Status: Draft — pending lawyer review

Dette dokumentet er et førsteutkast og skal kvalitetssikres av advokat før signering. Plassholdere er markert med klammeparenteser.

Databehandleravtale (DPA)

Databehandleravtale etter personvernforordningen art. 28

Versjon 1.0-draft · Sist endret [dato] · Versjonsstyring i dpa_signatures.version.

Mellom

Behandlingsansvarlig («Kunden»)

Foretaksnavn: [foretaksnavn]
Org.nr.: [orgnr]
Adresse: [adresse]
Kontaktperson: [navn, e-post, telefon]

Databehandler («Leverandøren»)

Foretaksnavn: CRM AS
Org.nr.: [BB]
Adresse: [adresse]
Personvernombud: [navn, e-post]

(samlet «Partene», hver «Part»)

1. Bakgrunn og formål

1.1 Tjenestekontekst

Kunden har inngått eller skal inngå avtale med Leverandøren om bruk av Leverandørens skybaserte CRM-tjeneste («Tjenesten») som regulert i Hovedavtalen — Vilkår og betingelser publisert på /legal/terms.

1.2 Avtalens formål

Denne Databehandleravtalen («DPA») regulerer Leverandørens behandling av personopplysninger på vegne av Kunden i samsvar med:

  • Europaparlaments- og rådsforordning (EU) 2016/679 (personvernforordningen, GDPR), særlig art. 28,
  • Lov om behandling av personopplysninger (personopplysningsloven) av 15. juni 2018,
  • Datatilsynets veiledere og rettspraksis.

1.3 Roller

Kunden er behandlingsansvarlig. Leverandøren er databehandler og handler kun etter Kundens dokumenterte instruks. For personopplysninger Leverandøren behandler om Kundens administratorer og brukere som ledd i å levere Tjenesten som helhet, er Leverandøren behandlingsansvarlig — dette reguleres av Personvernerklæringen og faller utenfor DPA.

1.4 Forhold til Hovedavtalen

DPA er en del av Hovedavtalen. Ved motstrid mellom Hovedavtalen og DPA går DPA foran for så vidt gjelder behandling av personopplysninger.

2. Definisjoner

Begreper brukes med samme betydning som i personvernforordningen art. 4, herunder «personopplysninger», «behandling», «behandlingsansvarlig», «databehandler», «tredjeland», «underdatabehandler» (subprosessor) og «brudd på personopplysningssikkerheten».

3. Behandlingens innhold (GDPR art. 28 nr. 3)

3.1 Emne

Levering av Tjenesten — en skybasert CRM-løsning med integrert telefoni, booking, tilbud, faktura og prosjektstyring rettet mot håndverkerforetak.

3.2 Varighet

Behandlingen pågår i hele avtaletiden for Hovedavtalen, samt den avviklingsperiode som følger av punkt 12 (normalt 90 dager etter opphør, samt for bokføringspliktige data i den lovpålagte oppbevaringsperioden).

3.3 Art

Innsamling, registrering, lagring, organisering, strukturering, søk, gjenfinning, bruk i grensesnitt, utlevering ved Kundens egne integrasjoner, sletting og anonymisering.

3.4 Formål

  • Drift og levering av CRM-funksjoner.
  • Levering av telefoni og SMS via underdatabehandler.
  • Levering av booking, tilbuds- og fakturafunksjoner.
  • Integrasjon mot regnskap (Tripletex, Fiken, PowerOffice Go), markedsplasser (Mittanbud, Anbudsklart) og dokumentasjon (Boligmappa) etter Kundens valg.
  • Sikker drift, backup og gjenoppretting.
  • Support til Kunden ved feil og henvendelser.

3.5 Kategorier av registrerte

Kundens sluttkunder, ansatte og innleide, leverandører og samarbeidspartnere, samt øvrige tredjeparter som inngår i kommunikasjon Kunden velger å lagre i Tjenesten.

