Data Processing Agreement (DPA)
Sist oppdatert: 17. desember 2025
Viktig: Denne databehandlingsavtalen ("DPA") er en integrert del av vår tjenesteavtale med organisasjoner. Serviro AS betjener utelukkende organisasjoner. Denne DPA regulerer hvordan vi behandler personopplysninger på vegne av organisasjoner i samsvar med GDPR artikkel 28.
Denne avtalen bør leses sammen med våre Tjenestevilkår og Personvernpolicy.
1. Definisjoner og roller
1.1 Parter
Databehandler: Organisasjonen som bestemmer formålene og midlene for behandling av personopplysninger.
Databehandler: Serviro AS, som handler på vegne av og under instruksjoner fra behandleren.
1.2 Omfang
Denne DPA regulerer behandlingen av personopplysninger av Serviro AS når vi leverer plattformtjenester til behandlere, i samsvar med GDPR artikkel 28.
2. Art og formål med behandlingen
2.1 Datakategorier
Serviro AS behandler følgende kategorier av personopplysninger på vegne av behandlere:
- Medlemsnavn og identifikatorer
- E-postadresser
- Telefonnumre
- Adresse
- Gruppe- og arrangementsdeltakelsesinformasjon
- Chatmeldinger
- Plattformbruksdata
2.2 Formål med behandlingen
Behandlingen utføres utelukkende for å levere plattformtjenester inkludert medlems-, gruppe- og frivilligadministrasjon, arrangementskoordinering og meldinger, som instruert av behandleren.
2.3 Varighet
Behandlingen fortsetter for varigheten av tjenesteavtalen. Ved oppsigelse vil data returneres eller anonymiseres i henhold til seksjon 8 i denne DPA.
3. Behandlerforpliktelser
Serviro AS forpliktet seg til å:
- Behandle personopplysninger kun på dokumenterte instruksjoner fra behandleren
- Sikre at personer autorisert til å behandle data er bundet av konfidensialitet
- Implementere passende tekniske og organisatoriske sikkerhetstiltak
- Engasjere underbehandlere kun med behandlerens autorisasjon
- Assistere behandleren med å svare på forespørsler fra registrerte
- Assistere med sikkerhet, bruddvarsler og konsekvensvurderinger
- Anonymisere eller returnere alle personopplysninger etter tjenesteoppsigelse
- Tilgjengeliggjøre informasjon nødvendig for å demonstrere overholdelse
- Underkaste seg revisjoner utført av behandleren eller autorisert revisor
4. Underbehandlere
4.1 Autorisasjon
Behandleren gir generell autorisasjon for Serviro AS til å engasjere underbehandlerne listet nedenfor. Serviro AS vil varsle behandlere om eventuelle planlagte endringer angående underbehandlere, og gi behandleren mulighet til å gjøre innsigelse.
4.2 Nåværende underbehandlere
| Tjenesteleverandør | Formål | Plassering | Data behandlet |
|---|---|---|---|
| Amazon Web Services (AWS) | Infrastruktur og hosting | EU (Frankfurt) | Alle plattformdata |
| Stripe | Betalingsbehandling | EU/US | Kun faktureringskontaktinformasjon |
| Firebase | Push-varsler | US | Medlemsidentifikatorer for varsler |
| Sentry | Feilovervåking | US | Feillogger, ytelsesdata (anonymisert) |
| Stream Chat | Chatmeldinger | EU | Chatmeldinger og sanntidsmeldingsdata |
| Deepgram | Lydtranskripsjon | US | Lydfiler og transkripsjonstekst |
| OpenAI | AI-tjenester | US | Innhold og data for AI-behandling |
| Plausible Analytics | Nettstedsanalyse | EU | Kun aggregerte ikke-personlige data |
4.3 Underbehandlerkrav
Serviro AS sikrer at alle underbehandlere er bundet av databeskyttelsesforpliktelser som ikke er mindre beskyttende enn de i denne DPA og forblir fullt ansvarlig for underbehandlerens ytelse.
