Hopp til hovedinnhold
Echo Algori Data
Samsvar & Sikkerhet

GDPR Compliant

v2.0

Sist oppdatert: 8. desember 2025

Echo Algori Data er bygget for å være GDPR-kompatibel – både for egne data og når vi håndterer data på vegne av kunder.

Som norsk selskap (org.nr. 928 592 405) følger vi personopplysningsloven og EUs personvernforordning (GDPR), samtidig som vi leverer løsninger til kunder over hele verden.

GDPR (EU) 2016/679PersonopplysningslovenEU AI Act 2024/1689E-handelsloven 2025

Denne siden gir en praktisk oversikt over hvordan vi jobber med GDPR. For full detaljer, se også:

1. Rollen vår: behandlingsansvarlig og databehandler

Vi kan ha to ulike roller:

1. Behandlingsansvarlig

– når vi behandler personopplysninger for egne formål, f.eks.:

  • Nettside, analyse, skjemaer og kundekommunikasjon
  • E-post, møter og prosjektadministrasjon
  • Rekruttering og intern drift

Dette er beskrevet i vår Personvernerklæring.

2. Databehandler

– når vi behandler personopplysninger på vegne av våre kunder, f.eks.:

  • Integrasjoner mellom kundesystemer
  • Agentiske KI-løsninger som jobber på kundens interne data
  • Automatiserte arbeidsflyter (n8n/Make, API, dashboards, osv.)

I disse tilfellene:

  • Kunden er behandlingsansvarlig.
  • Vi er databehandler og følger en Databehandleravtale (DPA) som beskriver formål, sikkerhet og underleverandører.

2. Databehandleravtale (DPA)

Når vi behandler personopplysninger på dine vegne, tilbyr vi en strukturert DPA som dekker:

  • Formål med behandlingen
  • Typer personopplysninger og kategorier registrerte (kunder, brukere, ansatte, m.m.)
  • Våre plikter som databehandler
  • Sikkerhetstiltak (tekniske og organisatoriske)
  • Regler for bruk av underleverandører (subprosessorer)
  • Lagringstid og sletting/anonymisering etter endt oppdrag
  • Håndtering av avvik og brudd på personopplysningssikkerheten
  • Mekanismer for internasjonale overføringer (EU-standardklausuler m.m.)

Hvordan få DPA?

Kontakt oss på privacy@echoalgoridata.no, så sender vi deg vår oppdaterte standardavtale, eller tilpasser en DPA til ditt prosjekt.

3. Underleverandører (subprosessorer)

For å levere moderne KI- og automasjonsløsninger bruker vi følgende underleverandører:

LeverandørFormålLokasjonOverføringsmekanisme
Infrastruktur & Hosting
Vercel Inc.Hosting, CDN, serverless functionsUSASCC + DPF
Supabase Inc.Database, autentisering, lagringUSA (EU region)SCC + EU hosting
KI-tjenesteleverandører
Anthropic PBC (Claude)Tekstgenerering, KI-agenter, analyseUSASCC
OpenAI LLC (GPT)Tekstgenerering, embeddingsUSASCC + DPF
Google LLC (Gemini)KI-modeller, søk, analyseUSA/EUSCC + DPF
DeepSeekKI-modeller (etter avtale)ChinaSCC + TIA
Kommunikasjon
Mailtrap (Railsware)Transaksjonelle e-posterEU (Ukraine)SCC
Overvåkning & Analyse
Sentry (Functional Software)Feilovervåkning, ytelsesmålingUSASCC + DPF
Vercel AnalyticsAnonymisert webanalyseUSAAnonymisert

Forklaring:

SCC = Standard Contractual ClausesDPF = EU-U.S. Data Privacy FrameworkTIA = Transfer Impact Assessment

Når vi opptrer som databehandler:

  • Alle underleverandører som behandler personopplysninger regnes som subprosessorer.
  • Vi inngår egne databehandleravtaler (eller tilsvarende) med disse.
  • Vi har interne rutiner for valg, vurdering og oppfølging av underleverandører.
  • Denne listen oppdateres ved vesentlige endringer. Siste oppdatering: 8. desember 2025.

Hvis vi gjør vesentlige endringer i hvilke underleverandører som brukes for din løsning, vil dette håndteres i tråd med avtalte rutiner (f.eks. 30 dagers varsel og mulighet til å protestere).

4. Internasjonale overføringer (EU/EØS og tredjeland)

Echo Algori Data er et norsk selskap, men kundene våre og noen teknologipartnere finnes globalt (inkl. Europa, USA og andre regioner). Når personopplysninger overføres utenfor EU/EØS:

  • Vi følger reglene i GDPR kapittel V om overføring til tredjeland.
  • Der det ikke finnes et «adequacy decision», bruker vi normalt EU-kommisjonens standardkontraktklausuler (SCC) kombinert med relevante tekniske og organisatoriske tiltak.
  • Vi vurderer løpende risiko og nødvendighet ved slike overføringer, spesielt når det gjelder KI-tjenester og skyleverandører.

Dersom du har særlige krav (f.eks. strenge data residency-krav eller ønske om kun EU/EØS-lagring), kan vi normalt:

  • Designe en løsning som holder data i EU/EØS så langt som mulig, eller
  • Vurdere kombinasjon av lokale og internasjonale leverandører, avklart i avtalen.

