Databehandleravtale

Mellom Demo Bedrift AS ("Behandlingsansvarlig") og Nettsmed AS ("Databehandler"), i henhold til personvernforordningen (GDPR) artikkel 28.

Avtalereferanse: NS-DBA-2026-DEMO | Tjeneste: demo-bedrift.no

Kort fortalt

Denne avtalen regulerer hvordan Nettsmed behandler personopplysninger på vegne av Demo Bedrift AS. Den dekker hvor data lagres (EØS), hvor lenge, hvem som har tilgang, hvordan sikkerhetsbrudd håndteres, og hvilke rettigheter sluttbrukerne har. Detaljene finnes i seksjonene under.

Behandlingsansvarlig

Demo Bedrift AS

Org.nr: 999 999 999
Adresse: Eksempelveien 1, 0001 OSLO
Kontaktperson: Ola Nordmann
E-post: ola@demo-bedrift.no

Databehandler

Nettsmed AS

Org.nr: 920 354 875
Adresse: Norge
Kontaktperson: Sindre Fjellestad
E-post: sindre@nettsmed.no

1. Avtalens formål

Denne databehandleravtalen ("Avtalen") regulerer Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige i forbindelse med utvikling, hosting, drift og vedlikehold av tjenesten demo-bedrift.no ("Tjenesten").

Avtalen oppfyller kravene i personvernforordningen (forordning 2016/679, "GDPR") artikkel 28, samt personopplysningsloven av 15. juni 2018 nr. 38.

2. Behandlingens art, formål og varighet

Art: Innsamling, lagring, strukturering, endring, gjenfinning, bruk, utlevering ved overføring, sammenstilling, begrensning, sletting og tilintetgjøring av personopplysninger.
Formål: Drift av nettside med kundeskjema og nyhetsbrev-påmelding.
Varighet: Avtalen løper så lenge Databehandleren behandler personopplysninger på vegne av Behandlingsansvarlig under hovedavtalen, og opphører i samsvar med pkt. 15.

3. Kategorier av registrerte og personopplysninger

Se Vedlegg A for fullstendig oversikt. Hovedkategorier:

Registrerte: Besøkende som fyller ut kontaktskjema eller melder seg på nyhetsbrev.
Personopplysninger: Navn, e-post, telefonnummer (valgfritt), meldingstekst, IP-adresse, tekniske loggdata.
Særlige kategorier: Ingen særlige kategorier behandles.

4. Den behandlingsansvarliges plikter

Behandlingsansvarlig skal:

Sikre at det foreligger gyldig behandlingsgrunnlag (typisk avtale, samtykke eller berettiget interesse) for hver behandling som instrueres
Sørge for at registrerte mottar nødvendig informasjon iht. GDPR art. 13 og 14
Gi Databehandleren dokumenterte instrukser om behandlingen
Føre protokoll over egne behandlingsaktiviteter iht. GDPR art. 30

5. Databehandlerens plikter

Databehandler skal:

Kun behandle personopplysninger på dokumentert instruks fra Behandlingsansvarlig, med mindre EU-/EØS-rett krever annet
Sikre at personer som behandler opplysningene har taushetsplikt
Iverksette de tekniske og organisatoriske tiltak som er angitt i Vedlegg C
Bistå Behandlingsansvarlig med å oppfylle plikter overfor registrerte (innsyn, retting, sletting, dataportabilitet, innsigelse)
Bistå Behandlingsansvarlig med konsekvensvurderinger (DPIA) og forhåndsdrøftinger med Datatilsynet
Stille til rådighet all informasjon som er nødvendig for å påvise at pliktene er oppfylt
Varsle Behandlingsansvarlig hvis en instruks etter Databehandlerens oppfatning er i strid med personvernregelverket

6. Konfidensialitet

Databehandler skal sikre at alle personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet, eller er underlagt en passende lovbestemt taushetsplikt. Plikten består også etter Avtalens opphør.

7. Informasjonssikkerhet

Databehandler skal etablere og opprettholde tekniske og organisatoriske sikkerhetstiltak som sikrer et sikkerhetsnivå tilpasset risikoen, jf. GDPR art. 32. Tiltakene er nærmere beskrevet i Vedlegg C, og inkluderer som minimum:

Pseudonymisering og kryptering der det er hensiktsmessig
Mulighet for å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet
Mulighet for å gjenopprette tilgjengeligheten ved hendelser (backup + restore-rutiner)
Rutiner for jevnlig testing, analysering og vurdering av sikkerhetstiltakene

8. Underdatabehandlere

Behandlingsansvarlig gir herved generell forhåndsgodkjenning for bruk av underdatabehandlere oppført i Vedlegg B.

