travel_exploreVONU
Juridisk

Databehandleravtale

Hvordan VONU behandler personopplysninger på vegne av Kunden, som vedlegg til Vilkårene (GDPR artikkel 28).

Sist oppdatert: 24. juni 2026
Innhold i avtalen
  1. 1. Roller og formål
  2. 2. Forrang
  3. 3. Kundens plikter
  4. 4. VONUs plikter
  5. 5. Underdatabehandlere
  6. 6. Overføring til tredjeland
  7. 7. Varighet og opphør
  8. 8. Ansvar
  9. 9. Endringer
  10. 10. Lovvalg og verneting
  11. Vedlegg A — Behandlingen
  12. Vedlegg B — Sikkerhetstiltak
  13. Vedlegg C — Underdatabehandlere

Denne databehandleravtalen («Databehandleravtalen») inngås mellom Kunden, som behandlingsansvarlig, og Dfh AS (VONU), org.nr 936 286 690, Oslo, som databehandler. Avtalen er et vedlegg til og en integrert del av Vilkårene, og regulerer VONUs behandling av personopplysninger på vegne av Kunden i forbindelse med leveransen av Tjenesten. Avtalen oppfyller kravene i personvernforordningen (GDPR) artikkel 28 nr. 3.

Begrepene «behandlingsansvarlig», «databehandler», «underdatabehandler», «personopplysninger», «behandling», «registrert», «særlige kategorier» og «brudd på personopplysningssikkerheten» (avvik) har samme betydning som i personvernforordningen.

1. Roller og formål

1.1 Kunden er behandlingsansvarlig og bestemmer formålet med og hjelpemidlene for behandlingen. VONU er databehandler og behandler personopplysninger på vegne av Kunden.

1.2 Behandlingen som omfattes av denne avtalen er beskrevet i Vedlegg A.

1.3 Avtalen gjelder for de personopplysningene VONU behandler for å levere og drifte Nettsiden. Henvendelser fra kontaktskjema og lignende skjemaer på Nettsiden lagres ikke hos VONU, men leveres til Kunden etter den modellen som er avtalt i Tilbudet, jf. punkt 4.10. I tillegg behandles tekniske data fra besøk på Nettsiden i den grad det er nødvendig for drift og sikkerhet.

2. Forrang

2.1 Ved motstrid mellom denne Databehandleravtalen og Vilkårene, går denne avtalen foran for spørsmål om behandling av personopplysninger.

2.2 Ved motstrid mellom denne avtalen og ufravikelig personvernregelverk, går regelverket foran.

3. Kundens plikter som behandlingsansvarlig

3.1 Kunden er ansvarlig for at det foreligger et gyldig behandlingsgrunnlag for behandlingen, og for at de registrerte får den informasjonen de har krav på.

3.2 Kunden innestår for at instrukser gitt til VONU er i samsvar med personvernregelverket.

3.3 Kunden skal ikke gjøre særlige kategorier av personopplysninger (GDPR artikkel 9) eller opplysninger om straffedommer og lovovertredelser tilgjengelig for behandling gjennom Tjenesten, med mindre dette er uttrykkelig skriftlig avtalt og det er etablert nødvendige garantier.

3.4 Kunden holder VONU skadesløs for krav, tap og kostnader som skyldes at Kundens instrukser, behandlingsgrunnlag eller informasjon til de registrerte ikke er i samsvar med regelverket, jf. punkt 11.

3.5 Kunden er selv ansvarlig for egne tredjepartstjenester som Kunden kobler til Nettsiden, herunder egne analyseverktøy, CRM-systemer og markedsføringsplattformer, og for nødvendig behandlingsgrunnlag og egne avtaler med disse. Slik tilkobling skjer etter avtale med VONU.

4. VONUs plikter som databehandler

4.1 Instrukser. VONU behandler personopplysninger bare på dokumenterte instrukser fra Kunden, herunder ved overføring til tredjeland, med mindre annet kreves etter lov VONU er underlagt. I så fall underretter VONU Kunden om det rettslige kravet før behandlingen, med mindre loven forbyr slik underretning. Denne avtalen med vedlegg, samt Kundens bruk av Tjenesten i tråd med Vilkårene, utgjør Kundens dokumenterte instrukser.

