DATABEHANDLER-AVTALE FOR BEFAR

Sist oppdatert: 16.06.2026

1. Parter

Denne databehandleravtalen («Avtalen») inngås mellom:

Kunden («Behandlingsansvarlig»)

og

BEFAR AS («Databehandler»)

Avtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av BEFAR.

Avtalen er inngått som et vedlegg til gjeldende brukeravtale mellom partene.

2. Formål

Formålet med avtalen er å sikre at personopplysninger behandles i samsvar med:

  • Personopplysningsloven

  • Personvernforordningen (GDPR)

  • Annet relevant personvernregelverk

Databehandler skal kun behandle personopplysninger etter dokumenterte instrukser fra Behandlingsansvarlig.

3. Roller

Behandlingsansvarlig

Kunden er behandlingsansvarlig for personopplysninger som registreres, lagres eller behandles gjennom tjenesten.

Behandlingsansvarlig er ansvarlig for:

  • behandlingsgrunnlag

  • informasjon til registrerte

  • ivaretakelse av registrertes rettigheter

  • lovligheten av behandlingen

Databehandler

BEFAR er databehandler og behandler personopplysninger utelukkende på vegne av Kunden.

4. Behandlingens art og formål

Databehandler behandler personopplysninger for å:

  • levere tjenesten

  • lagre rapporter og dokumentasjon

  • administrere brukerkontoer

  • håndtere sikkerhetskopiering

  • drifte systemet

  • yte kundesupport

  • ivareta informasjonssikkerhet

Databehandler skal ikke bruke personopplysninger til egne formål.

Dersom Databehandler mener at en instruks fra Behandlingsansvarlig er i strid med personvernlovgivningen, skal Databehandler varsle Behandlingsansvarlig uten ugrunnet opphold.

5. Kategorier av personopplysninger

Følgende kategorier av personopplysninger kan behandles gjennom tjenesten:

Brukeropplysninger

  • navn

  • e-postadresse

  • telefonnummer

  • firmaopplysninger

  • innloggingsinformasjon

Oppdragsopplysninger

  • navn på oppdragsgivere

  • adresseopplysninger

  • eiendomsopplysninger

  • kontaktinformasjon

  • bilder

  • dokumentasjon

  • rapportinnhold

Tekniske opplysninger

  • IP-adresser

  • innloggingshistorikk

  • systemlogger

  • brukerinformasjon

Systemet er ikke beregnet for behandling av sensitive personopplysninger. Dersom Kunden registrerer slike opplysninger, er Kunden ansvarlig for at dette skjer i samsvar med gjeldende personvernlovgivning.

6. Varighet

Databehandler skal behandle personopplysninger så lenge brukeravtalen mellom partene gjelder.

Ved opphør gjelder bestemmelsene i punkt 13.

7. Konfidensialitet

Databehandler skal sikre at personer som gis tilgang til personopplysninger:

  • har tjenstlig behov for tilgang

  • er underlagt taushetsplikt

  • har mottatt nødvendig opplæring

Taushetsplikten gjelder også etter at arbeidsforhold eller oppdrag er avsluttet.

8. Informasjonssikkerhet

Databehandler skal gjennomføre egnede tekniske og organisatoriske tiltak for å beskytte personopplysninger mot:

  • uautorisert tilgang

  • endring

  • tap

  • ødeleggelse

  • utilsiktet utlevering

Tiltakene skal blant annet omfatte:

  • tilgangskontroll

  • passordbeskyttelse

  • sikker autentisering

  • sikkerhetskopiering

  • logging

  • kryptering der dette er hensiktsmessig

Tiltakene skal stå i rimelig forhold til risikoen ved behandlingen.

9. Bruk av underdatabehandlere

Databehandler kan benytte underdatabehandlere for levering av tjenesten.

Aktuelle kategorier underdatabehandlere kan omfatte:

  • server- og hostingleverandører

  • skylagringsleverandører

  • e-postleverandører

  • autentiseringsleverandører

  • support- og driftstjenester

Databehandler skal sikre at underdatabehandlere pålegges tilsvarende personvernforpliktelser som følger av denne avtalen.

Oppdatert oversikt over underdatabehandlere gjøres tilgjengelig på forespørsel eller gjennom informasjon publisert på BEFARs nettsider.

10. Overføring til tredjeland

Personopplysninger skal som hovedregel behandles innenfor EU/EØS.

Dersom personopplysninger overføres til land utenfor EU/EØS, skal Databehandler sikre gyldig overføringsgrunnlag i henhold til GDPR.

11. Bistand til behandlingsansvarlig

Databehandler skal, så langt det er praktisk mulig og rimelig, bistå

Behandlingsansvarlig med å:

  • besvare innsynsbegjæringer

  • rette personopplysninger

  • slette personopplysninger

  • begrense behandling

  • oppfylle øvrige plikter etter GDPR

Databehandler kan kreve rimelig vederlag dersom bistanden medfører vesentlig merarbeid.

12. Avvik og sikkerhetsbrudd

Databehandler skal uten ugrunnet opphold varsle Behandlingsansvarlig dersom det oppstår:

  • brudd på personopplysningssikkerheten• uautorisert tilgang til personopplysninger

  • tap av personopplysninger

  • utilsiktet utlevering av personopplysninger

  • andre hendelser som kan påvirke registrertes rettigheter og friheter

Varslet skal så langt det er mulig inneholde:

  • beskrivelse av hendelsen

  • hvilke kategorier opplysninger som er berørt

  • antatt omfang

  • sannsynlige konsekvenser

  • gjennomførte eller planlagte tiltak

13. Sletting og tilbakelevering av data

Ved opphør av brukeravtalen kan Kunden innen 90 dager be om utlevering av egne data i tilgjengelig format.

Etter utløpet av denne perioden kan Databehandler slette opplysningene med mindre:

  • lagring kreves ved lov

  • fortsatt lagring er nødvendig for å ivareta rettslige krav

  • partene avtaler noe annet

Sikkerhetskopier slettes i henhold til Databehandlers ordinære rutiner.

14. Revisjon og kontroll

Behandlingsansvarlig kan be om dokumentasjon som viser at Databehandler oppfyller sine forpliktelser etter denne avtalen.

Dersom særlige forhold tilsier det, kan Behandlingsansvarlig kreve nærmere dokumentasjon eller revisjon.

Databehandler kan kreve at revisjonen:

  • varsles på forhånd

  • gjennomføres i normal arbeidstid

  • ikke medfører urimelig belastning

  • gjennomføres på en måte som ivaretar andre kunders sikkerhet og konfidensialitet

Kunden dekker egne kostnader ved revisjon.

Databehandler kan oppfylle dokumentasjonsplikten ved å fremlegge relevante sikkerhetsrapporter, erklæringer eller annen tilsvarende dokumentasjon dersom dette anses tilstrekkelig for å dokumentere etterlevelse av avtalen.

15. Ansvar

Partenes ansvar for behandling av personopplysninger reguleres av denne avtalen, brukeravtalen og gjeldende personvernlovgivning.

Databehandler er ikke ansvarlig for behandling som skjer etter instruks fra Behandlingsansvarlig, med mindre Databehandler visste eller burde forstått at instruksen var ulovlig.

16. Lovvalg og verneting

Denne avtalen reguleres av norsk rett.

Eventuelle tvister skal behandles etter bestemmelsene om tvisteløsning i brukeravtalen.