NeoWatt Databehandleravtale (Data Processing Agreement)
Sist oppdatert: 25.11.2025
1. Bakgrunn og Hensikt
Denne Databehandleravtalen («DPA») regulerer NeoWatt AS («Databehandler») sin behandling av personopplysninger på vegne av Kunden («Behandlingsansvarlig») i forbindelse med leveranse av VPP- og energitjenester («Tjenesten»). Avtalen oppfyller kravene i EUs Personvernforordning (GDPR) artikkel 28.
Ved å inngå Hovedavtalen eller ta i bruk Tjenesten, aksepterer Kunden vilkårene i denne DPA.
2. Behandlingens art og formål
Databehandleren skal kun behandle personopplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige. Formålet med behandlingen er å levere Tjenesten som beskrevet i Hovedavtalen, herunder:
- Styring av energilaster (VPP).
- Analyse av forbruksmønster.
- Handel i fleksibilitetsmarkeder.
- Brukeradministrasjon og support.
Kategorier av registrerte omfatter Kundens sluttbrukere. Typen personopplysninger omfatter Målepunkt-ID, forbruksdata, enhetsdata (elbil/lader/VVB), lokasjonsdata og kontaktinformasjon.
3. Databehandlerens plikter
Databehandleren forplikter seg til å:
- Konfidensialitet: Sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til taushetsplikt.
- Sikkerhet: Iverksette alle nødvendige tekniske og organisatoriske tiltak som kreves iht. GDPR artikkel 32 for å sikre et sikkerhetsnivå som er tilpasset risikoen.
- Avvik: Varsle den Behandlingsansvarlige uten ugrunnet opphold etter å ha fått kunnskap om et brudd på personopplysningssikkerheten.
- Bistand: Bistå den Behandlingsansvarlige med å oppfylle sine forpliktelser (f.eks. ved innsynskrav fra sluttbrukere eller DPIA), i den grad dette er mulig.
4. Bruk av Underleverandører (Sub-processors)
Den Behandlingsansvarlige gir herved Databehandleren en generell tillatelse til å engasjere underleverandører for behandling av personopplysninger.
Gjeldende underleverandører per dags dato:
Leverandør |
Tjeneste |
Lokasjon |
Amazon Web Services (AWS) |
Infrastruktur/ Hosting |
EU/EØS |
Heroku |
Applikasjonsplattform |
EU/EØS |
MongoDB Atlas |
Database og lagring |
EU/EØS |
Intercom |
Kundesupport-system |
USA (Data Privacy Framework) |
Sentry |
Performance monitoring system |
USA (Data Privacy Framework) |
New Relic |
Performance monitoring system |
EU/EØS |
Mailchimp |
Nyhetsbrev |
EU/EØS |
Fiken |
Regnskap |
EU/EØS |
Stripe |
Betaling og utbetalinger |
USA (Data Privacy Framework) |
Google Workspace |
Arbeidsverktøy og lagring |
EU/EØS/USA (Data Privacy Framework) |
Slack |
Arbeidsverktøy |
USA (Data Privacy Framework) |
Enode |
Aggregator av enheter |
EU/EØS |
Smartcar |
Aggregator av bil-enheter |
USA (Data Privacy Framework) |
myUplink |
Aggregator av termiske enheter |
EU/EØS |
NeoWatt skal varsle om endringer eller nye underleverandører på denne nettsiden eller via e-post. Den Behandlingsansvarlige kan motsette seg endringen innen 14 dager dersom det foreligger saklig grunn knyttet til personvern.
5. Overføring til utlandet
Personopplysninger skal primært behandles innenfor EU/EØS. Dersom data overføres til tredjeland (f.eks. USA), skal NeoWatt sikre lovlig overføringsgrunnlag, eksempelvis EU-US Data Privacy Framework eller EUs Standardklausuler (SCC).
6. Revisjon (Audit)
Den Behandlingsansvarlige har rett til å gjennomføre revisjon av Databehandlerens etterlevelse av denne DPA, begrenset til én gang per kalenderår. Slik revisjon skal varsles skriftlig minst 30 dager i forkant og utføres på en måte som ikke forstyrrer Databehandlerens daglige drift. Kostnader ved revisjon bæres av den Behandlingsansvarlige.
7. Ansvar
Partenes erstatningsansvar for brudd på denne DPA følger ansvarsbegrensningene i Hovedavtalen, med unntak av tilfeller hvor GDPR artikkel 83 pålegger direkte bøter fra Datatilsynet.
8. Varighet og Sletting
Denne DPA gjelder så lenge NeoWatt behandler personopplysninger på vegne av Kunden. Ved opphør av Hovedavtalen skal NeoWatt, etter Kundens valg, slette eller tilbakeføre alle personopplysninger, med mindre lovverk pålegger videre lagring.
