DPA Template — Annex B: Sub-Processors for Bilko Archive Feature

⚠️ STATUS MC: #100045 | Date: 2026-05-08 Draft Status: Pending final legal review and translations (per Lexicon S1-S4) Corrections Applied: Org.nr 932 516 136 (corrected from hallucinated 933 534 262), Azure Sweden Central (corrected from Norway East) Databehandleravtale / Data Processing Agreement (DPA) 
 Template Version: 1.0
 Last Updated: 2026-02-10
 Compliance: GDPR Article 28, Norwegian Personal Data Act 
 
 NO: Databehandleravtale 
 1. Parter 
 Dataansvarlig (Data Controller): 
 Navn: ALAI Holding AS 
 Org.nr: 932 516 136 
 Adresse: Tømmerrenna 1B, 2050 Jessheim, Norge 
 Kontaktperson: Alem Akšamija 
 E-post: alem@alai.no 
 
 Databehandler (Data Processor): 
 Navn: [PROCESSOR_NAME] 
 Org.nr: [PROCESSOR_ORG_NUMBER] 
 Adresse: [PROCESSOR_ADDRESS] 
 Kontaktperson: [PROCESSOR_CONTACT_PERSON] 
 E-post: [PROCESSOR_EMAIL] 
 
 2. Avtalens omfang og formål 
 2.1 Formål 
Databehandler skal behandle personopplysninger på vegne av Dataansvarlig i forbindelse med levering av følgende tjenester: 
 [DESCRIPTION_OF_SERVICES] 
 2.2 Varighet 
Denne avtalen trer i kraft [START_DATE] og gjelder til [END_DATE] eller til tjenesteavtalen mellom partene opphører. 
 2.3 Personopplysningenes karakter 
Behandlingen omfatter følgende typer personopplysninger:
 [DATA_TYPE_1] (f.eks. navn, e-postadresse) 
 [DATA_TYPE_2] (f.eks. fakturainformasjon) 
 [DATA_TYPE_3] (f.eks. kontakthistorikk) 
 
 2.4 Kategorier av registrerte 
 [CATEGORY_1] (f.eks. kunder) 
 [CATEGORY_2] (f.eks. ansatte) 
 [CATEGORY_3] (f.eks. leverandører) 
 
 3. Databehandlers plikter 
 3.1 Behandlingsinstrukser 
Databehandler skal kun behandle personopplysninger etter dokumentert instruks fra Dataansvarlig. Denne avtalen og tilhørende tjenesteavtale utgjør den initiale instruksen. 
 3.2 Konfidensialitet 
Databehandler skal sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt passende lovpålagt taushetsplikt. 
 3.3 Sikkerhetstiltak 
Databehandler skal implementere egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. GDPR artikkel 32:
 Pseudonymisering og kryptering av personopplysninger 
 Evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet 
 Evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger ved fysiske eller tekniske hendelser 
 Prosess for regelmessig testing, vurdering og evaluering av effektiviteten 
 
 3.4 Underleverandører (Sub-processors) 
Databehandler kan kun benytte underleverandører etter forutgående skriftlig samtykke fra Dataansvarlig. Liste over godkjente underleverandører følger i Vedlegg A.
 Ved endring av underleverandører skal Databehandler varsle Dataansvarlig minst 30 dager i forveien. Dataansvarlig kan protestere innen denne fristen. 
 3.5 Bistand til Dataansvarlig 
Databehandler skal bistå Dataansvarlig med å:
 Gjennomføre personvernkonsekvensvurderinger (DPIA) 
 Svare på forespørsler fra registrerte om utøvelse av deres rettigheter 
 Håndtere personvernbrudd 
 Gjennomføre sikkerhetstiltak 
 
