Databehandleravtale (AVV)
Avtale om behandling av personopplysninger på oppdrag i henhold til art. 28 GDPR
Innledning
Denne avtalen presiserer partenes personvernrettslige plikter innenfor rammen av Kundens (heretter «behandlingsansvarlig») eksisterende bruk av tjenestene til 121 Apps GmbH (heretter «databehandler»). Den gjelder for alle aktiviteter der databehandleren behandler personopplysninger på oppdrag fra den behandlingsansvarlige.
§ 1 Gjenstand, art, omfang, formål & varighet
(1) Behandlingens gjenstand og formål følger av den underliggende hovedavtalen (bruk av den respektive tjenesten). Databehandleren behandler dataene utelukkende for å levere de avtalte tjenestene og etter dokumentert instruks fra den behandlingsansvarlige.
(2) Behandlingen omfatter, avhengig av tjenesten som benyttes, særlig innsamling, registrering, organisering, lagring, tilpasning, uthenting, konsultering, bruk, overføring, begrensning og sletting av personopplysninger.
(3) Behandlingens varighet tilsvarer hovedavtalens løpetid.
§ 2 Type opplysninger & kategorier av registrerte
(1) Type personopplysninger: avhengig av tjenesten som benyttes, f.eks. stamdata (navn, e-post, adresse), kontaktdata, bruks- og loggdata, samt innholdsdata lagt inn av den behandlingsansvarlige (f.eks. undersøkelsessvar, oppdrags- og tjenesteleverandørdata).
(2) Særlige kategorier av personopplysninger (art. 9 GDPR) er ikke gjenstand for oppdraget, med mindre den behandlingsansvarlige selv legger slike opplysninger inn i innholdsdataene; i så fall gjelder de skjerpede beskyttelseskravene tilsvarende.
(3) Kategorier av registrerte: f.eks. ansatte, kunder, interessenter, undersøkelsesdeltakere og tjenesteleverandører hos den behandlingsansvarlige.
§ 3 Databehandlerens plikter
(1) Databehandleren behandler data bare etter dokumentert instruks fra den behandlingsansvarlige, med mindre den er rettslig forpliktet til behandlingen. Instrukser gis i tekst- eller skriftlig form; muntlig gitte instrukser skal uten unødig opphold bekreftes i tekst- eller skriftlig form. Partene kan hver for seg utpeke personer med instruksjonsmyndighet.
(2) Den sikrer at personene som er autorisert til behandlingen, er forpliktet til fortrolighet eller er underlagt en passende lovbestemt taushetsplikt.
(3) Den iverksetter alle tekniske og organisatoriske tiltak som kreves etter art. 32 GDPR (§ 4 jf. vedlegg 1).
(4) Den bistår den behandlingsansvarlige, så langt det er mulig, med å oppfylle de registrertes rettigheter (art. 12–23 GDPR) samt pliktene etter art. 32–36 GDPR (datasikkerhet, melding av brudd, vurdering av personvernkonsekvenser).
(5) Databehandleren informerer den behandlingsansvarlige uten unødig opphold dersom en instruks etter dens oppfatning er i strid med personvernrettslige bestemmelser.
§ 4 Tekniske og organisatoriske tiltak (art. 32)
Databehandleren opprettholder egnede tekniske og organisatoriske tiltak i henhold til art. 32 GDPR, særlig for å sikre systemenes konfidensialitet, integritet, tilgjengelighet og robusthet, samt for regelmessig å kontrollere tiltakenes effektivitet. De konkrete tiltakene er beskrevet i vedlegg 1 og er en del av denne avtalen. Vesentlige endringer skal ikke underskride det avtalte beskyttelsesnivået.
§ 5 Underdatabehandlere
(1) Den behandlingsansvarlige gir en generell godkjenning til å engasjere underdatabehandlere. Databehandleren informerer den behandlingsansvarlige i god tid i tekstform om planlagte endringer (tilføyelse eller utskifting). Den behandlingsansvarlige kan fremsette innsigelse mot en endring av tungtveiende personvernrettslig grunn innen fire uker etter å ha blitt informert; fremsettes ingen innsigelse, anses endringen som godkjent.
(2) Databehandleren forplikter underdatabehandlere til et likeverdig personvernnivå (art. 28 (4) GDPR). De underdatabehandlerne som for tiden benyttes, er oppført i vedlegg 2.
§ 6 Brudd på personopplysningssikkerheten
Databehandleren melder brudd på personopplysningssikkerheten til den behandlingsansvarlige uten unødig opphold, dog senest innen 24 timer etter at bruddet er blitt kjent, og bistår den behandlingsansvarlige med melde- og varslingspliktene (art. 33, 34 GDPR), slik at den behandlingsansvarlige kan overholde sin egen 72-timersfrist.
§ 7 Sletting & tilbakelevering
Etter at behandlingen er avsluttet, sletter databehandleren dataene etter den behandlingsansvarliges valg, eller leverer dem tilbake og sletter eksisterende kopier, med mindre en lovbestemt oppbevaringsplikt foreligger. Den behandlingsansvarlige har frem til avtalens opphør mulighet til å eksportere sine data.
