Databehandleravtale

I henhold til GDPR artikkel 28 — mellom kommune/skole og Oversikt AS

Fyll inn opplysningene om din kommune eller skole nedenfor. Når du klikker «Last ned PDF» genereres en ferdig utfylt databehandleravtale klar for signering.

Avtaletekst

1. Parter

Denne avtalen er inngått mellom behandlingsansvarlig (kommune/skole som bruker Hulltetteren) og databehandler Oversikt AS (org.nr 930 687 758), leverandør av Hulltetteren.

2. Formål og varighet

Databehandler behandler personopplysninger utelukkende for å levere Hulltetteren. Formål: adaptiv matematikkopplæring, tilgangsstyring, progresjonssporing og driftssikkerhet. Avtalen gjelder så lenge hovedavtalen løper.

3. Kategorier av registrerte og data

Registrerte: Elever, lærere, skoleadministratorer

  • Kontoopplysninger: navn, e-post, Feide-ID, skoletilknytning
  • Elevprofiler: navn, klassetrinn, skoletilknytning
  • Læringsdata: oppgaveresultater, mestringsgrad, øvingshistorikk, fremgang
  • Tekniske data: sikkerhetslogger (hashede bruker-IDer, tidspunkt)

4. Instrukser og behandlingsbegrensning

Databehandler behandler kun data etter instrukser fra behandlingsansvarlig. Databehandler skal ikke:

  • Bruke data til markedsføring eller profilering
  • Bruke data til trening av generative AI-modeller
  • Dele data med uautoriserte tredjeparter
  • Overføre data utenfor EU/EØS uten tilstrekkelig grunnlag (SCCs eller tilsvarende)

5. Sikkerhetstiltak

  • Kryptert transport (HTTPS/TLS 1.2+) og lagring (AES-256)
  • Rolle- og skolebasert tilgangsstyring (Row Level Security)
  • Sikkerhetslogging med hashede bruker-IDer
  • Automatisk daglig backup i EU-region
  • Hendelseshåndtering og varsling iht. GDPR art. 33/34

6. Underdatabehandlere

Behandlingsansvarlig gir generell forhåndsgodkjenning. Varsling minimum 30 dager før endringer.

LeverandørTjenesteLokasjon
Supabase Inc.Database (PostgreSQL)EU (Ireland)
Vercel Inc.Hosting og CDNEU (Stockholm)
Sikt (Feide)Autentisering (skole)Norge
Functional Software (Sentry)FeilovervåkingEU (Frankfurt)

Google (OAuth) og Stripe (betaling) brukes kun for B2C. Skolebrukere autentiseres via Feide.

7. Bistand til registrertes rettigheter

Databehandler bistår behandlingsansvarlig med innsyn, retting, sletting, begrensning, dataportabilitet og innsigelser. Tekniske endepunkter for dataeksport og sletting er tilgjengelig.

8. Avvik og personvernbrudd

Databehandler varsler behandlingsansvarlig uten ugrunnet opphold, og senest innen 24 timer, ved mistenkt eller bekreftet brudd på personopplysningssikkerheten.

9. Revisjon og dokumentasjon

Behandlingsansvarlig har rett til å gjennomføre revisjoner. Databehandler stiller nødvendig dokumentasjon til rådighet (behandlingsoversikt, DPIA, sikkerhetstiltak, hendelseshåndtering).

10. Opphør

Ved avtalens opphør slettes eller returneres personopplysninger innen 30 dager etter instruks fra behandlingsansvarlig, med skriftlig bekreftelse.

← Tilbake til innlogging