 3.6 Personvernbrudd 
Databehandler skal varsle Dataansvarlig uten ugrunnet opphold og senest innen 24 timer etter å ha blitt kjent med personvernbrudd som berører de behandlede personopplysningene.
 3.7 Sletting eller retur 
Ved opphør av behandlingen skal Databehandler, etter Dataansvarligs valg, slette eller returnere alle personopplysninger og slette eksisterende kopier, med mindre lagring er påkrevd i henhold til EU-retten eller norsk rett. 
 4. Dataansvarligs plikter 
 4.1 Instrukser 
Dataansvarlig skal sikre at instruksene til Databehandler er i overensstemmelse med gjeldende personvernlovgivning. 
 4.2 Tilsyn 
Dataansvarlig har rett til å gjennomføre revisjoner og inspeksjoner for å verifisere at Databehandler overholder denne avtalen. 
 5. Dataoverføring til tredjeland 
 5.1 Overføring utenfor EØS 
Personopplysninger skal kun behandles innenfor EØS, med mindre Dataansvarlig har gitt forhåndsgodkjenning. Ved overføring til tredjeland skal følgende sikkerhetstiltak anvendes:
 EU-standardavtaler for dataoverføring 
 Passende garantier i henhold til GDPR artikkel 46 
 [ADDITIONAL_SAFEGUARDS] 
 
 6. Ansvarsfordeling 
 6.1 Dataansvarligs ansvar 
Dataansvarlig er ansvarlig overfor registrerte og tilsynsmyndigheter for behandlingen av personopplysninger. 
 6.2 Databehandlers ansvar 
Databehandler er ansvarlig for skade som følge av brudd på denne avtalen eller behandling utover instruksene fra Dataansvarlig. 
 6.3 Begrensning 
Databehandlers samlede ansvar under denne avtalen er begrenset til [AMOUNT] NOK, med mindre skaden er forårsaket av grov uaktsomhet eller forsett. 
 7. Avslutning 
 7.1 Oppsigelse 
Avtalen kan sies opp av Dataansvarlig med øyeblikkelig virkning dersom Databehandler:
 Bryter vesentlige bestemmelser i denne avtalen 
 Ikke implementerer nødvendige sikkerhetstiltak 
 Overfører data til tredjeland uten godkjenning 
 
 7.2 Overgangsperiode 
Ved opphør gis Databehandler 30 dager til å returnere eller slette alle personopplysninger.
 8. Diverse 
 8.1 Lovvalg 
Denne avtalen er underlagt norsk rett. 
 8.2 Verneting 
Tvister skal løses ved Romerike og Glåmdal tingrett. 
 8.3 Endringer 
Endringer i denne avtalen må være skriftlige og godkjent av begge parter. 
 
 Vedlegg A: Godkjente underleverandører 
 Underleverandør Tjeneste Lokasjon Sikkerhetstiltak 
 ---------------- ---------- ---------- ------------------ 
 [SUB_PROCESSOR_1] [SERVICE_1] [LOCATION_1] [SAFEGUARDS_1] 
 [SUB_PROCESSOR_2] [SERVICE_2] [LOCATION_2] [SAFEGUARDS_2] 

