Databehandleravtale

2.1 Formål

Databehandler skal behandle personopplysninger for følgende formål:

• Administrasjon av medlemsregister
• Kommunikasjon med medlemmer (e-post)
• Håndtering av kontingentbetalinger og depositum
• Arrangementhåndtering og ventelister
• Statistikk og rapportering

2.2 Type personopplysninger

• Navn, e-postadresse, telefonnummer
• Fødselsdato, adresse
• Medlemsnummer, medlemskategori, medlemsstatus
• Tilhørighet til lokallag/paraplyorganisasjon (hvis aktuelt)
• Betalingsinformasjon (ikke kortdetaljer)
• E-poststatistikk (åpninger, klikk, IP-adresse)

2.3 Kategorier av registrerte

• Medlemmer i Behandlingsansvarligs forening
• Kontaktpersoner i foreningen
• Administratorer og medlemmer i eventuelle underliggende lokallag (for paraplyorganisasjoner)

2.4 Behandlingens varighet

Fra signeringsdato til avtaleforholdet avsluttes.

3.1 Instrukser

Databehandler skal kun behandle personopplysninger i henhold til Behandlingsansvarligs dokumenterte instrukser, med mindre annet følger av EU-rett eller norsk rett.

3.2 Konfidensialitet

Databehandler skal sikre at personer som er autorisert til å behandle personopplysningene har forpliktet seg til konfidensialitet eller er underlagt lovbestemt taushetsplikt.

3.3 Sikkerhetstiltak

Databehandler skal iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder:

• Kryptering av personopplysninger (HTTPS/TLS, bcrypt)
• Tilgangskontroll (Row Level Security)
• Regelmessige sikkerhetsoppdateringer
• Backup av data

3.4 Underleverandører

Databehandler benytter følgende underleverandører:

• Google Cloud - Database-leverandør (Cloud SQL, EU)
• Vercel Inc. - Hosting og infrastruktur (behandler alle HTTP-forespørsler, inkl. IP-adresser)
• Resend - E-postleverandør
• Stripe Inc. - Betalingsformidler
• Upstash Inc. - Redis-cache for hastighetsbegrensning (behandler IP-adresser og bruker-ID-er)

Alle underleverandører er bundet av tilsvarende databehandleravtaler.

3.5 Bistand til Behandlingsansvarlig

Databehandler skal, i den utstrekning det er mulig, bistå Behandlingsansvarlig med å oppfylle plikten til å svare på anmodninger om utøvelse av de registrertes rettigheter (innsyn, retting, sletting, etc.).

3.6 Bistand ved sikkerhetshendelser

Databehandler skal bistå Behandlingsansvarlig med å sikre overholdelse av GDPR artikkel 32-36 (sikkerhet, varsling av brudd, DPIA).

3.7 Sletting eller retur av data

Databehandler skal, etter at tjenestene er avsluttet, slette eller returnere alle personopplysninger til Behandlingsansvarlig, med mindre lagring av personopplysningene er pålagt ved EU-rett eller norsk rett.

3.8 Dokumentasjon

Databehandler skal stille all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene i denne Avtalen til rådighet for Behandlingsansvarlig.