Databehandleravtale
Sist oppdatert: 15. juli 2026
Denne databehandleravtalen («Avtalen») inngås mellom håndverkerbedriften som oppretter konto i Tilbudt («Behandlingsansvarlig») og Tilbudt («Databehandler»), og er en del av vilkårene for bruk av tjenesten. Avtalen gjelder fra kontoen opprettes og oppfyller kravene i personvernforordningen (GDPR) artikkel 28.
1. Behandlingens art, formål og varighet
Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig for å levere tjenesten: mottak av kundeforespørsler, generering av prisestimater og kalkyler, utarbeidelse og utsending av tilbud og kontrakter, digital signering, varsling per e-post/SMS og arkivering av saksdokumenter. Behandlingen varer så lenge Behandlingsansvarlig har konto i tjenesten.
2. Kategorier av registrerte og opplysninger
- Registrerte: Behandlingsansvarliges kunder og kontaktpersoner (privatpersoner).
- Opplysningstyper: navn, telefonnummer, e-postadresse, adresse for oppdraget, beskrivelse av oppdraget og svar på spørsmål, bilder opplastet av kunden eller bedriften, tilbuds-, aksept- og signeringsdata, samt varslingslogg. Det skal ikke registreres særlige kategorier av personopplysninger (GDPR art. 9) i tjenesten.
3. Databehandlers plikter
- Behandler opplysningene kun etter dokumenterte instrukser fra Behandlingsansvarlig — bruk av tjenestens funksjoner regnes som slik instruks — og aldri til egne formål ut over anonymiserte referansetall som beskrevet i punkt 8.
- Sikrer at personer med tilgang er underlagt taushetsplikt.
- Gjennomfører egnede tekniske og organisatoriske sikkerhetstiltak (GDPR art. 32), jf. punkt 6.
- Bistår Behandlingsansvarlig med å svare på henvendelser fra registrerte (innsyn, retting, sletting m.m.) og med etterlevelse av art. 32–36.
- Varsler Behandlingsansvarlig uten ugrunnet opphold ved brudd på personopplysningssikkerheten, med informasjonen som trengs for eventuell melding til Datatilsynet.
- Sletter eller tilbakeleverer alle personopplysninger når avtalen opphører, med mindre lov krever videre lagring, jf. punkt 7.
- Stiller nødvendig informasjon til rådighet for å påvise etterlevelse av art. 28, og muliggjør revisjon. Forespørsler rettes til jonarasten@gmail.com.
4. Underdatabehandlere
Behandlingsansvarlig gir en generell godkjenning til bruk av underdatabehandlere. Ved bytte eller tillegg varsles Behandlingsansvarlig i tjenesten med rimelig frist til å komme med innsigelser. Gjeldende underdatabehandlere:
- Supabase (database, autentisering, fillagring — EU/Irland)
- Vercel (drift/hosting av applikasjonen)
- Anthropic (generering av prisestimat fra tekst- og bildeopplysninger — USA)
- Resend (e-postutsending, når aktivert)
- Twilio (SMS-utsending, når aktivert)
Underdatabehandlere er bundet av databehandleravtaler med tilsvarende forpliktelser som i denne Avtalen.
5. Overføring til tredjeland
Overføring til leverandører utenfor EØS (USA) skjer kun med gyldig overføringsgrunnlag etter GDPR kapittel V — EU–US Data Privacy Framework eller EUs standardkontraktsbestemmelser (SCC).
6. Sikkerhetstiltak
- Kryptert trafikk (TLS) og kryptering av data i hvile.
- Radnivåsikkerhet (RLS) som isolerer hver bedrifts data fra andre bedrifter.
- Tilgangsstyring med autentisering; offentlige lenker bruker unike, ikke-gjettbare nøkler.
- Logging av varslingsutsendelser og signeringshendelser.
7. Sletting
Behandlingsansvarlig kan når som helst slette enkeltsaker i tjenesten; da slettes også tilhørende filer (bilder og dokumenter). Ved avslutning av kontoen slettes alle personopplysninger som behandles på vegne av Behandlingsansvarlig, med mindre lov (f.eks. bokføringsloven) krever videre oppbevaring. Signerte kontrakter bør Behandlingsansvarlig selv laste ned og oppbevare i eget arkiv.
8. Anonymiserte referansetall
For å gjøre prisestimatene mer presise kan Databehandler bruke anonymiserte referansetall fra gjennomførte saker på tvers av bedriftene i tjenesten: jobbtype, anslått omfang, estimat- og tilbudsnivå, timetall og utfall. Referansetallene inneholder aldri personopplysninger, fritekst, bilder eller opplysninger som kan identifisere Behandlingsansvarlig eller dennes kunder, og tas kun med når grunnlaget spenner over flere bedrifter. Tilsvarende kan Behandlingsansvarliges egne saker inngå — kun i samme anonymiserte form — i referansegrunnlaget for andre bedrifter.
9. Ansvar og lovvalg
Partene er ansvarlige etter GDPR art. 82 og norsk personopplysningslov. Avtalen er underlagt norsk rett. Se også personvernerklæringen for en beskrivelse av behandlingen rettet mot de registrerte.