Skript) behandling av personopplysninger på vegne av kunden i forbindelse med kundens bruk av tjenesten El Skript. Avtalen inngås som en integrert del av hovedavtalen (abonnementsvilkårene) mellom partene og oppfyller kravene i personvernforordningen (GDPR) artikkel 28 nr. 3. Ved motstrid mellom Avtalen og hovedavtalen om forhold som gjelder behandling av personopplysninger, går Avtalen foran.

1. Parter

Behandlingsansvarlig: Kunden — elektrikervirksomheten som bruker El Skript til å registrere og dokumentere sine elektriske oppdrag («Behandlingsansvarlig» eller «Kunden»).

Databehandler: Grow Snowball (enkeltpersonforetak), org.nr 934144619, Grønebakkin 4K, leverandør av tjenesten El Skript («Databehandler» eller «El Skript»). Kontakt: Lars, e-post lars@growsnowball.com.

Behandlingsansvarlig og Databehandler omtales samlet som «partene» og hver for seg som en «part».

2. Bakgrunn og formål

El Skript er en KI-styrt feltrapporteringstjeneste for norske elektrikere. Tjenesten hjelper elektrikeren med å produsere elektrodokumentasjon (blant annet samsvarserklæring, sluttkontroll, kursfortegnelse, risikovurdering, internkontroll og garantiskjema for varmekabel/varmefolie) og å levere denne videre (blant annet på e-post) og integrere med fagsystemer som Drifti.

Når Behandlingsansvarlig bruker El Skript, registreres det personopplysninger om Behandlingsansvarliges egne sluttkunder (boligeiere o.l.) og om de anlegg og prosjekter som dokumenteres. For disse personopplysningene er Kunden behandlingsansvarlig og Grow Snowball (El Skript) databehandler. Avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig.

Avtalen omfatter ikke personopplysninger der Grow Snowball selv er behandlingsansvarlig (for eksempel brukerkontoer for elektrikerne, nettsidebesøk, kontakt- og demoskjema (leads) og fakturering). Slik behandling reguleres av El Skripts personvernerklæring.

3. Definisjoner

Begrepene «personopplysninger», «behandling», «behandlingsansvarlig», «databehandler», «registrert», «brudd på personopplysningssikkerheten», «særlige kategorier av personopplysninger» og «underdatabehandler» skal forstås i samsvar med personvernforordningen (forordning (EU) 2016/679, GDPR) og personopplysningsloven. «Gjeldende personvernregelverk» betyr GDPR, personopplysningsloven og øvrige norske regler som til enhver tid gjelder for behandling av personopplysninger.

4. Behandlingens art, formål og varighet

Behandlingens gjenstand, art, formål, varighet, kategorier av registrerte og kategorier av personopplysninger er nærmere beskrevet i Vedlegg A. Kort oppsummert behandler Databehandler personopplysninger for å levere El Skript til Behandlingsansvarlig — herunder lagring, strukturering, KI-assistert bearbeiding, generering av dokumentasjon (PDF), levering på e-post, og integrasjon med fagsystemer som Drifti på Behandlingsansvarliges instruks.

Behandlingen varer så lenge Behandlingsansvarlig har et aktivt kundeforhold til El Skript, og frem til personopplysningene er slettet eller tilbakelevert i samsvar med punkt 13.

5. Databehandlers plikter

Databehandler skal:

  1. Behandle kun etter dokumentert instruks. Databehandler skal bare behandle personopplysninger etter dokumentert instruks fra Behandlingsansvarlig, herunder ved overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon, med mindre annet kreves etter EU-/EØS-rett eller norsk rett som Databehandler er underlagt. I så fall skal Databehandler underrette Behandlingsansvarlig om dette rettslige kravet før behandlingen, med mindre slik underretning er forbudt etter loven av hensyn til viktige allmenne interesser. Denne Avtalen, hovedavtalen og Behandlingsansvarliges bruk av tjenesten i samsvar med dokumentasjonen utgjør Behandlingsansvarliges instruks. Dersom Databehandler mener at en instruks er i strid med gjeldende personvernregelverk, skal Databehandler umiddelbart underrette Behandlingsansvarlig.

  2. Konfidensialitet. Databehandler skal sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt, og at tilgang begrenses til dem som trenger det for å oppfylle Avtalen.

  3. Sikkerhet (art. 32). Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er tilpasset risikoen, jf. GDPR artikkel 32. Tiltakene er beskrevet i Vedlegg C.

  4. Bruk av underdatabehandlere. Databehandler skal ikke engasjere en annen databehandler (underdatabehandler) uten i samsvar med punkt 7.

