Databehandleravtale

Trygg databehandling

Data Processing Agreement (DPA) i henhold til GDPR Artikkel 28. Les hvordan vi behandler og beskytter dine data.

Sist oppdatert: 1. mars 2026

1. Formål og omfang

Denne databehandleravtalen ("DPA") regulerer behandlingen av personopplysninger som Noragentic AS ("Databehandler") utfører på vegne av kunden ("Behandlingsansvarlig") i henhold til EUs personvernforordning (GDPR).

DPA-en gjelder for all behandling av personopplysninger som skjer i forbindelse med bruk av ICPHub-plattformen, inkludert lagring, prosessering og beriking av kontaktinformasjon.

2. Behandlingens varighet og omfang

2.1 Behandlingens gjenstand

Databehandler skal behandle personopplysninger for å tilby følgende tjenester:

  • Oppslag og beriking av kontaktinformasjon (telefonnummer, e-postadresser)
  • Søk etter personer basert på roller og stillinger i bedrifter
  • Lagring og prosessering av innlastede .xlsx-filer
  • Presentasjon av strukturerte søkeresultater

2.2 Behandlingens varighet

Databehandler skal behandle personopplysninger så lenge den Behandlingsansvarlige har en aktiv abonnementsavtale, samt i en periode på opptil 30 dager etter avslutning for å sikre eventuelle gjenopprettingsbehov.

2.3 Kategorier av personopplysninger

  • Navn (fornavn og etternavn)
  • Telefonnummer (mobiltelefon og fasttelefon)
  • E-postadresser (jobb-e-post)
  • Stillingstittel og rolle i bedrift
  • Organisasjonsnummer og bedriftsnavn

2.4 Registrerte personer

Behandlingen gjelder kontaktpersoner i norske bedrifter registrert i offentlige registre som Brønnøysundregistrene.

3. Datasikkerhet (GDPR Art. 32)

Databehandler implementerer følgende tekniske og organisatoriske tiltak:

3.1 Tekniske tiltak

  • Kryptering: TLS 1.3 for data i transitt, AES-256 for data i hvile (Supabase-managed)
  • Tilgangskontroll: Row Level Security (RLS) på databasenivå
  • Autentisering: Multi-faktor autentisering (MFA) via Supabase Auth
  • Logging: Fullstendig revisjonsspor av alle API-kall og dataendringer
  • Backup: Daglige automatiske sikkerhetskopier med Point-In-Time Recovery

3.2 Organisatoriske tiltak

  • Regelmessige sikkerhetsvurderinger og penetrasjonstester
  • Begrenset tilgang til produksjonsdata (kun autorisert personell)
  • Konfidensialitetsforpliktelser for alle ansatte
  • Prosedyrer for håndtering av personvernbrudd

4. Underdatabehandlere (GDPR Art. 28(2))

Den Behandlingsansvarlige gir sitt generelle samtykke til at Databehandler benytter følgende underdatabehandlere:

Supabase Inc.

Formål: Database- og autentiseringstjenester

Lokasjon: EU (eu-north-1, Stockholm)

Garanti: GDPR-kompatibel, EU Standard Contractual Clauses (SCC)

Google Cloud Platform

Formål: Cloud-hosting og lagring (via Supabase og Cloud Run)

Lokasjon: EU (europe-north1, Finland)

Garanti: GDPR-kompatibel, Google Cloud Data Processing Amendment

Stripe Inc.

Formål: Betalingsbehandling og fakturering

Lokasjon: EU og USA (med EU-garantier)

Garanti: GDPR-kompatibel, EU Standard Contractual Clauses (SCC)

Enpro AS

Formål: Datakilde for telefonoppslag

Lokasjon: Norge

Garanti: Norsk selskap, underlagt norsk lov

PostHog Inc.

Formål: Produktanalyse for innloggede brukere (hendelsesregistrering, ingen sesjonsopptak)

Lokasjon: EU (eu-central-1, Frankfurt) — PostHog Cloud EU

Garanti: GDPR-kompatibel, behandling kun innenfor EU/EØS, signert databehandleravtale

Databehandler skal varsle Behandlingsansvarlig minst 30 dager før eventuelle endringer i listen over underdatabehandlere. Behandlingsansvarlig kan motsette seg bruken av nye underdatabehandlere.

5. Instrukser og etterlevelse (GDPR Art. 28(3)(a))

Databehandler skal kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig, med mindre behandlingen kreves i henhold til EU-rett eller norsk rett som Databehandleren er underlagt.

Dersom Databehandleren mener at en instruks fra Behandlingsansvarlig er i strid med GDPR eller annen personvernlovgivning, skal Databehandleren umiddelbart underrette Behandlingsansvarlig om dette. Databehandleren har rett til å suspendere utførelsen av den aktuelle instruksen inntil Behandlingsansvarlig bekrefter eller endrer instruksen.

6. Registrertes rettigheter (GDPR Kap. III)

Databehandler skal bistå Behandlingsansvarlig med å oppfylle registrertes rettigheter:

  • Innsyn (Art. 15): API for å hente ut lagrede data om en person
  • Retting (Art. 16): Mulighet til å oppdatere feilaktige personopplysninger
  • Sletting (Art. 17): Permanent sletting av data i løpet av 14 dager
  • Dataportabilitet (Art. 20): Eksport til strukturerte formater (JSON, Excel)

Henvendelser fra registrerte skal sendes til noragentic@gmail.com og behandles innen 30 dager.

7. Personvernbrudd og sletting

7.1 Personvernbrudd (GDPR Art. 33)

Databehandler skal varsle Behandlingsansvarlig om ethvert personvernbrudd innen 24 timer etter oppdagelse. Varselet skal inneholde:

  • Beskrivelse av hendelsen og berørte personopplysninger
  • Antall berørte registrerte
  • Umiddelbare tiltak som er iverksatt
  • Kontaktinformasjon for videre oppfølging

7.2 Sletting ved opphør (GDPR Art. 28(3)(g))

Ved opphør av tjenesten skal Databehandler:

  • Tilby Behandlingsansvarlig eksport av alle data innen 14 dager
  • Permanent slette/anonymisere alle personopplysninger innen 30 dager
  • Bekrefte sletting skriftlig til Behandlingsansvarlig

8. Revisjon og overholdelse (GDPR Art. 28(3)(h))

Behandlingsansvarlig har rett til å:

  • Forespørre dokumentasjon av sikkerhetstiltak
  • Gjennomføre revisjoner (med minimum 30 dagers varsel)
  • Motta årlige attestasjoner av sikkerhet (f.eks. ISO 27001 eller SOC 2)

9. Kontaktinformasjon

Databehandler

Noragentic AS

Org.nr: 935 025 702

E-post: noragentic@gmail.com

Postadresse: Raveien 215, 3184 Borre

Vilkår for brukPersonvernerklæringKontakt oss
Privacy Policy Terms of Service