DPA Template — Annex B: Sub-Processors for Bilko Archive Feature

⚠️ STATUS
MC: #100045 | Date: 2026-05-08
Draft Status: Pending final legal review and translations (per Lexicon S1-S4)
Corrections Applied: Org.nr 932 516 136 (corrected from hallucinated 933 534 262), Azure Sweden Central (corrected from Norway East)

Databehandleravtale / Data Processing Agreement (DPA)

Template Version: 1.0 Last Updated: 2026-02-10 Compliance: GDPR Article 28, Norwegian Personal Data Act

NO: Databehandleravtale

1. Parter

Dataansvarlig (Data Controller):

Databehandler (Data Processor):

2. Avtalens omfang og formål

2.1 Formål Databehandler skal behandle personopplysninger på vegne av Dataansvarlig i forbindelse med levering av følgende tjenester:

[DESCRIPTION_OF_SERVICES]

2.2 Varighet Denne avtalen trer i kraft [START_DATE] og gjelder til [END_DATE] eller til tjenesteavtalen mellom partene opphører.

2.3 Personopplysningenes karakter Behandlingen omfatter følgende typer personopplysninger:

2.4 Kategorier av registrerte

3. Databehandlers plikter

3.1 Behandlingsinstrukser Databehandler skal kun behandle personopplysninger etter dokumentert instruks fra Dataansvarlig. Denne avtalen og tilhørende tjenesteavtale utgjør den initiale instruksen.

3.2 Konfidensialitet Databehandler skal sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt passende lovpålagt taushetsplikt.

3.3 Sikkerhetstiltak Databehandler skal implementere egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. GDPR artikkel 32:

3.4 Underleverandører (Sub-processors) Databehandler kan kun benytte underleverandører etter forutgående skriftlig samtykke fra Dataansvarlig. Liste over godkjente underleverandører følger i Vedlegg A.

Ved endring av underleverandører skal Databehandler varsle Dataansvarlig minst 30 dager i forveien. Dataansvarlig kan protestere innen denne fristen.

3.5 Bistand til Dataansvarlig Databehandler skal bistå Dataansvarlig med å:

3.6 Personvernbrudd Databehandler skal varsle Dataansvarlig uten ugrunnet opphold og senest innen 24 timer etter å ha blitt kjent med personvernbrudd som berører de behandlede personopplysningene.

3.7 Sletting eller retur Ved opphør av behandlingen skal Databehandler, etter Dataansvarligs valg, slette eller returnere alle personopplysninger og slette eksisterende kopier, med mindre lagring er påkrevd i henhold til EU-retten eller norsk rett.

4. Dataansvarligs plikter

4.1 Instrukser Dataansvarlig skal sikre at instruksene til Databehandler er i overensstemmelse med gjeldende personvernlovgivning.

4.2 Tilsyn Dataansvarlig har rett til å gjennomføre revisjoner og inspeksjoner for å verifisere at Databehandler overholder denne avtalen.

5. Dataoverføring til tredjeland

5.1 Overføring utenfor EØS Personopplysninger skal kun behandles innenfor EØS, med mindre Dataansvarlig har gitt forhåndsgodkjenning. Ved overføring til tredjeland skal følgende sikkerhetstiltak anvendes:

6. Ansvarsfordeling

6.1 Dataansvarligs ansvar Dataansvarlig er ansvarlig overfor registrerte og tilsynsmyndigheter for behandlingen av personopplysninger.

6.2 Databehandlers ansvar Databehandler er ansvarlig for skade som følge av brudd på denne avtalen eller behandling utover instruksene fra Dataansvarlig.

6.3 Begrensning Databehandlers samlede ansvar under denne avtalen er begrenset til [AMOUNT] NOK, med mindre skaden er forårsaket av grov uaktsomhet eller forsett.

7. Avslutning

7.1 Oppsigelse Avtalen kan sies opp av Dataansvarlig med øyeblikkelig virkning dersom Databehandler:

7.2 Overgangsperiode Ved opphør gis Databehandler 30 dager til å returnere eller slette alle personopplysninger.

8. Diverse

8.1 Lovvalg Denne avtalen er underlagt norsk rett.

8.2 Verneting Tvister skal løses ved Romerike og Glåmdal tingrett.

8.3 Endringer Endringer i denne avtalen må være skriftlige og godkjent av begge parter.

Vedlegg A: Godkjente underleverandører

UnderleverandørTjenesteLokasjonSikkerhetstiltak
------------------------------------------------------
[SUB_PROCESSOR_1][SERVICE_1][LOCATION_1][SAFEGUARDS_1]
[SUB_PROCESSOR_2][SERVICE_2][LOCATION_2][SAFEGUARDS_2]

Vedlegg B: Underleverandører for Bilko Arkivfunksjon

Dette vedlegget gjelder spesifikt for Bilko-produktet når arkivfunksjonen er aktivert.

