Databehandleravtale

I henhold til personvernforordningen (GDPR) artikkel 28

Versjon 1.0 - Gyldig fra 19.02.2026

1. Parter

Denne databehandleravtalen ("Avtalen") er inngått mellom:

Behandlingsansvarlig

Kunden som har registrert seg for CustR-tjenesten

(Heretter kalt "Kunden" eller "den Behandlingsansvarlige")

Databehandler

CustR

E-post: support@custr.no

(Heretter kalt "CustR" eller "Databehandler")

2. Bakgrunn og formål

Kunden benytter CustR-plattformen for å administrere medlemmer/kunder, sende nyhetsbrev, SMS-kampanjer og arrangementer. I den forbindelse vil CustR behandle personopplysninger på vegne av Kunden. Denne avtalen regulerer CustRs behandling av personopplysninger på vegne av Kunden i samsvar med personvernforordningen (GDPR) artikkel 28.

3. Behandlingens art, formål og varighet

3.1 Formål

CustR behandler personopplysninger utelukkende for å levere tjenestene beskrevet i hovedavtalen (vilkår for bruk), herunder:

  • Lagring og administrasjon av kundens medlems-/kundedata
  • Utsendelse av e-postkampanjer og nyhetsbrev
  • Utsendelse av SMS-meldinger
  • Administrasjon av arrangementer og påmeldinger
  • Generering av statistikk og rapporter

3.2 Kategorier av registrerte

  • Kundens medlemmer, kunder og kontakter
  • Deltakere på kundens arrangementer
  • Mottakere av kundens nyhetsbrev og SMS

3.3 Kategorier av personopplysninger

  • Kontaktinformasjon (navn, e-postadresse, telefonnummer)
  • Demografisk informasjon (hvis registrert av Kunden)
  • Gruppetilhørighet og preferanser
  • Samtykkehistorikk
  • Kommunikasjonshistorikk (sendte e-poster, SMS, åpninger, klikk)
  • Arrangementsdeltakelse og RSVP-status

3.4 Varighet

Behandlingen varer så lenge kundeforholdet består. Ved opphør av avtalen, se punkt 10 om tilbakelevering og sletting av data.

4. Databehandlers forpliktelser

CustR forplikter seg til å:

a) Kun behandle etter instruks

Kun behandle personopplysninger i henhold til dokumenterte instrukser fra Kunden, med mindre behandlingen kreves i henhold til EU-rett eller norsk rett.

b) Konfidensialitet

Sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt.

c) Sikkerhetstiltak

Iverksette tiltak som kreves i henhold til GDPR artikkel 32, herunder kryptering, tilgangskontroll og regelmessig testing av sikkerhetstiltak.

d) Underleverandører

Overholde vilkårene i punkt 6 for bruk av underleverandører.

e) Bistand til Kunden

Bistå Kunden med å oppfylle sine forpliktelser overfor de registrerte, herunder ved innsynsbegjæringer, retting, sletting og dataportabilitet.

f) Sikkerhetsbrudd

Varsle Kunden uten ugrunnet opphold ved brudd på personopplysningssikkerheten.

g) Sletting ved opphør

Slette eller tilbakelevere alle personopplysninger ved avtalens opphør, i henhold til punkt 10.

h) Dokumentasjon

Gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen og GDPR artikkel 28 er oppfylt.

5. Behandlingsansvarliges forpliktelser

Kunden forplikter seg til å:

  • Sikre at det foreligger gyldig behandlingsgrunnlag for all behandling av personopplysninger
  • Innhente nødvendige samtykker fra de registrerte der dette kreves
  • Gi de registrerte nødvendig informasjon om behandlingen
  • Håndtere henvendelser fra de registrerte om deres rettigheter
  • Gi dokumenterte instrukser til CustR om behandlingen
  • Varsle CustR umiddelbart dersom instruksene endres
  • Sikre at personopplysninger som lastes opp til tjenesten er korrekte og oppdaterte

6. Bruk av underleverandører

6.1 Godkjenning

Kunden gir med dette en generell forhåndsgodkjenning til at CustR kan benytte underleverandører for behandling av personopplysninger. CustR skal informere Kunden om planlagte endringer med hensyn til tilføyelse eller utskifting av underleverandører. Kunden kan motsette seg slike endringer innen 14 dager.

