Underdatabehandlere

Sist oppdatert: 18. juni 2026 · Endringer varsles minst 30 dager i forveien

Denne siden gir full oversikt over leverandører som behandler personopplysninger på vegne av Utfordre, deres lokasjon, overføringsgrunnlag etter GDPR kap. V og kort sammendrag av gjennomført overføringsvurdering (TIA) i lys av Schrems II.

For personvernombud / DPO

Full TIA-dokumentasjon, leverandørspesifikke DPA-er og SCC-vedlegg utleveres på forespørsel til personvern@utfordre.no. Varsling om nye underdatabehandlere kan abonneres på via samme adresse.

Lovable Cloud / Supabase (Stockholm / Frankfurt)

Leverandørens DPA ↗

Formål: Utviklings- og driftsplattform for applikasjonen (bygg, preview, publisering, Cloud-infrastruktur). Underliggende DB, auth, storage og edge via Supabase.
Lokasjon: Sverige (Lovable AS, Stockholm) / EU (Frankfurt, Tyskland) for underliggende infrastruktur
Overføring: Ingen — primær behandling i EU/EØS
Overføringsgrunnlag: GDPR art. 28 — Lovable Cloud DPA; underliggende Supabase DPA/AWS EU-region
TIA (Schrems II): Ikke aktuelt (ingen tredjelandsoverføring av kundedata)

Supabase / AWS EMEA (Frankfurt, DE)

Leverandørens DPA ↗

Formål: Database, autentisering, fillagring, Realtime
Lokasjon: EU (Frankfurt, Tyskland)
Overføring: Ingen — primær behandling i EU/EØS
Overføringsgrunnlag: GDPR art. 28 — DPA inngått; AWS EU-region; Supabase EU-konfigurasjon
TIA (Schrems II): Ikke aktuelt (ingen tredjelandsoverføring)

Mistral AI SAS (Frankrike)

Leverandørens DPA ↗

Formål: KI-generering, oppsummering, innholdsmoderering
Lokasjon: EU (Frankrike)
Overføring: Ingen — modeller hostet i EU
Overføringsgrunnlag: GDPR art. 28 — DPA inngått; Mistral La Plateforme EU-endpoint; ingen treningsbruk; 0–30 dagers retensjon
TIA (Schrems II): Ikke aktuelt (ingen tredjelandsoverføring)

Cloudflare, Inc. (USA)

Leverandørens DPA ↗

Formål: CDN, DDoS-beskyttelse, Turnstile bot-vern, edge-routing
Lokasjon: Globalt edge-nettverk; metadata kan behandles i USA
Overføring: Begrenset overføring av tekniske metadata (IP, TLS-fingeravtrykk) til USA. Ingen lagring av svarinnhold.
Overføringsgrunnlag: SCC (Standard Contractual Clauses, modul 3) + EU–US Data Privacy Framework (Cloudflare er sertifisert). Cloudflare Data Processing Addendum.
TIA (Schrems II): Gjennomført. Tiltak: ingen brukerinnhold passerer som klartekst (TLS-terminering hos oss), kun tekniske metadata; pseudonymisering av IP der mulig; Cloudflare publiserer transparensrapport og har avvist FISA 702-begjæringer historisk.

Resend, Inc. (USA)

Leverandørens DPA ↗

Formål: Transaksjons-e-post (invitasjoner, varsler, magic links)
Lokasjon: EU-region benyttes der mulig; selskap hjemmehørende i USA
Overføring: Mottakeradresse + meldingsinnhold for e-post. Vi bruker Resend EU-region for sending der det er tilgjengelig.
Overføringsgrunnlag: SCC (modul 2) + EU–US Data Privacy Framework (Resend er sertifisert). DPA inngått.
TIA (Schrems II): Gjennomført. Tiltak: minimering (kun e-post + nødvendig meldingstekst), ingen særlige kategorier i e-postinnhold, kort retensjon hos leverandør (≤30 dager), TLS i transport, mulighet for kundespesifikk SMTP-rute ved behov.

Datalokasjon — oppsummering

Hvor data fysisk behandles og lagres
Komponent	Lokasjon	Datatyper	Overføringsgrunnlag
Utviklings- og driftsplattform (Lovable Cloud / Supabase)	Sverige (hovedkontor) / EU — Frankfurt (underliggende infrastruktur)	Applikasjonskode, bygg-artefakter, preview-data, Cloud-konfigurasjon. Vedvarende svar/brukerdata lagres i EU-databasen.	Ingen overføring — behandling i EØS
Primær database (Supabase / AWS)	EU — Frankfurt (eu-central-1)	Svar, brukerkontoer, organisasjoner, filer, sesjoner	Ingen overføring — behandling i EØS
Sikkerhetskopier (PITR + daglig snapshot)	EU — Frankfurt, kryptert AES-256	Samme som primær database	Ingen overføring
KI-prosessering	EU — Frankrike (Mistral La Plateforme)	Prompt + svar, 0–30 dagers retensjon, ingen treningsbruk	Ingen overføring — EU-endpoint
CDN / Edge (Cloudflare)	Globalt edge-nettverk; metadata kan behandles i USA	Kun tekniske metadata (IP, TLS-fingeravtrykk, headers). Ingen svar- eller PII-innhold.	SCC modul 3 + EU–US DPF (sertifisert)
Transaksjons-e-post (Resend)	EU-region der mulig; selskap i USA	E-postadresse + meldingsinnhold	SCC modul 2 + EU–US DPF (sertifisert)
Hosting (Cloudflare Workers)	Distribuert; svar/PII leses fra og skrives til EU-databasen	Request/response in-memory under behandling; ingen vedvarende lagring i edge	SCC modul 3 + EU–US DPF

Konklusjon: all vedvarende lagring av personopplysninger og svar skjer i EU/EØS. Begrenset behandling av tekniske metadata kan skje globalt via Cloudflare edge under transport, med gyldig overføringsgrunnlag og gjennomført TIA.

Generelle vurderinger

Primær lagring i EU: All svardata, brukerdata og KI-prosessering skjer hos leverandører med EU-hosting (Supabase/AWS Frankfurt, Mistral Frankrike).
US-leverandører (Cloudflare, Resend): Brukes kun for tekniske funksjoner (CDN/bot-vern og e-postutsending). Begge er sertifisert under EU–US Data Privacy Framework og opererer i tillegg under SCC. CLOUD Act / FISA 702-risiko er vurdert og redusert gjennom datamininimering, TLS-terminering hos oss, og fravær av særlige kategorier i overført innhold.
Ingen treningsbruk av KI-leverandør: Mistral La Plateforme er konfigurert med safe_prompt og DPA-tillegg som forbyr bruk av innhold til modelltrening; retensjon hos leverandør er 0–30 dager.
Endringer: Nye eller endrede underdatabehandlere varsles til kundens kontaktperson minst 30 dager før ikrafttredelse. Kunden har innsigelsesrett og kan ved berettiget innsigelse si opp avtalen uten kostnad.

Se også personvernerklæringen, databehandleravtalen og DPIA-malen.