Databehandleravtale
Sist oppdatert: 12. mai 2026
Denne avtalen er en standard databehandleravtale etter personvernforordningen (GDPR) artikkel 28 mellom Bilagsagenten og enhver bedriftskunde. Den gjelder automatisk fra du registrerer en konto og bruker tjenesten på vegne av et foretak. Trenger du et signert eksemplar for ditt eget arkiv, kontakt kontakt@articonsult.no.
1. Parter
Behandlingsansvarlig ("Kunden"): den juridiske personen som registrerer kontoen og som overfører personopp- lysninger (inkludert leverandørdata, e-postinnhold og bilag) til tjenesten.
Databehandler ("Bilagsagenten"): ARTI Consult AS, org.nr. 929 098 609, C. Sundts gate 55, 5004 Bergen, Norge.
2. Behandlingens formål og gjenstand
Bilagsagenten behandler personopplysninger på vegne av Kunden kun for å levere tjenesten: motta inngående bilag fra e-post eller forwarding-adresse, ekstrahere strukturerte felter via AI, foreslå kontering, og — der det er konfigurert — pushe bilag til kundens regnskapssystem (Tripletex eller tilsvarende).
Bilagsagenten behandler ikke data for egne formål, for markedsføring, eller for trening av tredjeparts AI-modeller.
3. Type personopplysninger og kategorier av registrerte
Typer opplysninger som behandles:
- Identifikasjon på Kunden: kontoinnehavers navn og e-postadresse
- Foretaksinformasjon: organisasjonsnummer, foretaksnavn
- Leverandørdata fra mottatte bilag: leverandørnavn, org.nr, kontonummer, KID, IBAN, beløp, MVA-detaljer
- E-postinnhold (emne, avsender, kropp og PDF-vedlegg) for meldinger som videresendes til bilag-adresse eller hentes gjennom Gmail/Outlook-tilkobling
- Autentiserings-tokens for tilkoblede tjenester (lagres kryptert)
Kategorier registrerte: Kundens ansatte (de som bruker tjenesten) og personer/foretak som vises som leverandører på inngående fakturaer.
4. Bilagsagentens plikter
- Behandle personopplysninger kun etter dokumenterte instrukser fra Kunden — bruk av tjenesten anses som instruks om å behandle opplysninger i tråd med beskrevet funksjonalitet.
- Sørge for at personer som har tilgang til opplysningene er underlagt taushetsplikt.
- Iverksette egnede tekniske og organisatoriske tiltak (jf. GDPR art. 32), inkludert kryptering av tokens og PDF-er, tilgangsstyring, og overvåking.
- Bistå Kunden med å oppfylle plikter overfor de registrerte (innsyn, retting, sletting, dataportabilitet) og overfor Datatilsynet ved hendelser.
- Varsle Kunden uten ugrunnet opphold (og senest innen 72 timer etter at Bilagsagenten ble kjent med bruddet) ved brudd på personopplysningssikkerheten som omfatter Kundens data.
- Slette eller returnere alle personopplysninger ved opphør av avtalen, etter Kundens valg, og slette eksisterende kopier med mindre lagring kreves etter norsk lov (typisk bokføringsloven § 13 — fem år).
5. Underleverandører (sub-databehandlere)
Bilagsagenten benytter følgende underleverandører for å levere tjenesten. Kunden gir generelt samtykke til dette ved registrering. Vi varsler om endringer i listen minst 30 dager før de trer i kraft — Kunden kan da si opp avtalen uten gebyr hvis endringen ikke aksepteres.
| Underleverandør | Formål | Lokasjon |
|---|---|---|
| Supabase Inc. | Database (PostgreSQL) — strukturerte data om bilag, brukere, regler | EU (Frankfurt / Stockholm) |
| Fly.io, Inc. | Applikasjons-hosting og bakgrunnsprosesser | EU (Stockholm, Sverige) |
| Anthropic PBC | AI-modell (Claude) for klassifisering og ekstraksjon | USA — overført under EU SCC + Anthropic Data Processing Addendum |
| Resend, Inc. | Utgående e-post og innkommende e-post-prosessering | EU / USA — SCC-dekket |
| Google LLC (Gmail OAuth) | Inntak av e-post når Kunden kobler Gmail | USA — SCC-dekket |
| Microsoft Corporation (Outlook/Graph) | Inntak av e-post når Kunden kobler Outlook | EU (Microsoft EU Data Boundary) / USA — SCC-dekket |
| Vercel Inc. | Frontend-hosting | EU / USA — SCC-dekket |
Brreg (Brønnøysundregistrene) benyttes som offentlig informasjonskilde for organisasjonsnummer-oppslag. Dette regnes ikke som databehandler-overføring siden Brreg-data er offentlig tilgjengelig.
