Mellom
Behandlingsansvarlig («Kunden»)
Foretaksnavn: [foretaksnavn]
Org.nr.: [orgnr]
Adresse: [adresse]
Kontaktperson: [navn, e-post, telefon]
Databehandler («Leverandøren»)
Foretaksnavn: CRM AS
Org.nr.: [BB]
Adresse: [adresse]
Personvernombud: [navn, e-post]
(samlet «Partene», hver «Part»)
1. Bakgrunn og formål
1.1 Tjenestekontekst
Kunden har inngått eller skal inngå avtale med Leverandøren om bruk av Leverandørens skybaserte CRM-tjeneste («Tjenesten») som regulert i Hovedavtalen — Vilkår og betingelser publisert på /legal/terms.
1.2 Avtalens formål
Denne Databehandleravtalen («DPA») regulerer Leverandørens behandling av personopplysninger på vegne av Kunden i samsvar med:
- Europaparlaments- og rådsforordning (EU) 2016/679 (personvernforordningen, GDPR), særlig art. 28,
- Lov om behandling av personopplysninger (personopplysningsloven) av 15. juni 2018,
- Datatilsynets veiledere og rettspraksis.
1.3 Roller
Kunden er behandlingsansvarlig. Leverandøren er databehandler og handler kun etter Kundens dokumenterte instruks. For personopplysninger Leverandøren behandler om Kundens administratorer og brukere som ledd i å levere Tjenesten som helhet, er Leverandøren behandlingsansvarlig — dette reguleres av Personvernerklæringen og faller utenfor DPA.
1.4 Forhold til Hovedavtalen
DPA er en del av Hovedavtalen. Ved motstrid mellom Hovedavtalen og DPA går DPA foran for så vidt gjelder behandling av personopplysninger.
2. Definisjoner
Begreper brukes med samme betydning som i personvernforordningen art. 4, herunder «personopplysninger», «behandling», «behandlingsansvarlig», «databehandler», «tredjeland», «underdatabehandler» (subprosessor) og «brudd på personopplysningssikkerheten».
3. Behandlingens innhold (GDPR art. 28 nr. 3)
3.1 Emne
Levering av Tjenesten — en skybasert CRM-løsning med integrert telefoni, booking, tilbud, faktura og prosjektstyring rettet mot håndverkerforetak.
3.2 Varighet
Behandlingen pågår i hele avtaletiden for Hovedavtalen, samt den avviklingsperiode som følger av punkt 12 (normalt 90 dager etter opphør, samt for bokføringspliktige data i den lovpålagte oppbevaringsperioden).
3.3 Art
Innsamling, registrering, lagring, organisering, strukturering, søk, gjenfinning, bruk i grensesnitt, utlevering ved Kundens egne integrasjoner, sletting og anonymisering.
3.4 Formål
- Drift og levering av CRM-funksjoner.
- Levering av telefoni og SMS via underdatabehandler.
- Levering av booking, tilbuds- og fakturafunksjoner.
- Integrasjon mot regnskap (Tripletex, Fiken, PowerOffice Go), markedsplasser (Mittanbud, Anbudsklart) og dokumentasjon (Boligmappa) etter Kundens valg.
- Sikker drift, backup og gjenoppretting.
- Support til Kunden ved feil og henvendelser.
3.5 Kategorier av registrerte
Kundens sluttkunder, ansatte og innleide, leverandører og samarbeidspartnere, samt øvrige tredjeparter som inngår i kommunikasjon Kunden velger å lagre i Tjenesten.
3.6 Kategorier av personopplysninger
- Identifikasjon — navn, fødselsdato (frivillig).
- Kontaktopplysninger — telefon, e-post, postadresse.
- Kommunikasjon — anropslogg, samtaleopptak (når aktivert), SMS-historikk, e-postutveksling.
- Lokasjon — GPS-koordinater fra ansattes innsjekk, kjøretøysporing der Kunden bruker dette.
- Dokumentasjon — bilder, FDV-dokumentasjon, HMS-skjema.
- Finansiell — tilbud, fakturaer, betalingsstatus, ev. kontonummer.
- Organisasjonsnummer (for enkeltpersonforetak skal fødselsnummer ikke registreres uten særskilt grunnlag).
3.7 Spesielle kategorier
DPA omfatter som hovedregel ikke spesielle kategorier av personopplysninger (art. 9). Skulle Kunden likevel legge inn slike — typisk helseopplysninger i HMS-skjema — er Kunden alene ansvarlig for å sikre særskilt rettslig grunnlag. DPA omfatter heller ikke straffedommer eller lovovertredelser (art. 10) uten ytterligere skriftlig avtale.
4. Behandlingsansvarliges plikter og rettigheter
4.1 Lovlig behandling
- Kunden har rettslig grunnlag for all behandling Leverandøren instrueres om.