 Vedlegg B: Underleverandører for Bilko Arkivfunksjon 
 Dette vedlegget gjelder spesifikt for Bilko-produktet når arkivfunksjonen er aktivert. 
 B.1 Cloudflare R2 (Midlertidig dokumentlagring) 
 FeltDetaljer
----------------
 Underleverandør Cloudflare, Inc.
 Adresse 101 Townsend St, San Francisco, CA 94107, USA
 Kontakt privacyquestions@cloudflare.com
 Formål Midlertidig staging av dokumenter for arkivpipeline
 Datakategorier behandlet Kontrakter (PDF), Fakturaer (PDF), Omsorgsplaner, Hendelsesrapporter, Onboarding-dokumenter
 Kategorier av registrerte Bilko-organisasjonens kunder, leverandører, pasienter (for omsorgsorganisasjoner)
 Geografisk plassering EU-region (eu-west R2 storage bucket)
 Behandlingsvarighet Midlertidig (typisk < 5 minutter; dokumenter slettes etter vellykket overføring til Paperless-ngx)
 Sikkerhetstiltak EU Standard Contractual Clauses (SCC 2021/914/EU) per Cloudflares publiserte DPA; AES-256 kryptering ved lagring; TLS 1.3 i transit; Cloudflare Zero Trust-arkitektur
 Underunderleverandører Se Cloudflares DPA for fullstendig liste (https://www.cloudflare.com/cloudflare-customer-dpa/)
 B.2 ALAI Azure VM Paperless-ngx (Langtidsarkiv) 
 FeltDetaljer
----------------
 Underleverandør ALAI Holding AS (egen infrastruktur)
 Org.nr 932 516 136
 Adresse Tømmerrenna 1B, 2050 Jessheim, Norge
 Kontakt dpa@alai.no
 Formål Langtidsarkiv av forretningsdokumenter ved archive.alai.no
 Datakategorier behandlet Samme som Cloudflare R2 ovenfor
 Kategorier av registrerte Samme som Cloudflare R2 ovenfor
 Geografisk plassering EU/EØS (Microsoft Azure Sweden Central region)
 Behandlingsvarighet Permanent arkiv per oppbevaringsplan: • Finansielle dokumenter: 7 år (regnskapsloven RS/BA/HR) • Omsorgsdokumenter: 25 år (UK NHS-standard, foreløpig)
 Sikkerhetstiltak ALAI DPA + Microsoft Azure Standard Contractual Clauses; Azure Disk Encryption (AES-256); TLS 1.3 i transit; Rolle-basert tilgangskontroll (RBAC); Paperless-ngx med OAuth2-autentisering; Daglig Azure-backup med 30-dagers oppbevaring; Immutabel revisjonsspor i PostgreSQL
 Underunderleverandører Microsoft Azure (infrastrukturleverandør — se Microsoft Customer Agreement + DPA)
 B.3 Dataflyt for arkivering 
 
Bilko Backend (Cloud Run)
 ↓ (POST /archive)
Cloudflare R2 (eu-west bucket)
 ← [5-minutters batch-jobb]
Cloud Run Worker
 ↓ (HTTP POST til Paperless-ngx API)
ALAI Azure VM (archive.alai.no)
 → Permanent arkiv (7–25 år)
 
 B.4 Varsel om endring av underleverandører 
 ALAI Holding AS forplikter seg til å varsle Dataansvarlig minst 30 dager på forhånd via e-post før:
 Nye underleverandører legges til i arkivpipelinen 
 Eksisterende underleverandører erstattes 
 Geografisk plassering av behandling endres 
 
Dataansvarlig kan protestere innen denne fristen dersom den nye underleverandøren ikke oppfyller databeskyttelseskrav.
 
 Signaturer 
 For Dataansvarlig (ALAI Holding AS): 
 Navn: _______________________
Dato: _______________________
Signatur: ___________________ 
 For Databehandler ([PROCESSOR_NAME]): 
 Navn: _______________________
Dato: _______________________
Signatur: ___________________ 
 
 
 EN: Data Processing Agreement (DPA) 
 1. Parties 
 Data Controller: 
 Name: ALAI Holding AS 
 Org.No: 932 516 136 
 Address: Tømmerrenna 1B, 2050 Jessheim, Norway 
 Contact Person: Alem Akšamija 
 Email: alem@alai.no 
 
 Data Processor: 
 Name: [PROCESSOR_NAME] 
 Org.No: [PROCESSOR_ORG_NUMBER] 
 Address: [PROCESSOR_ADDRESS] 
 Contact Person: [PROCESSOR_CONTACT_PERSON] 
 Email: [PROCESSOR_EMAIL] 
 
