Hopp til hovedinnhold
Utfordre
← Personvernerklæring

Databehandleravtale (DPA)

Sist oppdatert: 26. mai 2026 · Versjon 1.0 · Basert på EU-Kommisjonens standardmal

For virksomheter og offentlig sektor

Denne avtalen regulerer Utfordres behandling av personopplysninger på vegne av virksomheten (behandlingsansvarlig). Den trer i kraft når virksomheten tar tjenesten i bruk, og er bindende for begge parter. Behov for signert eksemplar? Be om PDF på offentlig@utfordre.no.

1. Parter

Behandlingsansvarlig («Kunden»): den virksomheten som registrerer en konto eller organisasjon i Utfordre og bruker tjenesten til å samle inn personopplysninger.

Databehandler: Utfordre AS (under stiftelse), org.nr. tildeles ved etablering, Norge. Kontakt: personvern@utfordre.no.

2. Formål og varighet

Databehandler behandler personopplysninger utelukkende for å levere Utfordre-tjenesten — spørreundersøkelser, live-konkurranser, rapporter, varsler og tilhørende funksjonalitet. Avtalen gjelder så lenge Kunden bruker tjenesten, og opphører ved opphør av kundeforholdet eller ved skriftlig oppsigelse.

3. Kategorier av registrerte og opplysninger

  • Registrerte: Kundens ansatte/brukere, respondenter på undersøkelser (innbyggere, ansatte, elever, kunder).
  • Identifikasjonsdata: e-post, navn (valgfritt), organisasjonstilknytning, telefon (valgfritt).
  • Innholdsdata: svar på undersøkelser, fritekst (om aktivert), quiz- og Q&A-bidrag.
  • Tekniske data: IP (trunkert), sesjonsdata, hendelseslogg.
  • Særlige kategorier (art. 9): behandles ikke med mindre Kunden aktivt aktiverer dette og selv har gyldig grunnlag.

4. Kundens instrukser og databehandlers plikter

Databehandler behandler personopplysninger kun etter dokumenterte instrukser fra Kunden, slik de er nedfelt i denne avtalen, i Kundens konfigurasjon av tjenesten og i personvernerklæringen. Databehandler skal:

  • Sikre at personer med tilgang er underlagt taushetsplikt.
  • Iverksette egnede tekniske og organisatoriske tiltak, jf. punkt 7.
  • Bistå Kunden ved henvendelser fra registrerte (GDPR art. 12–22).
  • Bistå Kunden ved DPIA og forhåndsdrøfting med tilsyn (art. 35–36).
  • Slette eller returnere alle personopplysninger ved opphør, jf. punkt 10.

5. Underleverandører (underdatabehandlere)

Kunden gir generelt forhåndssamtykke til bruk av følgende underdatabehandlere:

  • Supabase / Amazon Web Services EMEA (Frankfurt, DE) — database, autentisering, fillagring.
  • Mistral AI SAS (Frankrike) — KI-generering og -analyse.
  • Resend Inc. — e-postutsending. EU-region benyttes der mulig.
  • Cloudflare Inc. — CDN, DDoS-beskyttelse, edge-funksjoner.

Endringer i listen varsles minst 30 dager før ikrafttredelse. Kunden har innsigelsesrett. Ved berettiget innsigelse kan Kunden si opp avtalen uten kostnad, og data slettes eller returneres etter punkt 10.

6. Overføring til tredjeland

All lagring og primær behandling skjer innenfor EU/EØS (Frankfurt, Frankrike). Databehandler overfører ikke personopplysninger til tredjeland uten gyldig overføringsgrunnlag (EU-Kommisjonens standardkontraktsklausuler — SCC) og en oppdatert overføringsvurdering (TIA) i lys av Schrems II. Slik overføring varsles på forhånd.

7. Tekniske og organisatoriske tiltak

  • TLS 1.2+ for all transport. AES-256 for data i ro.
  • Row-level security (RLS) for tilgangskontroll på datanivå.
  • To-faktor autentisering tilbys for alle brukere, kan kreves for administratorer.
  • Sikkerhetslogg med automatisk IP-trunkering for ikke-sikkerhetshendelser.
  • Krypterte sikkerhetskopier med point-in-time recovery (7 dager).
  • Sårbarhetsskanning, avhengighetsovervåkning og prinsippet om minste privilegium.
  • Tilgang til produksjonsdata er begrenset, logget og kun for definerte driftsformål.

8. Brudd på personopplysningssikkerheten

Databehandler varsler Kunden uten ugrunnet opphold og senest innen 24 timer etter at brudd er kjent, jf. GDPR art. 33 nr. 2. Varsel inneholder beskrivelse av bruddet, sannsynlige konsekvenser og iverksatte/foreslåtte tiltak. Kunden er ansvarlig for varsling til Datatilsynet og registrerte.

9. Revisjon og innsyn

Kunden har rett til årlig revisjon av Databehandlers etterlevelse, enten ved utlevert sikkerhetsdokumentasjon (basert på ISO 27001-prinsipper), ved spørreskjema, eller — for offentlige virksomheter med særlig behov — ved revisjon på stedet etter 30 dagers varsel. Kostnadene bæres av Kunden, med mindre revisjonen avdekker vesentlig avvik.

10. Opphør, sletting og retur

Ved opphør av avtalen sletter Databehandler alle personopplysninger innen 30 dager, med mindre lovgivning krever fortsatt lagring (f.eks. fakturadata etter bokføringsloven, 5 år). Kunden kan be om eksport i maskinlesbart format før sletting. Sletting bekreftes skriftlig på forespørsel.

11. Ansvar og erstatning

Hver part er ansvarlig for skade forårsaket av brudd på GDPR i tråd med art. 82. Databehandlers samlede erstatningsansvar overfor Kunden under denne avtalen er begrenset til årlig vederlag for tjenesten, med mindre annet følger av ufravikelig lov eller skaden skyldes grov uaktsomhet eller forsett.

12. Lovvalg og verneting

Avtalen reguleres av norsk rett. Tvister søkes løst i minnelighet. Verneting er Oslo tingrett.

13. Signering

Avtalen anses inngått når Kunden registrerer en organisasjon og tar tjenesten i bruk. Behov for separat signert PDF (med Kundens navn, org.nr. og signatur) — kontakt offentlig@utfordre.no.

Se også personvernerklæringen og DPIA-malen.