- De registrerte er informert etter art. 13 og 14.
- Eventuelle samtykker, herunder markedsføringssamtykke etter mfl. § 15, er gyldig innhentet og dokumenterbart.
- Reservasjon i Reservasjonsregisteret er sjekket før kalde-oppringninger, jf. mfl. § 12.
- Kunden fører egen protokoll over behandlingsaktiviteter etter art. 30 nr. 1 der det kreves.
4.2 Instruksjonsmyndighet
Kunden gir Leverandøren skriftlig instruks om behandlingen ved (i) inngåelse av DPA og Hovedavtalen, og (ii) konfigurasjon Kunden gjør i Tjenesten. Ytterligere instrukser gis skriftlig per e-post til Leverandørens personvernombud.
4.3 Lovstridig instruks
Leverandøren skal varsle Kunden uten ugrunnet opphold dersom Leverandøren mener at en instruks er i strid med personvernlovgivningen, og kan avstå fra å utføre den inntil den er bekreftet eller endret.
5. Databehandlers plikter (GDPR art. 28 nr. 3)
5.1 Bare etter instruks
Leverandøren behandler personopplysninger kun etter Kundens dokumenterte instruks, herunder for tredjelandsoverføringer, unntatt der dette kreves etter unionsretten eller norsk rett (med varslingsplikt der det er tillatt).
5.2 Konfidensialitet
Leverandøren skal sikre at personer som er autorisert til å behandle personopplysninger, har påtatt seg taushetsplikt skriftlig eller er underlagt egnet lovbestemt taushetsplikt, får opplæring, og kun gis tilgang etter prinsippet om minst privilegium.
5.3 Sikkerhetstiltak (art. 32)
Leverandøren skal iverksette egnede tiltak — se Vedlegg A nedenfor.
5.4 Underdatabehandlere
Håndteres etter punkt 9 og Vedlegg B nedenfor.
5.5 Bistand til registrertes rettigheter
Leverandøren skal bistå Kunden — i den utstrekning det er mulig og rimelig — med å oppfylle registrertes rettigheter etter art. 15–22 gjennom egnede tiltak i Tjenesten. Bistand utover Tjenestens standard self-service faktureres etter medgått tid.
5.6 Bistand med øvrige plikter
Leverandøren skal bistå Kunden med å overholde art. 32 (sikkerhet), art. 33 og 34 (brudd), art. 35 (DPIA) og art. 36 (forhåndsdrøfting).
5.7 Protokoll
Leverandøren fører protokoll over behandlingsaktiviteter som databehandler i samsvar med art. 30 nr. 2.
6. Lokasjon for behandling
Behandlingen utføres primært innenfor EU/EØS, med vesentlig lagring og prosessering hos Leverandørens hostingleverandør i [Finland og Tyskland — Hetzner-plassholder]. Overføring til tredjeland skjer kun via godkjente underdatabehandlere oppført i Vedlegg B, basert på overføringsgrunnlag etter punkt 7.
7. Overføring til tredjeland (GDPR kapittel V)
7.1 Overføringsgrunnlag
Leverandøren overfører ikke personopplysninger ut av EØS uten gyldig overføringsgrunnlag, herunder tilstrekkelighetsbeslutning (art. 45), EUs standard kontraktvilkår (SCC, Kommisjonens beslutning 2021/914), eller annet egnet grunnlag etter art. 46.
7.2 Supplerende tiltak
For overføringer til tredjeland uten tilstrekkelighetsbeslutning gjennomfører Leverandøren Transfer Impact Assessment etter Schrems II (C-311/18) og EDPB Recommendations 01/2020, og iverksetter kryptering, pseudonymisering, avtalefestede tiltak mot myndighetstilgang og valg av leverandører med dokumenterte FISA-mottiltak (særlig Telnyx).
8. Brudd på personopplysningssikkerheten
Leverandøren skal varsle Kunden uten ugrunnet opphold, og under enhver omstendighet innen 72 timer etter at Leverandøren ble klar over et brudd som påvirker personopplysninger behandlet på vegne av Kunden, jf. art. 33 nr. 2.
Varselet skal — i den utstrekning informasjonen er tilgjengelig — inneholde bruddets art, kontaktpunkt, sannsynlige konsekvenser og iverksatte tiltak. Leverandøren skal bistå Kunden med melding til Datatilsynet (art. 33), varsling til registrerte (art. 34) og dokumentasjon (art. 33 nr. 5).
9. Underdatabehandlere
9.1 Generell godkjenning
Kunden gir Leverandøren generell skriftlig forhåndsgodkjenning etter art. 28 nr. 2 til å benytte underdatabehandlere oppført i Vedlegg B.
9.2 Endringer
Ved tilføyelse eller utskifting skal Leverandøren varsle Kunden senest 30 dager før endringen trer i kraft.
