Databehandleravtale
I henhold til GDPR art. 28 og personopplysningsloven
NorBuild
Nordic Build Studio AS
Tromsø, Norge
Avtaledato
09.06.2026
Versjon
1.0
Referanse
DBA-2026-__
1. Avtaleparter
Databehandler
Nordic Build Studio AS
Tromsø, Norge
post@norbuild.no
+47 951 72 669
Org.nr: Registreres ved oppstart
Behandlingsansvarlig (Kunden)
______________________
______________________
______________________
______________________
Org.nr: ______________________
Denne avtalen regulerer Nordic Build Studio AS' (heretter «Databehandler») behandling av personopplysninger på vegne av Kunden (heretter «Behandlingsansvarlig»), i henhold til personvernforordningen (GDPR) artikkel 28.
2. Formål og omfang for behandlingen
Databehandler behandler personopplysninger utelukkende for å levere avtalte nettsidetjenester til Behandlingsansvarlig. Behandlingen er begrenset til det som er nødvendig for dette formålet.
| Formål med behandlingen | Utvikling, drift og vedlikehold av nettsted for Behandlingsansvarlig |
| Type behandling | Mottak, lagring, overføring og sletting av personopplysninger |
| Kategorier av registrerte | Besøkende og kunder på Behandlingsansvarliges nettsted |
| Behandlingens varighet | Avtalens løpetid + 2 år etter avslutning for reklamasjonsformål |
3. Kategorier av personopplysninger
Databehandlingen kan omfatte følgende kategorier av personopplysninger, avhengig av nettstedets funksjoner:
- Navn og kontaktopplysninger (e-post, telefon, adresse)
- Meldingsinnhold fra kontaktskjema
- IP-adresse og tekniske loggdata (serverlogg)
- Informasjonskapsler og brukeratferd (kun ved samtykke)
Det behandles ikke særlige kategorier av personopplysninger (sensitive data) i henhold til GDPR artikkel 9, med mindre dette eksplisitt er avtalt og nødvendig for tjenestene.
4. Databehandlerens forpliktelser
Databehandler forplikter seg til å:
- Behandle personopplysninger utelukkende etter dokumentert instruks fra Behandlingsansvarlig
- Sikre at ansatte med tilgang til personopplysningene er underlagt taushetsplikt
- Iverksette egnede tekniske og organisatoriske sikkerhetstiltak (jf. art. 32)
- Bistå Behandlingsansvarlig ved utøvelse av de registrertes rettigheter
- Bistå Behandlingsansvarlig ved konsekvensvurderinger (DPIA) der dette er påkrevd
- Slette eller returnere alle personopplysninger ved avtalens opphør
- Stille til rådighet all informasjon som er nødvendig for å påvise etterlevelse
5. Tekniske og organisatoriske sikkerhetstiltak
| Kryptering i transitt | HTTPS/TLS 1.3 for all nettstedtrafikk |
| Kryptering i hvile | Kryptert lagring via Vercel og underleverandørers infrastruktur |
| Tilgangskontroll | Prinsipp om minst nødvendig tilgang; tofaktorautentisering på kritiske systemer |
| Logging og overvåkning | Serverlogger overvåkes for uautorisert tilgang |
| Sikkerhetskopiering | Automatiske daglige sikkerhetskopier via Vercel |
| Avviksbehandling | Datainnbrudd varsles Behandlingsansvarlig innen 72 timer |
6. Bruk av underbehandlere
Databehandler benytter følgende underbehandlere. Behandlingsansvarlig gir generell tillatelse til bruk av disse. Databehandler varsler Behandlingsansvarlig skriftlig ved endringer med minst 14 dagers varsel.
| Underbehandler | Formål | Land | Overføring |
|---|---|---|---|
| Vercel Inc. | Hosting og serverinfrastruktur | USA / EU | Standard Contractual Clauses |
| Resend | E-postutsendelse fra kontaktskjema | USA | Standard Contractual Clauses |
| Anthropic PBC | AI-chatbot (kun hvis aktivert) | USA | Standard Contractual Clauses |
7. Lagringstid og sletting
| Kontaktskjemadata | Slettes 24 måneder etter siste kontakt |
| Kundedata (faktura m.m.) | Lagres inntil 5 år av hensyn til bokføringsplikten (regnskapsloven § 13) |
| Serverlogg / IP | Slettes automatisk av Vercel etter 30 dager |
| Analysedata | Slettes ved avtalens opphør (kun ved samtykke) |
| Ved avtaleopphør | Alle personopplysninger slettes eller tilbakeleveres innen 30 dager |
8. Overføring til tredjeland
Overføring av personopplysninger til land utenfor EØS (USA) skjer utelukkende på grunnlag av EU-kommisjonens standardavtalevilkår (Standard Contractual Clauses, SCC) som angitt i tabellen over, i henhold til GDPR artikkel 46(2)(c).
9. Avvik og sikkerhetsbrudd
Databehandler varsler Behandlingsansvarlig uten ugrunnet opphold, og senest innen 72 timer, etter at et avvik (datainnbrudd) er oppdaget. Varselet skal inneholde en beskrivelse av bruddets art, berørte kategorier og omtrentlig antall registrerte, sannsynlige konsekvenser, og iverksatte tiltak.
10. Tilsyn og revisjon
Behandlingsansvarlig har rett til å gjennomføre, eller la en uavhengig tredjepart gjennomføre, revisjoner og inspeksjoner for å verifisere etterlevelse av denne avtalen. Revisjon varsles minst 14 dager i forveien og gjennomføres uten unødige forstyrrelser for driften.
11. Varighet og opphør
Avtalen gjelder fra signeringsdato og løper parallelt med tjenesteavtalen. Ved oppsigelse av tjenesteavtalen opphører denne databehandleravtalen automatisk. Databehandler sletter eller returnerer alle personopplysninger innen 30 dager etter avtalens opphør.
12. Lovvalg og verneting
Avtalen er underlagt norsk rett. Tvister løses ved Troms og Finnmark tingrett.
13. Underskrift
Begge parter bekrefter å ha lest og godtatt innholdet i denne databehandleravtalen.
Databehandler
Firma
Nordic Build Studio AS
Navn
Eirik Hart / Sander Utmo
Dato
Underskrift
Behandlingsansvarlig
Firma
Navn
Dato
Underskrift
Konfidensiell — Databehandleravtale v1.0 · Nordic Build Studio AS · norbuild.no/databehandleravtale