Databehandleravtale

Layer Byrå AS

Org.nr. 917 890 617 · Karenslyst Allé 9A, Oslo

Gjeldende versjon: 1.0 · Mai 2026

Denne avtalen er til enhver tid gjeldende versjon av Layers databehandleravtale og er tilgjengelig på layer.no/dpa. Oppdragsgiver aksepterer avtalen som del av oppdragsavtalen med Layer. Vesentlige endringer varsles aktivt.

Innholdsfortegnelse

  1. Parter og formål
  2. Definisjoner
  3. Omfang og instruksjonsbinding
  4. Behandlingsaktiviteter
  5. Layers forpliktelser som databehandler
  6. Sub-processorer
  7. Overføring til tredjeland
  8. Den registrertes rettigheter
  9. Sikkerhet og avvikshåndtering
  10. Sletting og tilbakelevering
  11. Revisjon og dokumentasjon
  12. Varighet og opphør
  13. Ansvar og erstatning
  14. Endringslogg

§ 1 — Parter og formål

Rolle Selskap Detaljer
Behandlingsansvarlig Oppdragsgiver Den juridiske personen som inngår oppdragsavtale med Layer. Identifisert i oppdragsavtalen.
Databehandler Layer Byrå AS Org.nr. 917 890 617. Karenslyst Allé 9A, Oslo. post@layer.no

Denne databehandleravtalen (heretter «DPA» eller «avtalen») regulerer Layer Byrå AS sin behandling av personopplysninger på vegne av Oppdragsgiver i forbindelse med tjenester Layer leverer. Avtalen utgjør et bindende tillegg til den til enhver tid gjeldende oppdragsavtalen mellom partene.

DPAen er strukturert i henhold til kravene i EUs personvernforordning (GDPR) artikkel 28, samt tilhørende norsk personopplysningslov.

§ 2 — Definisjoner

I denne avtalen gjelder følgende definisjoner:

Begrep Definisjon
GDPR Europaparlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger.
Personopplysninger Enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. GDPR art. 4 nr. 1.
Behandling Enhver operasjon som utføres på personopplysninger, jf. GDPR art. 4 nr. 2.
Behandlingsansvarlig Oppdragsgiver — den juridiske personen som bestemmer formål og midler for behandling av personopplysninger.
Databehandler Layer Byrå AS — behandler personopplysninger på vegne av Behandlingsansvarlig.
Sub-processor Tredjepart som Layer benytter for å utføre deler av behandlingen på vegne av Behandlingsansvarlig.
Avvik / personvernbrudd Sikkerhetsbrudd som medfører utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig utlevering av eller tilgang til personopplysninger.
AI-verktøy AI-baserte plattformer og tjenester Layer benytter i oppdragsutførelse, herunder Anthropic Claude og eventuelle øvrige godkjente verktøy.
Oppdragsavtalen Den til enhver tid gjeldende avtalen om tjenesteleveranse mellom Oppdragsgiver og Layer.

§ 3 — Omfang og instruksjonsbinding

3.1 Omfang

Denne DPAen gjelder all behandling av personopplysninger Layer utfører på vegne av Oppdragsgiver som ledd i levering av Layers tjenester. Dette inkluderer, men er ikke begrenset til:

  • Bruk av AI-verktøy for analyse, innholdsproduksjon og strategiarbeid i kundeoppdrag.
  • Innhenting, bearbeiding og rapportering av mediedata og kampanjedata via tilkoblede plattformer (f.eks. Supermetrics).
  • Lagring og deling av oppdragsrelaterte dokumenter og leveranser.
  • Kommunikasjon og prosjektadministrasjon i oppdragssammenheng.

3.2 Instruksjonsbinding

Layer behandler personopplysninger utelukkende etter dokumenterte instruksjoner fra Oppdragsgiver, med mindre behandling er påkrevd av lov. Denne DPAen, kombinert med oppdragsavtalen og eventuelle konkrete instruksjoner gitt skriftlig av Oppdragsgiver, utgjør Layers instruksjonsgrunnlag.

Dersom Layer mener en instruksjon er i strid med GDPR eller annen personvernlovgivning, skal Layer uten ugrunnet opphold varsle Oppdragsgiver skriftlig og begrunne dette.

3.3 Hva DPAen ikke regulerer

Behandling av personopplysninger Layer utfører som selvstendig behandlingsansvarlig — f.eks. behandling av egne ansattes data, egne kunderegistre i CRM, regnskapsdata — reguleres ikke av denne DPAen. Slik behandling reguleres av Layers egne internrutiner og personvernerklæring.

§ 4 — Behandlingsaktiviteter

Tabellen under beskriver de sentrale behandlingsaktivitetene Layer utfører på vegne av Oppdragsgiver. Der konkrete oppdrag avviker fra tabellen, presiseres dette skriftlig mellom partene.

