Databehandleravtale (DPA)

Sist oppdatert: 23. juni 2026

Denne databehandleravtalen inngås som vedlegg til kundeavtalen og regulerer Veldias behandling av personopplysninger på kundens vegne (GDPR art. 28).

1. Parter og roller

Behandlingsansvarlig: Kunden (virksomheten som bruker Veldia til å publisere nettside).
Databehandler: VELDIA CARDONA (enkeltpersonforetak) v/ Daniel Cardona, org.nr 937 850 360.

Avtalen gjelder personopplysninger Veldia behandler på kundens vegne gjennom kundens publiserte nettside. For kundens egne kontaktopplysninger og betalingsdata er Veldia selvstendig behandlingsansvarlig (se personvernerklæringen).

2. Behandlingens formål, art og varighet

Formål: drift av kundens nettside med kontaktskjema, booking og kalenderintegrasjon.
Art: innsamling, lagring, visning og videresending (varsling) av besøkeres henvendelser.
Varighet: så lenge kundeavtalen løper. Ved opphør: se punkt 8.

3. Kategorier registrerte og personopplysninger

Registrerte: kundens nettstedsbesøkende og personer som tar kontakt eller booker.
Opplysninger: navn, e-post, telefon, melding/notat, booking-tidspunkt; ved kalenderkobling kun ledig/opptatt-status. Ingen særlige kategorier er tiltenkt behandlet — kunden skal ikke samle inn slike via skjema.
Tekniske opplysninger ved visning: når en besøkende åpner kundens side, behandles tekniske opplysninger som IP-adresse, tidspunkt, forespurt side og nettlesertype på infrastrukturnivå (CDN/hosting) i den grad det er nødvendig for å levere, sikre og feilsøke tjenesten. Veldias applikasjon lagrer ikke disse opplysningene i egen database; de behandles forbigående av infrastrukturleverandørene i punkt 5.

4. Databehandlers plikter (art. 28.3)

Veldia skal:

a) behandle personopplysninger kun etter dokumenterte instrukser fra kunden (denne avtalen og bruk av tjenesten utgjør instruksen);
b) sikre konfidensialitet hos alle med tilgang;
c) iverksette egnede sikkerhetstiltak (art. 32) — se personvernerklæringen punkt 10;
d) ikke engasjere underdatabehandlere uten generell forhåndsgodkjenning (punkt 5), og varsle ved endringer slik at kunden kan protestere;
e) bistå kunden med å svare på henvendelser fra registrerte (innsyn, sletting m.m.);
f) bistå ved sikkerhetsbrudd, DPIA og forhåndsdrøfting;
g) slette eller returnere opplysningene ved opphør (punkt 8);
h) gjøre tilgjengelig informasjon som viser etterlevelse, og muliggjøre revisjon;
i) umiddelbart underrette kunden dersom en instruks etter Veldias oppfatning er i strid med personvernforordningen (GDPR) eller andre personvernregler.

5. Underdatabehandlere

Kunden gir generelt samtykke til underdatabehandlerne som behandler besøkeres personopplysninger på vegne av kunden:

Leverandør	Funksjon	Region	DPA på plass
Neon	Database (lagrer leads/bookinger)	EU (Frankfurt)	DPA del av vilkår; kan signeres separat
Cloudflare	Visning og levering av nettsiden. Lagring (R2) i EU-jurisdiksjon; levering skjer via Cloudflares globale CDN/edge, slik at teknisk trafikk (inkl. IP) kan behandles ved edge-lokasjoner også utenfor EU/EØS under Cloudflares DPA/DPF/SCC-grunnlag	R2: EU; CDN/edge: globalt	DPA del av abonnementsavtale
Fly.io	Applikasjonsdrift	EU (Stockholm)	DPA del av vilkår
Scaleway	Varslings-e-post til kunden	EU (Paris)	DPA del av vilkår
Sveve	SMS-varsling til kunden	Norge	DPA del av vilkår
Google / Microsoft	Kalender — valgfri integrasjon, kun dersom kunden selv aktiverer. Systemet leser kun ledig/opptatt-tider (free/busy) fra kundens kalender; ingen besøkerdata skrives til eller deles med Google/Microsoft	USA	DPF-sertifisert (SCC supplerende)