4.2 Lovstridig instruks. VONU skal umiddelbart underrette Kunden dersom en instruks etter VONUs vurdering er i strid med personvernregelverket.

4.3 Konfidensialitet. VONU sikrer at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er underlagt en egnet lovbestemt taushetsplikt. Taushetsplikten består også etter at avtalen er opphørt.

4.4 Sikkerhet. VONU gjennomfører egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er tilpasset risikoen, i samsvar med GDPR artikkel 32. Tiltakene er beskrevet i Vedlegg B.

4.5 Bistand til de registrertes rettigheter. VONU bistår Kunden, så langt det er mulig og gjennom egnede tekniske og organisatoriske tiltak, med å oppfylle Kundens plikt til å svare på anmodninger om utøvelse av de registrertes rettigheter (innsyn, retting, sletting, begrensning, dataportabilitet og innsigelse). Henvendelser fra registrerte som VONU mottar direkte, videreformidles til Kunden uten ugrunnet opphold, og besvares ikke av VONU på egen hånd.

4.6 Bistand til etterlevelse. VONU bistår Kunden med å overholde pliktene etter GDPR artikkel 32–36, herunder sikkerhet, melding om avvik, vurdering av personvernkonsekvenser (DPIA) og forhåndsdrøfting med tilsynsmyndigheten, idet det tas hensyn til behandlingens art og opplysningene VONU har tilgjengelig.

4.7 Avvik (brudd på personopplysningssikkerheten). VONU varsler Kunden uten ugrunnet opphold, og senest innen 48 timer, etter å ha blitt kjent med et avvik som berører personopplysninger VONU behandler for Kunden. Varselet skal, så langt det er mulig, beskrive avvikets art, hvilke opplysninger og registrerte som er berørt, sannsynlige konsekvenser og iverksatte eller foreslåtte tiltak. Kunden er ansvarlig for eventuell melding til tilsynsmyndigheten og de registrerte; VONU sender ikke slik melding på egen hånd.

4.8 Protokoll. VONU fører protokoll over behandlingsaktiviteter som utføres på vegne av Kunden, i samsvar med GDPR artikkel 30 nr. 2.

4.9 Dokumentasjon og revisjon. VONU gjør tilgjengelig for Kunden den informasjonen som er nødvendig for å påvise at forpliktelsene i denne avtalen er oppfylt, og muliggjør og bidrar til revisjoner og inspeksjoner som gjennomføres av Kunden eller en revisor utpekt av Kunden. Slik revisjon varsles skriftlig med rimelig frist, gjennomføres normalt høyst én gang per år (med mindre et avvik eller pålegg fra tilsynsmyndighet tilsier annet), skal ikke unødig forstyrre VONUs drift, er underlagt taushetsplikt, og bekostes av Kunden med mindre revisjonen avdekker vesentlig mislighold fra VONUs side.

4.10 Dataminimering og levering av henvendelser. VONU lagrer ikke innholdet i henvendelser fra Nettsidens skjemaer, men behandler dem bare midlertidig for å kunne levere dem til Kunden. Hvordan henvendelser leveres avtales i Tilbudet, etter én av følgende modeller:

  • Modell A – levering via VONU. Henvendelser sendes til Kundens e-postadresse gjennom VONUs e-postleverandør. I så fall opptrer denne leverandøren som underdatabehandler for Kunden, jf. Vedlegg C.
  • Modell B – levering hos Kunden. Henvendelser leveres direkte til Kundens eget mottak (Kundens egen e-post eller en leveringsløsning registrert på Kunden). I så fall behandler ikke VONU henvendelsene utover den midlertidige behandlingen ved innsamling, og leveringsleverandøren er ikke VONUs underdatabehandler.