9.3 Innsigelse
Kunden kan reise begrunnet innsigelse innen 14 dager fra mottatt varsel. Dersom Partene ikke kommer til enighet, kan Kunden si opp Hovedavtalen med 30 dagers varsel uten ytterligere kostnad enn forholdsmessig betaling for utført del av igangværende periode.
9.4 Avtaleforhold
Leverandøren plikter å pålegge underdatabehandleren skriftlig de samme databehandlerforpliktelser som følger av denne DPA, jf. art. 28 nr. 4, og er fullt ansvarlig overfor Kunden for underdatabehandlerens etterlevelse.
10. Revisjon (art. 28 nr. 3 bokstav h)
10.1 Etterlevelsesdokumentasjon
Leverandøren skal stille informasjon om etterlevelse av art. 28 til rådighet, herunder oppdatert sikkerhetsdokumentasjon (Vedlegg A), sertifiseringer/uavhengige rapporter dersom slike foreligger, og sanitisert sammendrag fra årlig egenrevisjon.
10.2 Kundens revisjonsrett
Kunden — eller en uavhengig revisor som ikke er konkurrent og som har undertegnet sedvanlig fortrolighetserklæring — kan gjennomføre revisjon hvert tolvte (12) måned, eller hyppigere ved krav fra tilsynsmyndighet eller etter et brudd som påvirker Kundens data.
10.3 Praktisk gjennomføring
Revisjon varsles med minst 30 dagers skriftlig varsel, gjennomføres i normalåpningstid og uten å forstyrre driften urimelig.
10.4 Kostnader
Hver part bærer sine egne kostnader. Avdekkes vesentlige brudd, bærer Leverandøren også Kundens rimelige kostnader.
11. Konfidensialitet
Leverandøren og dens medarbeidere er underlagt taushetsplikt om personopplysninger de får tilgang til. Plikten gjelder også etter Avtalens opphør og uavhengig av om arbeids- eller oppdragsforholdet med Leverandøren opphører. Brudd kan straffes etter straffeloven § 209.
12. Avtalens varighet, opphør og sletting/anonymisering
12.1 Varighet
DPA løper så lenge Leverandøren behandler personopplysninger på vegne av Kunden.
12.2 Eksport
Ved Hovedavtalens opphør har Kunden 30 dager til å eksportere Kundedata via Tjenestens eksportverktøy.
12.3 Sletting eller anonymisering
Senest 90 dager etter Hovedavtalens opphør skal Leverandøren — etter Kundens skriftlige instruks — enten tilbakelevere Kundedata i strukturert, maskinlesbart format og deretter slette egne kopier, eller slette Kundedata uten ytterligere instruks om tilbakelevering.
12.4 Lovpålagt oppbevaring
Når oppbevaring følger av norsk rett — særlig bokføringsloven § 13 (5 år) og bokføringsforskriften (10 år for visse dokumenttyper i bygg- og anleggsbransjen) — skal Leverandøren beholde de relevante dataene så lenge det er nødvendig, begrense behandlingen til ren oppbevaring, anonymisere personopplysningene i den utstrekning det er mulig uten å miste bokføringsmessig sporbarhet, og slette resterende personopplysninger umiddelbart etter at oppbevaringsplikten utløper.
12.5 Bekreftelse
Leverandøren skal skriftlig bekrefte overfor Kunden når sletting eller anonymisering er gjennomført.
13. Ansvar
Hver Part svarer for sine egne forsettlige eller uaktsomme brudd, herunder for overtredelsesgebyr og krav fra registrerte etter art. 82. Når begge Parter er ansvarlige, hefter de etter art. 82 nr. 4 solidarisk overfor den registrerte, med regress etter art. 82 nr. 5. Med unntak for forsett, grov uaktsomhet, brudd på konfidensialitet og overtredelsesgebyr som direkte kan tilbakeføres til den ene Part, gjelder ansvarsbegrensningen i Hovedavtalens ansvarspunkt tilsvarende for DPA.
14. Endringer
Endringer skal være skriftlige. Endringer som følge av oppdaterte krav fra personvernlovgivningen kan gjennomføres av Leverandøren ensidig etter 30 dagers skriftlig varsel. Materielle endringer som svekker Kundens rettigheter, krever Kundens samtykke.
15. Lovvalg og verneting
DPA reguleres av norsk rett. Tvister søkes løst i minnelighet. Dersom dette ikke fører fram, avgjøres tvisten ved Oslo tingrett som verneting.
16. Signatur
DPA er versjonsstyrt i Tjenestens database (dpa_signatures.version) og signeres digitalt av Kundens fullmaktshaver ved oppstart av Hovedavtalen. Ved ny vesentlig versjon innhentes ny signatur.