Aktivitet Formål Kategorier personopplysninger Rettslig grunnlag (hos Behandlingsansvarlig)
Bruk av AI-verktøy i strategisk og kreativt arbeid Analyse, innholdsproduksjon og rådgivning i kundeoppdrag Kan inkludere navn, kontaktinfo og atferdsdata for Oppdragsgivers målgrupper — avhenger av hva Oppdragsgiver deler Art. 6(1)(f) berettiget interesse, eller annet grunnlag oppgitt av Oppdragsgiver
Medierapportering og kampanjemåling Hente, bearbeide og levere data om annonseresultater Kan inkludere pseudonymiserte bruker-ID-er, konverteringsdata, demografiske segmenter fra annonseplatformer Art. 6(1)(f) eller samtykke (avhenger av Oppdragsgivers oppsett)
Prosjektdokumentasjon og leveranselagring Strukturert lagring av oppdragsrelatert innhold og kommunikasjon Navn og kontaktinfo på nøkkelpersoner hos Oppdragsgiver Art. 6(1)(b) — oppfyllelse av kontrakt
Oppdragsgiver er ansvarlig for at behandlingsgrunnlaget for de data de deler med Layer er i orden. Layer behandler ikke data på vegne av Oppdragsgiver uten et gyldig grunnlag fra Oppdragsgivers side.

§ 5 — Layers forpliktelser som databehandler

5.1 Konfidensialitet

Layer sikrer at alle medarbeidere og underleverandører som har tilgang til personopplysninger behandlet på vegne av Oppdragsgiver, er underlagt taushetsplikt. Taushetsplikten gjelder også etter avtalens opphør.

5.2 Dataminimering

Layer behandler kun de personopplysningene som er nødvendige for å utføre oppdraget. Layer anvender pragmatisk anonymisering som operativ praksis: unødvendig identifiserbar informasjon om Oppdragsgivers sluttbrukere sendes ikke inn i AI-verktøy eller andre systemer uten eksplisitt klarering fra Oppdragsgiver.

5.3 Tekniske og organisatoriske sikkerhetstiltak

Layer implementerer og opprettholder tiltak som er egnet til å sikre et beskyttelsesnivå som er tilpasset risikoen, jf. GDPR art. 32. Disse inkluderer:

  • Tilgangskontroll: Kun autoriserte medarbeidere har tilgang til systemer som behandler personopplysninger.
  • Autentisering: Layers systemer benytter passordpolitikk og, der støttet, to-faktor-autentisering.
  • AI-plattformer: Kun godkjente AI-verktøy med akseptable databehandlervilkår benyttes. Oversikt fremgår av § 6.
  • Hendelseshåndtering: Layer har rutiner for å oppdage og varsle om personvernbrudd, jf. § 9.

5.4 Bistand til Oppdragsgiver

Layer bistår Oppdragsgiver, i den grad det er mulig og rimelig, med å:

  • Besvare henvendelser fra registrerte om utøvelse av deres rettigheter (jf. § 8).
  • Oppfylle Oppdragsgivers forpliktelser etter GDPR art. 32–36 (sikkerhet, konsekvensutredning, forhåndskonsultasjon).

5.5 Forbud mot viderebruk

Layer benytter ikke personopplysninger behandlet på vegne av Oppdragsgiver til egne formål, herunder markedsføring, produktutvikling eller analyseformål, uten uttrykkelig skriftlig samtykke fra Oppdragsgiver.

§ 6 — Sub-processorer

6.1 Godkjenning

Oppdragsgiver gir ved aksept av denne DPAen en generell forhåndsgodkjenning til at Layer benytter sub-processorer, forutsatt at disse er listet i § 6.2 og at Layer inngår skriftlig databehandleravtale med dem som oppfyller kravene i GDPR art. 28(4).

Layer varsler Oppdragsgiver med rimelig varsel (normalt 30 dager) ved vesentlige endringer i sub-processor-listen, herunder tillegg av nye sub-processorer som behandler personopplysninger. Oppdragsgiver kan fremme skriftlig innsigelse. Kan enighet ikke oppnås, kan Oppdragsgiver si opp oppdragsavtalen uten ekstra kostnad.

