Databehandleravtale

Mellom foreninger som bruker dinforening.no og SMEB AS

Mellom:

Behandlingsansvarlig

Foreningen som bruker dinforening.no

Hver forening er behandlingsansvarlig for egne medlemmers, administratorers og sluttbrukeres personopplysninger.

Databehandler

SMEB AS

Org.nr. 930 073 954, Storgata 26, 3181 Horten.

Dato: 11. mai 2026

1. Innledning og instrukser

1.1 Denne avtalen regulerer SMEB AS' behandling av personopplysninger på vegne av Behandlingsansvarlig etter GDPR artikkel 28.

1.2 Databehandler skal bare behandle personopplysninger etter Behandlingsansvarligs dokumenterte instrukser, med mindre behandling kreves etter EU-rett eller norsk rett.

1.3 Bruk av Tjenesten, valgte moduler, innstillinger, opplastinger og supporthenvendelser regnes som dokumenterte instrukser innenfor avtalens rammer.

2. Behandlingens art, formål og varighet

Formål

Administrasjon av medlemsregister, familier, medlemstyper og medlemsstatus
Kontingent, faktura, KID, betaling, Stripe Connect, ordre og regnskapsbilag
Arrangementer, dugnad, booking, butikk, utlegg og refusjon
Styreverv, møter, saker, avstemninger, vedtak, protokoller og oppgaver
Dokumentarkiv, opplastede filer, kvitteringer, bilder og vedlegg
E-post, invitasjoner, nyhetsbrev, SMS og leveringsstatistikk
Sikkerhet, audit log, rate limiting, support, feilretting og teknisk drift

Type personopplysninger

Navn, e-post, telefon, adresse, fødselsdato, medlemsnummer, medlemstype, status og familie-/lokallagstilhørighet
Organisasjonsdata, administratorroller, Firebase UID, innloggingsidentifikatorer og custom claims
Betalingsdata, fakturadata, KID, ordre, leveringsinformasjon, Stripe-referanser og regnskapsgrunnlag
Dokumenter, kvitteringer, vedlegg, bilder, møte-/saksdata, protokoller, avstemninger og audit logs
SMS-innhold/status, e-postinnhold/status, åpninger, klikk, IP-adresse, nettleserinfo og tekniske logger
Utleggsdata, reiseadresser, bankkontoopplysninger der registrert, supporthenvendelser og feilrapporter

Registrerte inkluderer medlemmer, foresatte/familier, administratorer, styremedlemmer, møtedeltakere, kunder, frivillige, søkere, kontaktpersoner og andre personer foreningen registrerer i Tjenesten. Behandlingen varer så lenge Behandlingsansvarlig bruker Tjenesten og deretter så lenge sletting, retur, sikkerhetskopier eller lovpålagt lagring krever.

3. Databehandlers plikter

Konfidensialitet

Databehandler skal sikre at personer med tilgang til personopplysninger er underlagt konfidensialitet eller lovbestemt taushetsplikt.

Sikkerhetstiltak

HTTPS/TLS, Firebase Auth, sikre sesjonscookies og rollebasert organisasjonstilgang.
Organisasjonsscopede databaseoperasjoner, audit logging og tilgangskontroll i applikasjonen.
Rate limiting, CSP, signaturverifiserte webhooks og hemmelighetshåndtering via skyløsning.
Kryptering av særskilt sensitive felt der implementert, for eksempel bankkontoopplysninger.
Sikkerhetskopier, logging og rutiner for feilretting, drift og hendelseshåndtering.

Filer og tilgjengelighet

Filer kan omfatte både offentlige organisasjonsressurser, som logo og produktbilder, og sensitive vedlegg som kvitteringer eller saksdokumenter. Behandlingsansvarlig er ansvarlig for riktig tilgangsnivå og innhold; Databehandler skal levere tekniske kontroller i tråd med Tjenestens funksjoner.

Bistand og dokumentasjon

Databehandler skal, så langt det er rimelig og teknisk mulig, bistå med registrertes rettigheter, sikkerhet, DPIA, forhåndsdrøfting, revisjonsinformasjon og dokumentasjon. Ekstraordinær bistand kan faktureres etter avtale.

4. Underdatabehandlere og overføringer

Behandlingsansvarlig gir generell skriftlig godkjenning til underdatabehandlere listet i Vedlegg A.

Databehandler skal varsle om nye eller erstattede underdatabehandlere minst 30 dager før planlagt endring der endringen er vesentlig. Behandlingsansvarlig kan protestere skriftlig dersom endringen medfører dokumentert personvern- eller sikkerhetsrisiko.