  5. Bistand til de registrertes rettigheter. Databehandler skal, så langt det er mulig og ved hjelp av egnede tekniske og organisatoriske tiltak, bistå Behandlingsansvarlig med å oppfylle Behandlingsansvarliges plikt til å besvare henvendelser om utøvelse av de registrertes rettigheter (innsyn, retting, sletting, begrensning, dataportabilitet og innsigelse), jf. GDPR kapittel III. Henvendelser fra registrerte som Databehandler mottar direkte, skal videreformidles til Behandlingsansvarlig uten ugrunnet opphold, og Databehandler skal ikke besvare slike henvendelser på egen hånd uten Behandlingsansvarliges instruks.

  6. Bistand etter art. 32–36. Databehandler skal bistå Behandlingsansvarlig med å overholde pliktene etter GDPR artikkel 32–36, herunder sikkerhet i behandlingen, melding om brudd til tilsynsmyndighet og til de registrerte, vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøfting med tilsynsmyndighet, idet det tas hensyn til behandlingens art og opplysningene som er tilgjengelige for Databehandler.

  7. Varsling om brudd. Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig etter å ha blitt oppmerksom på et brudd på personopplysningssikkerheten, jf. punkt 10.

  8. Sletting eller retur. Ved opphør av behandlingen skal Databehandler slette eller tilbakelevere personopplysningene i samsvar med punkt 13.

  9. Dokumentasjon og revisjon. Databehandler skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise at pliktene etter GDPR artikkel 28 er oppfylt, og muliggjøre og bidra til revisjon i samsvar med punkt 11.

6. Behandlingsansvarliges plikter

Behandlingsansvarlig skal:

  1. sørge for at det foreligger et gyldig behandlingsgrunnlag for behandlingen av personopplysningene som registreres i El Skript, og at de registrerte er informert i samsvar med gjeldende personvernregelverk;
  2. kun gi instrukser til Databehandler som er i samsvar med gjeldende personvernregelverk;
  3. være ansvarlig for at personopplysningene som registreres er korrekte og relevante, og for innholdet i den dokumentasjonen som produseres og leveres via tjenesten;
  4. uten ugrunnet opphold besvare henvendelser fra registrerte og fra tilsynsmyndighet som forutsetter Behandlingsansvarliges medvirkning; og
  5. ivareta sine egne forpliktelser som behandlingsansvarlig etter gjeldende personvernregelverk for øvrig.

7. Underdatabehandlere

Behandlingsansvarlig gir generell forhåndsgodkjenning til at Databehandler benytter underdatabehandlere til behandlingen. Gjeldende underdatabehandlere er listet i Vedlegg B.

Databehandler skal varsle Behandlingsansvarlig om planlagte endringer som gjelder tilføyelse eller utskifting av underdatabehandlere, og gi Behandlingsansvarlig anledning til å gjøre innsigelse mot slike endringer innen rimelig tid før endringen iverksettes. Varsling kan skje per e-post eller ved oppdatering av underdatabehandlerlisten kombinert med melding til Behandlingsansvarlig. Dersom Behandlingsansvarlig har saklig grunn til innsigelse, skal partene i fellesskap søke å finne en løsning. Dersom enighet ikke oppnås, kan Behandlingsansvarlig si opp den berørte tjenesten.

Når Databehandler engasjerer en underdatabehandler, skal Databehandler ved avtale pålegge underdatabehandleren de samme forpliktelsene til vern av personopplysninger som følger av denne Avtalen, særlig kravet om tilstrekkelige garantier for egnede tekniske og organisatoriske tiltak. Dersom underdatabehandleren ikke oppfyller sine forpliktelser, er Databehandler fullt ut ansvarlig overfor Behandlingsansvarlig for at underdatabehandlerens forpliktelser oppfylles.

8. Overføring til tredjeland

Personopplysningene behandles primært innenfor EU/EØS. Enkelte underdatabehandlere (KI-analyse, transaksjonell e-post og feilovervåking) kan behandle personopplysninger utenfor EØS, herunder i USA. Slik overføring skal kun skje på gyldig overføringsgrunnlag i samsvar med GDPR kapittel V, det vil si EU-kommisjonens standard personvernbestemmelser (SCC) og/eller EU-US Data Privacy Framework (DPF), med eventuelle nødvendige supplerende tiltak. Lokasjon og overføringsgrunnlag for den enkelte underdatabehandler fremgår av Vedlegg B.

9. Sikkerhet

Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen, jf. GDPR artikkel 32, idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenheng samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for de registrertes rettigheter og friheter. Tiltakene er nærmere beskrevet i Vedlegg C. Databehandler oppdaterer tiltakene løpende, og kan endre konkrete tiltak forutsatt at sikkerhetsnivået opprettholdes.

10. Brudd på personopplysningssikkerheten

Databehandler skal uten ugrunnet opphold etter å ha blitt oppmerksom på det varsle Behandlingsansvarlig om brudd på personopplysningssikkerheten som berører personopplysninger behandlet på vegne av Behandlingsansvarlig.