6.2 Gjeldende sub-processorer

Sub-processor Rolle Land / region DPA / overføringsgrunnlag
Anthropic, PBC AI-plattform (Claude) — behandler data innmatet i AI-verktøy USA Anthropics DPA, tilgjengelig på anthropic.com/legal/data-processing-addendum. Overføring basert på EU SCCs Module Two/Three og UK Addendum, jf. Anthropics DPA Schedule 3.
Google LLC (Workspace / Drive) Lagring av dokumenter og leveranser. E-post og kalender. USA / EU-region tilgjengelig Google Workspace DPA. SCCs.
Supermetrics Oy Innhenting og bearbeiding av mediedata fra annonseplatformer Finland (EU) Supermetrics DPA. GDPR-dekkende.
Notion Labs, Inc. Intern prosjektdokumentasjon og kundeprosjekter USA Notion DPA. SCCs.
Pipedrive CRM — kontaktdata for kunder og prospekter Estland (EU) Pipedrive DPA. GDPR-dekkende.
Timely AS Tidsregistrering — ansattes arbeidsdata Norge Timely DPA. GDPR-dekkende.

6.3 Layers ansvar for sub-processorer

Layer er overfor Oppdragsgiver ansvarlig for at sub-processorer oppfyller de samme forpliktelsene som Layer selv er underlagt etter denne DPAen. Layer påtar seg fullt ansvar overfor Oppdragsgiver for sub-processorers handlinger og unnlatelser, i den utstrekning Layer er ansvarlig for egne handlinger etter denne DPAen.

§ 7 — Overføring til tredjeland

Personopplysninger behandlet under denne DPAen kan overføres til land utenfor EU/EØS som del av bruken av sub-processorer listet i § 6.2. Slike overføringer skjer utelukkende på følgende grunnlag:

Overføringsgrunnlag Beskrivelse
EU Standard Contractual Clauses (SCCs) Europakommisjonens standardklausuler av 4. juni 2021. For Anthropic er SCCs Module Two (controller-to-processor) og Module Three (processor-to-processor) inkorporert ved henvisning i Anthropics DPA, jf. dennes Schedule 3. Tilsvarende mekanikk gjelder for øvrige amerikanske sub-processorer.
UK Addendum Inkorporert for behandling som faller under UK GDPR, jf. Anthropics DPA Schedule 3 og tilsvarende addendum hos øvrige sub-processorer.
Adekvansvedtak Der Europakommisjonen har vedtatt at mottakerlandet gir tilstrekkelig beskyttelse.

Layer holder oversikt over hvilke overføringsgrunnlag som gjelder for den enkelte sub-processor, jf. tabellen i § 6.2. Layer baserer seg ikke på EU-US Data Privacy Framework (DPF) som overføringsgrunnlag — overføringer til USA dekkes utelukkende av SCCs som inkorporert i sub-processors DPA.

§ 8 — Den registrertes rettigheter

Der Layer behandler personopplysninger på vegne av Oppdragsgiver, er det Oppdragsgiver som er behandlingsansvarlig og således primært ansvarlig for å ivareta de registrertes rettigheter etter GDPR kapittel III.

Layer bistår Oppdragsgiver med å oppfylle rettighetskrav i den utstrekning Layer har teknisk mulighet til dette, og uten at det innebærer behandling Layer ikke er instruert til å utføre. Konkret:

Rettighet (GDPR) Layers bistand
Innsyn (art. 15) Layer kan på forespørsel fra Oppdragsgiver gi oversikt over hvilke data Layer behandler på vegne av Oppdragsgiver.
Retting (art. 16) Layer retter eller korrigerer data i systemer Layer kontrollerer etter skriftlig instruksjon fra Oppdragsgiver.
Sletting (art. 17) Layer sletter data i systemer Layer kontrollerer etter skriftlig instruksjon, og i henhold til § 10.
Dataportabilitet (art. 20) Layer kan eksportere data i maskinlesbart format der dette er teknisk mulig.
Innsigelse / begrensning (art. 21–22) Layer begrenser behandling etter skriftlig instruksjon fra Oppdragsgiver.

Layer videresender uten ugrunnet opphold henvendelser fra registrerte til Oppdragsgiver der Layer mottar slike direkte.

§ 9 — Sikkerhet og avvikshåndtering

9.1 Sikkerhetstiltak

Layer opprettholder tekniske og organisatoriske tiltak som beskrevet i § 5.3. Tiltakene evalueres og oppdateres løpende i takt med teknologiutvikling og endret risikolandskap.

9.2 Varsling ved personvernbrudd

Dersom Layer oppdager eller har rimelig grunn til å mistenke et personvernbrudd som berører personopplysninger behandlet på vegne av Oppdragsgiver, skal Layer:

  • Varsle Oppdragsgiver uten ugrunnet opphold og senest innen 48 timer etter at bruddet er oppdaget.
  • I varselet angi: type brudd, hvilke kategorier og omtrentlig antall registrerte og opplysninger som er berørt, sannsynlige konsekvenser, og tiltak Layer har iverksatt eller planlegger.
  • Bistå Oppdragsgiver med eventuell varsling til Datatilsynet (frist 72 timer, jf. GDPR art. 33) og berørte registrerte.