Behandlingsansvarlig (Kunden)
Navn: [navn]
Rolle: [f.eks. daglig leder]
Dato: [dato]
Signatur: [digital signatur]
Databehandler (CRM AS)
Navn: [navn]
Rolle: [rolle]
Dato: [dato]
Signatur: [digital signatur]
Versjon: 1.0-draft · Signatur-ID: [uuid fra dpa_signatures.id]
Vedlegg A — Tekniske og organisatoriske tiltak (art. 32)
- Tilgangsstyring: Argon2id-hash av passord, TOTP-2FA for administratorer, sesjonscookies med kort levetid, rollebasert tilgang etter prinsippet om minst privilegium.
- Tenant-isolasjon: Postgres Row-Level Security i FORCE-modus på alle tabeller med tenant-skopering, automatiserte tester i CI som verifiserer at policyer ikke kan omgås.
- Kryptering: TLS 1.3 i transitt med HSTS preload, AES-256 i hvile på primær database og backup, krypterte forbindelser mot underdatabehandlere.
- Logging og audit: Audit-logg over alle state-endrende handlinger med 12 måneders retention; Sentry for feilrapportering med IP-anonymisering.
- Backup og kontinuitet: Daglige krypterte backups med 30-dagers retention, geografisk redundans innen EU/EØS, halvårlig test av gjenoppretting, dokumentert Disaster Recovery Plan med RTO/RPO.
- Sårbarhetshåndtering: Automatisert sårbarhetsskann, tidsfrister proporsjonale med alvorlighetsgrad (Critical 24t, High 7d, Medium 30d), penetrasjonstest minst hvert 24. måned.
- Personell: Taushetserklæring fra alle medarbeidere og underleverandører, bakgrunnssjekk av nøkkelpersonell, obligatorisk årlig personvernopplæring.
- Sletting og medieavhending: Kryptografisk overskriving; avhending av fysiske medier hos hostingleverandør i samsvar med ISO 27001-prosedyrer.
- Hendelseshåndtering: Døgnkontinuerlig overvåking, Incident Response Plan med 72-timersmål mot Datatilsynet.
- Tredjepartskontroll: Underdatabehandlere må vise tilstrekkelige garantier (sertifiseringer, DPF-status, dokumenterte sikkerhetstiltak), avtalefestede revisjonsrettigheter.
Vedlegg B — Underdatabehandlere
Gjeldende ved [dato]. Oppdatert liste publiseres på [lenke til subprosessorliste].
| Underdatabehandler | Tjeneste | Lokasjon | Overføringsgrunnlag |
|---|---|---|---|
| Telnyx LLC | Telefoni og SMS (CDR, nummer) | USA (Texas) | SCC 2021/914 (Module 3) + supplerende tiltak |
| Hetzner Online GmbH [placeholder] | Hosting, lagring, backup | EU (FI, DE) | Innenfor EU/EØS |
| Postmark (Wildbit, LLC) | Transaksjons-e-post | USA | SCC 2021/914 + supplerende tiltak |
| AWS EMEA SARL (SES eu-north-1) | Transaksjons-e-post (Stockholm) | EU (Sverige) | Innenfor EU/EØS |
| Stripe Payments Europe Ltd | Kortbetaling (fase 2) | EU + DBT med Stripe Inc. (USA) | SCC + Stripe DPA |
| Brønnøysundregistrene | Foretaks-, Rolle- og Reservasjonsregister-oppslag | Norge | Offentlig register |
| Anthropic PBC | AI-utkast (valgfritt) | USA (California) | SCC 2021/914 + zero-retention API |
| Sentry | Feilrapportering (IP-anonymisert) | EU (DE) eller US avhengig av plan | SCC ved konserninterne overføringer |
Vedlegg C — Behandlingsinstruks ved oppstart
Kunden instruerer Leverandøren om å behandle personopplysninger som beskrevet i punkt 3 og som konfigurert av Kunden i Tjenesten, herunder:
- Drift av CRM-kjernen (kontakter, leads, oppgaver, kommunikasjon).
- Telefoni og SMS via Telnyx, samtalelogg og eventuelt opptak når Kunden aktiverer.
- Booking og tilbud — offentlige bookingsider og digitale tilbud.
- Faktura og bokføring i samsvar med bokføringsloven.
- Integrasjoner med Tripletex, Fiken, PowerOffice Go, Mittanbud, Anbudsklart og Boligmappa etter Kundens egen aktivering.
- FDV og HMS — lagring og deling av dokumentasjon i Komplett-pakken.
- Backup, monitorering og support — som beskrevet i Vedlegg A.
Ytterligere eller endrede instrukser gis skriftlig til Leverandørens personvernombud.
Dette dokumentet er et utkast. Endelig versjon vedtas etter advokatgjennomgang og signeres digitalt mellom Partene.