Varselet skal, i den grad det er tilgjengelig, inneholde en beskrivelse av bruddets art, de berørte kategoriene og omtrentlig antall registrerte, sannsynlige konsekvenser, og hvilke tiltak som er iverksatt eller foreslås for å håndtere bruddet og begrense skadevirkningene. Dersom det ikke er mulig å gi alle opplysningene samtidig, kan opplysningene gis trinnvis uten ytterligere ugrunnet opphold. Databehandler skal bistå Behandlingsansvarlig slik at Behandlingsansvarlig kan oppfylle sin egen plikt til å melde brudd til Datatilsynet og eventuelt informere de registrerte etter GDPR artikkel 33 og 34. Det er Behandlingsansvarlig som er ansvarlig for å melde brudd til tilsynsmyndigheten.

11. Revisjon og inspeksjon

Databehandler skal gjøre tilgjengelig for Behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene etter GDPR artikkel 28 og denne Avtalen er oppfylt, og skal muliggjøre og bidra til revisjoner, herunder inspeksjoner, utført av Behandlingsansvarlig eller en annen inspektør utpekt av Behandlingsansvarlig.

Revisjon skal varsles i rimelig tid på forhånd, gjennomføres innenfor normal arbeidstid, og på en måte som i minst mulig grad forstyrrer Databehandlers ordinære drift. Databehandler kan oppfylle sin opplysningsplikt ved å fremlegge oppdatert dokumentasjon, sikkerhetsbeskrivelser eller eventuelle tredjepartsrapporter/revisjonsattester der slike foreligger. Hver part bærer sine egne kostnader ved revisjon, med mindre revisjonen avdekker vesentlige avvik som kan tilskrives Databehandler.

12. Ansvar

Partenes erstatningsansvar etter denne Avtalen reguleres av ansvarsbestemmelsene i hovedavtalen, med de begrensninger som følger der, så langt slike begrensninger er forenlige med gjeldende personvernregelverk. Fordelingen av erstatningsansvar overfor registrerte og tilsynsmyndighet følger av GDPR artikkel 82. Hver part svarer for overtredelsesgebyr og erstatningskrav som skyldes partens eget brudd på pliktene etter gjeldende personvernregelverk eller denne Avtalen.

13. Varighet, opphør og sletting

Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig, og opphører automatisk når kundeforholdet avsluttes.

Ved opphør skal Databehandler, etter Behandlingsansvarliges valg, slette eller tilbakelevere alle personopplysninger som er behandlet på vegne av Behandlingsansvarlig, og slette eksisterende kopier, med mindre lagring kreves etter lov. Tilbakelevering skjer i et alminnelig, maskinlesbart format. Behandlingsansvarlig kan be om eksport av sine data før kundeforholdet avsluttes. Personopplysninger som Databehandler er rettslig forpliktet til å oppbevare (for eksempel regnskapsbilag etter bokføringsloven, som har en oppbevaringsplikt på fem år), oppbevares i lovpålagt tid og behandles deretter ikke for andre formål før de slettes.

14. Endringer

Databehandler kan oppdatere denne Avtalen, herunder Vedlegg B, for å gjenspeile endringer i tjenesten, underdatabehandlere eller regelverk. Vesentlige endringer varsles Behandlingsansvarlig i rimelig tid. Endringer i underdatabehandlere håndteres etter punkt 7.

15. Overdragelse

Databehandler kan overdra denne Avtalen, sammen med hovedavtalen og rollen som databehandler, til et tilknyttet selskap som overtar virksomheten — herunder et aksjeselskap (AS) som etableres for å videreføre El Skript. Ved slik overdragelse trer det overtakende selskapet inn i Databehandlers rettigheter og plikter etter Avtalen, og samme forpliktelser til vern av personopplysninger gjelder videre. Behandlingsansvarlig varsles om overdragelsen i rimelig tid før den får virkning. Behandlingsansvarlig samtykker med dette til slik overdragelse. For øvrig kan ingen av partene overdra Avtalen uten den andre partens skriftlige samtykke.

16. Lovvalg og verneting

Avtalen reguleres av norsk rett. Tvister som springer ut av Avtalen, og som ikke løses i minnelighet, skal avgjøres ved Leverandørens hjemting.

Vedlegg A — Behandlingens gjenstand

Gjenstand for behandlingen: Behandling av personopplysninger som er nødvendig for å levere El Skript — KI-styrt feltrapportering og produksjon av elektrodokumentasjon — på vegne av Behandlingsansvarlig.

