Synliggjort

Databehandler­avtale

Sist oppdatert: 2026-05-27

Denne avtalen gjelder mellom Synliggjort (en tjeneste drevet av Haughom AI ENK, organisasjons­nummer 936 280 285, heretter «Databehandler») og bedriften som kjøper en nettside av oss (heretter «Behandlings­ansvarlig»).

Avtalen utgjør en integrert del av Vilkårene og regulerer Databehandlers behandling av personopplysninger på vegne av Behandlings­ansvarlig i forbindelse med levering av Synliggjort-tjenesten, jf. personvern­forordningen (GDPR) artikkel 28.

Ved å godta Vilkårene godtar Behandlings­ansvarlig også denne avtalen.

1. Hva avtalen omfatter

Databehandler behandler personopplysninger på vegne av Behandlings­ansvarlig i den utstrekning det er nødvendig for å levere tjenesten — bygge, hoste og drifte Behandlings­ansvarliges nettside, inkludert mottak av besøkende­henvendelser og booking­forespørsler via nettsiden.

2. Kategorier av personer og data

Databehandler kan behandle følgende kategorier av data:

  • Personer som besøker nettsiden: anonymiserte besøk­statistikker via Plausible Analytics (uten cookies, ingen IP-adresser lagret).
  • Personer som sender henvendelser via skjema: navn, e-post, telefon­nummer, fritekst­melding, bedrifts­navn, eventuelle vedlagte filer.
  • Personer som booker (hvis booking-modul er aktivert): navn, kontakt­info, dato, antall personer, eventuelle preferanser.
  • Personer omtalt i innhold: hvis Behandlings­ansvarlig publiserer ansatt­profiler, kundereferanser eller lignende — navn, bilde, tittel, sitater.

Det behandles ikke særlige kategorier av personopplysninger (helse, religion, politisk syn, biometri osv.) uten eksplisitt skriftlig avtale.

3. Databehandlers plikter

Databehandler skal:

  • Kun behandle personopplysninger etter dokumentert instruks fra Behandlings­ansvarlig — herunder de instruksene som ligger i tjenestens funksjonalitet og i Vilkårene.
  • Sikre at alle personer som har tilgang til opplysningene har taushets­plikt.
  • Iverksette egnede tekniske og organisatoriske tiltak for å sikre opplysningene (se §6 nedenfor).
  • Bistå Behandlings­ansvarlig med å oppfylle de registrertes rettigheter (innsyn, retting, sletting, dataportabilitet).
  • Varsle Behandlings­ansvarlig uten ugrunnet opphold ved brudd på person­opplysnings­sikkerheten, og senest innen 48 timer.
  • Slette eller returnere alle personopplysninger etter at avtalen er avsluttet, etter Behandlings­ansvarliges valg.
  • Gjøre tilgjengelig all informasjon som er nødvendig for å vise at forpliktelsene i denne avtalen er overholdt, og tillate revisjon eller inspeksjon.

4. Behandlings­ansvarliges plikter

Behandlings­ansvarlig skal:

  • Sikre at det finnes et gyldig behandlings­grunnlag for de opplysningene som behandles via nettsiden — herunder informere besøkende via personvern­erklæringen på nettsiden.
  • Gi Databehandler instrukser i tråd med gjeldende rett.
  • Varsle Databehandler om eventuelle endringer i behandlingens formål eller omfang.

5. Under­databehandlere

Behandlings­ansvarlig gir Databehandler generelt forhånds­samtykke til å engasjere under­databehandlere, forutsatt at de er bundet av tilsvarende forpliktelser som i denne avtalen. Liste over aktive under­databehandlere på avtaletidspunktet:

  • Vercel Inc. (hosting av nettsiden, EU-noder) — vercel.com
  • Cloudflare R2 (bilde- og fil­lagring, EU-region) — cloudflare.com
  • Neon (database, EU-region) — neon.tech
  • Railway (drift av Synliggjorts motor, EU-region) — railway.com
  • Amazon Web Services SES (utsending av transaksjons­e-post, EU-region eu-north-1) — aws.amazon.com
  • Google Workspace / Gmail API (midlertidig transport for utsending fra Synliggjorts egen postkasse inntil AWS SES­produksjons­tilgang er innvilget; EU/USA — Google Ireland) — workspace.google.com
  • Anthropic (AI-modeller, USA — bilder/tekst behandles uten lagring) — anthropic.com
  • OpenAI (AI-modeller, USA — zero-data-retention) — openai.com
  • Apify (innhenting av offentlig referanse­materiale, EU) — apify.com
  • Plausible Analytics (anonymiserte besøk­statistikker, EU) — plausible.io

For overføringer til USA brukes enten leverandører sertifisert under EU-US Data Privacy Framework, eller EUs standard­personvern­bestemmelser (SCC).

Databehandler skal varsle Behandlings­ansvarlig før en ny under­databehandler tas i bruk. Behandlings­ansvarlig kan innvende mot endringen innen 30 dager; uten innvending anses endringen som godkjent.

6. Sikkerhets­tiltak

Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et nivå på sikkerheten som er tilpasset risikoen, jf. GDPR art. 32. Tiltakene omfatter blant annet:

  • Kryptering av data i transitt (HTTPS / TLS 1.2+).
  • Kryptering av data i hvile (database- og objektlagring).
  • Tilgangs­kontroll: kun nødvendige personer har tilgang, og tilgang fjernes ved opphør av tilgangs­behov.
  • HMAC-signerte sesjons­cookies med utløpstid; ingen passord­basert innlogging.
  • Sikkerhets­oppdateringer av avhengigheter løpende.
  • Regelmessig sikkerhets­kopiering av database (Neon point-in-time recovery), og av lagring (Cloudflare R2 versjonering).
  • Tilstrekkelig logging for å kunne oppdage og etterforske sikkerhets­hendelser.

7. Brudd på person­opplysnings­sikkerheten

Ved brudd på person­opplysnings­sikkerheten skal Databehandler uten ugrunnet opphold, og senest innen 48 timer, varsle Behandlings­ansvarlig per e-post til den kontakt­adressen Behandlings­ansvarlig har oppgitt. Varselet skal inneholde beskrivelse av bruddet, omfang, tiltak som er iverksatt og sannsynlige konsekvenser.

Behandlings­ansvarlig er ansvarlig for å vurdere om bruddet skal meldes til Datatilsynet (innen 72 timer) og/eller til de berørte registrerte.

8. De registrertes rettigheter

Databehandler skal bistå Behandlings­ansvarlig med å besvare anmodninger fra de registrerte om innsyn, retting, sletting, begrensning, dataportabilitet eller protest. Anmodninger som sendes direkte til Databehandler videresendes til Behandlings­ansvarlig innen 5 virkedager.

9. Sletting ved avtalens slutt

Ved opphør av avtaleforholdet skal Databehandler innen 30 dager slette alle personopplysninger fra produksjons­systemene, og innen 90 dager også fra sikkerhets­kopier — med unntak av data som Databehandler er lovpålagt å oppbevare (eksempelvis regnskaps­bilag, jf. bokførings­loven §13).

Behandlings­ansvarlig kan be om utlevering av en kopi av dataene i et maskin­lesbart format før sletting.

10. Revisjon og inspeksjon

Behandlings­ansvarlig har rett til, én gang per kalenderår, å be om dokumentasjon som viser at Databehandler overholder denne avtalen. Større revisjoner — eksempelvis tredjeparts­gjennomgang eller fysisk inspeksjon — avtales særskilt og bekostes av Behandlings­ansvarlig, med mindre revisjonen avdekker vesentlige brudd.

11. Lovvalg

Avtalen er underlagt norsk rett. Tvister behandles ved Vesterålen tingrett, jf. Vilkårene §13.

Kontakt

Databehandlers kontakt­person for spørsmål om person­vern er Mathias Haughom — mathias@synliggjort.no, 991 98 828.

Tilbake til forsiden · Vilkår · 14-dagers garanti · Personvern