bungaflow
Slik fungerer detPriserIntegrasjoner
Logg innKom i gang

Databehandleravtale

Sist oppdatert: 25. mars 2026

1. Parter og virkeområde

Denne databehandleravtalen ("DBA") er inngått mellom kunden som bruker Bungaflow ("Behandlingsansvarlig") og Redor AS, organisasjonsnummer [under registrering], som driver Bungaflow-plattformen ("Databehandler").

Avtalen regulerer Databehandlerens behandling av personopplysninger på vegne av den Behandlingsansvarlige i henhold til personvernforordningen (GDPR), særlig artikkel 28. Avtalen utgjør en integrert del av tjenesteavtalen mellom partene og supplerer personvernerklæringen og brukervilkårene.

2. Definisjoner

  • Personopplysninger: Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person.
  • Behandling: Enhver operasjon som utføres med personopplysninger, inkludert innsamling, lagring, endring, gjenfinning, utlevering eller sletting.
  • Behandlingsansvarlig: Den parten som bestemmer formålet med og midlene for behandlingen av personopplysninger (kunden — enhetseier eller organisasjonsadministrator).
  • Databehandler: Den parten som behandler personopplysninger på vegne av den Behandlingsansvarlige (Redor AS / Bungaflow).
  • Underleverandør: En tredjepart engasjert av Databehandleren for å utføre spesifikke behandlingsaktiviteter.
  • Registrert: Den fysiske personen som personopplysningene gjelder.
  • Tilsynsmyndighet: Den uavhengige offentlige myndigheten som er ansvarlig for å overvåke anvendelsen av personvernlovgivningen (i Norge: Datatilsynet).

3. Formål og varighet

Databehandleren behandler personopplysninger på vegne av den Behandlingsansvarlige for å levere Bungaflow-plattformen, inkludert, men ikke begrenset til: bookingadministrasjon, utgiftsdeling, oppgavehåndtering, meldinger, vedlikeholdslogg, dokumentlagring, gjesteportal, AI-assistent og relaterte funksjoner.

Behandlingen varer så lenge den Behandlingsansvarlige har en aktiv konto på Bungaflow-plattformen. Ved oppsigelse eller sletting av kontoen opphører behandlingen og data slettes i samsvar med punkt 12 i denne avtalen.

4. Typer personopplysninger som behandles

Databehandleren behandler følgende kategorier av personopplysninger på vegne av den Behandlingsansvarlige:

  • Navn og e-postadresser til enhetsmedlemmer
  • Bookingdata (datoer, typer, medlemstilknytning)
  • Utgiftsdata (beløp, beskrivelser, kvitteringsbilder)
  • Meldinger og gjestebokinnlegg
  • Vedlikeholdslogger
  • Oppgavetildelinger
  • Gjesteportaldata (gjestenavn, innsjekkingsinformasjon)
  • WiFi-passord (kryptert med AES-256-GCM)
  • AI-chatsamtaler
  • Push-varslingsabonnementer
  • Aktivitetslogger

5. Kategorier av registrerte

Behandlingen gjelder følgende kategorier av registrerte:

  • Enhetsmedlemmer (administratorer og lite-medlemmer)
  • Gjester (via gjesteportalen)
  • Organisasjonsmedlemmer

6. Databehandlerens forpliktelser

Databehandleren skal:

  • Kun behandle personopplysninger etter dokumenterte instrukser fra den Behandlingsansvarlige, med mindre EU- eller medlemsstatslovgivning krever det.
  • Sikre at personer som er autorisert til å behandle personopplysninger har forpliktet seg til konfidensialitet eller er underlagt en passende lovbestemt taushetsplikt.
  • Iverksette egnede tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er tilpasset risikoen, inkludert:
    • TLS-kryptering for alle data under overføring
    • AES-256-GCM-kryptering for sensitive felt (f.eks. WiFi-passord)
    • HSTS- og Content Security Policy-headere
    • Rollebasert tilgangskontroll (Admin- / Lite-medlemsroller)
    • Automatisert CI/CD-pipeline med sikkerhetsskanning
    • Sikkerhet på databasenivå med radsikkerhet og kaskadeslettingspolicyer
  • Bistå den Behandlingsansvarlige med å oppfylle forespørsler fra registrerte, inkludert retten til innsyn, retting, sletting, dataportabilitet og begrensning av behandling.
  • Bistå den Behandlingsansvarlige med å sikre overholdelse av GDPR artiklene 32–36 (sikkerhet, varsling om brudd, personvernkonsekvensutredninger).
  • Etter den Behandlingsansvarliges valg, slette eller returnere alle personopplysninger etter endt tjeneste, og slette eksisterende kopier med mindre EU- eller medlemsstatslovgivning krever lagring. Kontosletting fjerner alle enhetsdata via kaskadesletting.
  • Gjøre tilgjengelig for den Behandlingsansvarlige all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene i GDPR artikkel 28.