Veldias øvrige leverandører (Stripe, fakturapartner, HubSpot, samt AI-leverandører som brukes til generering av nettsidens innhold) behandler kundens egne data, ikke besøkernes, og er listet i personvernerklæringen. Når en besøkende tar kontakt via siden, videresendes henvendelsen til kunden per e-post; det benyttes ingen AI-chatbot mot besøkende.

Veldia skal inngå skriftlig avtale med enhver underdatabehandler som pålegger denne tilsvarende databeskyttelsesforpliktelser som i denne avtalen, og forblir ansvarlig overfor kunden for at underdatabehandlere oppfyller sine forpliktelser. Veldia varsler ved nye eller endrede underdatabehandlere med rimelig frist; kunden kan protestere på saklig personverngrunnlag.

6. Overføring utenfor EU/EØS

Kjernebehandlingen av besøkeres personopplysninger skjer i EU/EØS, jf. tabellen i punkt 5.

Den valgfrie kalenderintegrasjonen som kunden selv kobler til (Google- eller Microsoft-kalender) innebærer behandling i USA. For slik overføring skjer overføringsgrunnlaget primært under EUs Data Privacy Framework (DPF) — Google og Microsoft er DPF-sertifiserte — med EUs standardkontrakter (SCC) som supplerende grunnlag der DPF ikke dekker en bestemt overføring. Integrasjonen aktiveres kun dersom kunden selv velger å koble den til. Overføringsgrunnlaget per leverandør er dokumentert i Veldias interne subprosessor-register.

7. Sikkerhetsbrudd

Veldia varsler kunden uten ugrunnet opphold etter å ha blitt kjent med brudd som berører kundens data, med tilstrekkelig informasjon til at kunden kan oppfylle sin varslingsplikt overfor Datatilsynet (art. 33) og registrerte (art. 34).

8. Sletting ved opphør

Ved opphør av kundeavtalen slettes kundens nettside og tilhørende personopplysninger innen 30 dager, med mindre lov krever lengre lagring. Løpende dataminimering ellers: se personvernerklæringen punkt 6.

9. Kundens ansvar

Kunden er behandlingsansvarlig og skal: ha lovlig grunnlag for innsamlingen, ha egen personvernerklæring overfor sine besøkende, ikke samle inn særlige kategorier via skjema, og gi korrekte instrukser. Veldia er ikke ansvarlig for innhold kunden selv konfigurerer.

10. Lovvalg og verneting

Avtalen reguleres av norsk rett. Verneting er Trøndelag tingrett, jf. kundeavtalen.

Vedlegg A — Tekniske og organisatoriske sikkerhetstiltak (art. 32)

Veldia har iverksatt blant annet følgende tiltak:

Kryptert overføring: all trafikk over TLS/HTTPS.
Tilgangsstyring: rolle- og tokenbasert tilgang; redigeringslenker beskyttet med hemmelige tokens; begrenset administratoradgang.
Hemmelighetshåndtering: API-nøkler og hemmeligheter i sikret nøkkellager (ikke i kode).
Datalokasjon: kjernedata og AI-behandling i EU/EØS (se personvernerklæringen punkt 4).
Logging og overvåkning: driftsavvik logges og overvåkes.
Sletterutiner: automatisk, planlagt sletting etter fastsatte frister (punkt 8 og personvernerklæringen punkt 6).
Bruddhåndtering: rutine for varsling uten ugrunnet opphold (punkt 7).
Underleverandører: brukes kun under databehandleravtale med tilsvarende forpliktelser (punkt 5).
Dataminimering: metadata (EXIF/GPS) fjernes automatisk fra opplastede bilder.

Tiltakene gjennomgås og oppdateres ved behov.

Se også kundeavtalen og personvernerklæringen.