Databehandler skal:

Varsle Behandlingsansvarlig skriftlig minst 30 dager før nye underdatabehandlere tas i bruk, eller eksisterende erstattes
Inngå skriftlig avtale med hver underdatabehandler som pålegger tilsvarende personvernforpliktelser som denne Avtalen
Forbli fullt ansvarlig overfor Behandlingsansvarlig for underdatabehandlernes oppfyllelse av sine forpliktelser

Behandlingsansvarlig har rett til å motsette seg en ny underdatabehandler. Hvis partene ikke kommer til enighet kan Behandlingsansvarlig si opp Avtalen med 60 dagers varsel.

9. Overføring til tredjeland

Personopplysninger behandles som standard innenfor EU/EØS. Se Vedlegg B for konkret regionalt oppsett.

Hvis det blir nødvendig å overføre personopplysninger til land utenfor EU/EØS, skal dette skje på lovlig grunnlag iht. GDPR kap. V — fortrinnsvis ved EU-kommisjonens standard kontraktvilkår (SCC), og kun etter skriftlig godkjenning fra Behandlingsansvarlig.

10. Bistand til registrerte

Databehandler skal, så langt det er mulig, bistå Behandlingsansvarlig med passende tekniske og organisatoriske tiltak ved oppfyllelse av plikter overfor registrerte, herunder:

Rett til innsyn (art. 15)
Rett til retting (art. 16)
Rett til sletting / "rett til å bli glemt" (art. 17)
Rett til begrensning (art. 18)
Rett til dataportabilitet (art. 20)
Rett til å protestere (art. 21)

Tjenesten leveres med selvbetjent avmelding fra nyhetsbrev. Forespørsler om innsyn og sletting håndteres manuelt av Nettsmed.

11. Avviksbehandling og varsling

Ved brudd på personopplysningssikkerheten skal Databehandler uten ugrunnet opphold, og senest innen 24 timer etter at avviket er oppdaget, varsle Behandlingsansvarlig skriftlig. Varselet skal som minimum inneholde:

Beskrivelse av arten av bruddet, kategorier og omtrentlig antall registrerte og opplysninger berørt
Sannsynlige konsekvenser av bruddet
Tiltak som er iverksatt eller foreslås iverksatt
Kontaktpunkt for ytterligere informasjon

Databehandler skal bistå Behandlingsansvarlig med å oppfylle varslingsplikten overfor Datatilsynet (72 timer, GDPR art. 33) og berørte registrerte (art. 34).

12. Revisjon og dokumentasjon

Databehandler skal stille til rådighet all informasjon som er nødvendig for å påvise at pliktene i denne Avtalen er oppfylt, og tillate og bidra til revisjoner — herunder inspeksjoner — utført av Behandlingsansvarlig eller en revisor utpekt av denne.

Behandlingsansvarlig skal gi minst 30 dagers skriftlig varsel før revisjon, med mindre forholdene krever raskere gjennomføring. Revisjoner skal gjennomføres slik at de i minst mulig grad forstyrrer Databehandlerens ordinære drift. Hver part bærer egne kostnader.

13. Sletting og tilbakelevering

Ved opphør av Avtalen skal Databehandler, etter Behandlingsansvarliges valg:

Tilbakelevere alle personopplysninger i et alminnelig anvendt elektronisk format, eller
Slette alle personopplysninger og eksisterende kopier

Sletting/tilbakelevering skal skje innen 30 dager etter Avtalens opphør. Backup-data slettes deretter automatisk innen ytterligere 90 dager iht. backup-rutiner. Databehandler skal skriftlig bekrefte fullført sletting.

Plikten gjelder ikke i den utstrekning EU-/EØS-rett krever fortsatt lagring.

14. Mislighold og ansvar

Hver part er ansvarlig overfor den andre for skade som påføres som følge av brudd på denne Avtalen eller personvernregelverket.

Partene er solidarisk ansvarlige overfor registrerte iht. GDPR art. 82, men partene seg imellom skal ansvar fordeles etter hver parts andel av skyld og forholdets karakter.

Databehandlerens totale ansvar etter denne Avtalen er begrenset til samlet vederlag betalt under hovedavtalen de siste 12 månedene, med mindre skaden skyldes forsett eller grov uaktsomhet.

15. Varighet og opphør

Avtalen trer i kraft ved signering og løper så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig under hovedavtalen.