6.2 Godkjente underleverandører

Følgende underleverandører er godkjent ved avtaleinngåelse:

Underleverandør Formål Lokasjon
Resend / Mailgun E-postlevering USA (EU-godkjent overføring)
Sveve AS SMS-levering Norge
Stripe Betalingsbehandling USA (EU-godkjent overføring)
Hostingleverandør Infrastruktur og lagring EU/EØS
OpenAI AI-assistanse (valgfritt) USA (EU-godkjent overføring)

6.3 Krav til underleverandører

CustR skal inngå skriftlig avtale med alle underleverandører som sikrer at de samme forpliktelsene som følger av denne avtalen, også pålegges underleverandøren.

7. Overføring til tredjeland

CustR skal ikke overføre personopplysninger til land utenfor EU/EØS uten at det foreligger gyldig overføringsgrunnlag i henhold til GDPR kapittel V, herunder:

  • EU-kommisjonens beslutning om tilstrekkelig beskyttelsesnivå
  • Standardavtaler for dataoverføring (SCCs)
  • Bindende virksomhetsregler (BCRs)

For overføringer til USA benyttes EU-US Data Privacy Framework der leverandøren er sertifisert, eller EUs standardavtaler supplert med nødvendige tilleggstiltak.

8. Sikkerhetstiltak

CustR har implementert følgende tekniske og organisatoriske sikkerhetstiltak:

Tekniske tiltak:

  • SSL/TLS-kryptering for all dataoverføring
  • Kryptering av data i hvile
  • Sikker passordlagring med bcrypt
  • Regelmessige sikkerhetskopier
  • Brannmur og inntrengningsdeteksjon
  • Logging av systemtilgang og endringer

Organisatoriske tiltak:

  • Tilgangskontroll basert på minste privilegium
  • Konfidensialitetsavtaler med ansatte
  • Regelmessig sikkerhetsopplæring
  • Prosedyrer for håndtering av sikkerhetsbrudd
  • Periodisk gjennomgang av sikkerhetstiltak

9. Sikkerhetsbrudd

Ved brudd på personopplysningssikkerheten skal CustR varsle Kunden uten ugrunnet opphold, og senest innen 24 timer etter at bruddet ble oppdaget. Varselet skal minst inneholde:

  • Beskrivelse av sikkerhetsbruddet
  • Kategorier og antall berørte registrerte (hvis kjent)
  • Sannsynlige konsekvenser av bruddet
  • Tiltak som er iverksatt eller foreslått for å håndtere bruddet

CustR skal bistå Kunden med å oppfylle sine forpliktelser etter GDPR artikkel 33 og 34 om varsling til tilsynsmyndighet og de registrerte.

10. Opphør og sletting av data

Ved opphør av kundeforholdet skal CustR:

  • Gi Kunden mulighet til å eksportere sine data i et strukturert format
  • Beholde data i 30 dager etter opphør for eventuell gjenoppretting
  • Slette alle personopplysninger permanent etter 30-dagersperioden
  • Bekrefte sletting skriftlig på forespørsel

Unntak gjelder der CustR er pålagt å oppbevare data etter EU-rett eller norsk rett (f.eks. regnskapsloven).

11. Revisjon og kontroll

CustR skal på forespørsel fra Kunden gjøre tilgjengelig all informasjon som er nødvendig for å påvise at forpliktelsene i denne avtalen er overholdt.

Kunden har rett til å gjennomføre revisjoner, enten selv eller ved bruk av en uavhengig tredjepart, med rimelig forhåndsvarsel og i CustRs normale arbeidstid. Kunden dekker egne kostnader ved slik revisjon.

12. Ansvar

Partenes ansvar for brudd på denne avtalen reguleres av hovedavtalen (vilkår for bruk). Databehandler er ansvarlig for skade som følge av behandling som ikke er i samsvar med GDPR eller denne avtalen.

13. Varighet og endringer

Denne avtalen gjelder så lenge CustR behandler personopplysninger på vegne av Kunden. Avtalen kan endres av CustR med 30 dagers skriftlig varsel. Vesentlige endringer krever Kundens aksept.

14. Lovvalg og verneting

Denne avtalen er underlagt norsk lov. Tvister skal søkes løst i minnelighet. Dersom dette ikke lykkes, skal tvisten avgjøres av norske domstoler med Oslo tingrett som verneting.

15. Kontaktinformasjon

CustR

E-post: support@custr.no

Nettside: custr.no

Merk: Denne databehandleravtalen trer i kraft automatisk ved aksept av CustRs vilkår for bruk. Ingen separat signering er nødvendig. Kunden kan laste ned denne avtalen som dokumentasjon for sin egen GDPR-compliance.

← Tilbake til forsiden

© 2026 CustR