DPA-vedlegg — KI og Innsiktstjenester
Vedlegg til eksisterende databehandleravtale (DPA) som regulerer PivoCore sin bruk av kundedata i kunstig intelligens, maskinlæring og innsiktstjenester.
Formål: Avklare rettigheter, begrensninger og mekanismer knyttet til bruk av kundedata i KI-baserte tjenester — utover det som dekkes av standard DPA.
Til: Usbl v/Tor-Johnny Kopi: Julija Molandsveen, Tanja Weber Nordseth Fra: BBL Datakompetanse AS (BBL Pivotal) v/Jon Røtvold Grimsbo Gyldig fra: [Dato]
1. Definisjoner
| Begrep | Definisjon |
|---|---|
| KI-tjenester | Tjenester som benytter kunstig intelligens, maskinlæring eller språkmodeller — herunder fakturatolking, kontopredikering, prediksjonsmodeller og samtalebaserte grensesnitt. |
| Innsiktstjenester | Tjenester som gir kunden analyser, rapporter eller beslutningsstøtte basert på bearbeiding av data. |
| Modelltrening | Prosessen der en KI-modell lærer fra data — inkludert trening, finjustering, tilpasning eller forbedring av eksisterende modeller. |
| Inferens | Bruk av en ferdigtrent modell til å generere svar eller prediksjoner — uten at modellen endres. |
| Anonymisering | Prosess som fjerner eller erstatter identifiserende informasjon slik at dataene ikke lenger kan knyttes til enkeltpersoner eller enkeltkunder. |
| Opt-in | Mekanisme der kunden aktivt må gi skriftlig samtykke før deres data tas i bruk til et nytt formål. |
2. Omfang
Dette vedlegget gjelder for all bruk av kundens data i følgende kontekster:
| Tjeneste | Beskrivelse |
|---|---|
| Fakturatolking | Automatisk tolkning av varelinjer på inngående fakturaer |
| Kontopredikering | Predikering av regnskapskonto basert på fakturalinjer |
| Snakk med Pivo | Samtalebasert grensesnitt mot kundens regnskaps- og eiendomsdata |
| VOLVE (vannskade) | Prediksjonsmodell for vannskadesannsynlighet i bygg |
| Forretningsinnsikt | Rapporter og analyser basert på anonymisert tverrgående data |
3. Prinsipper for bruk av kundedata
3.1 Dataseparasjon
Kundens data lagres, behandles og brukes adskilt fra alle andre kunder. Dette gjelder:
- Datainnsjøer: Kundens data i eget datasett, fysisk og logisk atskilt
- Vektordatabaser: Egen database per kunde for KI-tjenester
- Modeller: Kundespesifikke modeller (f.eks. kontopredikering) trenes kun på kundens egne data
3.2 Ingen generell modelltrening
PivoCore bruker ikke kundens data til å trene, finjustere eller forbedre generelle modeller som benyttes av andre kunder. Alle språkmodeller (Google Gemini, Anthropic Claude) kjøres som ren inferens — modellen endres ikke av kundens data.
3.3 Anonymisering ved tverrgående bruk
Dersom kundens data inngår i analyser eller modeller som dekker flere kunder (f.eks. benchmarking), anonymiseres dataene først. Anonymiseringen er designet for å være irreversibel.
3.4 Opt-in for nye bruksområder
Før kundens data tas i bruk til formål som ikke er beskrevet i dette vedlegget, kreves skriftlig forhåndsgodkjenning fra kunden. Dette gjelder blant annet:
- Nye typer modelltrening
- Nye KI-tjenester som berører kundens data
- Bruk av kundens data i treningssett for tverrgående modeller
- Deling av data med tredjeparter utover det som er avtalt
PivoCore forplikter seg til å gi kunden minst 30 dagers varsel før et nytt bruksområde iverksettes, med tydelig beskrivelse av formål, datagrunnlag og konsekvenser.
4. Spesifikke tjenestebeskrivelser
4.1 Fakturatolking
| Element | Beskrivelse |
|---|---|
| Formål | Automatisk tolkning av varelinjer på inngående fakturaer |
| Databehandling | Identifiserende informasjon (leverandørnavn, org.nr., kontonummer) erstattes med tokens |
| Reversibilitet | Treningsdata kan ikke reverseres til originaldata |
| Personopplysninger | Minimalt — mesteparten er forretningsdata |
| Delt med andre | Nei |
4.2 Kontopredikering
| Element | Beskrivelse |
|---|---|
| Formål | Predikering av regnskapskonto basert på fakturalinjer |
| Treningsdata | Kundens eget historiske datasett |
| Delt med andre | Nei — modellen trenes isolert per kunde |
| Personopplysninger | Ingen |
4.3 Snakk med Pivo
| Element | Beskrivelse |
|---|---|
| Formål | Samtalebasert grensesnitt mot kundens data |
| Arkitektur | Språkmodell (LLM) + kundespesifikk vektordatabase |
| Trening | Ingen — modellen kjøres som inferens |
| Dataskille | Egen vektordatabase per kunde. Offentlige kilder (Lovdata) i separat, felles database |
| Tilgang | Brukere hos kunden ser kun kundens egne data |
| Kontekstlagring | Ingen kundedata lagres etter at en spørring er besvart |
4.4 VOLVE (vannskade)
| Element | Beskrivelse |
|---|---|
| Formål | Prediksjon av vannskadesannsynlighet i bygg |
| Status | Ikke påbegynt — under utredning |
| Personopplysninger | Skaderapporter kan inneholde personopplysninger — krever avklaring |
| Forutsetning | Ingen behandling av kundens data uten skriftlig avklaring. DPIA gjennomføres ved behov. |
| Aggregering | Vurderes på byggnivå fremfor leilighetsnivå for å redusere reidentifiseringsrisiko |
4.5 Forretningsinnsikt
| Element | Beskrivelse |
|---|---|
| Formål | Rapporter og analyser basert på anonymisert tverrgående data |
| Datagrunnlag | Anonymisert felles datasjø |
| Kundesynlighet | Kunden kan vises som anonymisert datapunkt i sammenlignende rapporter |
| Risiko | Rapporter med «topp 5» eller lignende kan potensielt indirekte identifisere enkeltkunder — vurderes fortløpende |
5. Underdatabehandlere
| Leverandør | Tjeneste | Lokasjon | Avtale |
|---|---|---|---|
| Google Cloud Platform | Infrastruktur, datasjø, Vertex AI | EU | GCP Data Processing Addendum (CDPA) |
| Anthropic (Claude) | Språkmodell | EU (via Vertex AI) | Ingen separat dataflyt — under GCP-vilkår |
Bekreftelse: Ingen underdatabehandler bruker kundens data til å trene eller finjustere egne modeller. Dette er regulert i:
- GCP Service Specific Terms, Section 17: “Google will not use Customer Data to train or fine-tune any AI/ML models without Customer’s prior permission or instruction.”