 2. Scope and Purpose 
 2.1 Purpose 
The Data Processor shall process personal data on behalf of the Data Controller in connection with the delivery of the following services: 
 [DESCRIPTION_OF_SERVICES] 
 2.2 Duration 
This agreement enters into force on [START_DATE] and applies until [END_DATE] or until the service agreement between the parties terminates. 
 2.3 Nature of Personal Data 
The processing covers the following types of personal data:
 [DATA_TYPE_1] (e.g., name, email address) 
 [DATA_TYPE_2] (e.g., billing information) 
 [DATA_TYPE_3] (e.g., contact history) 
 
 2.4 Categories of Data Subjects 
 [CATEGORY_1] (e.g., customers) 
 [CATEGORY_2] (e.g., employees) 
 [CATEGORY_3] (e.g., suppliers) 
 
 3. Data Processor's Obligations 
 3.1 Processing Instructions 
The Data Processor shall only process personal data in accordance with documented instructions from the Data Controller. This agreement and the associated service agreement constitute the initial instructions. 
 3.2 Confidentiality 
The Data Processor shall ensure that persons authorized to process personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality. 
 3.3 Security Measures 
The Data Processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk, in accordance with GDPR Article 32:
 Pseudonymization and encryption of personal data 
 Ability to ensure ongoing confidentiality, integrity, availability, and resilience 
 Ability to restore availability and access to personal data in a timely manner in the event of physical or technical incidents 
 Process for regularly testing, assessing, and evaluating the effectiveness of measures 
 
 3.4 Sub-processors 
The Data Processor may only use sub-processors after prior written consent from the Data Controller. A list of approved sub-processors is provided in Annex A.
 When changing sub-processors, the Data Processor shall notify the Data Controller at least 30 days in advance. The Data Controller may object within this period. 
 3.5 Assistance to Data Controller 
The Data Processor shall assist the Data Controller in:
 Conducting data protection impact assessments (DPIA) 
 Responding to requests from data subjects exercising their rights 
 Handling personal data breaches 
 Implementing security measures 
 
 3.6 Personal Data Breaches 
The Data Processor shall notify the Data Controller without undue delay and at the latest within 24 hours after becoming aware of a personal data breach affecting the processed personal data.
 3.7 Deletion or Return 
Upon termination of the processing, the Data Processor shall, at the Data Controller's choice, delete or return all personal data and delete existing copies, unless storage is required under EU or Norwegian law. 
 4. Data Controller's Obligations 
 4.1 Instructions 
The Data Controller shall ensure that instructions to the Data Processor comply with applicable data protection legislation. 
 4.2 Supervision 
The Data Controller has the right to conduct audits and inspections to verify that the Data Processor complies with this agreement. 
 5. Data Transfer to Third Countries 
 5.1 Transfer Outside EEA 
Personal data shall only be processed within the EEA unless the Data Controller has given prior approval. For transfers to third countries, the following safeguards shall be applied:
 EU Standard Contractual Clauses for data transfer 
 Appropriate safeguards in accordance with GDPR Article 46 
 [ADDITIONAL_SAFEGUARDS] 
 
 6. Liability Distribution 
 6.1 Data Controller's Liability 
The Data Controller is responsible to data subjects and supervisory authorities for the processing of personal data. 
 6.2 Data Processor's Liability 
The Data Processor is liable for damage resulting from breach of this agreement or processing beyond the instructions from the Data Controller. 
 6.3 Limitation 
The Data Processor's total liability under this agreement is limited to [AMOUNT] NOK, unless the damage is caused by gross negligence or intent. 
 7. Termination 
 7.1 Termination 
The agreement may be terminated by the Data Controller with immediate effect if the Data Processor:
 Breaches material provisions of this agreement 
 Does not implement necessary security measures 
 Transfers data to third countries without approval 
 
 7.2 Transition Period 
Upon termination, the Data Processor is given 30 days to return or delete all personal data.
 8. Miscellaneous 
 8.1 Governing Law 
This agreement is governed by Norwegian law. 
 8.2 Venue 
Disputes shall be resolved at Romerike and Glåmdal District Court. 
 8.3 Amendments 
Amendments to this agreement must be in writing and approved by both parties. 
 
