Databehandleravtale

Sist oppdatert: 20. februar 2026

1. Innledning

Denne databehandleravtalen («Avtalen») regulerer TilbudPros behandling av personopplysninger på vegne av kunden (brukeren av tjenesten). Avtalen er inngått i henhold til kravene i Europaparlamentets og Rådets forordning (EU) 2016/679 (Personvernforordningen/GDPR), spesielt artikkel 28.

Avtalen gjelder så lenge kunden benytter TilbudPros tjenester og personopplysninger behandles på kundens vegne.

2. Definisjoner

  • Behandlingsansvarlig: Kunden (brukeren) som benytter TilbudPro til å opprette og sende tilbud, fakturaer og administrere sine kunder. Den behandlingsansvarlige bestemmer formålet med og midlene for behandlingen av personopplysninger.
  • Databehandler: TilbudPro, som behandler personopplysninger på vegne av den behandlingsansvarlige for å levere tjenesten.
  • Registrert: Fysiske personer hvis personopplysninger behandles, herunder kundens kunder, kontaktpersoner og mottakere av tilbud og fakturaer.
  • Personopplysninger: Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person, slik dette er definert i GDPR artikkel 4 nr. 1.

3. Formål og omfang

TilbudPro behandler personopplysninger utelukkende for å levere tjenesten til den behandlingsansvarlige. Dette omfatter:

  • Oppretting og administrasjon av tilbud og fakturaer
  • Utsending av tilbud og fakturaer via e-post til kundens kunder
  • Lagring og visning av kunde- og kontaktinformasjon
  • Generering av PDF-dokumenter
  • Sporing av tilbudsstatus (åpnet, akseptert, avslått)

Følgende kategorier av personopplysninger behandles:

  • Navn og kontaktperson
  • E-postadresse
  • Telefonnummer
  • Postadresse
  • Organisasjonsnummer
  • Innhold i tilbud og fakturaer (linjer, beløp, betingelser)

4. Databehandlers plikter

TilbudPro forplikter seg til følgende som databehandler:

  • Behandling etter instruks: Personopplysninger behandles kun i samsvar med dokumenterte instrukser fra den behandlingsansvarlige. Dersom TilbudPro mener en instruks er i strid med GDPR eller annen personvernlovgivning, skal kunden varsles umiddelbart.
  • Konfidensialitet: Alle personer som har tilgang til personopplysninger hos TilbudPro er underlagt taushetsplikt.
  • Sikkerhetstiltak: TilbudPro implementerer passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet i forhold til risikoen, jf. GDPR artikkel 32.
  • Bistand med rettigheter: TilbudPro bistår den behandlingsansvarlige med å oppfylle plikten til å svare på forespørsler fra registrerte om utøvelse av deres rettigheter, herunder innsyn, retting, sletting, begrensning, dataportabilitet og innsigelse.
  • Sletting ved opphør: Ved avtalens opphør slettes alle personopplysninger som er behandlet på vegne av den behandlingsansvarlige, med mindre oppbevaring er pålagt ved lov (se punkt 7).
  • Revisjonsrett: TilbudPro gjør all nødvendig informasjon tilgjengelig for den behandlingsansvarlige, og tillater og bidrar til revisjoner og inspeksjoner utført av den behandlingsansvarlige eller en bemyndiget revisor.
  • Varsling ved brudd: TilbudPro varsler den behandlingsansvarlige uten ugrunnet opphold etter å ha blitt kjent med brudd på personopplysningssikkerheten, jf. GDPR artikkel 33.

5. Underleverandører (underdatabehandlere)

TilbudPro benytter følgende underleverandører for å levere tjenesten. Den behandlingsansvarlige gir med dette sitt generelle samtykke til bruk av disse underdatabehandlerne. TilbudPro vil informere den behandlingsansvarlige om eventuelle endringer i underleverandører.