Kunden er behandlingsansvarlig for henvendelsene etter levering, og for videre oppbevaring i egne systemer. Uavhengig av modell tilbys lagring, lagringsdatabase eller annen forvaltning av henvendelser hos VONU (for eksempel en CRM-lignende funksjon) kun som et uttrykkelig avtalt tilvalg, nærmere regulert i Tilbudet samt i Vedlegg A og C.

5. Underdatabehandlere

5.1 Kunden gir VONU en generell forhåndsgodkjenning til å benytte underdatabehandlere for å levere Tjenesten. Underdatabehandlere som er godkjent ved avtaleinngåelsen, fremgår av Vedlegg C.

5.2 VONU underretter Kunden skriftlig (herunder per e-post eller via VONUs nettsider) før en ny underdatabehandler tas i bruk eller en eksisterende erstattes. Kunden kan innen 30 dager gjøre innsigelse mot endringen på saklig personverngrunnlag. Fastholder partene uenighet, kan Kunden si opp den berørte delen av Tjenesten.

5.3 VONU pålegger enhver underdatabehandler de samme forpliktelsene med hensyn til vern av personopplysninger som følger av denne avtalen, gjennom en bindende avtale.

5.4 VONU har fullt ansvar overfor Kunden for at underdatabehandlere oppfyller sine forpliktelser, jf. GDPR artikkel 28 nr. 4.

6. Overføring til tredjeland

6.1 Personopplysninger behandles innenfor EØS med mindre annet fremgår av Vedlegg C eller Kunden gir dokumentert instruks om annet.

6.2 Skjer det overføring til et land utenfor EØS, sikrer VONU at det foreligger et gyldig overføringsgrunnlag etter GDPR kapittel V, for eksempel en beslutning om tilstrekkelig beskyttelsesnivå, EUs standard personvernbestemmelser (SCC) eller annet gyldig grunnlag med nødvendige supplerende tiltak. Gjeldende overføringsgrunnlag for hver underdatabehandler fremgår av Vedlegg C.

7. Varighet og opphør

7.1 Databehandleravtalen gjelder så lenge VONU behandler personopplysninger på vegne av Kunden, og opphører senest når abonnementet opphører.

7.2 Ved opphør skal VONU, etter Kundens valg, slette eller tilbakelevere alle personopplysninger som er behandlet på vegne av Kunden, og slette eksisterende kopier, med mindre lagring kreves etter lov. Velger ikke Kunden innen rimelig tid, sletter VONU opplysningene.

7.3 Sletting omfatter også sikkerhetskopier, så snart disse i henhold til ordinære rutiner overskrives eller slettes.

8. Ansvar

8.1 Partenes erstatningsansvar mellom seg under denne avtalen følger ansvarsbegrensningene i Vilkårene, med mindre annet følger av ufravikelig rett.

8.2 Ansvar overfor registrerte og tilsynsmyndighet reguleres av personvernregelverket, herunder GDPR artikkel 82.

8.3 Kundens skadesløsholdelse etter punkt 3.4 gjelder tilsvarende for krav som springer ut av Kundens forhold som behandlingsansvarlig.

9. Endringer

VONU kan oppdatere denne avtalen for å gjenspeile endringer i regelverk, i listen over underdatabehandlere eller i hvordan Tjenesten leveres. Vesentlige endringer varsles etter samme fremgangsmåte som i Vilkårene. Endringer som svekker vernet av personopplysninger krever Kundens samtykke.

10. Lovvalg og verneting

Avtalen reguleres av norsk rett. Tvister søkes løst i minnelighet. Fører ikke dette frem, vedtas Oslo tingrett som verneting.

Vedlegg A — Beskrivelse av behandlingen

Behandlingens art: Innsamling, midlertidig behandling og levering av personopplysninger som ledd i å levere og drifte Nettsiden. Henvendelser fra Nettsidens skjemaer lagres ikke hos VONU, men leveres til Kunden etter avtalt modell, jf. punkt 4.10 (Modell A – levering via VONUs e-postleverandør, eller Modell B – levering direkte til Kundens eget mottak). Lagring eller forvaltning av henvendelser hos VONU tilbys kun som uttrykkelig avtalt tilvalg.

