Databehandleravtale

Databehandleravtale mellom Vordr og kunde

Sist oppdatert: 26. april 2026.

Utkast — under juridisk gjennomgang. Endelig versjon publiseres etter advokatkontroll. Kontakt oss på hei@vordr.no for spørsmål eller signert kopi.

1. Bakgrunn og formål

Denne databehandleravtalen («Avtalen») regulerer hvordan Michael Wilhelmsens Enkeltpersonforetak (org.nr. 928 528 914), som drifter Vordr («Databehandleren»), behandler personopplysninger på vegne av Kunden («Behandlingsansvarlig») i forbindelse med levering av Tjenesten Vordr.

Avtalen er inngått i henhold til personvernforordningen (GDPR) artikkel 28 og er en integrert del av Vilkårene for bruk av Vordr.

2. Definisjoner

Begrepene personopplysninger, behandlingsansvarlig, databehandler, behandling, registrert og brudd på personopplysningssikkerheten har samme betydning som i personvernforordningen (GDPR).

3. Type personopplysninger og kategorier av registrerte

Personopplysninger som behandles via Tjenesten omfatter:

  • IP-adresser fra besøkende på Kundens nettsted (midlertidig, under skann)
  • E-postadresser, navn og telefonnummer som Kunden registrerer for behandlingsansvarlig-feltet på erklæringer
  • Kundens egen påloggingsinformasjon (e-post, hashed passord)
  • Innhold fra Kundens nettsted som indekseres ved skann

Kategorier av registrerte: besøkende på Kundens nettsted, samt ansatte og kontaktpersoner hos Kunden.

4. Behandlingens art, formål og varighet

Databehandleren behandler personopplysninger kun for å levere Tjenesten, herunder:

  • Utføre månedlige og manuelle skann av Kundens nettsted
  • Generere rapporter og auto-genererte erklæringer
  • Administrere abonnement og kundekonto
  • Varsle Kunden om driftsmessige forhold ved Tjenesten

Behandlingen pågår så lenge avtalen mellom partene er aktiv. Ved opphør slettes personopplysninger innen 90 dager, med mindre videre lagring er pålagt etter norsk lov.

5. Instrukser fra behandlingsansvarlig

Databehandleren skal kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig. Disse vilkårene utgjør de grunnleggende instruksene. Ytterligere instrukser kan formidles skriftlig (inkludert via e-post).

6. Databehandlerens plikter

Databehandleren forplikter seg til å:

  • Sikre at personer med tilgang til personopplysninger er underlagt taushetsplikt
  • Iverksette tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger (jf. vedlegg A)
  • Bistå Behandlingsansvarlig ved henvendelser fra registrerte om innsyn, retting, sletting, dataportabilitet, og andre rettigheter etter GDPR kapittel III
  • Bistå Behandlingsansvarlig med å oppfylle plikter etter GDPR artikkel 32–36 (sikkerhet, varsling om brudd, vurdering av personvernkonsekvenser)
  • Varsle Behandlingsansvarlig uten ugrunnet opphold og senest innen 72 timer ved brudd på personopplysningssikkerheten
  • Etter Behandlingsansvarliges valg slette eller returnere alle personopplysninger ved opphør av Avtalen
  • Stille til rådighet all informasjon Behandlingsansvarlig trenger for å dokumentere etterlevelse av denne Avtalen

7. Underleverandører

Databehandleren benytter følgende underleverandører for å levere Tjenesten:

LeverandørFormålLandOverføringsgrunnlag
SupabaseDatabase, autentisering, lagringEU (Stockholm)GDPR-konform, EU-region
VercelHosting av Vordr-applikasjonenEUGDPR-konform, EU-region
Fly.ioHosting av scanner-arbeiderEU (Stockholm)GDPR-konform, EU-region
StripeBetalingsbehandlingUSAEU-kommisjonens standard kontraktsbestemmelser (SCC)
ResendTransaksjonelle e-posterEUGDPR-konform, EU-region
SentryFeilhåndtering og overvåkningEUGDPR-konform, EU-region

Endringer i underleverandørlisten kunngjøres på vordr.no minst 30 dager før de trer i kraft. Behandlingsansvarlig kan motsette seg endringen og si opp Avtalen før den nye underleverandøren tas i bruk.

8. Dataoverføring til tredjeland

Hovedbehandlingen skjer innenfor EU/EØS. Stripe er etablert i USA, og overføringen skjer på grunnlag av EU-kommisjonens standard kontraktsbestemmelser (SCC) modul 3 (databehandler til databehandler). Andre dataoverføringer utenfor EØS skjer ikke uten Behandlingsansvarliges skriftlige samtykke.

9. Revisjon og inspeksjon

Behandlingsansvarlig har rett til å gjennomføre revisjon av Databehandlerens etterlevelse av denne Avtalen, eventuelt via uavhengig tredjepart, etter rimelig forhåndsvarsel og normalt i arbeidstiden. Databehandleren vil bistå med dokumentasjon og informasjon i den grad det er nødvendig.

10. Opphør

Ved opphør av Avtalen skal Databehandleren etter Behandlingsansvarliges valg slette eller returnere alle personopplysninger som er behandlet på vegne av Behandlingsansvarlig, med mindre videre lagring er pålagt etter norsk lov.

11. Endringer

Endringer i Avtalen krever skriftlig avtale mellom partene. Endringer som følger av endringer i lovgivning eller praksis fra tilsynsmyndigheter kan tre i kraft uten samtykke etter 30 dagers varsel.

12. Lovvalg og verneting

Avtalen er underlagt norsk rett. Eventuelle tvister søkes løst i minnelighet. Hvis det ikke lykkes, er Oslo tingrett verneting.

Vedlegg A — Sikkerhetstiltak

Databehandleren iverksetter følgende tekniske og organisatoriske sikkerhetstiltak:

  • Kryptering av data i transitt (TLS 1.2+) og hvile (AES-256)
  • Tilgangskontroll basert på rolle (RBAC) i alle systemer
  • Multifaktorautentisering for administratortilgang til underleverandører
  • Daglig sikkerhetskopiering med 7 dagers oppbevaring
  • Logging av tilgang og endringer på personopplysninger
  • Rutiner for håndtering av sikkerhetshendelser og varsling
  • Regelmessig gjennomgang av tilganger og sletting av uvirksomme kontoer
  • Sårbarhetsovervåkning via avhengighetsskanning og feilhåndtering (Sentry)

Kontakt

Spørsmål om denne Avtalen, herunder ønske om signert kopi, kan sendes til hei@vordr.no.