Soniver

Vilkår og betingelser for bruk av Soniver

Dato for siste oppdatering: 26.11.2025

1. Avtale og aksept

Disse vilkårene og betingelsene ("Vilkårene") regulerer bruken av Soniver ("Tjenesten"), levert av Soniver AS ("Vi", "Vår", "Oss"). Ved å registrere deg for eller bruke Tjenesten, aksepterer du å være bundet av Vilkårene. Hvis du ikke aksepterer Vilkårene, kan du ikke bruke Tjenesten.

2. Personvern og databeskyttelse – Behandlingsansvarlig og databehandler

Vår behandling av personopplysninger skjer i samsvar med vår Personvernerklæring . Når Tjenesten brukes i arbeid med ansatte eller i coaching-sesjoner, er brukeren (for eksempel HR-avdeling eller ledercoach) behandlingsansvarlig for personopplysninger som behandles i Tjenesten. Soniver AS er databehandler og behandler opplysningene utelukkende på vegne av og etter dokumenterte instrukser fra brukeren, jf. GDPR artikkel 28.

Soniver bestemmer ikke formålene med behandlingen, og bruker ikke kundedata til egne formål, modelltrening eller analyse utenfor den funksjonaliteten brukeren selv initierer. En databehandleravtale inngås mellom partene for bruk av Tjenesten i profesjonell sammenheng.

3. Tjenestens innhold og funksjonalitet

  • Mulighet for å ta opp lyd fra samtaler og coaching-sesjoner.
  • Automatisk transkripsjon og anonymisering av lydopptak.
  • Analyse og generering av sammendrag ved bruk av kunstig intelligens.
  • Lagring og administrasjon av samtaledata.

Tjenesten er beregnet for HR-avdelinger og ledercoacher som overholder gjeldende lover og forskrifter, inkludert GDPR.

4. Ikke medisinsk utstyr – ingen klinisk beslutningsstøtte

Tjenesten er ikke medisinsk utstyr og er ikke ment å brukes som diagnostisk verktøy, behandlingsstøtte eller beslutningsstøtte i kliniske vurderinger. Tjenesten gir kun administrativ støtte, transkripsjon og tekstbaserte analyser basert på innhold brukeren selv legger inn.

All faglig vurdering, diagnostikk, risikovurdering og beslutning om behandling er brukerens eget ansvar. Innhold generert av Tjenesten skal alltid vurderes faglig av behandleren og kan inneholde feil, mangler eller misforståelser.

5. Opplysninger som behandles i Tjenesten

Ved bruk av Tjenesten kan følgende typer personopplysninger behandles:

  • Ansattinformasjon: Det er mulig å opprette en ansatt med navn, etternavn og e-post. Etternavn og e-post er valgfrie, og brukeren kan velge å bruke pseudonym i stedet for faktiske navn
  • Lydopptak av samtaler dersom brukeren aktiverer funksjonen
  • Transkripsjoner generert fra lydopptak
  • Notater som brukeren selv skriver eller genererer
  • AI-genererte analyser, temaoppdagelser og oppsummeringer
  • Metadata, inkludert tidsstempler, påloggingsdata, teknisk informasjon og bruksdata

Disse opplysningene behandles kun for å levere tjenesten og de funksjonene brukeren selv velger å benytte.

6. Rettslig grunnlag for behandling

Når Tjenesten brukes med ansattdata, skjer behandlingen av personopplysninger med følgende rettslige grunnlag:

  • GDPR artikkel 6(1)(b) – behandling nødvendig for å oppfylle en avtale med brukeren når Tjenesten leveres i profesjonell sammenheng.

Soniver behandler kun data på instruks fra behandlingsansvarlig og har ikke selvstendige formål med behandlingen.

7. Brukerens ansvar

  • Å sikre at all bruk av Tjenesten er i samsvar med gjeldende lover og forskrifter.
  • Å innhente samtykke fra ansatte før behandling av personopplysninger.
  • Å beskytte påloggingsinformasjon og unngå uautorisert tilgang til din konto.
  • Å oppgi riktig og oppdatert informasjon ved registrering.

8. Priser og betaling

Priser for bruk av Tjenesten vil bli oppgitt på vår nettside eller i avtale med deg som bruker.

Betaling må skje i henhold til de angitte betalingsvilkårene. Ved manglende betaling kan vi suspendere eller avslutte din tilgang til Tjenesten.

9. Oppsigelse og avslutning

Du kan avslutte din bruk av Tjenesten ved å sende en skriftlig oppsigelse. Vi kan avslutte din tilgang ved brudd på Vilkårene.

