Databehandleravtale

Standard databehandleravtale for bruk av Kigent

Denne databehandleravtalen gjelder når Kigent behandler personopplysninger på vegne av en kunde som bruker tjenesten som behandlingsansvarlig. Avtalen er laget som et standard artikkel 28-grunnlag og supplerer avtalevilkårene.

Kontakt om DPA Se demoen

Kontakt oss på kontakt@kigent.no.

Delbar og utskriftsvennlig versjon

Denne siden er satt opp for å kunne brukes som standard databehandleravtale. Bruk nettleserens utskriftsdialog for å skrive ut eller lagre siden som PDF.

1. Parter og innlemming

Denne databehandleravtalen inngås mellom kunden som behandlingsansvarlig og HENRIK PREMER, org.nr. 937 439 725, registrert adresse Gøteborggata 6B, 0566 Oslo, Norge, som databehandler for tjenesten Kigent.

Avtalen gjelder som en del av avtalegrunnlaget når kunden bruker Kigent til å behandle personopplysninger på egne vegne, med mindre partene uttrykkelig har avtalt en egen skriftlig databehandleravtale som går foran.

Denne siden må leses sammen med avtalevilkårene, personvernsiden og sikkerhet og personvern.

2. Behandlingen som omfattes

Gjenstand: levering av Kigent som tjeneste for grounded AI-chat, kunnskapsbase, nettsideimport, widget, leads og tilhørende administrasjon.

Varighet: så lenge kunden bruker tjenesten og Kigent behandler personopplysninger på kundens vegne, med etterfølgende sletting eller retur etter avtale og lovkrav.

Formål: å lagre, organisere, hente frem, strukturere og bruke kundens data for å levere chat, kunnskapsbase, søk, oppslag, support og tilhørende drifts- og sikkerhetsfunksjoner.

Rollefordeling: kunden er normalt behandlingsansvarlig, og Kigent er normalt databehandler for personopplysninger kunden legger inn eller samler inn gjennom tjenesten.

3. Typer personopplysninger

Kontaktopplysninger som navn, e-postadresse, telefonnummer og virksomhetsinformasjon dersom kunden legger dette inn eller samler det inn via widgeten.

Dokumentinnhold, nettsideinnhold, produkttabeller og annet innhold kunden laster opp, kobler til eller publiserer gjennom tjenesten.

Chatmeldinger, leads, ratings, bookingrelatert metadata og annen sluttbrukerdialog som behandles via kundens arbeidsområde.

Tekniske metadata knyttet til bruk av tjenesten, som widget-ID, origin, tidsstempler, korrelasjons-ID-er og driftslogger der dette er nødvendig for sikkerhet og leveranse.

4. Kategorier av registrerte

Kundens egne ansatte, brukere og administratorer.

Sluttbrukere og besøkende som bruker kundens widget eller samhandler med kundens publiserte Kigent-flater.

Kundens leads, kunder, leverandører eller andre registrerte som inngår i innhold kunden selv laster opp eller kobler til.

5. Kundens instruks og ansvar

Kigent skal bare behandle personopplysninger på dokumenterte instruksjoner fra kunden, slik disse følger av kundens bruk av tjenesten, konfigurasjon, opplastninger, koblede kilder, valg av funksjoner og andre skriftlige instrukser som partene avtaler.

Kunden er ansvarlig for at det finnes gyldig behandlingsgrunnlag for egne behandlinger, at kun nødvendige personopplysninger brukes, og at den registrerte får nødvendig informasjon der regelverket krever det.

Kunden skal ikke bruke tjenesten til særlige kategorier personopplysninger eller andre sensitive opplysninger med mindre dette er nødvendig, lovlig og særskilt vurdert av kunden. Kunden er også ansvarlig for riktigheten i eget innhold, egne svaroppsett og egne datakilder.

6. Konfidensialitet og tilgang

Kigent skal sikre at personer som får tilgang til personopplysninger på vegne av Kigent, bare får slik tilgang når det er nødvendig for å levere, drifte, vedlikeholde eller sikre tjenesten, og at disse personene er bundet av konfidensialitet eller passende lovbestemt taushetsplikt.