6. Informasjonssikkerhet og innebygd personvern

Vi praktiserer "privacy by design" og "privacy by default" så langt som mulig:

  • Minimering av data (bare det som er nødvendig for formålet)
  • Tilgangsstyring og "least privilege" – bare de som trenger tilgang får det
  • Loggføring og overvåkning av kritiske systemer
  • Kryptering der det er hensiktsmessig (i hvile og/eller under overføring)
  • Oppdaterte rutiner for patching, backup og hendelseshåndtering
  • Opplæring og bevisstgjøring internt om sikkerhet og personvern

Ved et eventuelt brudd på personopplysningssikkerheten (data breach):

  • Har vi rutiner for å oppdage, begrense og dokumentere hendelsen.
  • Vi vil, når påkrevd, varsle både kunde/behandlingsansvarlig og relevante tilsynsmyndigheter, og bistå med utredning og tiltak.

7. KI-løsninger, EU AI Act og ansvarlig bruk

Ettersom vi jobber mye med generativ KI, agentiske systemer og automatisering, har vi egne prinsipper for ansvarlig bruk som er i tråd med den nye EU-forordningen om kunstig intelligens (EU AI Act).

EUEU AI Act samsvar (Forordning 2024/1689)

EU AI Act trådte i kraft 1. august 2024 med gradvis implementering frem til 2027. Vi forbereder oss aktivt på full etterlevelse:

Ferdig

Feb 2025: Forbud mot uakseptabel risiko

Vi bruker ingen KI-systemer som er forbudt (sosial scoring, manipulering, biometrisk masseovervåkning).

Pågår

Aug 2025: GPAI-modeller

Vi dokumenterer alle generative KI-modeller (Claude, GPT, Gemini) og deres bruk i våre løsninger.

Planlagt

Aug 2026: Høyrisiko KI-systemer

For prosjekter innen helse, finans, HR eller kritisk infrastruktur implementerer vi risikovurdering og dokumentasjon ihht. Annex III.

KI-risikoklassifisering

Vi klassifiserer alle KI-løsninger etter EU AI Acts risikonivåer:

Minimal risiko

Chatbots, innhold

Begrenset risiko

Transparens

Høy risiko

Særlige krav

Uakseptabel

Forbudt

Våre prinsipper for ansvarlig KI-bruk:

1. Klare roller og dataflyt

  • Vi kartlegger hvilke systemer og typer personopplysninger som inngår i løsningen.
  • Vi skiller tydelig mellom testdata, syntetiske data og reelle produksjonsdata.

2. Dataminimering og anonymisering der det er mulig

Hvis løsningen kan fungere tilfredsstillende med anonymiserte eller pseudonymiserte data, prioriterer vi det.

3. Transparens og informasjonsplikt

Vi anbefaler at du som kunde er åpen med egne brukere/ansatte om hvordan KI brukes, hvilke data som behandles og hvorfor. I tråd med EU AI Act art. 50, skal brukere informeres når de interagerer med KI-systemer.

4. Menneskelig kontroll (Human-in-the-Loop)

  • KI-komponenter skal normalt ses som støtte, ikke som eneste beslutningstaker i kritiske prosesser (GDPR art. 22).
  • Vi anbefaler alltid rutiner for menneskelig vurdering, kvalitetssikring og mulighet til å overstyre automatiserte forslag.

5. Tilpasset risikonivå

  • Helse, finans, barn, sårbare grupper eller svært sensitive data krever ekstra vurdering og strammere rammer ihht. EU AI Act Annex III.
  • Vi kan bidra med risiko- og modenhetsvurdering for slike miljøer.

8. Rettigheter for registrerte

Dine rettigheter som registrert (innsyn, retting, sletting, begrensning, dataportabilitet, protest og å trekke samtykke tilbake) er beskrevet mer detaljert i vår Personvernerklæring.

Kort fortalt kan du:

  • Be om innsyn i hvilke personopplysninger vi har om deg
  • Be oss rette eller slette data innenfor lovens rammer
  • Protestere mot visse typer behandling
  • Trekke tilbake samtykke der det er grunnlaget

Kontakt: privacy@echoalgoridata.no

Dersom du mener vi ikke behandler personopplysninger i tråd med regelverket, kan du klage til Datatilsynet i Norge eller relevant tilsynsmyndighet i ditt hjemland. Vi setter likevel pris på om du kontakter oss først, slik at vi kan forsøke å løse saken i minnelighet.

9. Kunder utenfor EU/EØS (inkl. USA)

For kunder utenfor EU/EØS – inkludert samarbeid med ALG Dynamics (USA) og andre partnere – er det viktig å vite:

  • Vi legger GDPR-nivå til grunn som standard, også når vi jobber med internasjonale kunder.
  • Der lokal lovgivning krever ekstra tiltak, kan vi tilpasse avtale og teknisk løsning.
  • Vi kan hjelpe med å designe arkitektur som passer både GDPR og relevante lokale krav (f.eks. krav til lagring i bestemte regioner, interne policies, bransjenormer).

10. Oppdateringer og spørsmål

Vi forbedrer kontinuerlig både teknologi og rutiner – og denne siden vil bli oppdatert ved behov. Dato for siste oppdatering står øverst.

Spørsmål om GDPR og personvern?

E-post (personvern): privacy@echoalgoridata.no

E-post (generelt): info@echoalgoridata.no

11. Versjonshistorikk

v2.0 - 8. desember 2025

  • Lagt til detaljert subprosessorliste med alle leverandører
  • Lagt til EU AI Act 2024/1689 samsvarsdetaljer
  • Oppdatert KI-seksjon med risikoklassifisering
  • Lagt til norsk E-handelsloven 2025 referanse
  • Lagt til overføringsmekanismer (SCC, DPF, TIA)

v1.0 - 1. januar 2025

  • Første versjon av GDPR-samsvarssiden
  • Grunnleggende roller og ansvar
  • DPA-informasjon og sikkerhetstiltak

Personvern | Vilkår | GDPR Compliant