DF
dinforening.no

Databehandleravtale

Mellom foreninger som bruker dinforening.no og SMEB AS

Mellom:

Behandlingsansvarlig

Foreningen som bruker dinforening.no

Hver forening som benytter plattformen er behandlingsansvarlig for sine medlemmers personopplysninger.

Databehandler

SMEB AS

Dato: 8. april 2026

1. Innledning

1.1 Denne databehandleravtalen ("Avtalen") regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig.

1.2 Behandlingsansvarlig er ansvarlig for behandlingen av personopplysninger i henhold til personvernforordningen (GDPR) og personopplysningsloven.

1.3 Databehandler skal kun behandle personopplysninger i henhold til Behandlingsansvarligs dokumenterte instrukser.

2. Behandlingens art og formål

2.1 Formål

Databehandler skal behandle personopplysninger for følgende formål:

  • Administrasjon av medlemsregister
  • Kommunikasjon med medlemmer (e-post)
  • Håndtering av kontingentbetalinger og depositum
  • Arrangementhåndtering og ventelister
  • Statistikk og rapportering

2.2 Type personopplysninger

  • Navn, e-postadresse, telefonnummer
  • Fødselsdato, adresse
  • Medlemsnummer, medlemskategori, medlemsstatus
  • Tilhørighet til lokallag/paraplyorganisasjon (hvis aktuelt)
  • Betalingsinformasjon (ikke kortdetaljer)
  • E-poststatistikk (åpninger, klikk, IP-adresse)

2.3 Kategorier av registrerte

  • Medlemmer i Behandlingsansvarligs forening
  • Kontaktpersoner i foreningen
  • Administratorer og medlemmer i eventuelle underliggende lokallag (for paraplyorganisasjoner)

2.4 Behandlingens varighet

Fra signeringsdato til avtaleforholdet avsluttes.

3. Databehandlers plikter

3.1 Instrukser

Databehandler skal kun behandle personopplysninger i henhold til Behandlingsansvarligs dokumenterte instrukser, med mindre annet følger av EU-rett eller norsk rett.

3.2 Konfidensialitet

Databehandler skal sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt.

3.3 Sikkerhetstiltak

Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder:

  • Kryptering av personopplysninger (HTTPS/TLS, bcrypt)
  • Tilgangskontroll (Row Level Security)
  • Regelmessige sikkerhetsoppdateringer
  • Backup av data

3.4 Underleverandører

Databehandler har generell skriftlig godkjenning til bruk av underdatabehandlere listet i Vedlegg A.

Databehandler skal varsle Behandlingsansvarlig skriftlig minst 30 dager før planlagt bytte eller tillegg av underdatabehandler.

Behandlingsansvarlig kan innen varslingsfristen protestere skriftlig dersom endringen medfører dokumentert personvern- eller sikkerhetsrisiko. Partene skal da søke en løsning. Hvis løsning ikke oppnås før ikrafttredelse, kan Behandlingsansvarlig si opp berørt tjeneste med virkning fra endringsdato.

Databehandler skal sikre at underdatabehandlere pålegges de samme personvernforpliktelsene som følger av denne Avtalen, inkludert krav til sikkerhet, konfidensialitet, bistand og sletting/retur av data.

3.5 Bistand til Behandlingsansvarlig

Databehandler skal, i den utstrekning det er mulig, bistå Behandlingsansvarlig med å oppfylle plikten til å svare på anmodninger om utøvelse av de registrertes rettigheter (innsyn, retting, sletting, etc.).

3.6 Bistand ved sikkerhetshendelser

Databehandler skal bistå Behandlingsansvarlig med å sikre overholdelse av GDPR artikkel 32-36 (sikkerhet, varsling av brudd, DPIA).

3.7 Sletting eller retur av data

Databehandler skal, etter at tjenestene er avsluttet, slette eller returnere alle personopplysninger til Behandlingsansvarlig, med mindre lagring av personopplysningene er pålagt ved EU-rett eller norsk rett.

3.8 Dokumentasjon

Databehandler skal stille all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene i denne Avtalen til rådighet for Behandlingsansvarlig.

3.9 Varsling ved brudd på personopplysningssikkerheten

Databehandler skal varsle Behandlingsansvarlig uten ugrunnet opphold og senest innen 48 timer etter å ha blitt kjent med et brudd på personopplysningssikkerheten.

4. Behandlingsansvarligs plikter

4.1 Instrukser: Behandlingsansvarlig er ansvarlig for å gi tydelige, lovlige og dokumenterte instrukser til Databehandler.

4.2 Lovlig behandling: Behandlingsansvarlig er ansvarlig for at behandlingen har rettslig grunnlag og er i samsvar med GDPR.

4.3 Informasjon til registrerte: Behandlingsansvarlig er ansvarlig for å informere de registrerte om behandlingen (personvernerklæring).

5. Varighet og oppsigelse

5.1 Varighet: Avtalen gjelder fra signeringsdato og så lenge Behandlingsansvarlig bruker dinforening.no.

5.2 Oppsigelse: Begge parter kan si opp avtalen med 30 dagers varsel.

5.3 Ved oppsigelse: Databehandler skal slette eller returnere alle personopplysninger innen 30 dager etter oppsigelse, med mindre lagring er lovpålagt.

6. Ansvar og erstatning

6.1 Databehandler er ansvarlig for skade forårsaket av behandling som ikke er i samsvar med GDPR eller denne Avtalen.

6.2 Behandlingsansvarlig er ansvarlig for å sikre at instruksene er lovlige og i samsvar med GDPR.

7. Tvister

7.1 Tvister knyttet til denne Avtalen skal søkes løst i minnelighet.

7.2 Dersom enighet ikke oppnås, skal tvisten avgjøres av norske domstoler med Oslo tingrett som verneting.

8. Signaturer

Behandlingsansvarlig

Databehandler

SMEB AS

Storgata 26
3181 Horten
Orgnr: 930073954

Kontaktperson: Stig Magne Evju Brekken
E-post: hei@dinforening.no

Vedlegg A: Underdatabehandlere

Oversikten under angir leverandør, formål, behandlingssted og overføringsgrunnlag.

LeverandørFormålBehandlingsstedOverføringsgrunnlag
Google CloudDatabase (Cloud SQL)EU/EØSIkke aktuelt (ingen tredjelandsoverføring)
ResendE-postutsendelseEU/EØSSCC ved overføring utenfor EU/EØS
Stripe Inc.BetalingsformidlingEU/EØS og USASCC
Upstash Inc.Redis-cache for hastighetsbegrensningEU/EØSIkke aktuelt (ingen tredjelandsoverføring)