10. Ansvarsbegrensning

Tjenesten leveres "som den er", og vi fraskriver oss ansvar for indirekte skader eller tap.

Soniver garanterer ikke at transkripsjoner eller analyser er fullstendige eller feilfrie. AI-generert innhold kan inneholde unøyaktigheter eller misforståelser og skal ikke brukes som grunnlag for diagnostiske vurderinger, risikovurderinger, beslutninger om behandlingstiltak eller andre kliniske beslutninger.

Brukeren er fullt ut ansvarlig for sine faglige vurderinger og for å kvalitetssikre alt innhold generert av Tjenesten. Soniver fraskriver seg ethvert ansvar for tap, skade eller konsekvenser som følge av kliniske beslutninger basert på data generert i Tjenesten.

11. Endringer i vilkårene

Vi forbeholder oss retten til å endre Vilkårene. Fortsatt bruk innebærer aksept av de nye vilkårene.

Del 2: Databehandleravtale

Mellom:

Behandlingsansvarlig: Den som bruker Tjenesten (brukeren), heretter kalt «Behandlingsansvarlig».

Databehandler: Soniver AS (Org.nr 934 936 949), heretter kalt «Databehandler» eller «Soniver».

1. Avtalens hensikt

Denne databehandleravtalen regulerer rettigheter og plikter når Soniver behandler personopplysninger på vegne av Behandlingsansvarlig. Avtalen skal sikre at personopplysninger behandles i samsvar med gjeldende lovverk, herunder:

  1. Personopplysningsloven og GDPR (EUs personvernforordning).
  2. Helsepersonelloven og Pasientjournalloven (der relevant).
  3. Normen for informasjonssikkerhet og personvern i helse- og omsorgssektoren («Normen»).

Ved motstrid mellom denne avtalen og eventuelle andre avtaler mellom partene, skal denne avtalen gå foran vedrørende personvernspørsmål.

2. Behandlingsansvarliges plikter

Behandlingsansvarlig bestemmer formålet med behandlingen og hvilke hjelpemidler som skal benyttes. Behandlingsansvarlig innestår for at det foreligger gyldig behandlingsgrunnlag (f.eks. samtykke fra ansatt) for alle data som overføres til Soniver.

3. Databehandlers plikter

Soniver forplikter seg til å:

  1. Instruks: Kun behandle personopplysninger i tråd med dokumenterte instrukser fra Behandlingsansvarlig (denne avtalen gjelder som instruks).
  2. Formålsbegrensning: Ikke bruke personopplysningene til egne formål, markedsføring eller salg til tredjepart.
  3. Tilgangsstyring: Sikre at kun autoriserte personer har tilgang til opplysningene, og at disse har forpliktet seg til konfidensialitet.
  4. Internkontroll: Ha et system for internkontroll og informasjonssikkerhet som står i forhold til risikoen.
  5. Bistand: Bistå Behandlingsansvarlig med å oppfylle dennes forpliktelser, herunder ved henvendelser fra registrerte (innsyn/sletting) og ved vurdering av personvernkonsekvenser (DPIA).

4. Taushetsplikt

Soniver, og alle som utfører arbeid for Soniver, har taushetsplikt om alle personopplysninger og konfidensiell informasjon de får tilgang til. Taushetsplikten gjelder også etter at avtalen er opphørt.

5. Informasjonssikkerhet

Soniver skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre et høyt sikkerhetsnivå, jf. GDPR artikkel 32.

Soniver garanterer spesifikt følgende arkitektur for personvern («Privacy by Design»):

  • Ingen lagring av rå-lyd:
    • Lydopptak strømmes direkte til prosessering og lagres aldri permanent på disk.
  • Kryptering:
    • Data krypteres både under overføring (in transit) og lagring (at rest) med industristandard (AES-256/TLS 1.2+).
  • Geofencing:
    • Transkripsjon av lyd skjer utelukkende i Norge. AI-analyse av tekst skjer i EU/EØS. Ingen data overføres til USA.

Nærmere beskrivelse av sikkerhetstiltakene fremgår av Vedlegg 2.

6. Bruk av underleverandører

Behandlingsansvarlig gir Soniver generell tillatelse til å benytte underleverandører for å levere tjenesten. Godkjente underleverandører ved avtaleinngåelse er listet i Vedlegg 3.

Soniver skal sikre at underleverandører pålegges de samme forpliktelsene som Soniver har etter denne avtalen. Ved bytte eller nye underleverandører skal Soniver varsle skriftlig senest 30 dager i forkant. Behandlingsansvarlig kan motsette seg endringen dersom det foreligger saklig grunn knyttet til personvernet.

