GDPR Compliant
v2.0Sist oppdatert: 8. desember 2025
Echo Algori Data er bygget for å være GDPR-kompatibel – både for egne data og når vi håndterer data på vegne av kunder.
Som norsk selskap (org.nr. 928 592 405) følger vi personopplysningsloven og EUs personvernforordning (GDPR), samtidig som vi leverer løsninger til kunder over hele verden.
Denne siden gir en praktisk oversikt over hvordan vi jobber med GDPR. For full detaljer, se også:
- Personvern / Personvernerklæring
- Vilkår for bruk og tjenester
- Databehandleravtale (DPA) – på forespørsel
1. Rollen vår: behandlingsansvarlig og databehandler
Vi kan ha to ulike roller:
1. Behandlingsansvarlig
– når vi behandler personopplysninger for egne formål, f.eks.:
- Nettside, analyse, skjemaer og kundekommunikasjon
- E-post, møter og prosjektadministrasjon
- Rekruttering og intern drift
→ Dette er beskrevet i vår Personvernerklæring.
2. Databehandler
– når vi behandler personopplysninger på vegne av våre kunder, f.eks.:
- Integrasjoner mellom kundesystemer
- Agentiske KI-løsninger som jobber på kundens interne data
- Automatiserte arbeidsflyter (n8n/Make, API, dashboards, osv.)
I disse tilfellene:
- Kunden er behandlingsansvarlig.
- Vi er databehandler og følger en Databehandleravtale (DPA) som beskriver formål, sikkerhet og underleverandører.
2. Databehandleravtale (DPA)
Når vi behandler personopplysninger på dine vegne, tilbyr vi en strukturert DPA som dekker:
- Formål med behandlingen
- Typer personopplysninger og kategorier registrerte (kunder, brukere, ansatte, m.m.)
- Våre plikter som databehandler
- Sikkerhetstiltak (tekniske og organisatoriske)
- Regler for bruk av underleverandører (subprosessorer)
- Lagringstid og sletting/anonymisering etter endt oppdrag
- Håndtering av avvik og brudd på personopplysningssikkerheten
- Mekanismer for internasjonale overføringer (EU-standardklausuler m.m.)
▶Hvordan få DPA?
Kontakt oss på privacy@echoalgoridata.no, så sender vi deg vår oppdaterte standardavtale, eller tilpasser en DPA til ditt prosjekt.
3. Underleverandører (subprosessorer)
For å levere moderne KI- og automasjonsløsninger bruker vi følgende underleverandører:
| Leverandør | Formål | Lokasjon | Overføringsmekanisme |
|---|---|---|---|
| Infrastruktur & Hosting | |||
| Vercel Inc. | Hosting, CDN, serverless functions | USA | SCC + DPF |
| Supabase Inc. | Database, autentisering, lagring | USA (EU region) | SCC + EU hosting |
| KI-tjenesteleverandører | |||
| Anthropic PBC (Claude) | Tekstgenerering, KI-agenter, analyse | USA | SCC |
| OpenAI LLC (GPT) | Tekstgenerering, embeddings | USA | SCC + DPF |
| Google LLC (Gemini) | KI-modeller, søk, analyse | USA/EU | SCC + DPF |
| DeepSeek | KI-modeller (etter avtale) | China | SCC + TIA |
| Kommunikasjon | |||
| Twilio SendGrid | Transaksjonelle e-poster | USA | SCC + DPF |
| Mailtrap (Railsware) | E-posttesting (dev) | EU (Ukraine) | SCC |
| Overvåkning & Analyse | |||
| Sentry (Functional Software) | Feilovervåkning, ytelsesmåling | USA | SCC + DPF |
| Vercel Analytics | Anonymisert webanalyse | USA | Anonymisert |
Forklaring:
Når vi opptrer som databehandler:
- Alle underleverandører som behandler personopplysninger regnes som subprosessorer.
- Vi inngår egne databehandleravtaler (eller tilsvarende) med disse.
- Vi har interne rutiner for valg, vurdering og oppfølging av underleverandører.
