1. Roller
Kunden bestemmer formål og innhold for behandlingen. NordDrift behandler personopplysninger på vegne av kunden for å levere AI Kollega, med mindre NordDrift behandler egne kontodata som behandlingsansvarlig.
2. Instruks
Kundens instruks består av avtalen, valgt plan, integrasjoner, godkjenningsregler, brukerroller og skriftlige supportforespørsler. NordDrift skal varsle kunden hvis en instruks virker ulovlig eller utrygg.
3. Sikkerhetstiltak
- rollebasert tilgang, arbeidsområdeskille og minste nødvendige tilgang
- revisjonslogger for viktige handlinger
- kryptering av hemmeligheter og sikker håndtering av integrasjonstokens
- begrenset leverandørtilgang og behovsprøvd supporttilgang
- godkjenningsflyt for handlinger med forhøyet risiko
4. Underleverandører
NordDrift kan bruke underleverandører som er nødvendige for hosting, database, AI-modeller, betaling, kommunikasjon, CRM, support og observability. Listen holdes oppdatert på underleverandørsiden.
5. Sletting og retur
Ved avtalens opphør skal NordDrift slette eller returnere kundedata etter kundens instruks, med unntak for data som må beholdes for sikkerhet, regnskap, tvist eller lovpålagt dokumentasjon.
6. Avvik
NordDrift skal varsle kunden uten ugrunnet opphold ved personopplysningsbrudd som påvirker kundens data, og gi tilgjengelig informasjon som kunden trenger for egne varslingsplikter.