7. Avvikshåndtering (Personvernbrudd)

Ved brudd på personopplysningssikkerheten skal Soniver varsle Behandlingsansvarlig skriftlig uten ugrunnet opphold (senest innen 24 timer).

Varslet skal inneholde beskrivelse av bruddet, kategorier av berørte registrerte, mulige konsekvenser og hvilke strakstiltak som er iverksatt. Soniver skal bistå med nødvendig informasjon for melding til Datatilsynet.

8. Revisjon

Behandlingsansvarlig har rett til å gjennomføre revisjon (selv eller ved tredjepart) for å verifisere at Soniver overholder avtalen. Soniver skal legge til rette for slik revisjon.

9. Ansvar og erstatning

Partene er ansvarlige for økonomisk tap som påføres den andre part som følge av brudd på denne avtalen, i henhold til norsk retts alminnelige erstatningsregler. Databehandlers samlede erstatningsansvar er begrenset oppad til 12 måneders vederlag for tjenesten, med mindre det foreligger grov uaktsomhet eller forsett.

10. Varighet og opphør

Avtalen gjelder så lenge Soniver behandler personopplysninger på vegne av Behandlingsansvarlig.

Ved opphør skal Soniver, etter Behandlingsansvarliges valg, enten slette eller tilbakeføre alle personopplysninger. Soniver skal skriftlig bekrefte at sletting er utført. Sikkerhetskopier slettes automatisk i henhold til backupsyklus (maks 30 dager).

11. Signering

Ved å logge inn i tjenesten med BankID godtar du disse vilkårene og databehandleravtalen. Din bruk av tjenesten utgjør en bindende aksept av alle vilkår og betingelser som er beskrevet i denne avtalen.

VEDLEGG 1: Behandlingens formål

Formål:

Effektivisering av HR-arbeid og ledercoaching gjennom AI-støttet transkripsjon og analyse av samtaler. Tjenesten skal gi HR-avdelinger og ledercoacher faglig støtte, bedre notater og frigjøre tid.

Behandlingen omfatter:

  1. Streaming av lyd fra nettleser til server.
  2. Sanntids omgjøring av tale til tekst (Transkripsjon).
  3. Pseudonymisering/anonymisering av tekst.
  4. AI-analyse av tekst for å trekke ut relevant informasjon.
  5. Kryptert lagring av ferdige notater og analyser.

Typer personopplysninger:

Navn, og andre opplysninger som fremkommer i samtaler og coaching-sesjoner.

VEDLEGG 2: Tekniske sikkerhetstiltak

Soniver har implementert en sikkerhetsarkitektur bygget på prinsippet om dataminimering:

  1. Lydbehandling (Ingen lagring):
    • Lyddata sendes direkte fra bruker til transkripsjonstjenesten (Azure) via sikkert minne.
    • Ingen lydfiler lagres permanent på disk hos Soniver eller underleverandør.
    • Azure er konfigurert med "No logging"-policy for lyddata.
  2. Autentisering og Tilgang:
    • Tilgang krever sterk autentisering via Criipto (BankID).
    • Logisk separasjon av kundedata i databasen sikrer at brukere kun ser egne data.
  3. Kryptering:
    • Kommunikasjon: HTTPS/TLS 1.2+ med sterke chiffer.
    • Database: Sensitive data er kryptert "at rest" (AES-256).
  4. Geografisk sikring:
    • Systemet er konfigurert for å tvinge prosessering til spesifikke regioner i Norge og EU. Ingen automatisk "failover" til regioner utenfor EØS.

VEDLEGG 3: Godkjente underleverandører

Behandlingsansvarlig godkjenner følgende underleverandører:

Leverandør Funksjon Region / Lokasjon
Microsoft Azure Transkripsjon (Speech-to-Text)
Behandler kun lydstrømmen flyktig for konvertering til tekst. 		Norway East (Norge)
Google Cloud Platform AI-analyse (Vertex AI/Gemini)
Behandler den anonymiserte teksten for å generere notater. Skytjenester. 		Europe-west4 og Europe-west1
MongoDB Atlas Database
Lagring av ferdige notater og brukerdata (kryptert). 		Europe-west1 (Belgia)
(Kjører på GCP infrastruktur)
Brevo E-post
Systemvarsler. Ingen helseopplysninger sendes her. 		EU (Tyskland)
Criipto Autentisering (OpenID Connect) Danmark
Stripe Betalingsbehandling USA/EU

Gjeldende lov og tvisteløsning

Disse Vilkårene er underlagt norsk lovgivning. Eventuelle tvister som oppstår i forbindelse med disse Vilkårene skal behandles av Oslo tingrett som verneting, med mindre annet følger av ufravikelig lovgivning.