Tilbake til forsiden
Bruksvilkår·DPA·Personvern·Underleverandører

Databehandleravtale (DPA)

Utkast — må gjennomgås av advokat før bruk mot betalende kunder.

Mellom [SELSKAP] (org.nr. [ORGNR]), heretter "Databehandler", og [Kundens selskap] (org.nr. _________), heretter "Behandlingsansvarlig", inngås følgende avtale om behandling av personopplysninger.

Avtalen gjelder så lenge Behandlingsansvarlig bruker Docuflyt (heretter "Tjenesten"), inkludert tilknyttede API-er og integrasjoner.

Sist oppdatert: 2026-05-18.

1. Definisjoner

Begreper som "personopplysninger", "behandling", "databehandler", "behandlingsansvarlig", "registrert", "tredjeland", "særlige kategorier av personopplysninger" tolkes i samsvar med personvernforordningen (GDPR) artikkel 4 og personopplysningsloven §2.

"Tjenesten" betyr programvareplattformen Docuflyt som Databehandler leverer til Behandlingsansvarlig under hovedavtalen.

"Underleverandører" betyr tredjeparter som Databehandler benytter for å levere Tjenesten, jf. punkt 6.

2. Formål og varighet

Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig for det formål å levere Tjenesten i samsvar med hovedavtalen mellom partene. Behandlingen pågår så lenge Behandlingsansvarlig har et aktivt kundeforhold til Databehandler.

Etter avslutning slettes eller returneres personopplysninger i samsvar med punkt 11.

3. Kategorier av personopplysninger som behandles

KategoriEksempler
IdentifikasjonsdataNavn, e-postadresse, telefonnummer
Profesjonelle opplysningerStillingstittel, arbeidsgiver, signaturrolle
Tekniske dataIP-adresse, brukeragent, tidsstempler
Dokument-innholdPDF-er som Behandlingsansvarlig laster opp (kan inneholde personopplysninger)
Signatur-dataTegnet eller skrevet signatur (hashet), BankID-evidens (hvis aktivert)
Audit-trailLogger over hendelser knyttet til dokumenter og brukere

Særlige kategorier (GDPR art. 9): Databehandler behandler ikke særlige kategorier av personopplysninger som hovedregel, men kan motta dem hvis Behandlingsansvarlig laster opp dokumenter som inneholder slike. Behandlingsansvarlig er ansvarlig for å vurdere lovligheten av slik behandling.

4. Kategorier av registrerte

  • Behandlingsansvarligs egne ansatte og brukere av Tjenesten
  • Behandlingsansvarligs kunder, leverandører, motparter eller andre tredjeparter som signerer dokumenter eller mottar informasjon via Tjenesten

5. Databehandlers plikter

Databehandler skal:

  • Kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, herunder denne avtalen og hovedavtalen. Avvik fra dette krever rettslig forpliktelse i EU/EØS-rett, og Behandlingsansvarlig skal i så fall varsles før behandlingen, med mindre dette er forbudt etter samme rett.
  • Sikre at personer med tilgang til personopplysninger er underlagt taushetsplikt eller annen lovpålagt fortrolighetsplikt.
  • Iverksette tekniske og organisatoriske tiltak for å sikre tilstrekkelig sikkerhetsnivå, jf. GDPR art. 32 og vedlegg A til denne avtalen.
  • Bistå Behandlingsansvarlig med å oppfylle plikter under GDPR, herunder:
  • Bistand til å besvare henvendelser fra registrerte (art. 12-22)
  • Bistand til å oppfylle plikt om sikkerhet (art. 32)
  • Bistand til melding om brudd til Datatilsynet (art. 33)
  • Bistand til melding om brudd til registrerte (art. 34)
  • Bistand til DPIA og forhåndsdrøfting med Datatilsynet (art. 35-36)
  • Stille relevant informasjon til rådighet for å vise overholdelse av denne avtalen, herunder tillate revisjon, jf. punkt 8.
  • Varsle Behandlingsansvarlig uten ugrunnet opphold ved brudd på personopplysningssikkerheten, og senest innen 24 timer etter at Databehandler ble kjent med bruddet. Varsel sendes via [E-POST] eller annen kontaktperson oppgitt av Behandlingsansvarlig.
  • Ikke benytte personopplysninger til egne formål utover det som er nødvendig for å levere Tjenesten.