5. Sikkerhetstiltak
5.1 Tekniske tiltak
- Kryptering av data under overføring (TLS 1.2+) og i ro
- Regelmessige sikkerhetsoppdateringer og patch-administrasjon
- Tilgangskontroller og autentiseringsmekanismer
- Nettverkssikkerhet og brannmurbeskyttelse
- Regelmessige automatiserte sikkerhetskopier
- Overvåking og logging av tilgang
5.2 Organisatoriske tiltak
- Konfidensialitetsavtaler med all personell
- Regelmessig sikkerhetstrening for ansatte
- Tilgang på behovsgrunnlag
- Håndteringsprosedyrer for hendelser
- Regelmessige sikkerhetsvurderinger
- Databeskyttelse ved design og som standard
6. Varsling om datainnbrudd
6.1 Varslingstidslinje
Serviro AS vil varsle behandleren uten ugrunnet forsinkelse, og i alle tilfeller innen 48 timer, etter å ha blitt klar over et personopplysningsbrudd som påvirker behandlerens data.
6.2 Informasjon gitt
Bruddvarsler vil inkludere:
- Art av bruddet og kategorier av data påvirket
- Sannsynlige konsekvenser av bruddet
- Tiltak tatt eller foreslått for å håndtere bruddet
- Kontaktpunkt for mer informasjon
7. Registrertes rettigheter
7.1 Assistanse
Serviro AS vil assistere behandleren med å oppfylle forpliktelser til å svare på forespørsler fra registrerte for:
- Tilgang til personopplysninger
- Rettelse eller sletting
- Begrensning av behandling
- Dataportabilitet
- Innsigelse mot behandling
- Rett til anonymisering i stedet for sletting hvor aktuelt
7.2 Svarstidslinje
Serviro AS vil svare på behandlerens forespørsler om assistanse innen 10 virkedager eller som påkrevd for å møte regulatoriske frister.
8. Dataretur og anonymisering
8.1 Ved oppsigelse
Ved oppsigelse av tjenester vil Serviro AS, på behandlerens valg:
- Returnere alle personopplysninger til behandleren i et standardformat
- Anonymisere alle personopplysninger, gjøre dem ikke-identifiserbare og ikke-tilskrivbare
- Både returnere og deretter anonymisere dataene
Anonymiserte data kan oppbevares for statistisk analyse og tjenesteforbedringsformål.
8.2 Anonymiseringsprosess
Anonymisering vil utføres ved bruk av bransjestandardteknikker for å sikre at data ikke kan re-identifiseres, inkludert fjerning av direkte identifikatorer, generalisering av kvasi-identifikatorer og anvendelse av statistiske avsløringskontroller.
8.3 Oppbevaringsunntak
Fullstendig anonymisering gjelder ikke for data Serviro AS er pålagt å oppbevare under EU- eller norsk lov. Slike data vil bli beskyttet og behandlingen begrenset til juridiske krav kun.
9. Revisjoner og overholdelse
9.1 Revisjonsrettigheter
Behandleren har rett til å gjennomføre revisjoner for å verifisere Serviro AS sin overholdelse av denne DPA, underlagt rimelig varsel, normale arbeidstider, ikke mer enn én gang per år med mindre påkrevd av regulatorer, og utført av uavhengige revisorer bundet av konfidensialitet.
9.2 Overholdelsesdokumentasjon
Serviro AS opprettholder registre over behandlingsaktiviteter og vil gi relevant overholdelsesdokumentasjon ved rimelig forespørsel.
10. Ansvar og erstatning
10.1 Ansvarsbegrensning
Ansvar under denne DPA er underlagt begrensningene fastsatt i hovedtjenesteavtalen, bortsett fra hvor forbudt av gjeldende lov.
10.2 Erstatning
Hver part vil forsvare og erstatte den andre mot krav som oppstår fra den partens brudd på denne DPA eller gjeldende databeskyttelseslover.
11. Internasjonale overføringer
Personopplysninger behandles primært innenfor EØS. Overføringer utenfor EØS bruker passende sikkerhetstiltak, inkludert EU standard kontraktklausuler (SCCs) eller tilstrekkelighetsvedtak.
12. Varighet og oppsigelse
Denne DPA forblir i kraft for varigheten av tjenesteavtalen. Bestemmelser relatert til databeskyttelsesforpliktelser overlever oppsigelse som påkrevd av loven.
13. Gjeldende lov
Denne DPA er underlagt norsk lov og GDPR. Tvister skal løses i henhold til tvisteløsningsbestemmelsene i hovedtjenesteavtalen.
14. Kontaktinformasjon
Databeskyttelseskontakt:
Serviro AS
Generell støtte: contact@avedio.app
15. Avtale
Ved å bruke Avedio-tjenester som en organisasjon, godtar behandleren vilkårene i denne databehandlingsavtalen. Denne DPA utgjør en del av og er inkorporert i hovedtjenesteavtalen.