Databehandleravtale

Sist oppdatert: 16. februar 2026

Denne databehandleravtalen («Avtalen») er inngått mellom kunden («Behandlingsansvarlig») og Whitenoise AS, org.nr. 821 244 722 («Databehandler»), og regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av Varslingtjenesten.

1. Bakgrunn og formål

Denne avtalen er inngått i henhold til personvernforordningen (GDPR) artikkel 28 og supplerer hovedavtalen (brukervilkårene) mellom partene. Avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig.

2. Omfang og formål med behandlingen

Databehandler behandler personopplysninger utelukkende for å:

  • Tilby og drifte varslingskanaltjenesten som beskrevet i brukervilkårene
  • Lagre krypterte varsler og meldinger
  • Administrere brukerkontoer for behandlingsansvarlige
  • Sende varslings-e-poster (dersom varsleren har oppgitt e-post)

3. Kategorier av personopplysninger

3.1 Administratordata

  • Navn og e-postadresse
  • Bedriftsinformasjon (navn, organisasjonsnummer)
  • Betalingsinformasjon (håndtert av betalingsleverandør)

3.2 Varslingsdata

Innholdet i varsler er ende-til-ende-kryptert. Databehandler har ikke tilgang til ukryptert varslingsinnhold. Følgende metadata behandles:

  • Tidspunkt for innsending
  • Varslingskategori (ukryptert, for filtrering)
  • Saksstatus (åpen, under behandling, lukket)
  • Kryptert e-postadresse for varsleren (dersom oppgitt, kryptert med servernøkkel for utsendelse av varsler)

4. Databehandlers plikter

Databehandler forplikter seg til å:

  • Kun behandle personopplysninger i henhold til dokumenterte instrukser fra Behandlingsansvarlig
  • Sikre at personer som har tilgang til personopplysningene er underlagt taushetsplikt
  • Iverksette tilstrekkelige tekniske og organisatoriske sikkerhetstiltak i henhold til GDPR artikkel 32
  • Ikke engasjere underleverandører uten forhåndsgodkjenning fra Behandlingsansvarlig
  • Bistå Behandlingsansvarlig med å oppfylle sine forpliktelser etter GDPR artiklene 32-36
  • Slette eller returnere alle personopplysninger ved opphør av tjenesten, med mindre lovpålagt oppbevaring krever det
  • Gi Behandlingsansvarlig tilgang til all informasjon som er nødvendig for å påvise etterlevelse

5. Sikkerhetstiltak

Databehandler har implementert følgende sikkerhetstiltak:

  • Ende-til-ende-kryptering: Varslingsinnhold krypteres med RSA-4096 og AES-256-GCM i varslerens nettleser. Databehandler har ikke tilgang til ukryptert innhold.
  • Ingen sporingsdata: IP-adresser logges ikke for varslingssider. Ingen cookies eller tredjepartsanalyse brukes.
  • Kryptert lagring: All data lagres på krypterte disker hos europeisk hostingleverandør.
  • Tilgangskontroll: Tilgang til infrastruktur er begrenset til autorisert personell med flerfaktorautentisering.
  • Sikker sletting: Ved oppsigelse slettes alle data innen 90 dager.

6. Underleverandører

Databehandler benytter følgende underleverandører:

Leverandør Formål Lokasjon
Hetzner Online GmbH Hosting og infrastruktur Nürnberg, Tyskland (EU)
Mailjet SAS E-postutsendelse Paris, Frankrike (EU)
Armitage Labs OÜ (Creem) Betalingsbehandling Tallinn, Estland (EU)

Behandlingsansvarlig samtykker herved til bruk av ovennevnte underleverandører. Databehandler skal varsle Behandlingsansvarlig minst 30 dager før eventuelle endringer i underleverandører.

7. Overføring til tredjeland

Alle personopplysninger behandles og lagres innenfor EU/EØS. Databehandler overfører ikke personopplysninger til tredjeland med mindre det foreligger et gyldig overføringsgrunnlag i henhold til GDPR kapittel V.

8. De registrertes rettigheter

Databehandler skal bistå Behandlingsansvarlig med å oppfylle de registrertes rettigheter etter GDPR artiklene 15-22, herunder rett til innsyn, retting, sletting, begrensning, dataportabilitet og innsigelse.

Merk: For ende-til-ende-krypterte varsler har Databehandler ikke mulighet til å gi innsyn i innholdet, da dette kun kan dekrypteres av Behandlingsansvarlig med sin private nøkkel.

9. Varslingsplikt ved brudd

Databehandler skal uten ugrunnet opphold, og senest innen 48 timer, varsle Behandlingsansvarlig dersom det oppdages brudd på personopplysningssikkerheten. Varselet skal inneholde informasjon om bruddet, mulige konsekvenser og tiltak som er iverksatt eller foreslått.

10. Revisjon og kontroll

Behandlingsansvarlig har rett til å gjennomføre revisjoner for å verifisere at Databehandler overholder denne avtalen. Slike revisjoner skal varsles minst 30 dager i forveien og gjennomføres på en måte som ikke urimelig forstyrrer Databehandlers virksomhet.

11. Varighet og opphør

Denne avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Ved opphør av hovedavtalen skal Databehandler slette alle personopplysninger innen 90 dager, med mindre lovpålagt oppbevaring krever lengre lagring.

12. Lovvalg og tvister

Denne avtalen er underlagt norsk lov. Tvister som springer ut av avtalen skal søkes løst gjennom forhandlinger. Dersom forhandlinger ikke fører frem, skal tvisten avgjøres ved Oslo tingrett.

13. Kontaktinformasjon

Databehandler:
Whitenoise AS
Org.nr: 821 244 722
E-post: personvern@whitenoise.no