B.1 Cloudflare R2 (Midlertidig dokumentlagring)

FeltDetaljer ---------------- UnderleverandørCloudflare, Inc. Adresse101 Townsend St, San Francisco, CA 94107, USA Kontaktprivacyquestions@cloudflare.com FormålMidlertidig staging av dokumenter for arkivpipeline Datakategorier behandletKontrakter (PDF), Fakturaer (PDF), Omsorgsplaner, Hendelsesrapporter, Onboarding-dokumenter Kategorier av registrerteBilko-organisasjonens kunder, leverandører, pasienter (for omsorgsorganisasjoner) Geografisk plasseringEU-region (eu-west R2 storage bucket) BehandlingsvarighetMidlertidig (typisk < 5 minutter; dokumenter slettes etter vellykket overføring til Paperless-ngx) SikkerhetstiltakEU Standard Contractual Clauses (SCC 2021/914/EU) per Cloudflares publiserte DPA; AES-256 kryptering ved lagring; TLS 1.3 i transit; Cloudflare Zero Trust-arkitektur UnderunderleverandørerSe Cloudflares DPA for fullstendig liste (https://www.cloudflare.com/cloudflare-customer-dpa/)

B.2 ALAI Azure VM Paperless-ngx (Langtidsarkiv)

FeltDetaljer ---------------- UnderleverandørALAI Holding AS (egen infrastruktur) Org.nr932 516 136 AdresseTømmerrenna 1B, 2050 Jessheim, Norge Kontaktdpa@alai.no FormålLangtidsarkiv av forretningsdokumenter ved archive.alai.no Datakategorier behandletSamme som Cloudflare R2 ovenfor Kategorier av registrerteSamme som Cloudflare R2 ovenfor Geografisk plasseringEU/EØS (Microsoft Azure Sweden Central region) BehandlingsvarighetPermanent arkiv per oppbevaringsplan:
• Finansielle dokumenter: 7 år (regnskapsloven RS/BA/HR)
• Omsorgsdokumenter: 25 år (UK NHS-standard, foreløpig) SikkerhetstiltakALAI DPA + Microsoft Azure Standard Contractual Clauses; Azure Disk Encryption (AES-256); TLS 1.3 i transit; Rolle-basert tilgangskontroll (RBAC); Paperless-ngx med OAuth2-autentisering; Daglig Azure-backup med 30-dagers oppbevaring; Immutabel revisjonsspor i PostgreSQL UnderunderleverandørerMicrosoft Azure (infrastrukturleverandør — se Microsoft Customer Agreement + DPA)

B.3 Dataflyt for arkivering


Bilko Backend (Cloud Run)
    ↓ (POST /archive)
Cloudflare R2 (eu-west bucket)
    ← [5-minutters batch-jobb]
Cloud Run Worker
    ↓ (HTTP POST til Paperless-ngx API)
ALAI Azure VM (archive.alai.no)
    → Permanent arkiv (7–25 år)

B.4 Varsel om endring av underleverandører

ALAI Holding AS forplikter seg til å varsle Dataansvarlig minst 30 dager på forhånd via e-post før:

Dataansvarlig kan protestere innen denne fristen dersom den nye underleverandøren ikke oppfyller databeskyttelseskrav.

Signaturer

For Dataansvarlig (ALAI Holding AS):

Navn: _______________________ Dato: _______________________ Signatur: ___________________

For Databehandler ([PROCESSOR_NAME]):

Navn: _______________________ Dato: _______________________ Signatur: ___________________

EN: Data Processing Agreement (DPA)

1. Parties

Data Controller:

Data Processor:

2. Scope and Purpose

2.1 Purpose The Data Processor shall process personal data on behalf of the Data Controller in connection with the delivery of the following services:

[DESCRIPTION_OF_SERVICES]

2.2 Duration This agreement enters into force on [START_DATE] and applies until [END_DATE] or until the service agreement between the parties terminates.

2.3 Nature of Personal Data The processing covers the following types of personal data:

2.4 Categories of Data Subjects

3. Data Processor's Obligations

3.1 Processing Instructions The Data Processor shall only process personal data in accordance with documented instructions from the Data Controller. This agreement and the associated service agreement constitute the initial instructions.

3.2 Confidentiality The Data Processor shall ensure that persons authorized to process personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

3.3 Security Measures The Data Processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk, in accordance with GDPR Article 32:

3.4 Sub-processors The Data Processor may only use sub-processors after prior written consent from the Data Controller. A list of approved sub-processors is provided in Annex A.

When changing sub-processors, the Data Processor shall notify the Data Controller at least 30 days in advance. The Data Controller may object within this period.

3.5 Assistance to Data Controller The Data Processor shall assist the Data Controller in:

3.6 Personal Data Breaches The Data Processor shall notify the Data Controller without undue delay and at the latest within 24 hours after becoming aware of a personal data breach affecting the processed personal data.

3.7 Deletion or Return Upon termination of the processing, the Data Processor shall, at the Data Controller's choice, delete or return all personal data and delete existing copies, unless storage is required under EU or Norwegian law.

