Databehandleravtale
I henhold til personvernforordningen (GDPR) artikkel 28
Sist oppdatert: 19. mars 2026
1. Parter
Denne avtalen er inngått mellom:
- Behandlingsansvarlig: Organisasjonen som har inngått avtale om bruk av SMEB sin læringsplattform (heretter «Kunden»).
- Databehandler: SMEB AS (org.nr 930 073 954), Storgata 26, 3181 Horten (heretter «SMEB»).
2. Formål
Denne avtalen regulerer SMEBs behandling av personopplysninger på vegne av Kunden i forbindelse med levering av læringsplattformen for psykologisk trygghet på arbeidsplassen.
3. Kategorier av registrerte og personopplysninger
Kategorier av registrerte
- Ansatte og medlemmer i Kundens organisasjon som er registrert på plattformen.
Kategorier av personopplysninger
- E-postadresse og autentiseringsdata
- Navn og profilbilde (frivillig)
- Gruppetilhørighet (hovedgruppe og undergruppe)
- Kursfremdrift, quiz-resultater og sertifikater
- Tidspunkter for innlogging og aktivitet
Merk: Journal- og selvevalueringsdata er Zero-Knowledge-kryptert og kan verken leses av SMEB eller Kunden. Disse dataene anses ikke som personopplysninger i SMEBs besittelse.
4. Databehandlerens forpliktelser
SMEB forplikter seg til å:
- Kun behandle personopplysninger i henhold til Kundens dokumenterte instrukser.
- Sikre at personer med tilgang til personopplysningene er underlagt taushetsplikt.
- Iverksette nødvendige tekniske og organisatoriske sikkerhetstiltak, jf. art. 32.
- Ikke benytte underleverandører uten forhåndsgodkjenning fra Kunden.
- Bistå Kunden med oppfyllelse av pliktene i art. 32–36 (sikkerhet, konsekvensvurderinger).
- Slette eller returnere alle personopplysninger ved opphør av avtalen.
- Gi Kunden tilgang til informasjon som er nødvendig for å kontrollere at forpliktelsene i denne avtalen overholdes.
5. Sikkerhetstiltak
SMEB har implementert følgende tiltak:
- Kryptering: TLS 1.3 for data i transitt, AES-256 for data i hvile.
- Zero-Knowledge: Klient-side kryptering for journal og selvevaluering.
- Tilgangsstyring: Rollebasert tilgangskontroll (RBAC) og Row-Level Security (RLS) i databasen.
- Autentisering: Firebase Authentication med krypterte sesjoner og rate-limiting.
- Sikkerhetshoder: HSTS, X-Frame-Options, CSP, X-Content-Type-Options.
- Logging: Sikkerhetshendelser logges og oppbevares i 90 dager.
- Regelmessige vurderinger: Sikkerhetsgjennomganger utføres regelmessig.
6. Underleverandører
SMEB benytter følgende godkjente underleverandører for å levere tjenesten:
| Leverandør | Formål | Lokasjon |
|---|---|---|
| Google Cloud (Firebase) | Database, autentisering og lagring | EU (Frankfurt) |
| Vercel Inc. | Hosting og CDN | EU/Global Edge |
| Stripe Inc. | Betalingsbehandling | EU |
| Resend Inc. | Transaksjons-e-post | USA (DPA inngått) |
Kunden godkjenner ovenstående underleverandører ved signering av denne avtalen. SMEB varsler Kunden minst 30 dager i forkant ved endring av underleverandører.
7. Overføring til tredjeland
Personopplysninger behandles primært innen EU/EØS. Dersom data overføres til USA (f.eks. via Resend), sikres dette gjennom EU-U.S. Data Privacy Framework eller EU-standardklausuler (SCC).
8. Sikkerhetsbrudd
Ved brudd på personopplysningssikkerheten skal SMEB varsle Kunden uten ugrunnet opphold og senest innen 48 timer etter at bruddet ble oppdaget. Varselet skal inneholde:
- Beskrivelse av bruddets art og omfang.
- Sannsynlige konsekvenser.
- Tiltak iverksatt eller foreslått for å håndtere bruddet.
9. Revisjon og kontroll
Kunden har rett til å gjennomføre revisjoner for å sikre at SMEB overholder sine forpliktelser etter denne avtalen, med rimelig varsel (minst 14 dager). SMEB skal legge til rette for slik revisjon.
10. Varighet og opphør
- Denne avtalen gjelder så lenge SMEB behandler personopplysninger på vegne av Kunden.
- Ved opphør av tjenesteavtalen skal SMEB slette alle personopplysninger innen 30 dager, med mindre lovpålagt lagring krever annet.
- Kunden kan be om eksport av data før sletting.
11. Kontakt
Spørsmål om datahåndtering kan rettes til:
SMEB AS
E-post: hei@smeb.no
Se også vår personvernerklæring og våre brukervilkår.