NorBuild
Databehandleravtale

Databehandleravtale

I henhold til GDPR art. 28 og personopplysningsloven

NorBuild

Nordic Build Studio AS

Tromsø, Norge

Avtaledato

09.06.2026

Versjon

1.0

Referanse

DBA-2026-__

1. Avtaleparter

Databehandler

Nordic Build Studio AS

Tromsø, Norge

post@norbuild.no

+47 951 72 669

Org.nr: Registreres ved oppstart

Behandlingsansvarlig (Kunden)

______________________

______________________

______________________

______________________

Org.nr: ______________________

Denne avtalen regulerer Nordic Build Studio AS' (heretter «Databehandler») behandling av personopplysninger på vegne av Kunden (heretter «Behandlingsansvarlig»), i henhold til personvernforordningen (GDPR) artikkel 28.

2. Formål og omfang for behandlingen

Databehandler behandler personopplysninger utelukkende for å levere avtalte nettsidetjenester til Behandlingsansvarlig. Behandlingen er begrenset til det som er nødvendig for dette formålet.

Formål med behandlingenUtvikling, drift og vedlikehold av nettsted for Behandlingsansvarlig
Type behandlingMottak, lagring, overføring og sletting av personopplysninger
Kategorier av registrerteBesøkende og kunder på Behandlingsansvarliges nettsted
Behandlingens varighetAvtalens løpetid + 2 år etter avslutning for reklamasjonsformål

3. Kategorier av personopplysninger

Databehandlingen kan omfatte følgende kategorier av personopplysninger, avhengig av nettstedets funksjoner:

  • Navn og kontaktopplysninger (e-post, telefon, adresse)
  • Meldingsinnhold fra kontaktskjema
  • IP-adresse og tekniske loggdata (serverlogg)
  • Informasjonskapsler og brukeratferd (kun ved samtykke)

Det behandles ikke særlige kategorier av personopplysninger (sensitive data) i henhold til GDPR artikkel 9, med mindre dette eksplisitt er avtalt og nødvendig for tjenestene.

4. Databehandlerens forpliktelser

Databehandler forplikter seg til å:

  • Behandle personopplysninger utelukkende etter dokumentert instruks fra Behandlingsansvarlig
  • Sikre at ansatte med tilgang til personopplysningene er underlagt taushetsplikt
  • Iverksette egnede tekniske og organisatoriske sikkerhetstiltak (jf. art. 32)
  • Bistå Behandlingsansvarlig ved utøvelse av de registrertes rettigheter
  • Bistå Behandlingsansvarlig ved konsekvensvurderinger (DPIA) der dette er påkrevd
  • Slette eller returnere alle personopplysninger ved avtalens opphør
  • Stille til rådighet all informasjon som er nødvendig for å påvise etterlevelse

5. Tekniske og organisatoriske sikkerhetstiltak

Kryptering i transittHTTPS/TLS 1.3 for all nettstedtrafikk
Kryptering i hvileKryptert lagring via Vercel og underleverandørers infrastruktur
TilgangskontrollPrinsipp om minst nødvendig tilgang; tofaktorautentisering på kritiske systemer
Logging og overvåkningServerlogger overvåkes for uautorisert tilgang
SikkerhetskopieringAutomatiske daglige sikkerhetskopier via Vercel
AvviksbehandlingDatainnbrudd varsles Behandlingsansvarlig innen 72 timer

6. Bruk av underbehandlere

Databehandler benytter følgende underbehandlere. Behandlingsansvarlig gir generell tillatelse til bruk av disse. Databehandler varsler Behandlingsansvarlig skriftlig ved endringer med minst 14 dagers varsel.

UnderbehandlerFormålLandOverføring
Vercel Inc.Hosting og serverinfrastrukturUSA / EUStandard Contractual Clauses
ResendE-postutsendelse fra kontaktskjemaUSAStandard Contractual Clauses
Anthropic PBCAI-chatbot (kun hvis aktivert)USAStandard Contractual Clauses

7. Lagringstid og sletting

KontaktskjemadataSlettes 24 måneder etter siste kontakt
Kundedata (faktura m.m.)Lagres inntil 5 år av hensyn til bokføringsplikten (regnskapsloven § 13)
Serverlogg / IPSlettes automatisk av Vercel etter 30 dager
AnalysedataSlettes ved avtalens opphør (kun ved samtykke)
Ved avtaleopphørAlle personopplysninger slettes eller tilbakeleveres innen 30 dager

8. Overføring til tredjeland

Overføring av personopplysninger til land utenfor EØS (USA) skjer utelukkende på grunnlag av EU-kommisjonens standardavtalevilkår (Standard Contractual Clauses, SCC) som angitt i tabellen over, i henhold til GDPR artikkel 46(2)(c).

9. Avvik og sikkerhetsbrudd

Databehandler varsler Behandlingsansvarlig uten ugrunnet opphold, og senest innen 72 timer, etter at et avvik (datainnbrudd) er oppdaget. Varselet skal inneholde en beskrivelse av bruddets art, berørte kategorier og omtrentlig antall registrerte, sannsynlige konsekvenser, og iverksatte tiltak.

10. Tilsyn og revisjon

Behandlingsansvarlig har rett til å gjennomføre, eller la en uavhengig tredjepart gjennomføre, revisjoner og inspeksjoner for å verifisere etterlevelse av denne avtalen. Revisjon varsles minst 14 dager i forveien og gjennomføres uten unødige forstyrrelser for driften.

11. Varighet og opphør

Avtalen gjelder fra signeringsdato og løper parallelt med tjenesteavtalen. Ved oppsigelse av tjenesteavtalen opphører denne databehandleravtalen automatisk. Databehandler sletter eller returnerer alle personopplysninger innen 30 dager etter avtalens opphør.

12. Lovvalg og verneting

Avtalen er underlagt norsk rett. Tvister løses ved Troms og Finnmark tingrett.

13. Underskrift

Begge parter bekrefter å ha lest og godtatt innholdet i denne databehandleravtalen.

Databehandler

Firma

Nordic Build Studio AS

Navn

Eirik Hart / Sander Utmo

Dato

Underskrift

Behandlingsansvarlig

Firma

Navn

Dato

Underskrift

Konfidensiell — Databehandleravtale v1.0 · Nordic Build Studio AS · norbuild.no/databehandleravtale