← Tilbake til forsiden

Databehandleravtale

Sist oppdatert: 5. desember 2025

1. Parter

Behandlingsansvarlig: Organisasjonen som bruker RF-1140.no tjenesten (herunder "du" eller "kunden")

Databehandler: Organisasjonen som tilbyr RF-1140.no tjenesten (herunder "vi" eller "leverandøren")

Denne avtalen regulerer behandlingen av personopplysninger på vegne av behandlingsansvarlig i henhold til personvernforordningen (GDPR) artikkel 28.

2. Formål og omfang

Databehandler skal behandle personopplysninger på vegne av behandlingsansvarlig i forbindelse med levering av RF-1140.no tjenesten, som omfatter:

  • Administrasjon av boligsameier og eierinformasjon
  • Innsending av tredjepartsopplysninger til Skatteetaten via RF-1140 skjema
  • Brukeradministrasjon og autentisering
  • Fakturering og fakturaadministrasjon
  • Teknisk drift og vedlikehold av tjenesten

3. Personopplysninger som behandles

Databehandler behandler følgende kategorier av personopplysninger på vegne av behandlingsansvarlig:

3.1 Opplysninger om brukere

  • Navn
  • E-postadresse
  • Organisasjonsnummer
  • Informasjon fra Brønnøysundregistrene
  • Brukernivå og tilgangsrettigheter
  • Tidspunkt for siste innlogging

3.2 Opplysninger om boligsameier

  • Navn på sameiet
  • Organisasjonsnummer
  • Adresse
  • Matrikkelnummer
  • Kontaktinformasjon
  • Økonomiske opplysninger

3.3 Opplysninger om eiere (seksjonseiere)

  • Navn (fornavn og etternavn)
  • Fødselsnummer eller organisasjonsnummer
  • E-postadresse
  • Adresse
  • Eierandel og eiertid
  • Økonomiske opplysninger

4. Databehandlers forpliktelser

4.1 Generelle forpliktelser

Databehandler forpliktet seg til å:

  • Behandle personopplysninger kun i henhold til behandlingsansvarligs skriftlige instruksjoner og denne avtalen
  • Ikke behandle personopplysninger for andre formål enn det som er spesifisert i denne avtalen
  • Sikre at personer som behandler personopplysninger har forpliktet seg til konfidensialitet eller er underlagt en passende konfidensialitetsforpliktelse
  • Overholde alle relevante personvernregler og sikkerhetsstandarder

4.2 Tekniske og organisatoriske tiltak

Databehandler skal implementere og vedlikeholde passende tekniske og organisatoriske tiltak for å sikre personopplysningene, inkludert:

  • Kryptering: All kommunikasjon over HTTPS. Sensitive data krypteres i transit og i rest
  • Autentisering: Magic link-basert innlogging uten passord. Session tokens med begrenset levetid
  • Tilgangskontroll: Data isolert per organisasjon (tenant isolation). Brukere kan kun tilgå data som tilhører deres organisasjon
  • Regelmessige sikkerhetsoppdateringer: Systemet holdes oppdatert med siste sikkerhetspatcher
  • Backup: Regelmessige sikkerhetskopier av dataene
  • Logging og overvåking: Overvåking av systemtilgang og logging av sikkerhetshendelser

4.3 Bruk av underdatabehandlere

Databehandler kan benytte følgende underdatabehandlere:

  • MongoDB: For databaselagring. Data lagres med tenant isolation per organisasjon
  • Resend: For sending av e-post (innloggingslenker og bekreftelser)

Databehandler skal:

  • Informere behandlingsansvarlig om planlagte endringer vedrørende tillegg eller erstatning av underdatabehandlere
  • Sikre at underdatabehandlere er bundet av samme forpliktelser som databehandler i denne avtalen
  • Holde behandlingsansvarlig ansvarlig for underdatabehandlernes oppfyllelse av forpliktelsene

4.4 Hjelp til behandlingsansvarlig

Databehandler skal hjelpe behandlingsansvarlig med å:

  • Oppfylle behandlingsansvarligs forpliktelse til å svare på forespørsler om utøvelse av den registrertes rettigheter (innsyn, retting, sletting, dataportabilitet, etc.)
  • Sikre overholdelse av forpliktelsene i henhold til GDPR artikkel 32-36 (sikkerhet, varsling om brudd, databeskyttelsesvurdering, etc.)
  • Dokumentere behandlingen av personopplysninger i henhold til GDPR artikkel 30