3.6 Kategorier av personopplysninger

  • Identifikasjon — navn, fødselsdato (frivillig).
  • Kontaktopplysninger — telefon, e-post, postadresse.
  • Kommunikasjon — anropslogg, samtaleopptak (når aktivert), SMS-historikk, e-postutveksling.
  • Lokasjon — GPS-koordinater fra ansattes innsjekk, kjøretøysporing der Kunden bruker dette.
  • Dokumentasjon — bilder, FDV-dokumentasjon, HMS-skjema.
  • Finansiell — tilbud, fakturaer, betalingsstatus, ev. kontonummer.
  • Organisasjonsnummer (for enkeltpersonforetak skal fødselsnummer ikke registreres uten særskilt grunnlag).

3.7 Spesielle kategorier

DPA omfatter som hovedregel ikke spesielle kategorier av personopplysninger (art. 9). Skulle Kunden likevel legge inn slike — typisk helseopplysninger i HMS-skjema — er Kunden alene ansvarlig for å sikre særskilt rettslig grunnlag. DPA omfatter heller ikke straffedommer eller lovovertredelser (art. 10) uten ytterligere skriftlig avtale.

4. Behandlingsansvarliges plikter og rettigheter

4.1 Lovlig behandling

  • Kunden har rettslig grunnlag for all behandling Leverandøren instrueres om.
  • De registrerte er informert etter art. 13 og 14.
  • Eventuelle samtykker, herunder markedsføringssamtykke etter mfl. § 15, er gyldig innhentet og dokumenterbart.
  • Reservasjon i Reservasjonsregisteret er sjekket før kalde-oppringninger, jf. mfl. § 12.
  • Kunden fører egen protokoll over behandlingsaktiviteter etter art. 30 nr. 1 der det kreves.

4.2 Instruksjonsmyndighet

Kunden gir Leverandøren skriftlig instruks om behandlingen ved (i) inngåelse av DPA og Hovedavtalen, og (ii) konfigurasjon Kunden gjør i Tjenesten. Ytterligere instrukser gis skriftlig per e-post til Leverandørens personvernombud.

4.3 Lovstridig instruks

Leverandøren skal varsle Kunden uten ugrunnet opphold dersom Leverandøren mener at en instruks er i strid med personvernlovgivningen, og kan avstå fra å utføre den inntil den er bekreftet eller endret.

5. Databehandlers plikter (GDPR art. 28 nr. 3)

5.1 Bare etter instruks

Leverandøren behandler personopplysninger kun etter Kundens dokumenterte instruks, herunder for tredjelandsoverføringer, unntatt der dette kreves etter unionsretten eller norsk rett (med varslingsplikt der det er tillatt).

5.2 Konfidensialitet

Leverandøren skal sikre at personer som er autorisert til å behandle personopplysninger, har påtatt seg taushetsplikt skriftlig eller er underlagt egnet lovbestemt taushetsplikt, får opplæring, og kun gis tilgang etter prinsippet om minst privilegium.

5.3 Sikkerhetstiltak (art. 32)

Leverandøren skal iverksette egnede tiltak — se Vedlegg A nedenfor.

5.4 Underdatabehandlere

Håndteres etter punkt 9 og Vedlegg B nedenfor.

5.5 Bistand til registrertes rettigheter

Leverandøren skal bistå Kunden — i den utstrekning det er mulig og rimelig — med å oppfylle registrertes rettigheter etter art. 15–22 gjennom egnede tiltak i Tjenesten. Bistand utover Tjenestens standard self-service faktureres etter medgått tid.

5.6 Bistand med øvrige plikter

Leverandøren skal bistå Kunden med å overholde art. 32 (sikkerhet), art. 33 og 34 (brudd), art. 35 (DPIA) og art. 36 (forhåndsdrøfting).

5.7 Protokoll

Leverandøren fører protokoll over behandlingsaktiviteter som databehandler i samsvar med art. 30 nr. 2.