- Denne listen oppdateres ved vesentlige endringer. Siste oppdatering: 8. desember 2025.
Hvis vi gjør vesentlige endringer i hvilke underleverandører som brukes for din løsning, vil dette håndteres i tråd med avtalte rutiner (f.eks. 30 dagers varsel og mulighet til å protestere).
4. Internasjonale overføringer (EU/EØS og tredjeland)
Echo Algori Data er et norsk selskap, men kundene våre og noen teknologipartnere finnes globalt (inkl. Europa, USA og andre regioner). Når personopplysninger overføres utenfor EU/EØS:
- Vi følger reglene i GDPR kapittel V om overføring til tredjeland.
- Der det ikke finnes et «adequacy decision», bruker vi normalt EU-kommisjonens standardkontraktklausuler (SCC) kombinert med relevante tekniske og organisatoriske tiltak.
- Vi vurderer løpende risiko og nødvendighet ved slike overføringer, spesielt når det gjelder KI-tjenester og skyleverandører.
Dersom du har særlige krav (f.eks. strenge data residency-krav eller ønske om kun EU/EØS-lagring), kan vi normalt:
- Designe en løsning som holder data i EU/EØS så langt som mulig, eller
- Vurdere kombinasjon av lokale og internasjonale leverandører, avklart i avtalen.
5. Juridisk grunnlag (GDPR art. 6 og 28)
Vi baserer all behandling på gyldige grunnlag etter GDPR, avhengig av situasjonen:
Samtykke (art. 6(1)(a))
– f.eks. for enkelte markedsføringsaktiviteter, nyhetsbrev eller ikke-nødvendige cookies.
Avtale (art. 6(1)(b))
– når vi må behandle personopplysninger for å levere en tjeneste du har bestilt.
Rettslig forpliktelse (art. 6(1)(c))
– f.eks. regnskapslovgivning.
Berettiget interesse (art. 6(1)(f))
– f.eks. sikkerhet, drift og videreutvikling av tjenester.
Når vi er databehandler, er det din virksomhet som definerer formål og hjemmel, mens vår rolle reguleres av art. 28 (databehandleravtale).
6. Informasjonssikkerhet og innebygd personvern
Vi praktiserer "privacy by design" og "privacy by default" så langt som mulig:
- Minimering av data (bare det som er nødvendig for formålet)
- Tilgangsstyring og "least privilege" – bare de som trenger tilgang får det
- Loggføring og overvåkning av kritiske systemer
- Kryptering der det er hensiktsmessig (i hvile og/eller under overføring)
- Oppdaterte rutiner for patching, backup og hendelseshåndtering
- Opplæring og bevisstgjøring internt om sikkerhet og personvern
Ved et eventuelt brudd på personopplysningssikkerheten (data breach):
- Har vi rutiner for å oppdage, begrense og dokumentere hendelsen.
- Vi vil, når påkrevd, varsle både kunde/behandlingsansvarlig og relevante tilsynsmyndigheter, og bistå med utredning og tiltak.
7. KI-løsninger, EU AI Act og ansvarlig bruk
Ettersom vi jobber mye med generativ KI, agentiske systemer og automatisering, har vi egne prinsipper for ansvarlig bruk som er i tråd med den nye EU-forordningen om kunstig intelligens (EU AI Act).
EUEU AI Act samsvar (Forordning 2024/1689)
EU AI Act trådte i kraft 1. august 2024 med gradvis implementering frem til 2027. Vi forbereder oss aktivt på full etterlevelse:
Feb 2025: Forbud mot uakseptabel risiko
Vi bruker ingen KI-systemer som er forbudt (sosial scoring, manipulering, biometrisk masseovervåkning).
Aug 2025: GPAI-modeller
Vi dokumenterer alle generative KI-modeller (Claude, GPT, Gemini) og deres bruk i våre løsninger.
Aug 2026: Høyrisiko KI-systemer
For prosjekter innen helse, finans, HR eller kritisk infrastruktur implementerer vi risikovurdering og dokumentasjon ihht. Annex III.
