Databehandsavtal (”DPA”) avseende
Corvenia mjukvarulösningar
IkrafttrÀdande: 4 september 2025

1. PersonuppgiftsbitrÀdets och personuppgiftsansvarens roller och ansvar

Corvenia AS (”den Leverantör”) kommer, för att tillhandahĂ„lla SaaS-tjĂ€nsterna inklusive eventuella överenskomna leveranser och konsulttjĂ€nster enligt det överenskomna bestĂ€llningsformulĂ€ret, som kommer att utgöra analys och aggregerad finansiell datainsamling och rapportering av finansiella nyckeltal och annan operativ data, behandla personuppgifter som en processor.

Kunden som definieras i bestÀllningsformulÀret kommer att fungera som kontrollant nÀr Leverantören behandlar personuppgifter för Kundens rÀkning. Kundens inledande instruktioner och ytterligare bearbetningsinformation anges nedan i avsnitt 4.

Den Villkor definieras i artikel 4 i EU:s allmĂ€nna dataskyddsförordning (GDPR”) ska tillĂ€mpas pĂ„ detta dataskyddsombud.

Denna DPA utgör en integrerad del av Avtalet och gÀller sÄ lÀnge som Leverantören behandlar personuppgifter för Kundens rÀkning och Àr en integrerad del av BestÀllningsformulÀret.

‍

2. Garanti

Leverantören garanterar att den har genomfört lÀmpliga tekniska och organisatoriska ÄtgÀrder pÄ ett sÄdant sÀtt att dess behandling av personuppgifter enligt denna dataskyddslagstiftning uppfyller kraven i tillÀmplig dataskyddslagstiftning och sÀkerstÀller skyddet av de registrerades rÀttigheter och friheter.

UnderlÄtenhet frÄn Leverantörens sida att uppfylla sina skyldigheter enligt denna DPA utgör ett brott mot avtalet.

‍

3. Bearbetningsdetaljer

Leverantören garanterar att den kommer att uppfylla kraven enligt artikel 28 GDPR genom att:

a) Endast behandling av personuppgifter enligt kundens instruktioner i DPA eller senare skriftliga instruktioner.

b) Meddela Kunden om Leverantören anser att en instruktion strider mot gÀllande dataskyddslagar.

c) SÀkerstÀlla att enskilda personer som behandlar personuppgifter Àr bundna av en tystnadsplikt.

d) Genomföra lÀmpliga tekniska och organisatoriska ÄtgÀrder för att sÀkerstÀlla en sÀkerhetsnivÄ för personuppgifter som Àr lÀmplig för risken.

e) HjÀlpa kunden i dess skyldighet att svara pÄ de registrerades förfrÄgningar om att utöva sina GDPR-rÀttigheter.

f) Uppfyllande av kravet pÄ anmÀlan och assistans om dataintrÄng.

g) Att bistÄ Kunden med konsekvensbedömningar av dataskydd och eventuellt samarbete med relevant tillsynsmyndighet.

h) Omedelbart skriftligen informera Kunden om alla lagstadgade skyldigheter som krÀver att Leverantören lÀmnar ut personuppgifter som Leverantören behandlar för Kundens rÀkning.

i) Bevisa efterlevnad av skyldigheterna enligt artikel 28 GDPR genom att tillhandahÄlla nödvÀndig information pÄ kundens begÀran.

j) TillÄta och bidra till alla rimliga revisioner som riktas av kunden.

k) Radering eller ÄterlÀmnande av personuppgifter och kopior efter kundens val vid slutet av tjÀnsten i samband med behandlingen.

PÄ grund av det osÀkra tillÀmpningsomrÄdet för punkterna e, f, g och j ovan kan dessa uppgifter bli föremÄl för ytterligare betalning pÄ tidsmÀssig och materiell basis i enlighet med tillÀmpliga skattesatser.

‍

4. Inledande instruktioner för bearbetning

Syften

Syftet med behandlingen Àr leverans av SaaS-tjÀnsterna inklusive eventuella överenskomna leveranser och konsulttjÀnster enligt det överenskomna bestÀllningsformulÀret, som kan beskrivas enligt följande:

Leverantören har utvecklat en molnbaserad mjukvaruplattform avsedd att automatisera och förbÀttra insamling och rapportering av finansiella nyckeltal och annan operativ data, sÄ att kunderna kan hÀmta djupa insikter för beslutsfattande och koncernredovisning.