5. Behandlingsansvarligs forpliktelser

Behandlingsansvarlig skal:

  • Gi klare instruksjoner om hvordan personopplysninger skal behandles
  • Sikre at behandlingen av personopplysninger har rettslig grunnlag i henhold til GDPR
  • Informere registrerte om behandlingen av personopplysninger (personvernerklæring)
  • Varsle databehandler umiddelbart hvis det oppdages feil eller mangler i behandlingen
  • Overvåke at databehandler oppfyller sine forpliktelser i denne avtalen

6. Overføring til tredjeland

Personopplysninger kan overføres til tredjeland gjennom bruk av underdatabehandlere:

  • MongoDB: Kan være plassert i ulike regioner avhengig av konfigurasjon. Databehandler sikrer at data behandles i samsvar med GDPR
  • Resend: E-posttjeneste kan behandle data i USA. Resend er sertifisert under EU-US Data Privacy Framework

Ved overføring til tredjeland sikrer databehandler at det finnes tilstrekkelige garantier, f.eks. gjennom standardkontraktklausuler eller sertifiseringer som EU-US Data Privacy Framework.

7. Varsling om brudd på personopplysningssikkerheten

Databehandler skal varsle behandlingsansvarlig uten ugrunnet opphold etter å ha blitt klar over et brudd på personopplysningssikkerheten. Varslingen skal inneholde:

  • Beskrivelse av bruddet
  • Hvilke kategorier av personopplysninger som er berørt
  • Antall berørte personer
  • Mulige konsekvenser av bruddet
  • Tiltak som er iverksatt eller foreslått for å avhjelpe bruddet

Databehandler skal også hjelpe behandlingsansvarlig med å oppfylle sin varslingsplikt overfor Datatilsynet og berørte personer i henhold til GDPR artikkel 33 og 34.

8. Sletting og returnering av data

Ved avslutning av tjenesten skal databehandler:

  • Returnere alle personopplysninger til behandlingsansvarlig, eller
  • Slette alle personopplysninger, med mindre databehandler er juridisk forpliktet til å beholde dem

Sletting skal skje på en sikker måte og i henhold til behandlingsansvarligs instruksjoner. Databehandler skal bekrefte slettingen skriftlig.

9. Kontroll og revisjon

Databehandler skal:

  • Gi behandlingsansvarlig mulighet til å gjennomføre revisjoner av databehandlers behandling av personopplysninger
  • Gi tilgang til alle nødvendige opplysninger for å dokumentere overholdelse av denne avtalen
  • Delta i revisjoner som behandlingsansvarlig eller autoriserte tredjeparter gjennomfører

10. Ansvar og erstatning

Databehandler er ansvarlig overfor behandlingsansvarlig for skader som oppstår som følge av databehandlers brudd på denne avtalen eller personvernregelverket.

Databehandler er ikke ansvarlig for skader som skyldes behandlingsansvarligs instruksjoner eller manglende oppfyllelse av behandlingsansvarligs forpliktelser.

11. Varighet og oppsigelse

Denne avtalen gjelder fra den datoen behandlingsansvarlig begynner å bruke tjenesten og inntil tjenesten avsluttes eller avtalen oppsiges.

Avtalen kan oppsiges av begge parter med 30 dagers varsel. Ved oppsigelse gjelder bestemmelsene om sletting og returnering av data fortsatt.

12. Endringer

Endringer i denne avtalen skal skrives og godkjennes av begge parter. Databehandler kan oppdatere avtalen ved vesentlige endringer i tjenesten eller regelverket, og vil varsle behandlingsansvarlig om slike endringer.

13. Lovvalg og tvisteløsning

Denne avtalen skal tolkes og styres av norsk lov. Eventuelle tvister skal løses gjennom forhandlinger mellom partene. Hvis forhandlingene ikke fører til løsning, skal tvisten løses ved norsk domstol.

14. Kontakt

For spørsmål om denne avtalen, kontakt oss på e-postadressen som er oppgitt i kontaktinformasjonen på forsiden.