7. Underleverandører

Den Behandlingsansvarlige gir generell autorisasjon til Databehandleren for å benytte følgende underleverandører:

UnderleverandørFormålLokasjonDBA
Supabase Inc.Database og autentiseringEU Vest (Irland)Standard DBA
Stripe Inc.BetalingsbehandlingEU (Irland)Standard DBA
Vercel Inc.Hosting og CDNGlobalt edge, EU opprinnelseStandard DBA
Resend Inc.E-postleveringUSA (Virginia)Standard DBA
OpenAI Inc.AI-assistentUSAAPI DBA, null datalagring
Functional Software (Sentry)FeilovervåkingEU (Frankfurt)Standard DBA
Cookiebot (Cybot A/S)SamtykkehåndteringEU (Tyskland)Standard DBA

Databehandleren skal informere den Behandlingsansvarlige om planlagte endringer knyttet til tillegg eller erstatning av underleverandører, og gi den Behandlingsansvarlige mulighet til å protestere mot slike endringer innen 14 dager etter varsling.

8. Internasjonale dataoverføringer

Enkelte underleverandører (Resend, OpenAI, Vercels edge-nettverk) kan behandle personopplysninger utenfor EU/EØS. Slike overføringer er beskyttet av EU–US Data Privacy Framework og/eller standardkontraktsklausuler (SCCs) vedtatt av EU-kommisjonen, i samsvar med GDPR kapittel V.

9. Varsling om sikkerhetsbrudd

Databehandleren skal varsle den Behandlingsansvarlige uten ugrunnet opphold, og senest innen 48 timer, etter å ha blitt oppmerksom på et brudd på personopplysningssikkerheten, i samsvar med GDPR artikkel 33. Varslingen skal inkludere bruddets art, kategorier og omtrentlig antall berørte registrerte, sannsynlige konsekvenser og tiltak som er iverksatt eller foreslått for å håndtere bruddet.

10. Revisjonsrett

Den Behandlingsansvarlige har rett til å revidere, eller la en uavhengig tredjepart revidere, Databehandlerens overholdelse av denne avtalen og gjeldende personvernlovgivning. Databehandleren skal gjøre tilgjengelig all informasjon som er nødvendig for å påvise overholdelse og skal samarbeide om slike revisjoner.

11. Ansvar

Hver part er ansvarlig for skade forårsaket av behandling som bryter med GDPR i henhold til artikkel 82. Databehandlerens samlede ansvar under denne avtalen er begrenset til de samlede gebyrene betalt av den Behandlingsansvarlige til Databehandleren i de 12 månedene forut for hendelsen som gir grunnlag for kravet.

12. Varighet og oppsigelse

Denne avtalen trer i kraft når den Behandlingsansvarlige oppretter en konto på Bungaflow-plattformen og gjelder så lenge Databehandleren behandler personopplysninger på vegne av den Behandlingsansvarlige. Ved oppsigelse eller sletting av den Behandlingsansvarliges konto slettes alle personopplysninger innen 30 dager. Slettingen utføres via kaskadesletting, som fjerner alle tilknyttede enhetsdata (bookinger, utgifter, medlemmer, meldinger, oppgaver, dokumenter osv.).

13. Kontakt

For spørsmål om denne databehandleravtalen eller behandling av personopplysninger, kontakt oss på privacy@bungaflow.com.