Juridisk
Databehandleravtale
Sist oppdatert 22. mai 2026. Trenger du et signert eksemplar? Ta kontakt så sender vi en PDF-versjon.
1. Partene
Behandlingsansvarlig er kunden av Staple. Databehandler er Smart Økonomi AS, org.nr 932 145 678. Denne avtalen utgjør databehandleravtalen mellom partene i tråd med GDPR artikkel 28.
2. Behandlingsformål
Databehandler behandler personopplysninger på vegne av behandlingsansvarlig for å levere regnskapstjenester via Staple. Formålet er begrenset til drift av tjenesten og oppfyllelse av kundens instruksjoner.
3. Type personopplysninger
Vanlig identifikasjon (navn, e-post, telefon, stilling), regnskapsdata om ansatte og kunder hos behandlingsansvarlig, samt revisjonsspor over handlinger i tjenesten.
4. Underdatabehandlere
Databehandler bruker følgende underdatabehandlere (alle GDPR-compliant og i EU/EØS): Vercel (hosting), Supabase (database), Resend (e-post), pg-boss (jobber). Oppdatert liste publiseres på /sikkerhet og endringer varsles minst 30 dager før de trer i kraft.
5. Sikkerhetstiltak
Tenant-isolasjon med Row Level Security, kryptering i ro (AES-256) og under transport (TLS 1.3), tilgangsstyring per rolle, audit-trail på alle handlinger, regelmessige sårbarhetsskanninger og hendelseshåndtering. Detaljer finnes i Trust Center på /sikkerhet.
6. Hendelser og brudd
Databrudd som rammer kundens data varsles uten ugrunnet opphold, senest 24 timer etter at databehandler ble klar over hendelsen. Behandlingsansvarlig er ansvarlig for eventuell varsling til Datatilsynet.
7. Varighet og opphør
Avtalen løper så lenge databehandler behandler personopplysninger for behandlingsansvarlig. Ved opphør slettes eller returneres alle data innen 30 dager, med mindre lovpålagte krav krever lengre oppbevaring.
8. Tilgjengelighet og revisjon
Behandlingsansvarlig kan kreve revisjon én gang per år. Databehandler gjør tilgjengelig nødvendig dokumentasjon for å bekrefte etterlevelse av denne avtalen.