Veiv← Tilbake

Databehandleravtale (DPA)

Mellom Kunde (Behandlingsansvarlig) og Veiv (Databehandler)

Sist oppdatert: 26. april 2026

Denne databehandleravtalen ("Avtalen") inngås mellom Kunden ("Behandlingsansvarlig") og Veiv ("Databehandler"), og regulerer Databehandlerens behandling av personopplysninger på vegne av Behandlingsansvarlig i tjenesten Veiv.

Avtalen er en del av Hovedavtalen (Vilkår for bruk av Veiv) og anses akseptert ved registrering av abonnement.

1. Bakgrunn

Behandlingsansvarlig (Veiv-kunden) bruker Veiv til å samle, organisere og kontakte potensielle kunder (leads). I forbindelse med dette behandler Veiv (Databehandler) personopplysninger på vegne av Behandlingsansvarlig.

Denne avtalen oppfyller kravene i GDPR art. 28.

2. Hva avtalen gjelder

Behandlingens artLagring, organisering, analyse og berikelse av kontaktinformasjon i CRM-lignende verktøy
FormålÅ gi Behandlingsansvarlig et verktøy for B2B-salg og leadhåndtering
Type personopplysningerNavn, rolle, e-postadresse, telefonnummer, bedriftstilknytning, notater laget av Behandlingsansvarlig
Kategorier av registrerteKontaktpersoner i bedrifter (B2B-leads), ansatte hos Behandlingsansvarlig som har tilgang
VarighetSå lenge Behandlingsansvarlig har et aktivt abonnement, samt rimelig tid etter oppsigelse for eksport og lovpålagt oppbevaring

3. Behandlingsansvarliges plikter

Behandlingsansvarlig:

  • Har det overordnede ansvaret for at behandlingen er lovlig.
  • Skal ha et gyldig rettslig grunnlag for å behandle personopplysninger om de leads som lagres.
  • Skal ha en personvernerklæring tilgjengelig for sine egne registrerte (kunder, leads, ansatte).
  • Skal håndtere henvendelser fra registrerte (innsyn, sletting, etc.) og varsle Databehandler hvis bistand er nødvendig.
  • Skal ikke laste opp eller behandle særlige kategorier av personopplysninger (helse, religion, politikk osv.) eller personnummer i Veiv. Veiv er ikke konstruert for slike data.

4. Databehandlerens plikter

Databehandler:

  • Behandler kun personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig. Bruken av Veiv-tjenesten utgjør slike instrukser.
  • Sørger for at alle som behandler personopplysninger har taushetsplikt.
  • Iverksetter tekniske og organisatoriske tiltak for å sikre dataene (se vedlegg A).
  • Bistår Behandlingsansvarlig med å oppfylle plikter overfor registrerte (innsyn, sletting, dataportabilitet).
  • Varsler Behandlingsansvarlig uten unødvendig opphold ved sikkerhetsbrudd som omfatter personopplysninger.
  • Sletter eller returnerer alle personopplysninger ved avtalens opphør, etter Behandlingsansvarliges valg, med mindre lovgivning krever lagring.
  • Stiller informasjon til disposisjon som er nødvendig for å vise at forpliktelsene i denne avtalen overholdes.

5. Underleverandører

Behandlingsansvarlig gir Databehandler generelt forhåndssamtykke til å bruke underleverandører (underdatabehandlere). Oppdatert liste finnes i underleverandører på veiv.app.

Databehandler skal:

  • Sørge for at underleverandører har minst tilsvarende plikter som beskrevet i denne avtalen.
  • Varsle Behandlingsansvarlig minst 30 dager før nye underleverandører tas i bruk eller erstattes. Behandlingsansvarlig har rett til å protestere innen 30 dager. Hvis protest er saklig begrunnet, har Behandlingsansvarlig rett til å si opp Hovedavtalen uten kostnad.