6. Lokasjon for behandling

Behandlingen utføres primært innenfor EU/EØS, med vesentlig lagring og prosessering hos Leverandørens hostingleverandør i [Finland og Tyskland — Hetzner-plassholder]. Overføring til tredjeland skjer kun via godkjente underdatabehandlere oppført i Vedlegg B, basert på overføringsgrunnlag etter punkt 7.

7. Overføring til tredjeland (GDPR kapittel V)

7.1 Overføringsgrunnlag

Leverandøren overfører ikke personopplysninger ut av EØS uten gyldig overføringsgrunnlag, herunder tilstrekkelighetsbeslutning (art. 45), EUs standard kontraktvilkår (SCC, Kommisjonens beslutning 2021/914), eller annet egnet grunnlag etter art. 46.

7.2 Supplerende tiltak

For overføringer til tredjeland uten tilstrekkelighetsbeslutning gjennomfører Leverandøren Transfer Impact Assessment etter Schrems II (C-311/18) og EDPB Recommendations 01/2020, og iverksetter kryptering, pseudonymisering, avtalefestede tiltak mot myndighetstilgang og valg av leverandører med dokumenterte FISA-mottiltak (særlig Telnyx).

8. Brudd på personopplysningssikkerheten

Leverandøren skal varsle Kunden uten ugrunnet opphold, og under enhver omstendighet innen 72 timer etter at Leverandøren ble klar over et brudd som påvirker personopplysninger behandlet på vegne av Kunden, jf. art. 33 nr. 2.

Varselet skal — i den utstrekning informasjonen er tilgjengelig — inneholde bruddets art, kontaktpunkt, sannsynlige konsekvenser og iverksatte tiltak. Leverandøren skal bistå Kunden med melding til Datatilsynet (art. 33), varsling til registrerte (art. 34) og dokumentasjon (art. 33 nr. 5).

9. Underdatabehandlere

9.1 Generell godkjenning

Kunden gir Leverandøren generell skriftlig forhåndsgodkjenning etter art. 28 nr. 2 til å benytte underdatabehandlere oppført i Vedlegg B.

9.2 Endringer

Ved tilføyelse eller utskifting skal Leverandøren varsle Kunden senest 30 dager før endringen trer i kraft.

9.3 Innsigelse

Kunden kan reise begrunnet innsigelse innen 14 dager fra mottatt varsel. Dersom Partene ikke kommer til enighet, kan Kunden si opp Hovedavtalen med 30 dagers varsel uten ytterligere kostnad enn forholdsmessig betaling for utført del av igangværende periode.

9.4 Avtaleforhold

Leverandøren plikter å pålegge underdatabehandleren skriftlig de samme databehandlerforpliktelser som følger av denne DPA, jf. art. 28 nr. 4, og er fullt ansvarlig overfor Kunden for underdatabehandlerens etterlevelse.

10. Revisjon (art. 28 nr. 3 bokstav h)

10.1 Etterlevelsesdokumentasjon

Leverandøren skal stille informasjon om etterlevelse av art. 28 til rådighet, herunder oppdatert sikkerhetsdokumentasjon (Vedlegg A), sertifiseringer/uavhengige rapporter dersom slike foreligger, og sanitisert sammendrag fra årlig egenrevisjon.

10.2 Kundens revisjonsrett

Kunden — eller en uavhengig revisor som ikke er konkurrent og som har undertegnet sedvanlig fortrolighetserklæring — kan gjennomføre revisjon hvert tolvte (12) måned, eller hyppigere ved krav fra tilsynsmyndighet eller etter et brudd som påvirker Kundens data.

10.3 Praktisk gjennomføring

Revisjon varsles med minst 30 dagers skriftlig varsel, gjennomføres i normalåpningstid og uten å forstyrre driften urimelig.

10.4 Kostnader

Hver part bærer sine egne kostnader. Avdekkes vesentlige brudd, bærer Leverandøren også Kundens rimelige kostnader.

