1. Bakgrunn og formål
Avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig, jf. personvernforordningen (GDPR) artikkel 28, i forbindelse med levering av signeringstjenesten Signeres («Tjenesten»). Ved motstrid går denne Avtalen foran øvrige vilkår hva gjelder behandling av personopplysninger.
2. Behandlingens art og formål
Databehandler behandler personopplysninger for å: opprette og lagre dokumenter basert på kundens maler, sende dokumenter til signaturparter på e-post/SMS, gjennomføre elektronisk signering (herunder BankID via Signicat når aktivert), lagre signaturbevis, sende påminnelser og bekreftelser, og gi Behandlingsansvarlig oversikt over avtalestatus. Detaljer fremgår av Vedlegg A.
3. Behandlingsansvarliges plikter
Behandlingsansvarlig bekrefter at den:
- har gyldig behandlingsgrunnlag for opplysningene som legges inn i Tjenesten,
- kun registrerer opplysninger som er nødvendige for formålet, herunder at fødselsnummer bare benyttes der det foreligger saklig behov (personopplysningsloven § 12),
- oppfyller sin informasjonsplikt overfor de registrerte, og
- er ansvarlig for innholdet i dokumentene som sendes til signering.
4. Databehandlers plikter
Databehandler skal:
- kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig — bruk av Tjenestens funksjoner utgjør slik instruks,
- sikre at personer med tilgang er underlagt taushetsplikt,
- gjennomføre tekniske og organisatoriske tiltak etter GDPR art. 32 (Vedlegg C),
- bistå Behandlingsansvarlig med å besvare de registrertes rettigheter (innsyn, retting, sletting, portabilitet),
- bistå med personvernkonsekvensvurderinger og forhåndsdrøftinger der det er relevant,
- varsle Behandlingsansvarlig uten ugrunnet opphold ved brudd på personopplysningssikkerheten, med informasjonen som trengs for kundens egen 72-timersvarsling til Datatilsynet, og
- ikke behandle opplysningene til egne formål.
5. Underdatabehandlere
Behandlingsansvarlig gir en generell forhåndsgodkjenning til bruk av underdatabehandlerne i Vedlegg B. Databehandler inngår skriftlig avtale med hver underdatabehandler som pålegger dem tilsvarende forpliktelser som i denne Avtalen, og er fullt ansvarlig overfor Behandlingsansvarlig for deres leveranser. Endringer i listen varsles minst 30 dager før endringen trer i kraft, slik at Behandlingsansvarlig kan protestere. Ved protest kan kundeforholdet avsluttes uten ekstra kostnad.
6. Overføring til tredjeland
Behandling skjer primært innenfor EØS. Der underdatabehandlere innebærer overføring til tredjeland, skjer dette på grunnlag av EU-kommisjonens standardkontrakter (SCC) eller EU-US Data Privacy Framework, jf. Vedlegg B.
7. Sletting og tilbakelevering
Ved opphør av kundeforholdet skal Databehandler etter Behandlingsansvarliges valg slette eller tilbakelevere alle personopplysninger, og slette eksisterende kopier, senest 90 dager etter opphør — med mindre lagring er lovpålagt. Behandlingsansvarlig kan selv eksportere dokumenter fra Tjenesten før opphør.
8. Revisjon
Databehandler skal gjøre tilgjengelig informasjonen som er nødvendig for å påvise at forpliktelsene i GDPR art. 28 etterleves, og muliggjøre og bidra til revisjoner. Revisjon varsles med rimelig frist, gjennomføres på en måte som ikke forstyrrer driften unødig, og kan oppfylles ved fremleggelse av tredjeparts revisjonsrapporter eller sertifiseringer der slike foreligger.
9. Ansvar og varighet
Avtalen gjelder så lenge Databehandler behandler personopplysninger på vegne av Behandlingsansvarlig. Ansvarsregulering følger av brukervilkårene. Avtalen er underlagt norsk rett med norgee domstoler som verneting.
Vedlegg A – Behandlingens detaljer
- Kategorier av registrerte: Behandlingsansvarliges ansatte, kunder, kontaktpersoner og øvrige signaturparter.
- Kategorier av opplysninger: navn, kontaktinformasjon (e-post/telefon), adresse, opplysninger i dokumentinnholdet (f.eks. stilling, lønn, produkt og pris), signaturdata (tegnet/skrevet signatur eller BankID-bekreftet navn), tidsstempler, IP-adresse og enhetsinformasjon ved signering. Fødselsnummer kun der Behandlingsansvarlig selv legger det inn.
- Særlige kategorier: Tjenesten er ikke beregnet for særlige kategorier (GDPR art. 9); Behandlingsansvarlig skal ikke legge inn slike opplysninger.
- Varighet: så lenge kundeforholdet består, jf. punkt 7.
Vedlegg B – Godkjente underdatabehandlere
| Leverandør | Formål | Sted | Overføringsgrunnlag |
|---|---|---|---|
| Supabase Inc. | Database, autentisering og lagring av avtaler, maler og signaturer | EU (datasenter-region valgt ved oppsett) | EUs standardkontrakter (SCC) / EU-US Data Privacy Framework |
| Vercel Inc. | Drift og hosting av applikasjonen | USA/EU | EU-US Data Privacy Framework og SCC |
| Resend (Plus Five Five Inc.) | Utsendelse av e-post (signeringslenker, påminnelser, bekreftelser) | EU (Irland, eu-west-1) | EU-US Data Privacy Framework og SCC |
| Twilio Inc. | Utsendelse av SMS med signeringslenker (når aktivert) | USA | EU-US Data Privacy Framework og SCC |
| Stripe Inc. | Betalingsbehandling for abonnement (når aktivert) | USA/EU | EU-US Data Privacy Framework og SCC |
| Signicat AS | Identitetsbekreftelse og signering med BankID (når aktivert) | Norge/EU | Behandles innenfor EØS |
Vedlegg C – Tekniske og organisatoriske sikkerhetstiltak
- Kryptert kommunikasjon (TLS 1.2+) og kryptering av data i hvile
- Radnivå-tilgangskontroll (RLS): hver kundes data er logisk adskilt, og brukere ser kun eget teams data
- Unike, hemmelige signeringslenker (48 tegn tilfeldig token) per signaturpart
- Signaturbevis med tidsstempel, IP-adresse og enhetsinformasjon
- Rollebasert tilgang i kundens team; administratortilgang hos Databehandler begrenset til driftsbehov
- Hemmeligheter (API-nøkler) lagres kryptert i driftsplattformen og roteres ved mistanke om kompromittering
- Sikkerhetslogging, automatiske avhengighetsoppdateringer og dokumentert rutine for håndtering av sikkerhetsbrudd
Spørsmål om dokumentet? Kontakt oss på personvern@signapi.no.