§ 8 Dokumentasjon & kontroller
(1) Databehandleren stiller til rådighet for den behandlingsansvarlige den informasjonen som er nødvendig for å påvise at pliktene etter art. 28 GDPR overholdes. Dokumentasjonen kan også skje gjennom aktuelle sertifikater, attestasjoner eller rapporter fra egnede uavhengige tredjeparter.
(2) Ytterligere kontroller (herunder stedlige inspeksjoner) gjennomføres med rimelig forhåndsvarsel på i regelen to uker, høyst én gang i året samt ved konkret mistanke, i vanlig kontortid og uten uforholdsmessig forstyrrelse av driften. Kostnadene ved en stedlig inspeksjon initiert av den behandlingsansvarlige bæres av den behandlingsansvarlige, med mindre inspeksjonen avdekker et vesentlig brudd fra databehandlerens side.
§ 9 Overføring til tredjeland
Behandlingen skjer som hovedregel utelukkende innenfor EU hhv. EØS. En overføring til et tredjeland skjer bare i samsvar med kravene i art. 44 flg. GDPR. Eneste nåværende unntak er betalingsavviklingen via Stripe, der en overføring til USA ikke fullstendig kan utelukkes, og som er basert på EUs standardkontraktsklausuler (art. 46 GDPR). Utover dette finner ingen overføring til tredjeland sted.
§ 10 Ansvar & avsluttende bestemmelser
(1) For ansvar gjelder art. 82 GDPR. I forholdet mellom partene gjelder i tillegg ansvarsbestemmelsene i hovedavtalen.
(2) Ved motstrid mellom denne databehandleravtalen og hovedavtalen går bestemmelsene i denne databehandleravtalen foran i personvernrettslige spørsmål.
(3) Tysk rett gjelder. Eksklusivt verneting er, i den grad loven tillater det, München.
(4) Endringer og tillegg til denne avtalen krever tekstform. Skulle en bestemmelse være ugyldig, forblir avtalen for øvrig gyldig.
(5) Denne databehandleravtalen blir sammen med hovedavtalen en del av avtaleforholdet. Den inngås elektronisk ved at den behandlingsansvarlige samtykker til den ved inngåelse av et betalingspliktig abonnement — som del av bestillings- og betalingsprosessen via Stripe hhv. gjennom bekreftelse i sin kundekonto. Egenhendig underskrift kreves ikke i henhold til art. 28 (9) GDPR; elektronisk form er tilstrekkelig.
Vedlegg 1 — Tekniske og organisatoriske tiltak (art. 32 GDPR)
Databehandleren benytter følgende tiltak. Oversikten skal før bruk avstemmes mot den faktisk gjennomførte praksisen.
1. Konfidensialitet
- Fysisk adgangskontroll: drift i datasentrene til Alfahosting GmbH (Halle/Saale) og Hetzner Online GmbH (Gunzenhausen) med sikret fysisk adgangskontroll (bl.a. adgangssikring, videoovervåking).
- Systemtilgangskontroll: individuelle brukerkontoer, sikre passord, flerfaktorautentisering for administrativ tilgang, automatiske sesjonslåser.
- Datatilgangskontroll: rollebasert tilgangskonsept etter prinsippet om minste privilegium, logging av administrativ tilgang.
- Skillekontroll: logisk atskillelse av data fra forskjellige behandlingsansvarlige (mandantseparasjon); atskillelse av produksjons-, test- og utviklingsmiljøer.
- Kryptering: TLS-kryptering av dataoverføringen; kryptering av sensitive data i hviletilstand samt kryptert lagring av tilgangs- og tokendata.
2. Integritet
- Inndatakontroll: logging av opprettelse, endring og sletting; sporbarhet gjennom revisjonslogger (audit-logger).
- Overføringskontroll: overføring utelukkende via krypterte forbindelser.
3. Tilgjengelighet og robusthet
- regelmessige, krypterte sikkerhetskopier og en prosedyre for gjenoppretting av tilgjengeligheten etter en hendelse;
- systemovervåking, beskyttelse mot overbelastning og angrep (bl.a. brannmurer, DDoS-beskyttelse), raske sikkerhetsoppdateringer.
4. Prosedyrer for regelmessig kontroll, vurdering og evaluering
- regelmessig kontroll av tiltakenes effektivitet; personvern- og sikkerhetsgjennomganger; oppdragskontroll overfor underdatabehandlere;
- innebygd personvern og personvernvennlige standardinnstillinger (art. 25 GDPR).
Vedlegg 2 — Underdatabehandlere
På tidspunktet for denne avtalen benyttes følgende underdatabehandlere:
- Alfahosting GmbH, Halle (Saale), Tyskland — hosting / datasenter (EU).
- Hetzner Online GmbH, Gunzenhausen, Tyskland — hosting / datasenter (EU).
- Stripe Payments Europe Ltd., Dublin, Irland — betalingsavvikling; en overføring til USA er ikke utelukket og er basert på EUs standardkontraktsklausuler.
- Sendinblue GmbH (Brevo), Köln, Tyskland — utsendelse av e-poster og varsler (EU).
Sist oppdatert: 6. juli 2026