 Annex A: Approved Sub-processors 
 Sub-processorServiceLocationSafeguards
---------------------------------------------
[SUB_PROCESSOR_1][SERVICE_1][LOCATION_1][SAFEGUARDS_1]
[SUB_PROCESSOR_2][SERVICE_2][LOCATION_2][SAFEGUARDS_2]
 
 Annex B: Sub-Processors for Bilko Archive Feature 
 This annex applies specifically to the Bilko product when the archive feature is enabled. 
 B.1 Cloudflare R2 (Temporary Document Storage) 
 FieldDetails
----------------
 Sub-processor Cloudflare, Inc.
 Address 101 Townsend St, San Francisco, CA 94107, USA
 Contact privacyquestions@cloudflare.com
 Purpose Temporary staging of documents for archive pipeline
 Data Categories Processed Contracts (PDF), Invoices (PDF), Care Plans, Incident Reports, Onboarding Documents
 Categories of Data Subjects Bilko organization's customers, suppliers, patients (for care organizations)
 Geographic Location EU region (eu-west R2 storage bucket)
 Processing Duration Temporary (typically < 5 minutes; documents deleted after successful transfer to Paperless-ngx)
 Safeguards EU Standard Contractual Clauses (SCC 2021/914/EU) per Cloudflare's published DPA; AES-256 encryption at rest; TLS 1.3 in transit; Cloudflare Zero Trust architecture
 Sub-sub-processors See Cloudflare's DPA for complete list (https://www.cloudflare.com/cloudflare-customer-dpa/)
 B.2 ALAI Azure VM Paperless-ngx (Long-Term Archive) 
 FieldDetails
----------------
 Sub-processor ALAI Holding AS (own infrastructure)
 Org.No 932 516 136
 Address Tømmerrenna 1B, 2050 Jessheim, Norway
 Contact dpa@alai.no
 Purpose Long-term archive of business documents at archive.alai.no
 Data Categories Processed Same as Cloudflare R2 above
 Categories of Data Subjects Same as Cloudflare R2 above
 Geographic Location EU/EEA (Microsoft Azure Sweden Central region)
 Processing Duration Permanent archive per retention schedule: • Financial documents: 7 years (accounting law RS/BA/HR) • Care documents: 25 years (UK NHS standard, interim)
 Safeguards ALAI DPA + Microsoft Azure Standard Contractual Clauses; Azure Disk Encryption (AES-256); TLS 1.3 in transit; Role-Based Access Control (RBAC); Paperless-ngx with OAuth2 authentication; Daily Azure backup with 30-day retention; Immutable audit trail in PostgreSQL
 Sub-sub-processors Microsoft Azure (infrastructure provider — see Microsoft Customer Agreement + DPA)
 B.3 Data Flow for Archival 
 
Bilko Backend (Cloud Run)
 ↓ (POST /archive)
Cloudflare R2 (eu-west bucket)
 ← [5-minute batch job]
Cloud Run Worker
 ↓ (HTTP POST to Paperless-ngx API)
ALAI Azure VM (archive.alai.no)
 → Permanent archive (7–25 years)
 
 B.4 Notice of Sub-Processor Changes 
 ALAI Holding AS commits to notifying the Data Controller at least 30 days in advance via email before:
 New sub-processors are added to the archive pipeline 
 Existing sub-processors are replaced 
 Geographic location of processing changes 
 
The Data Controller may object within this period if the new sub-processor does not meet data protection requirements.
 
 Signatures 
 For Data Controller (ALAI Holding AS): 
 Name: _______________________
Date: _______________________
Signature: ___________________ 
 For Data Processor ([PROCESSOR_NAME]): 
 Name: _______________________
Date: _______________________
Signature: ___________________
 
 Related Documents 
 
 Bilko Terms of Service — Section 16 Sub-Processors 
 Bilko Privacy Notice — Section 8.1 Sub-Processors 
 Sub-Processor Notification Email Template