Hver part kan si opp Avtalen med 60 dagers skriftlig varsel. Vesentlig mislighold gir rett til umiddelbar heving.

Opphør av Avtalen medfører plikt til sletting/tilbakelevering iht. pkt. 13. Bestemmelser om konfidensialitet (pkt. 6), ansvar (pkt. 14) og lovvalg (pkt. 16) består etter opphør.

16. Lovvalg og verneting

Avtalen er underlagt norsk rett. Tvister som ikke kan løses i minnelighet skal avgjøres ved alminnelig domstolsbehandling, med Hordaland tingrett som verneting.

Vedlegg A — Behandlingsoversikt

Felt	Beskrivelse
Tjenestens navn	demo-bedrift.no
Formål med behandlingen	Drift av nettside med kundeskjema og nyhetsbrev-påmelding.
Behandlingsaktiviteter	Innsending av kontaktskjema, lagring i WordPress-database, e-postvarsel til kundeansvarlig, nyhetsbrev-utsendelse.
Kategorier av registrerte	Besøkende som fyller ut kontaktskjema eller melder seg på nyhetsbrev.
Kategorier av personopplysninger	Navn, e-post, telefonnummer (valgfritt), meldingstekst, IP-adresse, tekniske loggdata.
Særlige kategorier (art. 9)	Ingen særlige kategorier behandles.
Lagringstid	Skjema-innsendinger: 24 mnd. Nyhetsbrev-abonnement: så lenge bruker er aktiv abonnent. Loggdata: 90 dager. Backup: 14 dager rullerende.

Vedlegg B — Underdatabehandlere

Leverandør	Tjeneste	Behandling	Lokasjon	Overføringsgrunnlag
Hetzner Online GmbH	Hosting (VPS)	Server, database, fillagring	Falkenstein/Helsinki, EU/EØS	Innenfor EØS
Cloudflare Inc.	CDN, brannmur, DDoS-beskyttelse	Proxy av all HTTP-trafikk, logging av IP og request-metadata	EU-region	Standard kontraktvilkår + EU-region
Mailgun Technologies (EU)	Transaksjonell e-post	Utsendelse av kontaktskjema-varsel og nyhetsbrev	Frankfurt, EØS	Innenfor EØS
Nettsmed AS	Drift og vedlikehold	Tilgang til server for sikkerhetsoppdateringer, backup og support. All tilgang logges.	Norge	Innenfor EØS / hoveddatabehandler

Vedlegg C — Tekniske og organisatoriske sikkerhetstiltak

Tilgangskontroll

Tofaktorautentisering (2FA) på alle administrative kontoer
Tilgang etter "least privilege"-prinsippet — utviklere har read-only på produksjonsdatabase som standard
Personlige kontoer; ingen delte påloggingsinformasjon
Tilgangslogg vedlikeholdes for alle administrative handlinger

Kryptering

I transitt: TLS 1.2+ på all kommunikasjon mellom klient og server, og mellom interne tjenester
I ro: AES-256 kryptering av database og fil-lagring
Passord lagres som bcrypt-hash med salt

Backup og gjenoppretting

Automatisk daglig backup av database, 30 dagers rullerende retensjon
Punkt-i-tid-gjenoppretting (PITR) for database, opptil 7 dager bakover
Årlig test av gjenopprettingsprosedyre

Overvåking og logging

Sentry for applikasjonsfeil med varsling 24/7
Uptime-monitor med varsling ved nedetid
Tilgangs- og endringslogg for administrative handlinger, 90 dagers retensjon

Utviklingsrutiner

All kode versjonskontrolleres i Git, kodegjennomgang før prod-release
Avhengigheter overvåkes for kjente sårbarheter (Dependabot)
Adskilte miljøer for utvikling, staging og produksjon
Ingen produksjonsdata i utviklingsmiljø

Organisatoriske tiltak

Skriftlig taushetserklæring for alle med tilgang til personopplysninger
Insident-håndteringsplan med definerte roller og varslingsfrister
Årlig gjennomgang av sikkerhetstiltak

Signering

Avtalen signeres av begge parter. Elektronisk signatur (e-post-bekreftelse, BankID via Signicat, eller fysisk underskrift) er likeverdig.

For Demo Bedrift AS · Navn, tittel, dato

For Nettsmed AS · Sindre Fjellestad, daglig leder, dato

Klar til å signere?

Skriv inn din e-post (må matche kontaktpersonen) — vi sender en signaturlenke som er gyldig i 72 timer.

Spørsmål om avtalen?

Vi går gjerne gjennom punktene sammen før signering.

Ta kontakt med Sindre