Databehandleravtale («DPA») angående
Corvenia programvareløsninger
Ikrafttredelsesdato: 4. september 2025

1. Prosessor- og behandlingsansvarliges roller og ansvar

Corvenia AS («den Leverandør») vil, for å kunne levere SaaS-tjenestene, inkludert eventuelle avtalte leveranser og konsulenttjenester i henhold til avtalt bestillingsskjema, som vil utgjøre analyse og samlet innsamling av økonomiske data og rapportering av økonomiske nøkkeltall og andre operasjonelle data, behandle personopplysninger som en prosessor.

Kunden som er definert i bestillingsskjemaet, vil fungere som kontrolleren når Leverandøren behandler personopplysninger på vegne av kunden. Kundens første instruksjoner og ytterligere behandlingsdetaljer er beskrevet nedenfor i avsnitt 4.

De Vilkår definert i artikkel 4 i EUs generelle databeskyttelsesforordning (»GDPR») skal gjelde for denne DPA.

Denne DPA utgjør en integrert del av avtalen og gjelder så lenge leverandøren behandler personopplysninger på vegne av kunden, og er en integrert del av bestillingsskjemaet.

2. Garanti

Leverandøren garanterer at den har iverksatt hensiktsmessige tekniske og organisatoriske tiltak på en slik måte at behandlingen av personopplysninger i henhold til denne DPA vil oppfylle kravene i gjeldende databeskyttelseslov og sikre beskyttelsen av de registrertes rettigheter og friheter.

Leverandørens unnlatelse av å oppfylle sine forpliktelser i henhold til denne DPA skal utgjøre et brudd på avtalen.

3. Behandlingsdetaljer

Leverandøren garanterer at den vil oppfylle kravene i artikkel 28 GDPR ved å:

a) Behandler kun personopplysninger som instruert av kunden i DPA eller senere skriftlig instruksjon.

b) Varsle kunden hvis leverandøren mener at en instruksjon er i strid med gjeldende databeskyttelseslover.

c) Sikre at enkeltpersoner som behandler personopplysninger er bundet av taushetsplikt.

d) Iverksette hensiktsmessige tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå for personopplysninger som er tilpasset risikoen.

e) Bistå kunden i sin plikt til å svare på registrertes forespørsler om å utøve sine GDPR-rettigheter.

f) Oppfylle kravet om varsling og assistanse om datainnbrudd.

g) Bistå kunden med konsekvensvurderinger om databeskyttelse og eventuelt samarbeid med relevant tilsynsmyndighet.

h) Umiddelbart informere Kunden skriftlig om enhver juridisk forpliktelse som krever at Leverandøren avslører personopplysninger som Leverandøren behandler på vegne av Kunden.

i) Demonstrere overholdelse av forpliktelsene i henhold til artikkel 28 GDPR ved å gjøre nødvendig informasjon tilgjengelig på kundens forespørsel.

j) Tillate og bidra til rimelige revisjoner instruert av kunden.

k) Slette eller returnere personopplysninger og kopier etter kundens valg ved slutten av tjenesten knyttet til behandlingen.

På grunn av det usikre omfanget av punktene e, f, g og j ovenfor, kan disse oppgavene bli gjenstand for tilleggsbetaling på tidsmessig og materiell basis i samsvar med gjeldende satser.

4. Innledende instruksjoner for behandling

Formål

Formålet med behandlingen er levering av SaaS-tjenestene inkludert eventuelle avtalte leveranser og konsulenttjenester i henhold til det avtalte bestillingsskjemaet, som kan beskrives som følger:

Leverandøren har utviklet en skybasert programvareplattform beregnet på å automatisere og forbedre innsamling av økonomiske data og rapportering av økonomiske nøkkeltall og andre operasjonelle data, slik at kundene kan hente dyp innsikt for beslutningstaking og konsernregnskap.