11. Konfidensialitet

Leverandøren og dens medarbeidere er underlagt taushetsplikt om personopplysninger de får tilgang til. Plikten gjelder også etter Avtalens opphør og uavhengig av om arbeids- eller oppdragsforholdet med Leverandøren opphører. Brudd kan straffes etter straffeloven § 209.

12. Avtalens varighet, opphør og sletting/anonymisering

12.1 Varighet

DPA løper så lenge Leverandøren behandler personopplysninger på vegne av Kunden.

12.2 Eksport

Ved Hovedavtalens opphør har Kunden 30 dager til å eksportere Kundedata via Tjenestens eksportverktøy.

12.3 Sletting eller anonymisering

Senest 90 dager etter Hovedavtalens opphør skal Leverandøren — etter Kundens skriftlige instruks — enten tilbakelevere Kundedata i strukturert, maskinlesbart format og deretter slette egne kopier, eller slette Kundedata uten ytterligere instruks om tilbakelevering.

12.4 Lovpålagt oppbevaring

Når oppbevaring følger av norsk rett — særlig bokføringsloven § 13 (5 år) og bokføringsforskriften (10 år for visse dokumenttyper i bygg- og anleggsbransjen) — skal Leverandøren beholde de relevante dataene så lenge det er nødvendig, begrense behandlingen til ren oppbevaring, anonymisere personopplysningene i den utstrekning det er mulig uten å miste bokføringsmessig sporbarhet, og slette resterende personopplysninger umiddelbart etter at oppbevaringsplikten utløper.

12.5 Bekreftelse

Leverandøren skal skriftlig bekrefte overfor Kunden når sletting eller anonymisering er gjennomført.

13. Ansvar

Hver Part svarer for sine egne forsettlige eller uaktsomme brudd, herunder for overtredelsesgebyr og krav fra registrerte etter art. 82. Når begge Parter er ansvarlige, hefter de etter art. 82 nr. 4 solidarisk overfor den registrerte, med regress etter art. 82 nr. 5. Med unntak for forsett, grov uaktsomhet, brudd på konfidensialitet og overtredelsesgebyr som direkte kan tilbakeføres til den ene Part, gjelder ansvarsbegrensningen i Hovedavtalens ansvarspunkt tilsvarende for DPA.

14. Endringer

Endringer skal være skriftlige. Endringer som følge av oppdaterte krav fra personvernlovgivningen kan gjennomføres av Leverandøren ensidig etter 30 dagers skriftlig varsel. Materielle endringer som svekker Kundens rettigheter, krever Kundens samtykke.

15. Lovvalg og verneting

DPA reguleres av norsk rett. Tvister søkes løst i minnelighet. Dersom dette ikke fører fram, avgjøres tvisten ved Oslo tingrett som verneting.

16. Signatur

DPA er versjonsstyrt i Tjenestens database (dpa_signatures.version) og signeres digitalt av Kundens fullmaktshaver ved oppstart av Hovedavtalen. Ved ny vesentlig versjon innhentes ny signatur.

Behandlingsansvarlig (Kunden)

Navn: [navn]
Rolle: [f.eks. daglig leder]
Dato: [dato]
Signatur: [digital signatur]

Databehandler (CRM AS)

Navn: [navn]
Rolle: [rolle]
Dato: [dato]
Signatur: [digital signatur]

Versjon: 1.0-draft · Signatur-ID: [uuid fra dpa_signatures.id]

Vedlegg A — Tekniske og organisatoriske tiltak (art. 32)