4. Data Controller's Obligations

4.1 Instructions The Data Controller shall ensure that instructions to the Data Processor comply with applicable data protection legislation.

4.2 Supervision The Data Controller has the right to conduct audits and inspections to verify that the Data Processor complies with this agreement.

5. Data Transfer to Third Countries

5.1 Transfer Outside EEA Personal data shall only be processed within the EEA unless the Data Controller has given prior approval. For transfers to third countries, the following safeguards shall be applied:

6. Liability Distribution

6.1 Data Controller's Liability The Data Controller is responsible to data subjects and supervisory authorities for the processing of personal data.

6.2 Data Processor's Liability The Data Processor is liable for damage resulting from breach of this agreement or processing beyond the instructions from the Data Controller.

6.3 Limitation The Data Processor's total liability under this agreement is limited to [AMOUNT] NOK, unless the damage is caused by gross negligence or intent.

7. Termination

7.1 Termination The agreement may be terminated by the Data Controller with immediate effect if the Data Processor:

7.2 Transition Period Upon termination, the Data Processor is given 30 days to return or delete all personal data.

8. Miscellaneous

8.1 Governing Law This agreement is governed by Norwegian law.

8.2 Venue Disputes shall be resolved at Romerike and Glåmdal District Court.

8.3 Amendments Amendments to this agreement must be in writing and approved by both parties.

Annex A: Approved Sub-processors

Sub-processorServiceLocationSafeguards --------------------------------------------- [SUB_PROCESSOR_1][SERVICE_1][LOCATION_1][SAFEGUARDS_1] [SUB_PROCESSOR_2][SERVICE_2][LOCATION_2][SAFEGUARDS_2]

Annex B: Sub-Processors for Bilko Archive Feature

This annex applies specifically to the Bilko product when the archive feature is enabled.

B.1 Cloudflare R2 (Temporary Document Storage)

FieldDetails ---------------- Sub-processorCloudflare, Inc. Address101 Townsend St, San Francisco, CA 94107, USA Contactprivacyquestions@cloudflare.com PurposeTemporary staging of documents for archive pipeline Data Categories ProcessedContracts (PDF), Invoices (PDF), Care Plans, Incident Reports, Onboarding Documents Categories of Data SubjectsBilko organization's customers, suppliers, patients (for care organizations) Geographic LocationEU region (eu-west R2 storage bucket) Processing DurationTemporary (typically < 5 minutes; documents deleted after successful transfer to Paperless-ngx) SafeguardsEU Standard Contractual Clauses (SCC 2021/914/EU) per Cloudflare's published DPA; AES-256 encryption at rest; TLS 1.3 in transit; Cloudflare Zero Trust architecture Sub-sub-processorsSee Cloudflare's DPA for complete list (https://www.cloudflare.com/cloudflare-customer-dpa/)

B.2 ALAI Azure VM Paperless-ngx (Long-Term Archive)

FieldDetails ---------------- Sub-processorALAI Holding AS (own infrastructure) Org.No932 516 136 AddressTømmerrenna 1B, 2050 Jessheim, Norway Contactdpa@alai.no PurposeLong-term archive of business documents at archive.alai.no Data Categories ProcessedSame as Cloudflare R2 above Categories of Data SubjectsSame as Cloudflare R2 above Geographic LocationEU/EEA (Microsoft Azure Sweden Central region) Processing DurationPermanent archive per retention schedule:
• Financial documents: 7 years (accounting law RS/BA/HR)
• Care documents: 25 years (UK NHS standard, interim) SafeguardsALAI DPA + Microsoft Azure Standard Contractual Clauses; Azure Disk Encryption (AES-256); TLS 1.3 in transit; Role-Based Access Control (RBAC); Paperless-ngx with OAuth2 authentication; Daily Azure backup with 30-day retention; Immutable audit trail in PostgreSQL Sub-sub-processorsMicrosoft Azure (infrastructure provider — see Microsoft Customer Agreement + DPA)

B.3 Data Flow for Archival


Bilko Backend (Cloud Run)
    ↓ (POST /archive)
Cloudflare R2 (eu-west bucket)
    ← [5-minute batch job]
Cloud Run Worker
    ↓ (HTTP POST to Paperless-ngx API)
ALAI Azure VM (archive.alai.no)
    → Permanent archive (7–25 years)

B.4 Notice of Sub-Processor Changes

ALAI Holding AS commits to notifying the Data Controller at least 30 days in advance via email before:

The Data Controller may object within this period if the new sub-processor does not meet data protection requirements.

Signatures

For Data Controller (ALAI Holding AS):

Name: _______________________ Date: _______________________ Signature: ___________________

For Data Processor ([PROCESSOR_NAME]):

Name: _______________________ Date: _______________________ Signature: ___________________

Revision #3
Created 2026-05-08 19:55:47 UTC by John
Updated 2026-06-14 20:02:45 UTC by John