Tilbake til forsiden
Juridisk

Databehandleravtale

Sist oppdatert: 10. mai 2026

Denne databehandleravtalen («DPA») inngås automatisk mellom kunden (behandlingsansvarlig) og Tilbudio (databehandler) ved aksept av brukervilkårene, og oppfyller kravene i GDPR artikkel 28.

1. Bakgrunn

Når kunden bruker Tilbudio til å lagre opplysninger om sine egne kunder, prosjekter, tilbud og kontrakter, behandler Tilbudio AS («Databehandler») personopplysninger på vegne av kunden («Behandlingsansvarlig»).

2. Kategorier av registrerte og personopplysninger

Registrerte: kundens egne kunder, kontaktpersoner og samarbeidspartnere.

Typer opplysninger: navn, adresse, e-post, telefonnummer, prosjektbeskrivelser, beløp, fritekstkommunikasjon, opplastede vedlegg/bilder.

3. Behandlingens formål og varighet

Behandlingen skjer for å levere SaaS-funksjonalitet til kunden, og varer så lenge kundens abonnement er aktivt.

4. Databehandlers plikter

  • Behandle personopplysninger kun etter dokumenterte instrukser fra Behandlingsansvarlig.
  • Sørge for at personer med tilgang er underlagt taushetsplikt.
  • Iverksette nødvendige tekniske og organisatoriske tiltak (GDPR art. 32).
  • Bistå Behandlingsansvarlig med å besvare forespørsler fra registrerte og myndigheter.
  • Varsle Behandlingsansvarlig uten ugrunnet opphold ved brudd på personvernet — senest innen 24 timer etter at bruddet er kjent.

5. Sikkerhetstiltak

  • Kryptering av data i transitt (TLS 1.3) og i ro.
  • Radnivåsikkerhet i database — full isolasjon mellom kunders data.
  • Tilgangskontroll basert på «least privilege» med tofaktor for ansatte.
  • Loggføring av tilganger og endringer på systemnivå.
  • Sårbarhetsskanning og sikkerhetsoppdateringer.
  • Daglige krypterte sikkerhetskopier med 30 dagers oppbevaring.

6. Underdatabehandlere

Behandlingsansvarlig gir generelt forhåndssamtykke til bruk av følgende underdatabehandlere. Kunden varsles før eventuelle endringer i listen:

  • Supabase Inc. – database og autentisering (EU).
  • Stripe Payments Europe Ltd. – fakturering (EU).
  • Resend – e-post (EU/USA, SCC).
  • Twilio Inc. – SMS (EU/USA, SCC).
  • Cloudflare Inc. – hosting / CDN (EU).

7. Overføring til tredjeland

Eventuell overføring av personopplysninger utenfor EØS skjer på grunnlag av EU-kommisjonens standard kontraktsklausuler (SCC) eller annet gyldig overføringsgrunnlag.

8. Sletting og retur

Ved opphør av avtalen sletter Databehandler alle personopplysninger senest 30 dager etter oppsigelse, med mindre lov pålegger fortsatt lagring. Behandlingsansvarlig kan eksportere sine data fra dashbordet før sletting.

9. Revisjon

Behandlingsansvarlig har rett til å gjennomføre revisjon, ev. via uavhengig tredjepart, med 30 dagers skriftlig varsel. Databehandler stiller dokumentasjon for sikkerhetstiltak til rådighet.

10. Lovvalg

Avtalen reguleres av norsk rett. Tvister avgjøres ved Oslo tingrett.

En signerbar PDF-versjon av databehandleravtalen kan tilsendes på forespørsel ved henvendelse til kontakt@tilbudio.no.

Tilbudio AS

Org.nr.: [org.nr. fylles inn]

Oslo, Norge

Henvendelser: kontakt@tilbudio.no