Hopp til hovedinnhold
Juridisk

Databehandleravtale (DPA)

Sist oppdatert: Februar 2026

1. Bakgrunn og formål

Denne databehandleravtalen regulerer behandlingen av personopplysninger som Nord Drift (Black Forge AS, org.nr. 933 895 313) utfører på vegne av kunden (behandlingsansvarlig) i forbindelse med levering av våre tjenester.

Avtalen er inngått i henhold til personopplysningsloven og EUs personvernforordning (GDPR) artikkel 28.

2. Definisjoner

  • Behandlingsansvarlig: Kunden som benytter Nord Drift sine tjenester
  • Databehandler: Black Forge AS (Nord Drift)
  • Personopplysninger: Informasjon om identifiserbare fysiske personer som behandles gjennom tjenesten
  • Behandling: Enhver operasjon som utføres med personopplysninger
  • GDPR: EUs personvernforordning (General Data Protection Regulation)

3. Behandlingens art og formål

Art:

  • Mottak og lagring av kundeinformasjon
  • Sending av SMS-påminnelser til kunder/pasienter
  • Sending av e-post påminnelser
  • Behandling av inngående SMS- og e-post svar
  • Loggføring av kommunikasjon

Formål:

Behandlingen skjer for å levere Nord Drift sin tjeneste - automatiske påminnelser og oppfølging av avtaler for å redusere no-show.

4. Kategorier av registrerte og personopplysninger

Kategorier av registrerte:

  • Kundens kunder/pasienter/klienter
  • Kundens ansatte (kontaktpersoner)

Kategorier av personopplysninger:

  • Navn
  • Telefonnummer
  • E-postadresse
  • Avtaleinformasjon (dato, tid, type tjeneste)
  • Kommunikasjonslogger (sendte meldinger, mottatte svar)

Sensitive personopplysninger behandles ikke med mindre dette er eksplisitt avtalt og dokumentert.

5. Databehandlers plikter

Databehandler forplikter seg til å:

  • Kun behandle personopplysninger etter dokumenterte instruksjoner fra behandlingsansvarlig
  • Sikre at personer som er autorisert til å behandle personopplysninger har forpliktet seg til taushetsplikt
  • Iverksette alle tiltak som kreves i henhold til GDPR artikkel 32 (tekniske og organisatoriske sikkerhetstiltak)
  • Respektere vilkårene for bruk av en underdatabehandler
  • Bistå behandlingsansvarlig med å oppfylle plikten til å svare på forespørsler om utøvelse av den registrertes rettigheter
  • Bistå behandlingsansvarlig med å overholde forpliktelsene i GDPR artikkel 32-36
  • Etter behandlingsansvarlig sitt valg, slette eller returnere alle personopplysninger når oppdraget er utført
  • Gjøre tilgjengelig for behandlingsansvarlig all informasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen overholdes
  • Umiddelbart informere behandlingsansvarlig hvis en instruks etter behandlers mening bryter med GDPR eller annen personvernlovgivning

6. Sikkerhetstiltak

Databehandler har implementert følgende sikkerhetstiltak:

  • Kryptering: All data krypteres i transitt (TLS 1.3) og i hvile (AES-256)
  • Tilgangskontroll: Kun autorisert personell har tilgang til personopplysninger
  • Logging: All behandling logges for revisjon og sporbarhet
  • Backups: Daglige sikkerhetskopier med 30 dagers oppbevaring
  • Fysisk sikkerhet: Data lagres hos godkjente underleverandører med ISO 27001 sertifisering
  • Personellsikkerhet: Alle ansatte har signert taushetserklæringer og gjennomgått personvernopplæring

7. Underdatabehandlere

Databehandler benytter følgende underdatabehandlere for å levere tjenesten. Behandlingsansvarlig samtykker herved til bruk av disse:

  • Railway Corp: Databasehosting (USA, GDPR-kompatibel via Standard Contractual Clauses)
  • Twilio Inc: SMS-tjenester (USA, GDPR-kompatibel via Standard Contractual Clauses)
  • Zoho Corporation: E-posttjenester (India/EU, GDPR-kompatibel)
  • Cloudflare Inc: Infrastruktur og CDN (USA, GDPR-kompatibel)

Ved endring eller tilføyelse av underdatabehandler vil behandlingsansvarlig varsles minimum 30 dager i forveien. Behandlingsansvarlig kan da inngir innsigelse dersom endringen ikke er akseptabel.

8. Personvernbrudd

Ved personvernbrudd (datalekkasje, uautorisert tilgang, etc.) forplikter databehandler seg til å varsle behandlingsansvarlig uten unødig opphold, og senest innen 24 timer etter at bruddet ble oppdaget.

Varslet skal inneholde:

  • Beskrivelse av personvernbruddets art
  • Kategorier og omtrentlig antall registrerte som er berørt
  • Kontaktinformasjon til databehandlers kontaktpunkt
  • Beskrivelse av sannsynlige konsekvenser av bruddet
  • Beskrivelse av tiltak som er iverksatt eller foreslått for å håndtere bruddet

9. Sletting og retur av data

Ved oppsigelse av avtalen forplikter databehandler seg til å:

  • Etter behandlingsansvarligs valg, returnere eller slette alle personopplysninger
  • Slette eksisterende kopier med mindre oppbevaring er påkrevd av EU- eller norsk rett
  • Bekrefte fullført sletting/retur skriftlig innen 30 dager

Databehandler kan oppbevare personopplysninger i backup-systemer i inntil 30 dager etter sletting, hvoretter de automatisk overskrives.

10. Revisjon og dokumentasjon

Behandlingsansvarlig har rett til å gjennomføre revisjoner, inkludert inspeksjoner, av databehandlers behandling av personopplysninger. Slike revisjoner skal varsles minimum 14 dager i forveien og gjennomføres i ordinær arbeidstid.

Databehandler skal etter forespørsel gjøre tilgjengelig all nødvendig dokumentasjon for å demonstrere overholdelse av forpliktelsene i denne avtalen.

11. Varighet og oppsigelse

Denne databehandleravtalen gjelder så lenge hovedavtalen (tjenestevilkårene) er i kraft. Ved oppsigelse av hovedavtalen opphører også databehandleravtalen.

Ved brudd på denne avtalen har behandlingsansvarlig rett til å si opp avtalen med umiddelbar virkning.

12. Ansvar og erstatning

Partenes ansvar for brudd på personvernlovgivningen følger reglene i GDPR. Databehandler er ansvarlig for skade forårsaket av behandling som ikke er i samsvar med GDPR eller som er i strid med behandlingsansvarligs lovlige instruksjoner.

Databehandler er ikke ansvarlig dersom det kan påvises at databehandler på ingen måte kan klandres for hendelsen som forårsaket skaden.

13. Kontakt og databehandleransvarlig

Databehandlers kontaktinformasjon:

Black Forge AS
Org.nr: 933 895 313
E-post: hei@norddrift.no

Ved spørsmål om denne databehandleravtalen eller behandling av personopplysninger, kontakt oss på e-postadressen ovenfor.