  • Supabase Inc. — Databasehosting og lagring av data. Data lagres i EU/US-region. Supabase har egen databehandleravtale og benytter EUs standardkontraktsklausuler (SCCs).
  • Vercel Inc. — Applikasjonshosting og levering av tjenesten. Servere i USA. Vercel har egen databehandleravtale og benytter EUs standardkontraktsklausuler (SCCs).
  • Stripe Inc. — Betalingsbehandling for abonnementer. Servere i USA. Stripe har egen databehandleravtale og benytter EUs standardkontraktsklausuler (SCCs).
  • Resend Inc. — E-postlevering for utsending av tilbud og fakturaer. Servere i USA. Resend har egen databehandleravtale og benytter EUs standardkontraktsklausuler (SCCs).

Alle underleverandører er bundet av databehandleravtaler som sikrer et tilstrekkelig beskyttelsesnivå i henhold til GDPR.

6. Sikkerhetstiltak

TilbudPro har implementert følgende tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger:

  • Kryptering under overføring: All kommunikasjon mellom brukere og tjenesten er kryptert med TLS (HTTPS).
  • Kryptering ved lagring: Data lagres kryptert i databasen (encryption at rest).
  • Tilgangskontroll: Tilgang til personopplysninger er begrenset til autorisert personell og kontrolleres gjennom autentisering og rollebasert tilgangsstyring.
  • Regelmessige sikkerhetsoppdateringer: Alle systemer og avhengigheter oppdateres jevnlig for å lukke kjente sårbarheter.
  • Ratebegrensning: API-endepunkter er beskyttet med ratebegrensning for å hindre misbruk.
  • Revisjonslogging: Tilgang til og endringer i data logges for å oppdage og etterforske uautorisert tilgang.
  • Passordkryptering: Brukerpassord lagres med enveiskryptering (hashing) og er aldri tilgjengelige i klartekst.

7. Varighet og opphør

Denne avtalen er gyldig så lenge den behandlingsansvarlige har en aktiv konto hos TilbudPro. Ved sletting av konto vil alle personopplysninger som er behandlet på vegne av den behandlingsansvarlige bli slettet innen 30 dager.

Unntak: Fakturaer og tilhørende regnskapsmateriale oppbevares i inntil 5 år etter regnskapsårets slutt i henhold til bokføringsloven (Lov om bokføring), da dette er en lovpålagt oppbevaringsplikt. Disse opplysningene slettes automatisk etter utløp av oppbevaringsperioden.

8. Overføring til tredjeland

Enkelte av TilbudPros underleverandører behandler data i USA. Slike overføringer skjer i henhold til EUs standardkontraktsklausuler (SCCs) vedtatt av EU-kommisjonen, jf. GDPR artikkel 46(2)(c), og/eller basert på tilstrekkelighetsbeslutninger fra EU-kommisjonen der slike foreligger.

TilbudPro sørger for at alle underdatabehandlere som behandler data utenfor EØS har tilstrekkelige garantier for beskyttelse av personopplysninger i tråd med GDPR kapittel V.

9. Den behandlingsansvarliges plikter

Den behandlingsansvarlige er ansvarlig for å sikre at det foreligger gyldig rettslig grunnlag for behandlingen av personopplysninger som legges inn i TilbudPro, herunder at nødvendige samtykker er innhentet eller at annet rettslig grunnlag foreligger. Den behandlingsansvarlige er også ansvarlig for å informere sine registrerte om behandlingen i tråd med GDPR artikkel 13 og 14.

10. Endringer i avtalen

TilbudPro kan oppdatere denne avtalen ved behov, for eksempel ved endringer i lovgivning, tjenesten eller underleverandører. Vesentlige endringer vil bli varslet til den behandlingsansvarlige via e-post eller gjennom tjenesten. Fortsatt bruk av tjenesten etter varsling utgjør aksept av de oppdaterte vilkårene.

11. Kontaktinformasjon

For spørsmål om denne databehandleravtalen eller behandlingen av personopplysninger, kontakt oss på help@tilbudpro.com.

12. Klage til tilsynsmyndighet

Dersom den behandlingsansvarlige eller en registrert mener at behandlingen av personopplysninger ikke er i samsvar med GDPR, kan det klages til Datatilsynet.