Formål: Registrere, strukturere, bearbeide (herunder KI-assistert) og generere elektrodokumentasjon (blant annet samsvarserklæring, sluttkontroll, kursfortegnelse, risikovurdering, internkontroll og garantiskjema for varmekabel/varmefolie), samt levere denne videre (blant annet på e-post) og integrere med fagsystemer som Drifti og Tripletex på Behandlingsansvarliges instruks.

Behandlingsaktiviteter: Innsamling, registrering, lagring, organisering, strukturering, tilpasning, KI-assistert tolkning og tekstforslag, analyse av bilder, generering av dokumenter (PDF), levering på e-post og integrasjon med fagsystemer (Drifti, Tripletex), og sletting/tilbakelevering ved opphør.

Varighet: Så lenge Behandlingsansvarlig har et aktivt kundeforhold, og frem til sletting eller tilbakelevering etter punkt 13.

Kategorier av registrerte:

  • Behandlingsansvarliges sluttkunder og oppdragsgivere (boligeiere o.l.) og andre personer knyttet til anlegget/prosjektet.
  • Behandlingsansvarliges egne ansatte/brukere av tjenesten (elektrikerne), i den grad deres opplysninger inngår i rapportene (for eksempel som den som har utført og signert dokumentasjonen).

Kategorier av personopplysninger:

  • Kontakt- og identifikasjonsopplysninger om sluttkunde/boligeier: navn, adresse, postnummer, sted, telefon, e-post og eventuell kontaktperson.
  • Eiendoms- og anleggsdata: blant annet matrikkel, målernummer, anleggs-/prosjektopplysninger og teknisk dokumentasjon.
  • Bilder fra arbeidsstedet, som kan inneholde personopplysninger.
  • Målinger og innholdet i de genererte rapportene/dokumentene.
  • Tekniske data og logger knyttet til bruk av tjenesten.

Særlige kategorier av personopplysninger (GDPR art. 9): Behandling av særlige kategorier er ikke en del av tjenestens formål, og Behandlingsansvarlig skal ikke registrere slike opplysninger i El Skript.

Vedlegg B — Underdatabehandlere

Følgende underdatabehandlere er godkjent på tidspunktet for Avtalens inngåelse:

UnderdatabehandlerFormålLokasjon / overføringsgrunnlag
SupabaseDatabase, autentisering og fillagringEU/EØS — Stockholm (eu-north-1)
VercelDrift og levering av web-applikasjonenPrimært EU/EØS; overføring utenfor EØS på lovlig grunnlag (SCC og/eller EU-US DPF) der relevant
Anthropic (Claude API)KI-analyse: tolker jobbeskrivelser, foreslår tekst, analyserer bilder og genererer utkast. Anthropic bruker ikke API-data til å trene modellerUSA — SCC og/eller EU-US DPF
OpenAI (Whisper API)Tale-til-tekst: omgjør talte beskrivelser og svar til tekstUSA — SCC og/eller EU-US DPF
PDFShiftGenererer ferdige PDF-dokumenter fra rapportdataOverføring på lovlig grunnlag (SCC) der relevant
Google (Gmail / Google Workspace)Transaksjonell e-postUSA — SCC og/eller EU-US DPF
FikenFakturering og regnskapNorge/EØS
SentryFeilovervåking og driftsloggerOverføring på lovlig grunnlag (SCC og/eller EU-US DPF der relevant)

Drifti og Tripletex er fagsystemer El Skript integrerer med på Behandlingsansvarliges instruks. De er mottakere av dokumentasjonen, og Behandlingsansvarliges eget forhold til og avtale med disse systemene gjelder for behandlingen der.

Vedlegg C — Tekniske og organisatoriske sikkerhetstiltak

Databehandler benytter anerkjente tiltak tilpasset risikoen, herunder:

  • Kryptering: Personopplysninger krypteres under overføring (TLS) og ved lagring (at rest).
  • Tilgangsstyring: Streng, rollebasert tilgangskontroll. Tilgang gis etter behov («need-to-know»), og serverhemmeligheter eksponeres ikke mot klienten.
  • Logisk adskilling mellom kunder: Data isoleres per organisasjon ved logisk adskilling (Row Level Security / per-organisasjon-isolasjon), slik at én kundes data ikke er tilgjengelig for andre kunder.
  • Autentisering: Brukerautentisering med sikker lagring av påloggingsinformasjon (passord lagres hashet).
  • Sikkerhetskopiering: Rutiner for sikkerhetskopiering av data.
  • Feilovervåking: Drifts- og feillogging uten bevisst innsamling av sensitive personopplysninger.
  • Løpende oppdatering: Sikkerhetstiltak og underliggende systemer holdes løpende oppdatert.

Tiltakene gir et høyt sikkerhetsnivå tilpasset risikoen, men ingen løsning kan garantere fullstendig sikkerhet. Databehandler kan endre konkrete tiltak forutsatt at sikkerhetsnivået opprettholdes.