6. Overføring til tredjeland
Enkelte underleverandører kan behandle data utenfor EØS (typisk USA). I disse tilfellene er overføringen sikret gjennom EU- kommisjonens Standard Contractual Clauses (SCC, 2021/914) og tilhørende Data Processing Addenda inngått med hver underleverandør.
Anthropic har bekreftet at Bilagsagentens API-bruk ikke benyttes til modelltrening, og at data oppbevares i maksimalt 30 dager for misbruksdeteksjon — etter dette slettes det.
7. Sikkerhetstiltak
Bilagsagenten implementerer følgende tekniske og organisatoriske tiltak (jf. GDPR art. 32):
- Kryptering av tokens og hemmeligheter (Fernet symmetric)
- TLS på all kommunikasjon
- Tilgangsstyring per bruker, row-level security i database
- Audit-logg på alle endringer i bilag, regler og innstillinger
- Krypterte databasebackups gjennom Supabase
- Strict-Transport-Security, CSP og frame-ancestors-policy på alle frontend-responsene
- Begrenset antall ansatte med tilgang til produksjonssystemet
For oppdatert informasjon, se sikkerhetssiden.
8. Lagringstid
Bilag-data (inkludert PDF-er, ekstraherte felter, audit-spor) lagres i fem (5) år etter siste bokførte transaksjon — i samsvar med bokføringsloven § 13. Kunden kan eksportere alle data som JSON via Innstillinger → Personvern når som helst.
Tokens for tilkoblede regnskaps- og e-posttjenester slettes umiddelbart ved frakobling. Brukerkontoer som ikke har registrert aktivitet i 18 måneder kan slettes etter forhånds- varsel.
9. Kundens plikter
- Sørge for at det finnes rettslig grunnlag (avtale, samtykke eller berettiget interesse) for å bruke tjenesten på de opplysningene Kunden overfører.
- Sørge for at personer hos Kunden som har tilgang til tjenesten er autoriserte og har taushetsplikt.
- Kontrollere kontering før den endelig overføres til regnskapssystemet — Bilagsagenten foreslår og lærer, men endelig ansvar for bokføring ligger hos Kunden.
10. Brudd på personopplysningssikkerheten
Bilagsagenten varsler Kunden på e-post til registrert kontakt- adresse uten ugrunnet opphold ved brudd, og senest innen 72 timer etter at Bilagsagenten har blitt kjent med det. Varselet skal inneholde:
- Beskrivelse av bruddet
- Kontaktinformasjon til ansvarlig for hendelsen
- Sannsynlige konsekvenser
- Tiltak Bilagsagenten har iverksatt
11. Revisjon og inspeksjon
Kunden har rett til, én gang per kalenderår og med rimelig varsel, å revidere Bilagsagentens etterlevelse av denne avtalen. Revisjonen skal gjennomføres slik at den ikke unødig forstyrrer den løpende driften, og kostnader bæres av Kunden med mindre revisjonen avdekker vesentlige brudd.
Bilagsagenten kan tilfredsstille revisjonskravet ved å fremvise relevante sertifiseringsbevis (f.eks. SOC 2 fra underleverandører) der det er aktuelt.
12. Opphør
Avtalen gjelder så lenge Kunden bruker tjenesten. Ved opphør sletter eller returnerer Bilagsagenten alle personopplysninger etter Kundens valg — med unntak av data som må oppbevares etter norsk lov (typisk bokføringsloven).
13. Lovvalg og verneting
Avtalen er underlagt norsk rett. Eventuelle tvister søkes løst gjennom dialog. Hvis det ikke lar seg gjøre, er Oslo tingrett verneting.
14. Kontakt og signering
Behovet for en formelt signert kopi av avtalen oppstår sjelden (tjenesten brukes i normalfall under disse standard-vilkårene), men hvis ditt foretak krever signert eksemplar kan du sende forespørsel til kontakt@articonsult.no. Vi sender en utfylt versjon innen 5 virkedager.