6. Overføring til tredjeland

Enkelte underleverandører er lokalisert utenfor EU/EØS (typisk USA). I slike tilfeller bruker vi Standard Contractual Clauses (SCC) godkjent av EU-kommisjonen som overføringsgrunnlag.

Databehandler kan på forespørsel dokumentere overføringsgrunnlag og vurdering (Transfer Impact Assessment, TIA).

7. Sikkerhet

Databehandler iverksetter tiltak som er beskrevet i Vedlegg A — tekniske og organisatoriske sikkerhetstiltak.

8. Sikkerhetsbrudd

Ved brudd på personopplysningssikkerheten varsler Databehandler Behandlingsansvarlig uten ugrunnet opphold, og senest innen 48 timer etter at bruddet er oppdaget. Varselet skal inneholde:

  • Beskrivelse av bruddets art og omfang
  • Hvilke kategorier registrerte og opplysninger som er berørt (anslått antall)
  • Sannsynlige konsekvenser
  • Tiltak som er iverksatt eller foreslått

9. Bistand til Behandlingsansvarlig

Databehandler bistår Behandlingsansvarlig vederlagsfritt med:

  • Å besvare henvendelser fra registrerte (innsyn, sletting, dataportabilitet)
  • Vurderinger av personvernkonsekvenser (DPIA) der det er nødvendig
  • Forhåndsdrøftelser med Datatilsynet

10. Revisjonsrett

Behandlingsansvarlig har rett til å revidere Databehandlerens etterlevelse av denne avtalen, gjennom:

  • Skriftlig forespørsel om dokumentasjon
  • Anmodning om kopi av sikkerhetspolicyer og rutiner
  • Tredjeparts revisjon (med rimelig varsel og under taushetsplikt)

Dette skjer maksimalt én gang per år, med mindre det er konkret mistanke om brudd.

11. Avtalens opphør

Ved opphør av Hovedavtalen:

  • Behandlingsansvarlig kan eksportere alle data i 30 dager.
  • Etter 30 dager slettes alle personopplysninger.
  • Anonymisert/aggregert data kan beholdes for produktforbedring.
  • Lovpålagt oppbevaring (regnskap, sikkerhetslogg) gjelder uavhengig.

12. Lovvalg

Norsk rett. Tvister løses i Oslo tingrett, som angitt i Hovedavtalen.

Vedlegg A — Tekniske og organisatoriske tiltak

Tilgangskontroll

  • All tilgang krever brukerkonto med passord.
  • Row-Level Security (RLS) i database sikrer at én organisasjons data aldri er tilgjengelig for en annen.
  • Adminbrukere hos Databehandler logges separat.

Kryptering

  • All datatrafikk over offentlig nett: TLS 1.2+.
  • Data i ro: kryptert (Supabase encryption-at-rest, AES-256).
  • Passord lagres aldri i klartekst (bcrypt/argon2 via Supabase Auth).

Logging

  • Alle endringer i kjernedata logges i audit_log med tidsstempel, aktør og handling.
  • Sikkerhetshendelser, innloggingsforsøk og adminhandlinger logges separat.
  • Logger oppbevares i 90 dager.

Datalagring

  • Primær database: Supabase, region eu-west-1 (Irland).
  • Hosting: Vercel, primært EU-Frankfurt.
  • Filer (logoer osv.): Supabase Storage, samme region.

Drift og oppdatering

  • Tjenesten oppdateres regelmessig med sikkerhetsoppdateringer.
  • Avhengigheter overvåkes for kjente sårbarheter.
  • Backup tas automatisk daglig av databaseleverandør (Supabase), med 7 dagers retensjon.

Personalsikkerhet

  • Alle med tilgang til produksjonsmiljø har taushetsplikt.
  • Tilgangsrettigheter gjennomgås og oppdateres ved roller-/personellendringer.

Hendelseshåndtering

  • Sikkerhetsbrudd vurderes umiddelbart.
  • Behandlingsansvarlig varsles innen 48 timer.
  • Datatilsynet varsles innen 72 timer der det er påkrevd (GDPR art. 33).