← Tilbake

Databehandleravtale

Sist oppdatert: 2. april 2025

Partene i denne avtalen:

Databehandler: Webfront (org.nr. 927 983 850), post@webfront.no
Behandlingsansvarlig: Kunden som har registrert en konto hos Webfront

Denne avtalen inngås automatisk ved opprettelse av konto hos Webfront og er en del av avtaleforholdet mellom partene.

1. Bakgrunn og formål

Webfront leverer en SaaS-tjeneste som blant annet behandler personopplysninger på vegne av kunden (behandlingsansvarlig). Dette inkluderer kundedata som lagres i forbindelse med bestillinger, kampanjer og kundeoversikter i dashboardet.

Denne databehandleravtalen (DBA) regulerer Webfronts behandling av personopplysninger på vegne av kunden i samsvar med GDPR artikkel 28.

2. Behandlingens art og formål

Webfront behandler personopplysninger på vegne av kunden for å:

  • Lagre og vise innhold kunden legger inn (blogg, prosjekter, produkter)
  • Motta og håndtere bestillinger fra kundens kunder via nettstedet
  • Bygge og vedlikeholde kunderegisteret som genereres fra bestillinger
  • Sende e-postkampanjer til kundens kunder på kundens instruks
  • Vise statistikk og innsikt i dashboardet

3. Typer personopplysninger og registrerte

Webfront kan behandle følgende personopplysninger på vegne av kunden:

  • Navn, e-postadresse og telefonnummer tilhørende kundens kunder
  • Bestillingshistorikk og produktvalg
  • E-postkampanjestatus (åpnet, klikket, avmeldt)

Webfront behandler ikke sensitive personopplysninger på vegne av kunden.

4. Webfronts forpliktelser

Webfront forplikter seg til å:

  • Kun behandle personopplysninger etter dokumenterte instrukser fra kunden, med mindre annet følger av lov
  • Sikre at personer med tilgang til personopplysningene er underlagt taushetsplikt
  • Iverksette egnede tekniske og organisatoriske sikkerhetstiltak jf. GDPR art. 32
  • Varsle kunden uten ugrunnet opphold ved brudd på personopplysningssikkerheten
  • Bistå kunden med å oppfylle sine forpliktelser overfor de registrerte (innsyn, sletting mv.)
  • Slette eller tilbakelevere alle personopplysninger etter at tjenesten avsluttes
  • Gi kunden tilgang til all informasjon som er nødvendig for å påvise etterlevelse av denne avtalen

5. Underleverandører (under-databehandlere)

Kunden godkjenner at Webfront benytter følgende underleverandører for å levere tjenesten. Disse behandler kun personopplysninger på Webfronts instrukser og er underlagt tilsvarende forpliktelser som i denne avtalen:

  • Supabase – database og autentisering (EU/Frankfurt)
  • Vercel – hosting og infrastruktur (EU/USA)
  • Resend – e-postutsendelse (USA, SCCs)
  • Stripe – betalingsbehandling (EU/USA, SCCs)

Webfront varsler kunden ved vesentlige endringer i bruk av underleverandører.

6. Sikkerhetstiltak

Webfront har iverksatt bl.a. følgende sikkerhetstiltak:

  • Kryptering av data i overføring (TLS) og i hvile
  • Row Level Security (RLS) i database — kunder kan kun se egne data
  • Autentisering via Supabase Auth med sikre sesjonstokener
  • Begrensede tilganger etter «need to know»-prinsippet
  • Automatisk logging av hendelser for sporbarhetsformål

7. Overføring til tredjeland

Der personopplysninger overføres til land utenfor EU/EØS (f.eks. USA via Resend og Vercel), skjer dette på grunnlag av EUs standardkontraktklausuler (SCCs), jf. GDPR art. 46(2)(c).

8. Varighet og opphør

Avtalen gjelder så lenge kunden har et aktivt abonnement hos Webfront. Ved opphør sletter Webfront kundens personopplysninger innen 30 dager, med unntak av data Webfront er lovpålagt å beholde.

9. Kundens forpliktelser

Kunden er ansvarlig for at det foreligger et gyldig rettslig grunnlag for behandlingen av personopplysningene som kunden instruerer Webfront til å behandle, og at de registrerte er informert i henhold til GDPR art. 13/14.

Kontakt

Spørsmål om denne avtalen: post@webfront.no