7. Sikkerhetstiltak

rollebasert tilgangskontroll i dashboard og begrensning av tilgang til riktig arbeidsområde og riktig virksomhet

autentisering og sesjonshåndtering for administratorbrukere

logisk separasjon av kundedata per arbeidsområde i databasen

begrensning av widget-trafikk gjennom allowed origins, publiserte Kigent-domener eller kortlivede trust-tokens der dette brukes

logging, feilsøking og sikkerhetsrelevante kontroller som er nødvendige for drift, misbruksforebygging og hendelseshåndtering

rutiner for sletting av data i arbeidsområdet når kunden sletter arbeidsområdet eller når data ellers skal slettes etter instruks eller lovkrav

8. Bruk av underdatabehandlere

Kunden gir med denne avtalen en generell forhåndsgodkjenning til at Kigent kan bruke underdatabehandlere som er nødvendige for å levere tjenesten, forutsatt at Kigent sørger for at slike underdatabehandlere pålegges tilsvarende personvernforpliktelser som følger av denne avtalen.

Kigent skal holde en oppdatert oversikt over sentrale underleverandører og relevante roller på denne siden eller i tilknyttede policy-sider. Ved vesentlige endringer som påvirker behandling av kundedata skal Kigent oppdatere oversikten og gi kunden rimelig mulighet til å vurdere endringen.

Full leverandøroversikt finnes på siden for underleverandører. Ikke alle leverandører behandler kundedata i alle kundeforhold.

Supabase

Underdatabehandler

Database, autentisering, tilgangskontroll og lagring

Data: Konto, workspace, roller, logger, dokumentdata, chatrelaterte data og applikasjonsdata

Region: EØS eller valgt prosjektregion, med mulig tredjelandsoverføring etter leverandørvilkår

OpenAI

Underdatabehandler

Embeddings, svargenerering og AI-behandling når OpenAI brukes

Data: Prompt, brukerens spørsmål, instruksjoner og relevante utdrag fra kundens kunnskapsgrunnlag

Region: Kan innebære behandling utenfor EØS

Kigent bruker ikke kundedata til å trene generelle AI-modeller uten særskilt avtale.

Google Gemini

Underdatabehandler

Svargenerering eller fallback når Gemini brukes

Data: Prompt, brukerens spørsmål, instruksjoner og relevante utdrag fra kundens kunnskapsgrunnlag

Region: Kan innebære behandling utenfor EØS

Brukes bare når Gemini er valgt eller aktivert som fallback i tjenesten.

Stripe

Betalingsleverandør, selvstendig behandlingsansvarlig og/eller databehandler avhengig av kontekst

Betaling, abonnement, fakturering og kundeportal

Data: Kundeopplysninger, abonnementsstatus, betalingsmetadata og fakturainformasjon

Region: EU/USA etter Stripe sitt oppsett og regelverk

Google Analytics 4

Analyseleverandør

Analyse av bruk av Kigents offentlige sider etter samtykke

Data: Tekniske data, sidevisninger, samtykkestatus og bruksstatistikk

Region: Kan innebære behandling utenfor EØS

Lastes ikke før aktivt samtykke på Kigents offentlige sider.

Calendly

Leverandør for kundestyrt bookingflyt

Bookingflyt hvis kunden aktiverer booking

Data: Navn, e-post, valgt tid, bookingmetadata og eventuell melding brukeren sender i bookingflyten

Region: Kan innebære behandling utenfor EØS

Vercel

Underdatabehandler/hosting-leverandør

Hosting, edge/serverless-kjøring og teknisk drift av webapplikasjonen

Data: Tekniske logger, IP-adresse, requestmetadata og driftsrelatert informasjon

Region: Kan innebære behandling utenfor EØS

Sentry

Underdatabehandler/observability-leverandør

Feilsporing, stabilitet og hendelsesdiagnostikk

Data: Feillogger, stack traces, tekniske metadata og begrensede requestdetaljer

Region: Kan innebære behandling utenfor EØS

Skal ikke brukes til å lagre fulle kundedokumenter eller unødvendig chatinnhold.