Systemet bruker maskinlæringssystemer fra tredjeparter og manuell veiledning og verifisering fra brukerne (human in-the-loop) for å velge og hente data direkte fra porteføljeselskapenes og datterselskapenes regnskapssystemer, prosjektsystemer, Excel-rapporter og BI-verktøy. Utdataene fra denne programvareplattformen er strukturert og optimalisert av utvalgte tredjeparts maskinlæringssystemer og manuell veiledning fra brukerne (human in-the-loop) slik at kundene kan løse ulike problemer angående datainnsamling og rapportering, analyse og beslutningstaking, prognoser osv. Kunden vil få tilgang til systemet ved hjelp av et webgrensesnitt, der kunden vil ha funksjonaliteten beskrevet for hver programvareløsning i bestillingsskjemaet som inngås mellom leverandør og kunde og som dekker levering av systemet.

Kategorier av personopplysninger og registrerte

Leverandøren vil behandle personopplysningene oppgitt av kunden gjennom bruken av programvaren i samsvar med bestillingsskjemaet. Disse dataene kan omfatte, men er ikke begrenset til, følgende kategorier:

  • Ansattes data: Navn, stillingstitler, e-postadresser, telefonnumre og ansettelsesdetaljer.
  • Finansielle dataTransaksjonsinformasjon knyttet til identifiserbare individer.
  • Plattformbrukerdata: Navn på brukere, påloggingsinformasjon, brukslogger og relatert informasjon.
  • Data fra integrerte systemer: Personopplysninger hentet fra regnskapssystemer, prosjektledelsesverktøy, Excel-rapporter og BI-verktøy.
  • Systemovervåkingsdata: Informasjon som IP-adresser og enhetsdetaljer.

Behandling av andre kategorier av data på vilkårene definert i denne avtalen kan avtales spesifikt mellom partene og oppført skriftlig som et vedlegg til bestillingsskjemaet.

Underbehandlere

Kunden gir leverandøren fullmakt til å engasjere tredjeparts underbehandlere for spesifikke behandlingsaktiviteter, inkludert bruk av tredjeparts maskinlæringssystemer, forutsatt at:

  1. Leverandøren sikrer at underdatabehandlere er bundet av tilsvarende databeskyttelsesforpliktelser.
  2. Leverandøren gir kunden forhåndsvarsel om eventuelle endringer i listen over underbehandlere.

Leverandøren vil være ansvarlig for sine egne underbehandlere.

Leverandøren vil varsle kunden om eventuelle tiltenkte endringer av underbehandlere eller behandlingssteder, og gi kunden muligheten til å protestere. Dersom Kunden motsetter seg Leverandørens engasjement av en underbehandler, står Leverandøren fritt til å si opp avtalen, og begge parter er fri for sine forpliktelser.

5. Tiltak for å sikre sikkerheten til personopplysningene

Leverandøren skal:

  • Implementere tekniske og organisatoriske tiltak for å sikre sikkerheten til personopplysninger
  • Sikre at beskyttelsesnivået garantert for registrerte i henhold til gjeldende databeskyttelseslover, inkludert GDPR, opprettholdes og ikke kompromitteres.

6. Internasjonale dataoverføringer

Personopplysningene som kreves for behandling krever ikke noe ytterligere grunnlag for eksport hvis behandlingen utelukkende skjer innenfor EØS.

Hvis personopplysninger overføres utenfor EØS, skal leverandøren sørge for at passende sikkerhetstiltak er på plass, for eksempel standard kontraktsklausuler (SCC) eller andre mekanismer godkjent i henhold til GDPR.

7. Løpetid og oppsigelse

Denne DPA forblir i kraft så lenge leverandøren leverer plattformen til kunden. Ved oppsigelse skal leverandøren slette eller returnere alle personopplysninger på forespørsel fra kunden.

Corvenia company logo with emblem and text.
Sted:
Edvard Stormsgate 2,
0166 Oslo,
Norge
Løsninger
Gruppe med flere enheterPrivate EquityFamiliekontorer og eierandelerEiendom
Selskapet
Om ossKontakt oss
Ressurser
Blogger og nyheterInnsiktVanlige spørsmål
Abonner på vårt nyhetsbrev!
Smartere innsikt i ytelse, benchmarks og verdiskaping.
Vilkår for bruk
Personvern
DPA
© 2026 Corvenia. Alle rettigheter forbeholdt.