KI-risikoklassifisering
Vi klassifiserer alle KI-løsninger etter EU AI Acts risikonivåer:
Minimal risiko
Chatbots, innhold
Begrenset risiko
Transparens
Høy risiko
Særlige krav
Uakseptabel
Forbudt
Våre prinsipper for ansvarlig KI-bruk:
1. Klare roller og dataflyt
- Vi kartlegger hvilke systemer og typer personopplysninger som inngår i løsningen.
- Vi skiller tydelig mellom testdata, syntetiske data og reelle produksjonsdata.
2. Dataminimering og anonymisering der det er mulig
Hvis løsningen kan fungere tilfredsstillende med anonymiserte eller pseudonymiserte data, prioriterer vi det.
3. Transparens og informasjonsplikt
Vi anbefaler at du som kunde er åpen med egne brukere/ansatte om hvordan KI brukes, hvilke data som behandles og hvorfor. I tråd med EU AI Act art. 50, skal brukere informeres når de interagerer med KI-systemer.
4. Menneskelig kontroll (Human-in-the-Loop)
- KI-komponenter skal normalt ses som støtte, ikke som eneste beslutningstaker i kritiske prosesser (GDPR art. 22).
- Vi anbefaler alltid rutiner for menneskelig vurdering, kvalitetssikring og mulighet til å overstyre automatiserte forslag.
5. Tilpasset risikonivå
- Helse, finans, barn, sårbare grupper eller svært sensitive data krever ekstra vurdering og strammere rammer ihht. EU AI Act Annex III.
- Vi kan bidra med risiko- og modenhetsvurdering for slike miljøer.
8. Rettigheter for registrerte
Dine rettigheter som registrert (innsyn, retting, sletting, begrensning, dataportabilitet, protest og å trekke samtykke tilbake) er beskrevet mer detaljert i vår Personvernerklæring.
Kort fortalt kan du:
- Be om innsyn i hvilke personopplysninger vi har om deg
- Be oss rette eller slette data innenfor lovens rammer
- Protestere mot visse typer behandling
- Trekke tilbake samtykke der det er grunnlaget
Kontakt: privacy@echoalgoridata.no
Dersom du mener vi ikke behandler personopplysninger i tråd med regelverket, kan du klage til Datatilsynet i Norge eller relevant tilsynsmyndighet i ditt hjemland. Vi setter likevel pris på om du kontakter oss først, slik at vi kan forsøke å løse saken i minnelighet.
9. Kunder utenfor EU/EØS (inkl. USA)
For kunder utenfor EU/EØS – inkludert samarbeid med ALG Dynamics (USA) og andre partnere – er det viktig å vite:
- Vi legger GDPR-nivå til grunn som standard, også når vi jobber med internasjonale kunder.
- Der lokal lovgivning krever ekstra tiltak, kan vi tilpasse avtale og teknisk løsning.
- Vi kan hjelpe med å designe arkitektur som passer både GDPR og relevante lokale krav (f.eks. krav til lagring i bestemte regioner, interne policies, bransjenormer).
10. Oppdateringer og spørsmål
Vi forbedrer kontinuerlig både teknologi og rutiner – og denne siden vil bli oppdatert ved behov. Dato for siste oppdatering står øverst.
Spørsmål om GDPR og personvern?
E-post (personvern): privacy@echoalgoridata.no
E-post (generelt): info@echoalgoridata.no
11. Versjonshistorikk
v2.0 - 8. desember 2025
- Lagt til detaljert subprosessorliste med alle leverandører
- Lagt til EU AI Act 2024/1689 samsvarsdetaljer
- Oppdatert KI-seksjon med risikoklassifisering
- Lagt til norsk E-handelsloven 2025 referanse
- Lagt til overføringsmekanismer (SCC, DPF, TIA)
v1.0 - 1. januar 2025
- Første versjon av GDPR-samsvarssiden
- Grunnleggende roller og ansvar
- DPA-informasjon og sikkerhetstiltak
Personvern | Vilkår | GDPR Compliant