Databehandleravtale

Mynder AS

Sist oppdatert 18.09.2025

Denne databehandleravtalen (heretter “Avtalen”) regulerer Mynder AS’ behandling av personopplysninger på vegne av sine kunder gjennom Mynder-plattformen. Avtalen er en integrert del av vilkårene for bruk av plattformen og gjelder for all bruk der Mynder opptrer som databehandler.

Partene
  • Behandlingsansvarlig: Kunden (juridisk enhet som bruker Mynder-plattformen)
  • Databehandler: Mynder AS, org.nr. 831 377 372, Lars Hillesgate 30, 5008 Bergen, e-post: personvern@mynder.no
Formål med behandlingen

Mynder behandler personopplysninger utelukkende for å levere og forbedre plattformen, og aldri til egne formål. Typiske formål er:

  • Konto- og brukerstyring: Opprette, administrere og vedlikeholde brukerkontoer for ansatte og andre brukere.
  • Tilgangskontroll og sikkerhet: Gi riktig tilgang basert på roller, sikre innlogging og oppdage uautorisert bruk.
  • Compliance og risikostyring: Dokumentere systemer og leverandører, identifisere risiko og støtte automatisering av compliance-prosesser.
  • Forslag og utkast: Generere forslag til policyer, vurderinger og tiltak basert på informasjon som kunden selv legger inn i plattformen.
  • Support og drift: Gi teknisk brukerstøtte, overvåke ytelse og sikre stabil drift av tjenesten.

Mynder behandler aldri personopplysninger til egne formål.

Kategorier av registrerte og data
  • Registrerte: Ansatte hos Kunden som bruker plattformen, systemeiere, leverandørkontakter, behandlingsansvarlig og sikkerhetsansvarlig.
  • Opplysninger: Navn, e-post, firmanavn, roller, vurderinger, input, metadata og telefonnummer til utvalgte roller for sikkerhets- og beredskapsformål.
Varighet

Avtalen gjelder så lenge Kunden bruker Mynder-plattformen.

Mynders forpliktelser som databehandler

Mynder forplikter seg til å:

  • Behandle data kun i henhold til Kundens instruksjoner
  • Sikre konfidensialitet, integritet og tilgjengelighet
  • Bruke egnede tekniske og organisatoriske tiltak
  • Sørge for tilgangsstyring, logging, kryptering og sikker dataseparasjon
  • Sikre at ansatte og underleverandører er bundet av taushetsplikt
Bruk av underleverandører

For å levere en sikker og skalerbar plattform benytter Mynder anerkjente underleverandører. Disse behandler personopplysninger kun på våre vegne og i tråd med denne avtalen:

  • Microsoft Azure (EU/EØS): Vår primære skyplattform. Brukes til drift, datalagring, databaser og infrastruktur. Alle data lagres i EU/EØS (region Irland), med kryptering i ro og i transitt.
  • OpenAI via Azure (EU-region): Brukes til å analysere og generere tekstforslag basert på innhold kunden selv legger inn. Data behandles kun i aktiv bruk og lagres ikke til modelltrening.
  • Zitadel (Sveits, med EU-adevkansbeslutning): Benyttes til autentisering, pålogging og identitetshåndtering. Leverer rollebasert tilgangskontroll og multifaktorautentisering (MFA).
  • Google Cloud (EU-region): Brukes til å hente inn offentlig tilgjengelig informasjon fra nettet for analyser basert på kundens forespørsel.

Alle underleverandører er bundet av databehandleravtaler som sikrer samme nivå av personvern og sikkerhet som denne avtalen. En oppdatert liste er alltid tilgjengelig på våre nettsider.

Overføringer til tredjeland

Mynder tilstreber at all behandling skjer innen EU/EØS. Ved eventuell overføring til tredjeland benyttes gyldig overføringsgrunnlag, som EUs standard kontraktsvilkår (SCC) eller adekvansbeslutning.

Sikkerhetstiltak

Mynder gjennomfører både tekniske og organisatoriske tiltak for å beskytte konfidensialitet, integritet og tilgjengelighet. Tiltakene inkluderer blant annet:

  • Rollebasert tilgangsstyring (RBAC) og multifaktorautentisering (MFA)
  • Prinsippet om «minste privilegium» ved tildeling av tilganger
  • Kryptering av data i ro og i transitt (TLS/HTTPS og AES-256)
  • Logging og overvåking av tilganger og hendelser
  • Separasjon av kundedata mellom ulike miljøer
  • Regelmessige revisjoner av sikkerhetspraksis og tekniske kontroller
  • Rutiner for backup, gjenoppretting og hendelseshåndtering
  • Opplæring av ansatte i informasjonssikkerhet og taushetsplikt
  • Oppfølging av underleverandører gjennom egne databehandleravtaler og risikovurderinger
Rettigheter og bistand til Kunden

Mynder bistår Kunden med å oppfylle forpliktelser etter GDPR, herunder:

  • Innsyn, retting og sletting av data
  • Håndtering av registrertes rettigheter
  • Varsling og dokumentasjon ved sikkerhetsbrudd
  • Henvendelser fra Datatilsynet
Kontroll og revisjon

Kunden har rett til å kontrollere at Mynder oppfyller sine forpliktelser etter denne avtalen. Mynder vil gi nødvendig dokumentasjon og informasjon for å bekrefte etterlevelse. Revisjon kan gjennomføres etter avtale og med rimelig varsel, og på en måte som ikke urimelig forstyrrer Mynders virksomhet.

Retur og sletting av data

Ved opphør av kundeforhold slettes eller returneres personopplysninger senest 90 dager etter kontolukking, med mindre annet er avtalt. Opplysninger som inngår i sikkerhetskopier kan eksistere en begrenset periode, men slettes gjennom standard rotasjon. Kunden kan be om tidligere sletting.

Endringer i avtalen

Mynder kan oppdatere denne avtalen. Vesentlige endringer varsles i rimelig tid. Den til enhver tid gjeldende versjonen er tilgjengelig på www.mynder.no.

Kontakt

Spørsmål vedrørende databehandling rettes til:
Personvernansvarlig: Sue Janne Alsaker
E-post: suejanne.alskaker@mynder.no

Relaterte dokumenter

Personvernerklæring

Ønsker du en demo? 
Vi bryr oss om dine data. Personvernerklæring.
Tusen takk! Vi har mottatt din henvendelse.
Oops! Noe gikk galt.
© 2025 Mynder AS. Alle rettigheter forbeholdt.
Personvern
Databehandleravtale
Etiske rettningslinjer