Formål med behandlingen:

  • Drift og hosting av Nettsiden.
  • Mottak og levering av henvendelser fra Nettsidens skjemaer til Kunden, etter avtalt leveringsmodell, uten lagring hos VONU.
  • Teknisk drift, sikkerhet og feilretting.

Behandlingens varighet: Henvendelser behandles kun midlertidig under videreformidling og lagres ikke. Tekniske driftsdata behandles så lenge abonnementet løper, jf. punkt 7. Et eventuelt avtalt lagringstilvalg har den varighet som avtales i Tilbudet.

Kategorier av registrerte:

  • Besøkende på Nettsiden.
  • Personer som sender inn henvendelser via kontaktskjema eller diagnoseverktøy (typisk Kundens potensielle kunder og kontakter).

Kategorier av personopplysninger:

  • Kontaktopplysninger: navn, e-postadresse, telefonnummer.
  • Virksomhetsopplysninger oppgitt av den registrerte: selskapsnavn og organisasjonsnummer.
  • Fritekst oppgitt i Nettsidens skjemaer.
  • Tekniske data: IP-adresse, enhets- og nettleserinformasjon og lignende data fra besøk, i den grad slikt behandles.

Særlige kategorier: Behandles ikke, jf. punkt 3.3.

Vedlegg B — Tekniske og organisatoriske sikkerhetstiltak (GDPR artikkel 32)

VONU gjennomfører som et minimum følgende tiltak, tilpasset risikoen ved behandlingen:

  • Kryptering under overføring: All trafikk til og fra Nettsiden og innsendinger krypteres med TLS (HTTPS).
  • Tilgangsstyring: Kun autoriserte personer har tilgang til personopplysninger, basert på tjenstlig behov, og tilgangen er beskyttet med autentisering.
  • Etablert infrastruktur: Hosting og lagring skjer hos etablerte leverandører med dokumentert sikkerhetsnivå (se Vedlegg C).
  • Bot- og spambeskyttelse: Innsendingsskjemaer er beskyttet mot misbruk (Cloudflare Turnstile), uten bruk av sporingscookies.
  • Sikkerhetskopiering og gjenoppretting: Det tas sikkerhetskopier som muliggjør gjenoppretting ved hendelser.
  • Logging: Relevante hendelser logges for å kunne oppdage og håndtere sikkerhetsbrudd.
  • Konfidensialitet: Personer med tilgang er underlagt taushetsplikt.
  • Løpende vurdering: Tiltakene gjennomgås og oppdateres ved behov, ved endret risiko eller endret behandling.

Vedlegg C — Godkjente underdatabehandlere

Underdatabehandler Tjeneste og formål Behandlingssted Overføringsgrunnlag
Cloudflare, Inc. Hosting av Nettsiden (Pages), midlertidig behandling av skjemainnsendinger ved innsamling og levering, bot-/spambeskyttelse (Turnstile). Ingen lagring av henvendelser som standard. Globalt nettverk; selskap etablert i USA EUs standard personvernbestemmelser (SCC) og EU–US Data Privacy Framework, med supplerende tiltak
Brevo (Sendinblue SAS) (kun ved Modell A, jf. punkt 4.10) Levering av henvendelser til Kundens e-postadresse, og eventuell kvittering til den registrerte. Brukes ikke som underdatabehandler dersom Modell B er avtalt. EØS (Frankrike) Behandles innenfor EØS

EU-residens for behandling hos Cloudflare forutsetter Cloudflares Data Localization Suite, som ikke er aktivert på VONUs nåværende abonnement. Behandling kan derfor skje utenfor EØS, dekket av overføringsgrunnlaget angitt over.

Listen oppdateres i samsvar med punkt 5.2. Hvilke underdatabehandlere som faktisk benyttes for den enkelte Kunde, avhenger av leveringsmodellen avtalt i Tilbudet. Gjeldende versjon utgjør en del av Databehandleravtalen.

Drives av Dfh AS · org.nr 936 286 690 · Oslo · [email protected]