Systemet anvÀnder maskininlÀrningssystem frÄn tredje part och manuell vÀgledning och verifiering frÄn anvÀndarna (human in-the-loop) för att vÀlja och hÀmta data direkt frÄn portföljföretagens och dotterbolagens redovisningssystem, projektsystem, Excel-rapporter och BI-verktyg. Produktionen frÄn denna mjukvaruplattform Àr strukturerad och optimerad av utvalda maskininlÀrningssystem frÄn tredje part och manuell vÀgledning frÄn anvÀndarna (human in-the-loop) för att kunderna ska kunna lösa olika problem rörande datainsamling och rapportering, analys och beslutsfattande, prognoser etc. Kunden kommer att fÄ tillgÄng till systemet med hjÀlp av ett webbgrÀnssnitt, genom vilket kunden kommer att ha den funktionalitet som beskrivs för varje mjukvarulösning i bestÀllningsformulÀret som ingÄs mellan leverantör och kund och tÀcker leveransen av systemet.

Kategorier av personuppgifter och registrerade

Leverantören kommer att behandla de personuppgifter som kunden tillhandahÄller genom sin anvÀndning av programvaran i enlighet med bestÀllningsformulÀret. Dessa uppgifter kan omfatta, men Àr inte begrÀnsade till, följande kategorier:

  • Medarbetardata: Namn, jobbtitlar, e-postadresser, telefonnummer och anstĂ€llningsuppgifter.
  • Finansiella uppgifterTransaktionsinformation kopplad till identifierbara individer.
  • PlattformsanvĂ€ndardataNamn pĂ„ anvĂ€ndare, inloggningsuppgifter, anvĂ€ndarloggar och relaterad information.
  • Data frĂ„n integrerade system: Personuppgifter hĂ€mtade frĂ„n redovisningssystem, projektledningsverktyg, Excel-rapporter och BI-verktyg.
  • Systemövervakningsdata: Information som IP-adresser och enhetsinformation.

Behandling av andra kategorier av uppgifter pÄ de villkor som definieras i detta avtal kan sÀrskilt avtalas mellan parterna och anges skriftligen som en bilaga till bestÀllningsformulÀret.

Underprocessorer

Kunden bemyndigar leverantören att anlita tredjepartsleverantörer för specifika bearbetningsaktiviteter, inklusive anvÀndning av maskininlÀrningssystem frÄn tredje part, förutsatt att:

  1. Leverantören sÀkerstÀller att underpersonuppgiftsbitrÀden Àr bundna av likvÀrdiga dataskyddsskyldigheter.
  2. Leverantören meddelar Kunden i förvÀg om eventuella Àndringar i listan över underbitrÀden.

Leverantören ansvarar för sina egna underbitrÀden.

Leverantören kommer att meddela kunden om eventuella planerade Àndringar av underbitrÀden eller bearbetningsplatser, vilket ger kunden möjlighet att invÀnda. Om Kunden invÀnder mot Leverantörens anlitande av ett underbitrÀde Àr Leverantören fri att sÀga upp avtalet och bÄda parter Àr fria frÄn sina skyldigheter.

‍

5. ÅtgĂ€rder för att sĂ€kerstĂ€lla sĂ€kerheten för personuppgifterna

Leverantören ska

  • Genomföra tekniska och organisatoriska Ă„tgĂ€rder för att sĂ€kerstĂ€lla sĂ€kerheten för personuppgifter;
  • SĂ€kerstĂ€lla att den skyddsnivĂ„ som garanteras registrerade enligt gĂ€llande dataskyddslagar, inklusive GDPR, upprĂ€tthĂ„lls och inte Ă€ventyras.

‍

6. Internationella dataöverföringar

De personuppgifter som krÀvs för behandling krÀver ingen ytterligare grund för export om behandlingen uteslutande sker inom EES.

Om personuppgifter överförs utanför EES ska leverantören sÀkerstÀlla att lÀmpliga skyddsÄtgÀrder finns pÄ plats, till exempel standardavtalsklausuler (SCC) eller andra mekanismer som godkÀnts enligt GDPR.

‍

7. Termin och uppsÀgning

Denna DPA ska förbli i kraft under den tid leverantören tillhandahÄller plattformen till kunden. Vid uppsÀgning ska Leverantören radera eller returnera alla personuppgifter pÄ Kundens begÀran.

‍

Corvenia company logo with emblem and text.
Plats:
Edvard Stormsgate 2,
0166 Oslo,
Norge
Lösningar
Grupp med flera enheterPrivate EquityFamiljekontor och innehavFastigheter
Företag
Om ossKontakta oss
Medel
Bloggar & NyheterInsikterVanliga frÄgor
Prenumerera pÄ vÄrt nyhetsbrev!
Smartare insikter om prestanda, riktmÀrken och vÀrdeskapande.
AnvÀndarvillkor
Integritet
DPA
© 2026 Corvenia. Alla rÀttigheter reserverade.