Underdatabehandlerlogg

Denne loggen brukes for å synliggjøre vesentlige endringer i underdatabehandlerkjeden over tid.

Sist oppdatert: 4. april 2026

4. april 2026

Første publiserte underdatabehandlerlogg

Listen ble etablert med Supabase for autentisering og database, OpenAI for embeddings og eventuell svargenerering, og Google Gemini som valgfri modell/fallback for svargenerering.

9. Bistand til kunden

Kigent skal, så langt det er mulig og rimelig, bistå kunden med å oppfylle forespørsler om innsyn, retting, sletting, begrensning, dataportabilitet og protester når dette gjelder opplysninger som behandles gjennom tjenesten. Kunden kan selv laste ned alle egne data og slette konto umiddelbart via selvbetjening under Innstillinger → Generelt i dashboardet (svar er umiddelbart tilgjengelig). For forespørsler som ikke kan håndteres via selvbetjening, svarer Kigent innen 1 måned jf. GDPR Art. 12.

Kigent skal også, med hensyn til behandlingens art og informasjonen Kigent har tilgjengelig, bistå kunden med vurderinger av informasjonssikkerhet, avvikshåndtering, personvernkonsekvensvurderinger og eventuell forhåndsdrøftelse med tilsynsmyndighet når regelverket krever det.

Slik bistand kan kreve at kunden gir tilstrekkelig informasjon om behandlingen, og kan være gjenstand for rimelig betaling dersom bistanden går vesentlig utover vanlig brukerstøtte eller det som følger direkte av tjenesten.

10. Avvik og sikkerhetshendelser

Dersom Kigent blir kjent med et brudd på personopplysningssikkerheten som gjelder personopplysninger behandlet på vegne av kunden, skal Kigent varsle kunden uten ugrunnet opphold og gi tilgjengelig informasjon som er nødvendig for at kunden kan vurdere og håndtere hendelsen etter regelverket.

11. Overføring utenfor EØS

Dersom Kigent eller en underdatabehandler behandler personopplysninger utenfor EØS, skal behandlingen bygge på et gyldig overføringsgrunnlag etter personvernregelverket, og nødvendige supplerende tiltak skal brukes der dette er påkrevd. Nærmere informasjon om relevante leverandører finnes også på sikkerhet og personvern.

12. Retur, sletting og opphør

Ved opphør av kundeforholdet eller når kunden ellers instruerer om det, skal Kigent slette eller returnere personopplysninger som behandles på vegne av kunden, med mindre videre lagring er påkrevd etter lov eller er nødvendig for å dokumentere rettslige krav, sikkerhetshendelser eller oppfyllelse av avtaleforpliktelser.

Når kunden sletter et arbeidsområde, slettes tilknyttede data permanent i databasen, med forbehold for tekniske restkopier og lovpålagt oppbevaringstid der dette gjelder.

13. Dokumentasjon, revisjon og rangordning

Kigent skal gjøre tilgjengelig informasjon som er nødvendig for å vise at forpliktelsene i denne avtalen og personvernforordningen artikkel 28 er oppfylt. Kunden kan be om rimelig dokumentasjon eller revisjonsoppfølging når dette er nødvendig og saklig begrunnet.

Revisjoner skal gjennomføres på en måte som ivaretar sikkerhet, konfidensialitet og andre kunders interesser, og normalt etter rimelig forhåndsvarsel. Partene skal søke å bruke eksisterende dokumentasjon før mer inngripende kontrolltiltak.

Hvis det er motstrid mellom denne databehandleravtalen og øvrige kommersielle vilkår om behandling av personopplysninger på vegne av kunden, går denne databehandleravtalen foran for slike forhold.

Kontakt og versjon

Spørsmål om DPA kan sendes direkte til Kigent

Kontaktpunkt for databehandleravtale, sikkerhet og personvern: kontakt@kigent.no.

Juridisk tilbyder og databehandler: HENRIK PREMER, org.nr. 937 439 725.

Registrert adresse: Gøteborggata 6B, 0566 Oslo, Norge.

Sist oppdatert: 4. april 2026.