Databehandleravtale (DPA)
Sist oppdatert: 30. juni 2025 · I samsvar med GDPR artikkel 28
1. Parter og roller
Denne avtalen inngås mellom kunden (organisasjonen/foreningen/bedriften som bruker SendUt) som behandlingsansvarlig, og Avent Digital AS (org. levert via sendut.no) som databehandler. Databehandleren behandler personopplysninger på vegne av og etter instruks fra den behandlingsansvarlige.
2. Formål, varighet og art
Behandlingen gjelder drift av SendUt: lagring og administrasjon av kundens medlemsregister, samt utsending av nyhetsbrev (e-post) og SMS til kundens medlemmer. Behandlingen varer så lenge kundeforholdet består, og opphører ved avtalens slutt i henhold til punkt 8.
3. Kategorier av registrerte og personopplysninger
- Registrerte: kundens medlemmer og kontakter, samt kundens egne administratorer.
- Opplysninger: navn, e-postadresse, telefonnummer, adresse, egendefinerte felt kunden selv oppretter, samtykkestatus og leverings-/avmeldingsstatus.
Databehandleren behandler ikke særlige kategorier personopplysninger med mindre kunden selv legger dette inn i egendefinerte felt (frarådes).
4. Databehandlerens forpliktelser
- Behandler personopplysninger kun etter dokumentert instruks fra den behandlingsansvarlige (denne avtalen og bruk av tjenesten utgjør slik instruks).
- Sikrer at personer med tilgang har taushetsplikt.
- Gjennomfører egnede tekniske og organisatoriske sikkerhetstiltak (art. 32) – se punkt 6.
- Bistår den behandlingsansvarlige med å svare på de registrertes rettigheter (innsyn, retting, sletting, dataportabilitet).
- Bistår med sikkerhet, personvernkonsekvensvurderinger og forhåndsdrøftinger der det er relevant.
- Varsler den behandlingsansvarlige uten ugrunnet opphold ved brudd på personopplysningssikkerheten.
5. Underdatabehandlere
Den behandlingsansvarlige gir generell forhåndsgodkjenning til bruk av underdatabehandlere. Gjeldende liste er tilgjengelig i personvernerklæringen (bl.a. Supabase, Sveve, Resend, Stripe, Vercel), med angitt lokasjon og overføringsgrunnlag.
Rett til å protestere (GDPR art. 28 nr. 2): Databehandleren informerer den behandlingsansvarlige om planlagte endringer i bruk av underdatabehandlere med rimelig varsel. Den behandlingsansvarlige har rett til å protestere mot slike endringer. Ved berettiget innsigelse som ikke lar seg løse, kan den behandlingsansvarlige si opp avtalen for den berørte behandlingen.
Databehandleren pålegger enhver underdatabehandler tilsvarende forpliktelser som i denne avtalen, og forblir ansvarlig overfor den behandlingsansvarlige for underdatabehandlerens oppfyllelse.
6. Sikkerhet
- Data lagres kryptert i transitt (TLS) og på servere innenfor EU/EØS.
- Tilgangsstyring med rollebasert tilgang og «row-level security» slik at hver kunde kun ser egne data.
- Passord lagres hashet (bcrypt), aldri i klartekst.
- Løpende overvåking og logging av sikkerhetsrelevante hendelser.
7. Overføring til tredjeland
Lagring av personopplysninger skjer innenfor EU/EØS. Enkelte underdatabehandlere er etablert utenfor EØS; for disse foreligger gyldig overføringsgrunnlag (EUs standardkontraktsklausuler (SCC) eller EU-US Data Privacy Framework), som angitt i personvernerklæringen.
8. Sletting og tilbakelevering ved opphør
Ved avtalens opphør gjøres kundens data tilgjengelig for eksport (CSV) i 30 dager. Deretter slettes alle personopplysninger permanent, med unntak av opplysninger databehandleren er lovpålagt å oppbevare (f.eks. fakturaopplysninger etter bokføringsloven).
9. Revisjon
Databehandleren gjør tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen overholdes, og muliggjør og bidrar til revisjoner. Revisjoner avtales på forhånd og gjennomføres slik at de i minst mulig grad forstyrrer driften.
10. Kontakt
Spørsmål om denne avtalen eller personvern rettes til kontakt@sendut.no.