Underdatabehandlere skal pålegges tilsvarende personvernforpliktelser. Overføringer utenfor EU/EØS skal ha gyldig overføringsgrunnlag, normalt EU standardkontrakter og supplerende tiltak.

5. Sikkerhetshendelser

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold og senest innen 48 timer etter å ha blitt kjent med et brudd på personopplysningssikkerheten.

Varslet skal så langt mulig beskrive hendelsens art, berørte kategorier, sannsynlige konsekvenser, tiltak som er eller vil bli iverksatt, og kontaktpunkt for oppfølging.

6. Revisjon og kontroll

Databehandler skal gjøre nødvendig informasjon tilgjengelig for å dokumentere etterlevelse. Behandlingsansvarlig kan be om revisjon med rimelig varsel, normalt minst 30 dager.

Revisjon skal begrenses til det som er nødvendig, gjennomføres konfidensielt og ikke urimelig forstyrre drift eller sikkerhet. Sikkerhetsdokumentasjon, tredjepartsrapporter eller skriftlige svar kan brukes som alternativ til stedlig revisjon.

7. Sletting og retur

Ved opphør skal Databehandler slette eller returnere personopplysninger etter Behandlingsansvarligs instruks og innen rimelig tid, normalt innen 30 dager etter utløpt eksportfrist.

Slettede opplysninger kan ligge i sikkerhetskopier i opptil 35 dager. Betalings-, regnskaps-, sikkerhets- og auditdata kan lagres lenger hvis dette er nødvendig etter lov, dokumentasjonsplikt, tvist eller sikkerhetshendelse.

8. Behandlingsansvarligs plikter

Behandlingsansvarlig er ansvarlig for lovlig behandlingsgrunnlag, informasjon til registrerte, riktige instrukser, tilgangsstyring, samtykker, innhold i kommunikasjon og korrekt bruk av moduler og tilgangsnivåer.

Behandlingsansvarlig skal ikke registrere eller laste opp personopplysninger som Tjenesten ikke er egnet eller avtalt for, med mindre dette er særskilt avklart.

9. Varighet, ansvar og tvister

Avtalen gjelder så lenge Behandlingsansvarlig bruker Tjenesten og Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig.

Partenes ansvar reguleres av brukervilkårene og ufravikelig personvernlovgivning. Tvister søkes løst i minnelighet og avgjøres etter norsk rett med Oslo tingrett som verneting, med mindre ufravikelig lov bestemmer annet.

10. Signaturer

Behandlingsansvarlig

Foreningens navn

Organisasjonsnummer

Kontaktperson

E-post

Dato og signatur

Databehandler

SMEB AS

Storgata 26
3181 Horten
Orgnr: 930 073 954

Kontakt: hei@dinforening.no

Dato og signatur

Vedlegg A: Underdatabehandlere

Oversikten angir leverandør, formål, behandlingssted og overføringsgrunnlag. Valgfrie leverandører brukes bare når tilhørende modul eller funksjon er aktiv.

Leverandør	Formål	Behandlingssted	Overføringsgrunnlag
Google Cloud / Firebase	Drift av applikasjon, Cloud SQL, Firebase Auth, Firebase Storage, logging og hemmelighetshåndtering	EU/EØS der tjenestene er konfigurert; enkelte støttetjenester kan innebære tredjelandsoverføring	Databehandleravtale, EU SCC og supplerende tiltak ved overføring utenfor EU/EØS
Stripe	Stripe Connect, kortbetaling, utbetalinger, refusjoner, tvister og betalingsrapportering	EU/EØS og USA	Stripe-avtaler, EU SCC og relevante overføringsmekanismer
Resend	Utsending av e-post, fakturaer, invitasjoner, møteinnkallinger og leveringsstatistikk	EU/EØS og/eller USA avhengig av tjenesteleveranse	Databehandleravtale og EU SCC ved overføring utenfor EU/EØS
Upstash	Redis-basert rate limiting, misbruksvern og teknisk stabilitet	EU/EØS der valgt for miljøet	Databehandleravtale; EU SCC ved eventuell overføring utenfor EU/EØS
Sentry	Feilrapportering, ytelsesdiagnostikk og teknisk feilsøking	EU/EØS og/eller USA avhengig av kontooppsett	Databehandleravtale og EU SCC ved overføring utenfor EU/EØS
Link Mobility (valgfri)	SMS-utsending og leveringsrapporter	EU/EØS og/eller leverandørens behandlingssteder	Databehandleravtale og EU SCC ved overføring utenfor EU/EØS
Google Maps Platform (valgfri)	Beregning av distanse ved reiseregninger der funksjonen brukes	Global Google-infrastruktur	Google-vilkår, EU SCC og supplerende tiltak ved overføring utenfor EU/EØS