  • Tilgangsstyring: Argon2id-hash av passord, TOTP-2FA for administratorer, sesjonscookies med kort levetid, rollebasert tilgang etter prinsippet om minst privilegium.
  • Tenant-isolasjon: Postgres Row-Level Security i FORCE-modus på alle tabeller med tenant-skopering, automatiserte tester i CI som verifiserer at policyer ikke kan omgås.
  • Kryptering: TLS 1.3 i transitt med HSTS preload, AES-256 i hvile på primær database og backup, krypterte forbindelser mot underdatabehandlere.
  • Logging og audit: Audit-logg over alle state-endrende handlinger med 12 måneders retention; Sentry for feilrapportering med IP-anonymisering.
  • Backup og kontinuitet: Daglige krypterte backups med 30-dagers retention, geografisk redundans innen EU/EØS, halvårlig test av gjenoppretting, dokumentert Disaster Recovery Plan med RTO/RPO.
  • Sårbarhetshåndtering: Automatisert sårbarhetsskann, tidsfrister proporsjonale med alvorlighetsgrad (Critical 24t, High 7d, Medium 30d), penetrasjonstest minst hvert 24. måned.
  • Personell: Taushetserklæring fra alle medarbeidere og underleverandører, bakgrunnssjekk av nøkkelpersonell, obligatorisk årlig personvernopplæring.
  • Sletting og medieavhending: Kryptografisk overskriving; avhending av fysiske medier hos hostingleverandør i samsvar med ISO 27001-prosedyrer.
  • Hendelseshåndtering: Døgnkontinuerlig overvåking, Incident Response Plan med 72-timersmål mot Datatilsynet.
  • Tredjepartskontroll: Underdatabehandlere må vise tilstrekkelige garantier (sertifiseringer, DPF-status, dokumenterte sikkerhetstiltak), avtalefestede revisjonsrettigheter.

Vedlegg B — Underdatabehandlere

Gjeldende ved [dato]. Oppdatert liste publiseres på [lenke til subprosessorliste].

UnderdatabehandlerTjenesteLokasjonOverføringsgrunnlag
Telnyx LLCTelefoni og SMS (CDR, nummer)USA (Texas)SCC 2021/914 (Module 3) + supplerende tiltak
Hetzner Online GmbH [placeholder]Hosting, lagring, backupEU (FI, DE)Innenfor EU/EØS
Postmark (Wildbit, LLC)Transaksjons-e-postUSASCC 2021/914 + supplerende tiltak
AWS EMEA SARL (SES eu-north-1)Transaksjons-e-post (Stockholm)EU (Sverige)Innenfor EU/EØS
Stripe Payments Europe LtdKortbetaling (fase 2)EU + DBT med Stripe Inc. (USA)SCC + Stripe DPA
BrønnøysundregistreneForetaks-, Rolle- og Reservasjonsregister-oppslagNorgeOffentlig register
Anthropic PBCAI-utkast (valgfritt)USA (California)SCC 2021/914 + zero-retention API
SentryFeilrapportering (IP-anonymisert)EU (DE) eller US avhengig av planSCC ved konserninterne overføringer

Vedlegg C — Behandlingsinstruks ved oppstart

Kunden instruerer Leverandøren om å behandle personopplysninger som beskrevet i punkt 3 og som konfigurert av Kunden i Tjenesten, herunder:

  1. Drift av CRM-kjernen (kontakter, leads, oppgaver, kommunikasjon).
  2. Telefoni og SMS via Telnyx, samtalelogg og eventuelt opptak når Kunden aktiverer.
  3. Booking og tilbud — offentlige bookingsider og digitale tilbud.
  4. Faktura og bokføring i samsvar med bokføringsloven.
  5. Integrasjoner med Tripletex, Fiken, PowerOffice Go, Mittanbud, Anbudsklart og Boligmappa etter Kundens egen aktivering.
  6. FDV og HMS — lagring og deling av dokumentasjon i Komplett-pakken.
  7. Backup, monitorering og support — som beskrevet i Vedlegg A.

Ytterligere eller endrede instrukser gis skriftlig til Leverandørens personvernombud.

Dette dokumentet er et utkast. Endelig versjon vedtas etter advokatgjennomgang og signeres digitalt mellom Partene.