6. Underleverandører (sub-processors)

Behandlingsansvarlig gir Databehandler generell forhåndsgodkjenning til å benytte underleverandører til å bistå med levering av Tjenesten, forutsatt at:

  • Hver underleverandør er bundet av en skriftlig avtale med Databehandler som pålegger samme databeskyttelsesforpliktelser som denne DPA.
  • Databehandler oppdaterer oversikten over underleverandører (SUB-PROCESSORS.md eller [docuflyt.no/legal/sub-processors]) ved tillegg eller bytte.
  • Behandlingsansvarlig har rett til å motsette seg endring av underleverandør innen 30 dager fra varsling. Hvis det ikke kan oppnås en alternativ ordning, har Behandlingsansvarlig rett til å si opp hovedavtalen uten kostnad.

Gjeldende underleverandører på inngåelsesdatoen er listet i SUB-PROCESSORS.md.

7. Overføring av personopplysninger til tredjeland

Databehandler kan overføre personopplysninger til tredjeland (utenfor EU/EØS) kun ved bruk av lovlige overføringsmekanismer som:

  • Standardkontraktbestemmelser (SCC) godkjent av EU-kommisjonen
  • Adekvansbeslutning fra EU-kommisjonen
  • EU-US Data Privacy Framework (DPF) der gjeldende
  • Annen lovlig mekanisme under GDPR kap. V

Per dato for inngåelse av denne DPA: Databehandler lagrer personopplysninger innenfor EU/EØS via underleverandører i Tyskland (Neon Postgres, Frankfurt) og Danmark (Criipto, BankID). E-postutsending skjer via Resend, et amerikansk-eid selskap. Vercel og Neon er amerikansk-eide selskaper, og noen administrative funksjoner (hosting, logging, support) kan medføre overføring til USA — i så fall under SCC og DPF.

8. Revisjonsrett

Behandlingsansvarlig har rett til å verifisere at Databehandler overholder denne avtalen, gjennom:

  • Tilgang til Databehandlers SOC 2- eller ISO 27001-rapporter (når disse er tilgjengelige)
  • Tilgang til rapporter og dokumentasjon Databehandler mottar fra sine underleverandører (Vercel, Neon)
  • Revisjon etter forhåndsvarsel på minst 30 dager — i rimelig omfang og uten å forstyrre Databehandlers ordinære drift

Databehandler kan motsette seg revisjon kun hvis den vurderes å være urimelig hyppig eller ute av proporsjon. Behandlingsansvarlig dekker egne kostnader ved revisjon.

9. Tekniske og organisatoriske sikkerhetstiltak

Databehandler implementerer tiltak listet i Vedlegg A for å beskytte personopplysninger mot uautorisert tilgang, endring eller sletting.

Hovedpunkter inkluderer: - Kryptering av data under overføring (TLS 1.3) og i hvile (AES-256 på Neon + Vercel) - Tilgangskontroll med rolle-basert autorisasjon og multi-faktor-autentisering for administratorer - Workspace-isolasjon: Behandlingsansvarligs data er logisk separert fra andre kunders - Loggføring av alle dataaksesser i audit-trail - Backup minst daglig (Neon point-in-time-recovery) - SHA-256 dokument-hash for integritet på signerte avtaler

Full liste i SECURITY.md i kodebasen.

10. Brudd på personopplysningssikkerheten

Ved oppdagelse av brudd skal Databehandler varsle Behandlingsansvarlig uten ugrunnet opphold og senest innen 24 timer. Varslet skal inneholde:

  • Beskrivelse av bruddet, herunder kategorier og omtrentlig antall berørte registrerte
  • Kategorier og omtrentlig antall berørte personopplysningsposter
  • Sannsynlige konsekvenser av bruddet
  • Tiltak Databehandler har iverksatt eller foreslår for å håndtere bruddet
  • Kontaktperson for ytterligere informasjon

Behandlingsansvarlig er ansvarlig for eventuell varsling til Datatilsynet (innen 72 timer, jf. GDPR art. 33) og til berørte registrerte (jf. art. 34).