- Google Cloud AI/ML Privacy Commitment: “We don’t use data that you provide us to train our own models without your permission.”
6. Tilgangsstyring og sikkerhetstiltak
6.1 Tekniske tiltak
| Tiltak | Beskrivelse |
|---|---|
| Autentisering | Google IAM med tofaktorautentisering |
| Kryptering | Data kryptert i hvile og transitt |
| Nettverksisolasjon | Kundespesifikke ressurser i isolerte nettverkssegmenter |
| Logging | Aktivitet logges — manuell rapportering per i dag, automatisering planlagt |
6.2 Organisatoriske tiltak
| Tiltak | Beskrivelse |
|---|---|
| Tilgangsbegrensning | Kun autoriserte personer har tilgang til kundedata |
| Autorisasjonsprosess | Nye tilganger krever godkjenning fra kundens kontaktperson |
| Opplæring | Alle med tilgang til kundedata er opplært i håndtering av personopplysninger |
7. Overvåkning og rapportering
7.1 Dagens situasjon
- Aktivitet i datainnsjøene logges
- Manuelle rapporter kan frembringes på forespørsel
7.2 Planlagte forbedringer (Q2 2026)
| Tiltak | Beskrivelse |
|---|---|
| Automatisk tilgangslogging | Alle spørringer og datauttak logges med hvem, når, hva |
| Varsling | Varsel ved unormalt store datauttak eller aktivitet utenfor normal arbeidstid |
| Månedlig rapport | Automatisk oversikt til kundens kontaktperson |
8. Kundens rettigheter
| Rettighet | Beskrivelse |
|---|---|
| Innsyn | Kunden kan til enhver tid be om oversikt over hvordan deres data behandles |
| Opt-in | Ingen nye bruksområder uten skriftlig forhåndsgodkjenning |
| Sletting | Kunden kan kreve sletting av sine data ved opphør av avtalen, med rimelig frist |
| Portabilitat | Kunden kan be om utlevering av egne data i standardformat |
| Revisjon | Kunden har rett til å gjennomføre eller engasjere tredjepart til å revisjonere behandlingen av egne data |
| Stans | Kunden kan kreve umiddelbar stans av behandling av sine data dersom det foreligger mistanke om brudd |
9. Varsling og hendelseshåndtering
- PivoCore varsler kunden uten ugrunnet opphold dersom det oppdages brudd på sikkerheten som berører kundens data.
- Varslingen inneholder: beskrivelse av hendelsen, antatt omfang, tiltak som er iverksatt, og anbefalte tiltak for kunden.
- Hendelsesrapport oversendes senest 72 timer etter oppdagelse.
10. Varighet og opphør
- Dette vedlegget følger den underliggende databehandleravtalen og gjelder så lenge PivoCore behandler kundens data.
- Ved opphør av avtalen sletter eller returnerer PivoCore kundens data innen 90 dager, med mindre lovpålagt oppbevaring krever lenger lagring.
- Anonymiserte data som er brukt i tverrgående analyser kan beholdes etter opphør, da de ikke lenger kan knyttes til kunden.
11. Endringer
- Endringer i dette vedlegget krever skriftlig samtykke fra begge parter.
- PivoCore varsler kunden minst 30 dager før planlagte endringer trer i kraft.
- Ved endringer i gjeldende lovgivning (GDPR, nasjonalt regelverk) kan nødvendige tilpasninger gjøres med kortere varsel.
12. Signatur
For BBL Datakompetanse AS (BBL Pivotal):
Navn: Jon Røtvold Grimsbo Tittel: Manager AI & Automatisering Dato: _______________ Signatur: _______________
For Usbl:
Navn: Tor-Johnny Tittel: _______________ Dato: _______________ Signatur: _______________
Vedlegg til databehandleravtale av [dato]. Ved motstrid går dette vedlegget foran for spørsmål knyttet til KI og innsiktstjenester.
Sist oppdatert: 9. april 2026 — Utkast v1