Varsling etter dette punktet er ikke en anerkjennelse av ansvar fra Layers side.

9.3 Sub-processorers avvik

Layer sikrer at sub-processorer er forpliktet til å varsle Layer ved personvernbrudd på tilsvarende vilkår, slik at Layer kan oppfylle sin varslingsplikt overfor Oppdragsgiver. Anthropic forplikter seg eksplisitt til 48-timers varsling til Layer, jf. Anthropics DPA § G.1, hvilket gir Layer tid til å oppfylle egen 48-timersfrist mot Oppdragsgiver.

§ 10 — Sletting og tilbakelevering

Ved oppdragets avslutning eller DPAens opphør skal Layer, etter Oppdragsgivers valg:

  • Slette alle personopplysninger behandlet på vegne av Oppdragsgiver fra systemer Layer kontrollerer, og bekrefte slettingen skriftlig; eller
  • Tilbakelevere personopplysningene til Oppdragsgiver i et egnet format, og deretter slette dem.

Slettefristen er 30 dager etter oppdragsavtalens opphør, med mindre annet er avtalt skriftlig eller loven krever lengre oppbevaring.

For data lagret hos sub-processorer gjelder den aktuelle sub-processorens DPA og slettevilkår. For Anthropic gjelder 30 dagers sletting etter terminering, jf. Anthropics DPA § H.1, med tre unntak: (i) der lov krever oppbevaring, (ii) ved pågående tvist mellom partene, eller (iii) der oppbevaring er nødvendig for å bekjempe skadelig bruk av tjenestene. Tilsvarende mekanikk gjelder for øvrige sub-processorer. Layer informerer Oppdragsgiver om disse vilkårene og bistår med sletteforespørsler der dette er teknisk mulig.

§ 11 — Revisjon og dokumentasjon

Layer fører og vedlikeholder nødvendig dokumentasjon for å kunne demonstrere etterlevelse av denne DPAen, jf. GDPR art. 28(3)(h).

Oppdragsgiver, eller en av Oppdragsgiver utpekt uavhengig revisor, har rett til å gjennomføre revisjon av Layers behandlingsaktiviteter etter rimelig skriftlig varsel (minimum 30 dager). Kostnader til revisjon bæres av Oppdragsgiver med mindre revisjonen avdekker vesentlig avvik fra DPAen, i så fall bærer Layer rimelige kostnader.

Layer kan som alternativ til fysisk revisjon fremlegge relevante sertifiseringer, tredjepartsrevisjoner eller annen dokumentasjon som gir tilsvarende sikkerhet. For Anthropic er SOC 2-rapport tilgjengelig via trust.anthropic.com.

§ 12 — Varighet og opphør

Denne DPAen trer i kraft ved Oppdragsgivers aksept av oppdragsavtalen og gjelder så lenge Layer behandler personopplysninger på vegne av Oppdragsgiver.

DPAen opphører automatisk ved oppdragsavtalens opphør, med forbehold om at bestemmelsene om sletting (§ 10), konfidensialitet (§ 5.1) og ansvar (§ 13) består etter opphør.

Layer kan ensidig oppdatere DPAen for å reflektere endringer i lovgivning, Datatilsynets retningslinjer eller endringer i Layers sub-processor-liste. Vesentlige endringer varsles Oppdragsgiver med minimum 30 dagers varsel. Øvrige justeringer trer i kraft umiddelbart og kunngjøres på layer.no/dpa.

§ 13 — Ansvar og erstatning

Layer er ansvarlig overfor Oppdragsgiver for tap som direkte skyldes at Layer har brutt denne DPAen eller GDPR, i den grad Layer er direkte årsak til tapet.

Layer er ikke ansvarlig for:

  • Behandling Oppdragsgiver instruerer Layer til å utføre, og som er i strid med GDPR — Oppdragsgiver bærer selv dette ansvaret.
  • Handlinger og unnlatelser fra sub-processorer i den grad disse skyldes Oppdragsgivers instruksjoner.
  • Indirekte tap, tapt fortjeneste eller konsekvenstap, med mindre det foreligger grov uaktsomhet eller forsett.

Ansvarsgrensen for Layer etter denne DPAen er begrenset til det samlede beløp Oppdragsgiver har betalt Layer de siste 12 måneder forut for kravet, med mindre annet følger av ufravikelig lov.

§ 14 — Endringslogg

Versjon Dato Endring
1.0 Mai 2026 Første versjon. Dekker all databehandling Layer utfører på vegne av kunder. Inkluderer AI-verktøy, medierapportering, prosjektlagring. Overføringsgrunnlag avgrenset til SCCs.
Layer Byrå AS · Karenslyst Allé 9A, 0278 Oslo · post@layer.no · layer.no/dpa