Databehandleravtale
Denne databehandleravtalen («Avtalen») regulerer behandlingen av personopplysninger som Styrmann AS (under registrering) («Databehandler») utfører på vegne av kunden («Behandlingsansvarlig») ved bruk av tjenesten Habilit.
Basert på Datatilsynets standard databehandleravtale og GDPR art. 28. Sist oppdatert: april 2026.
1. Formål og omfang
Databehandler behandler personopplysninger utelukkende for å levere tjenesten Habilit til Behandlingsansvarlig, herunder:
- Habilitetssjekk: kryssjekk av evalueringskomiteens medlemmer mot tilbyderes registrerte roller i Brønnøysundregistrene
- Digital egenerklæring: innsamling og lagring av svar fra komitémedlemmer
- Rapportgenerering: dokumentasjon av sjekker og erklæringer
2. Kategorier av registrerte og personopplysninger
| Kategori | Personopplysninger | Kilde |
|---|---|---|
| Komitémedlemmer | Fornavn, etternavn, fødselsdato (valgfri) | Registrert av Behandlingsansvarlig |
| Rollehavere i tilbyderselskaper | Fornavn, etternavn, fødselsdato, rolletype | Brønnøysundregistrenes åpne API (offentlig informasjon) |
| Erklæringsgivere | Fornavn, etternavn, e-post, svar på egenerklæring, signaturnavn | Registrert av erklæringsgiver selv |
| Brukere av tjenesten | E-postadresse (innlogging) | Registrert av brukeren |
3. Databehandlers plikter
Databehandler skal:
- Kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, med mindre annet følger av lov.
- Sikre at personer som er autorisert til å behandle personopplysninger er underlagt taushetsplikt.
- Treffe alle tiltak som kreves etter GDPR art. 32 (sikkerhet ved behandling).
- Ikke benytte underdatabehandlere uten forhåndsgodkjenning fra Behandlingsansvarlig (se punkt 6).
- Bistå Behandlingsansvarlig med å oppfylle registrertes rettigheter etter GDPR kap. III.
- Bistå Behandlingsansvarlig med konsekvensutredninger og forhåndsdrøftelser (GDPR art. 35–36).
- Ved opphør av tjenesten, slette eller returnere alle personopplysninger etter Behandlingsansvarligs instruksjon.
- Stille til rådighet all informasjon som er nødvendig for å påvise overholdelse av GDPR art. 28.
4. Sikkerhetstiltak
Databehandler har implementert følgende tiltak:
- Kryptering i transitt: All kommunikasjon over TLS 1.2+
- Kryptering i hvile: Database kryptert med AES-256 (Supabase)
- Tilgangskontroll: Row Level Security (RLS) på alle tabeller — data isolert per organisasjon
- Autentisering: Magic link (e-post OTP) via Supabase Auth
- Lagringssted: EU — Frankfurt, Tyskland (AWS eu-central-1)
- Logging: Tilganger logges — ingen personopplysninger i logger
- Token-basert tilgang: Egenerklæringer bruker kryptografisk sikre engangslenker (256-bit)
5. Overføring til tredjeland
Personopplysninger lagres innenfor EU/EØS. Ingen overføring til tredjeland finner sted. Vercel (hosting) prosesserer forespørsler i EU (Frankfurt). Supabase (database) er lokalisert i EU (Frankfurt).
6. Underdatabehandlere
Følgende underdatabehandlere benyttes per april 2026:
| Leverandør | Formål | Lokasjon |
|---|---|---|
| Supabase Inc. | Database, autentisering, fillagring | EU (Frankfurt) |
| Vercel Inc. | Hosting og serverless-funksjoner | EU (Frankfurt) |
| Resend Inc. | E-postutsendelse (egenerklæringer, varsler) | EU |
Behandlingsansvarlig varsles skriftlig minst 30 dager før endringer i underdatabehandlere.
7. Varslingsplikt ved brudd
Databehandler skal uten ugrunnet opphold, og senest innen 24 timer, varsle Behandlingsansvarlig dersom det oppdages brudd på personopplysningssikkerheten. Varselet skal inneholde:
- Beskrivelse av bruddet og berørte kategorier
- Antall berørte registrerte (estimat)
- Sannsynlige konsekvenser
- Tiltak iverksatt eller foreslått
8. Sletting og retur
Ved opphør av avtalen skal Databehandler, etter Behandlingsansvarligs valg, slette eller returnere alle personopplysninger innen 30 dager. Databehandler skal bekrefte slettingen skriftlig.
9. Revisjon og innsyn
Behandlingsansvarlig har rett til å gjennomføre revisjoner for å verifisere at Databehandler oppfyller sine forpliktelser etter denne avtalen. Databehandler skal legge til rette for slik revisjon.
10. Varighet
Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Avtalens bestemmelser om sletting, revisjon og taushetsplikt gjelder også etter opphør.
11. Kontakt
For spørsmål om denne databehandleravtalen, kontakt personvern@habilit.no.
Denne databehandleravtalen er basert på Datatilsynets standard mal og GDPR artikkel 28. Ønsker du en signert versjon, kontakt oss på personvern@habilit.no.