Sist oppdatert: mai 2026 · Inngås som del av tjenesteavtalen
1. Partene
Databehandler: AEMA Digital AS, org.nr. [ORG.NR.], heretter kalt «AEMA».
Behandlingsansvarlig: Kunden — den virksomheten som har inngått tjenesteavtale med AEMA, heretter kalt «kunden».
Denne databehandleravtalen (DPA) er en del av, og supplerer, tjenesteavtalen (salgsbetingelsene) mellom partene. Ved motstrid gjelder denne DPA foran salgsbetingelsene i spørsmål om personvern.
2. Bakgrunn og formål
AEMA behandler personopplysninger på vegne av kunden i forbindelse med leveransen av tjenester (AEMA Booking og/eller Resepsjonisten). Kunden er behandlingsansvarlig for disse personopplysningene. AEMA opptrer som databehandler etter personopplysningsloven og GDPR (forordning 2016/679).
Formålet med behandlingen er å gjennomføre og administrere bestillinger, reservasjoner og kundehenvendelser på vegne av behandlingsansvarlig.
3. Kategorier av personopplysninger
| Kategori | Eksempler | Tjeneste |
|---|---|---|
| Kontaktopplysninger | For- og etternavn, e-postadresse, telefonnummer | Booking, Resepsjonisten |
| Reservasjonsdata | Valgte datoer, antall gjester, ønsker/notater | Booking |
| Betalingsstatus | Om betaling er gjennomført (ikke kortdata — behandles av Stripe) | Booking |
| Henvendelsesinnhold | Meldinger sendt til Resepsjonisten | Resepsjonisten |
AEMA behandler ikke særlige kategorier av personopplysninger (sensitive opplysninger).
4. Behandlingens varighet
AEMA behandler personopplysninger så lenge tjenesteavtalen er aktiv. Etter avtalens opphør slettes personopplysningene innen 30 dager, med mindre kunden ber om eksport av data innen denne fristen.
5. Instruksjonsprinsippet
AEMA behandler personopplysninger utelukkende etter kundens dokumenterte instruksjoner — i praksis: for å levere de tjenestene som er avtalt. AEMA vil varsle kunden dersom en instruks etter AEMAs vurdering er i strid med GDPR eller annen personvernlovgivning.
6. Underbehandlere
AEMA benytter følgende underbehandlere. Kunden godkjenner disse ved avtaleinngåelse:
| Underbehandler | Formål | Behandlingssted |
|---|---|---|
| Supabase Inc. | Databaselagring | EU (Frankfurt) |
| Netlify Inc. | Serverless-funksjoner og hosting | USA / EU (Standard Contractual Clauses) |
| Resend Inc. | E-postutsending | USA (SCC) |
| Twilio Inc. | SMS-varsling | USA (SCC) |
| Stripe Inc. | Betalingsbehandling (separat behandlingsansvarlig) | USA / EU |
| Anthropic PBC / OpenAI | AI-modeller (Resepsjonisten) | USA (SCC) |
AEMA vil varsle kunden ved vesentlige endringer i bruk av underbehandlere, og kunden kan innen rimelig frist protestere eller si opp tjenesteavtalen.
7. Tekniske og organisatoriske sikkerhetstiltak
AEMA implementerer egnede tiltak for å sikre et sikkerhetsnivå som svarer til risikoen, herunder:
- Kryptert dataoverføring (HTTPS/TLS) mellom alle komponenter
- Tilgangskontroll basert på «minste privilegium»-prinsippet
- Adskillelse av kundedata (multi-tenant med isolert tilgangskontroll per kunde)
- Kun AEMA Digital AS har tilgang til tjenestenøklene (service role keys)
- Regelmessig gjennomgang av tilganger og hemmeligheter
8. Den registrertes rettigheter
Dersom en av kundens gjester eller brukere utøver sine rettigheter etter GDPR (innsyn, retting, sletting, dataportabilitet), bistår AEMA kunden med å oppfylle disse innen rimelig tid og senest innen 30 dager fra forespørselen mottas.
9. Brudd på personopplysningssikkerheten
Dersom AEMA oppdager eller får kjennskap til et brudd på personopplysningssikkerheten som berører opplysninger AEMA behandler på vegne av kunden, varsler AEMA kunden uten ugrunnet opphold og senest innen 72 timer etter at bruddet ble kjent.
Varselet inneholder: beskrivelse av bruddet, antatt omfang, kontaktpunkt hos AEMA, og anbefalte tiltak.
10. Taushetsplikt
Ansatte og samarbeidspartnere hos AEMA som behandler personopplysninger på vegne av kunden, er underlagt taushetsplikt.
11. Revisjon
Kunden har rett til å gjennomføre revisjoner av AEMAs behandling — i praksis ved skriftlig forespørsel. AEMA vil svare med relevant dokumentasjon innen rimelig tid.
12. Overføring til tredjeland
Overføring til tredjeland (utenfor EØS) skjer kun via underbehandlere som er opplistet i avsnitt 6, og som har egnede garantier på plass (Standard Contractual Clauses eller tilsvarende godkjent mekanisme).
13. Lovvalg
Denne databehandleravtalen er underlagt norsk rett og tolkes i samsvar med GDPR.
Kontakt
Personvernrelaterte henvendelser:
AEMA Digital AS · post@aemadigital.no