11. Sletting og retur av data ved avslutning

Ved opphør av hovedavtalen skal Databehandler etter Behandlingsansvarligs valg:

  • Slette alle personopplysninger som Databehandler behandler på vegne av Behandlingsansvarlig, inkludert kopier hos underleverandører, innen 30 dager etter avslutning, ELLER
  • Eksportere data i et strukturert, alminnelig brukt og maskinlesbart format (typisk JSON eller CSV) til Behandlingsansvarlig før sletting.

Unntak: Signerte dokumenter med juridisk bindende avtaler kan i visse tilfeller måtte bevares lengre av Databehandler dersom rettslige forpliktelser krever det (f.eks. bokføringsloven §13: 5 års oppbevaring av regnskapsbilag). Slik forlenget bevaring skal i så fall begrenses til strengt nødvendige opplysninger og slettes når den rettslige forpliktelsen opphører.

12. Ansvar og erstatning

Hver part er ansvarlig for sine egne brudd på GDPR og denne avtalen. Databehandler er ikke ansvarlig for skade som følge av Behandlingsansvarligs egne handlinger, inkludert opplasting av dokumenter som inneholder ulovlig behandlede personopplysninger.

Erstatningsansvar reguleres for øvrig av hovedavtalen mellom partene.

13. Endringer i denne avtalen

Vesentlige endringer av denne DPA krever skriftlig avtale mellom partene. Mindre justeringer, herunder bytte av underleverandører eller oppdatering av tekniske tiltak, kan gjøres ensidig av Databehandler etter varsel iht. punkt 6.

14. Anvendelig rett og verneting

Denne avtalen reguleres av norsk rett. Tvister skal forsøkes løst gjennom forhandlinger. Hvis enighet ikke oppnås, er Oslo tingrett verneting.

Signatur

For Databehandler ([SELSKAP]):

Navn: ______________________ Stilling: ______________________ Dato: ______________________ Signatur: ______________________

For Behandlingsansvarlig:

Navn: ______________________ Stilling: ______________________ Dato: ______________________ Signatur: ______________________

Vedlegg A — Tekniske og organisatoriske sikkerhetstiltak

Konfidensialitet - TLS 1.3 for all kommunikasjon mellom klient og server - AES-256-kryptering at rest hos underleverandører (Neon, Vercel Blob) - Workspace-isolering på databasenivå: hvert kundeforhold har egne tenant_id-merkede rader, og alle queries filtreres på denne - Privat blob-storage uten offentlige URL-er - Multi-faktor-autentisering for alle ansatte hos Databehandler med produksjonstilgang

Integritet - SHA-256 hash av signerte dokumenter, lagret separat i sertifikat-side - Audit-trail med tidsstempel, IP-adresse, brukeragent for hver hendelse - Versjonshåndtering av kode med signerte commits (Git)

Tilgjengelighet - Daglige automatiske backup-er hos Neon (point-in-time-recovery) - Geografisk redundans innenfor EU/EØS - Distribuert hosting via Vercel CDN

Motstandsdyktighet - Failover via Vercel/Neon sin infrastruktur - Disaster recovery testet ved hver større oppgradering

Testing og evaluering - Vitest-suite for kritiske flyt (autentisering, signering, SQL-injection) - Regelmessig sikkerhetsrevisjon av kodebasen - Avhengighetsoppdateringer via Dependabot

Personell og prosesser - Taushetspliktserklæring signert av alle ansatte - Tilgang basert på "least privilege"-prinsipp - Loggføring av administrativ tilgang til produksjonssystem - Personvern by design og by default ved nye funksjoner

Vedlegg B — Kontaktinformasjon

Databeskyttelsesombud / kontaktperson for personvern hos Databehandler: - Navn: [NAVN] - E-post: [E-POST] - Brudd-melding: [E-POST] - Generelle henvendelser: [E-POST] - Telefon: oppgis ved henvendelse

Behandlingsansvarligs kontaktperson: - Navn: ______________________ - E-post: ______________________ - Telefon: ______________________

Juridiske spørsmål: kontakt@sigill.no · Personvern: kontakt@sigill.no