DRAFT — Awaiting legal review
This document is awaiting Norwegian privacy counsel review (expected end of May 2026). The contents below reflect Allegro's current operational practices and are published for transparency, but should not be relied upon as a final, signed DPA until the counsel-approved version is published.
Databehandleravtale — sammendrag
Sist oppdatert: 13. mai 2026 · GDPR Art. 28 · Utkast / forhåndsvisning
Denne siden er en forhåndsvisning av nøkkelvilkårene i Allegros databehandleravtale (DPA). Den er ikke selve avtalen og er ikke bindende — den endelige, signaturklare DPA-en vil bli publisert når norsk personvernsadvokat har gjennomgått utkastet (ventet slutten av mai 2026). Inntil da beskriver denne siden hvordan Allegro i praksis behandler personopplysninger på vegne av kunden i henhold til personvernforordningen (GDPR) Art. 28.
DPA-sammendrag
| Behandlingsansvarlig | Kunden (organisasjonen som bruker Allegro) |
| Databehandler | Echo Algori Data ENK (org.nr. 932 953 710), Oslo, Norge |
| Behandlingens formål | Levering av Allegro Contracts — AI-drevet kontraktshåndtering for norske virksomheter (lesing, klassifisering, oppsummering, søk). |
| Kategorier personopplysninger | Navn, kontaktinformasjon, signatariers identitet, ansatt-/kunderelaterte detaljer som finnes i kontraktene kunden laster opp. Allegro ber ikke om særlige kategorier (GDPR Art. 9). |
| Kategorier registrerte | Kundens ansatte, kunder, leverandører og motparter som er navngitt i kontrakter. |
| Underleverandører | Se fullstendig liste over underleverandører. 30 dagers varsel ved endringer. |
| Lagring | Data lagres i EU/EØS — Azure Norway East (primær) og Sweden Central (backup/failover). Ingen overføring utenfor EØS. |
| Oppbevaringstid | Så lenge kundens abonnement er aktivt. Ved oppsigelse: 30 dagers eksport-vindu, deretter sikker sletting innen 60 dager. Backup-rotasjon: 35 dager. |
| Sikkerhetstiltak | TLS 1.2+ i transport, AES-256 i hvile, Microsoft Entra ID med MFA, Postgres Row-Level Security på 45 tabeller (FORCE'd), Azure Key Vault for nøkkelhåndtering, revisjonslogger synlige for kunden. Se Trust-siden for full oversikt. |
| Brudd-varsling | Allegro varsler kunden uten ugrunnet opphold og senest innen 24 timer etter bevissthet om brudd. Kunden er ansvarlig for melding til Datatilsynet innen GDPR Art. 33-fristen på 72 timer. Se hendelsesresponsen vår. |
| Registrertes rettigheter | Allegro bistår kunden med å besvare innsyns-, retting-, slette- og portabilitetsforespørsler via in-app eksport- og slette-verktøy. |
| Kontakt | legal@allegronordic.no |
Standardklausuler
Den endelige avtalen vil følge EU-kommisjonens standardklausuler for behandlere (2021/915 vedlegg) tilpasset norsk rett. Utkastet under juridisk gjennomgang inkluderer: spesifiseringen over, taushetsplikt for personell, plikt til å bistå behandlingsansvarlig, revisjonsrett, sub-processor-håndtering, retur og sletting av data ved opphør, og ansvarsfordeling.
Signering
Når lovlig sluttversjon er klar (ventet slutten av mai 2026), kan kunder be om en signaturklar DPA ved å kontakte legal@allegronordic.no. Den vil leveres som DocuSign eller signert PDF.
Endringer
Vesentlige endringer i DPA-en varsles kundene per e-post minst 30 dager før ikrafttredelse, sammen med en oppsummering av endringene. Versjonshistorikk vil bli publisert nederst på denne siden når den endelige versjonen er signert.