Databehandleravtale
Om denne avtalen: Denne databehandleravtalen («DPA») er utformet i samsvar med GDPR artikkel 28 og regulerer behandlingen av personopplysninger som Veraleva utfører på vegne av PT-abonnenten. Avtalen inngås automatisk ved registrering og aksepteres digitalt.
1. Parter og formål
Personlig trener (PT)
Den fysiske eller juridiske personen som tegner PT-abonnement hos Veraleva
Registrert brukernavn og e-post brukt ved registrering
Behandlingsansvarlig bestemmer formålene med og midlene for behandlingen av klientenes personopplysninger. Databehandler behandler personopplysninger utelukkende på vegne av og etter dokumenterte instrukser fra behandlingsansvarlig, jf. GDPR art. 28.
2. Behandlingens gjenstand og varighet
Databehandler leverer en nettbasert ernæringscoaching-plattform som teknisk infrastruktur. Behandlingen skjer i perioden abonnementet er aktivt, og i en avviklingsperiode på inntil 30 dager etter oppsigelse (for å muliggjøre dataeksport).
Behandlingen skjer i EU/EØS (Frankfurt, Tyskland via Render.com). Det overføres ikke personopplysninger til land utenfor EU/EØS uten at adekvate garantier er på plass, jf. GDPR kap. V. Antropic (AI-analyse) har databehandleravtale med standardklausuler (SCCs) for overføring til USA.
3. Kategorier av registrerte og personopplysninger
Registrerte:
- Klienter/sluttbrukere — behandlingsansvarligs (PT-ens) klienter som inviteres til plattformen
Kategorier av personopplysninger:
- Identifikasjonsdata: brukernavn, e-postadresse, for- og etternavn
- Demografiske data: alder, kjønn, høyde, aktivitetsnivå
- Helsedata (særlig kategori, GDPR art. 9):
- Matlogg (matinntaket per måltid og dag)
- Vektlogg og kroppsmål (vekt, midjemål, hoftemål m.m.)
- Progresjonsbilder (for/side/bak)
- Daglige innsjekk (energinivå, søvnkvalitet, stressnivå, sultfølelse)
- Ukentlige selvrapporter
- Ernæringsmål og TDEE-beregninger
- Kommunikasjonsdata: meldinger mellom klient og PT
Helsedata er særlige kategorier av personopplysninger etter GDPR art. 9 og behandles kun med klientens eksplisitte samtykke, jf. art. 9(2)(a).
4. Behandlingsformål
Databehandler behandler personopplysningene utelukkende for å:
- Levere, drifte og vedlikeholde ernæringscoaching-plattformen
- Utføre AI-basert ernæringsanalyse på klientens eksplisitte forespørsel
- Generere ukentlige analyser og rapporter til PT og klient
- Sende transaksjonelle e-poster (påminnelser, passordtilbakestilling)
- Oppfylle juridiske forpliktelser (f.eks. sletting etter GDPR-krav)
Databehandler bruker ikke personopplysningene til egne formål, profilering, markedsføring eller videresalg.
5. Databehandlerens forpliktelser
5.1 Instruksbinding
Databehandler behandler personopplysninger kun i henhold til dokumenterte instrukser fra behandlingsansvarlig, med mindre annen behandling er påkrevd ved lov. I slike tilfeller underrettes behandlingsansvarlig om det rettslige kravet, med mindre dette er forbudt av hensyn til viktige allmenne interesser.
5.2 Taushetsplikt
Alle personer med tilgang til personopplysningene er pålagt taushetsplikt, enten gjennom lovpålagt taushetsplikt eller gjennom skriftlig konfidensialitetsforpliktelse. Taushetsplikten gjelder også etter avtalens opphør.
5.3 Sikkerhetstiltak
Databehandler iverksetter egnede tekniske og organisatoriske sikkerhetstiltak i samsvar med GDPR art. 32. Se seksjon 9 for detaljer.
5.4 Bistå behandlingsansvarlig
Databehandler bistår behandlingsansvarlig med å oppfylle de registrertes rettigheter (seksjon 7), samt med sikkerhet, databruddvarsling, konsekvensutredning (DPIA) og forhåndskonsultasjon, i den grad dette er mulig og rimelig.
5.5 Dokumentasjon
Databehandler fører register over behandlingsaktiviteter etter GDPR art. 30 og stiller dokumentasjon til rådighet for behandlingsansvarlig og tilsynsmyndigheten (Datatilsynet) etter skriftlig anmodning.
6. Underdatabehandlere
Behandlingsansvarlig gir en generell forhåndsgodkjenning til at Veraleva kan benytte følgende underdatabehandlere. Veraleva vil varsle behandlingsansvarlig med minst 30 dagers forvarsel ved endringer i underdatabehandlerlisten.
| Underdatabehandler | Formål | Land | Overføringsgrunnlag |
|---|---|---|---|
| Render.com | Webhosting, databasedrift (PostgreSQL), fillagring (progresjonsbilder) | USA (server i Frankfurt, EU) | SCCs + EU-server |
| Anthropic, PBC | AI-analyse av matbilder, tekst og etiketter. Mottatt data slettes fra Anthropics systemer etter behandling (API-modus, ingen opplæring) | USA | SCCs (Anthropic DPA) |
| Resend, Inc. | Transaksjonell e-post (påminnelser, invitasjoner, passordtilbakestilling) | USA | SCCs (Resend DPA) |
| Stripe, Inc. | Betalingsbehandling for PT-abonnementer (behandler kun PT-ens betalingsdata, ikke klientdata) | USA / EU | SCCs + EU-enheter |
Databehandler inngår tilsvarende databehandleravtaler med alle underdatabehandlere og påser at de er bundet av de samme forpliktelsene som fremgår av denne avtalen.
7. De registrertes rettigheter
Databehandler bistår behandlingsansvarlig med å oppfylle de registrertes rettigheter etter GDPR kap. III:
- Innsyn (art. 15): Klienter kan eksportere egne data via kontoinnstillinger eller ved forespørsel til hei@veraleva.no
- Retting (art. 16): Klienter kan rette egne profildata direkte i appen
- Sletting (art. 17): Klienter kan be om sletting; behandles innen 30 dager
- Dataportabilitet (art. 20): Data kan eksporteres i maskinlesbart format på forespørsel
- Innsigelse og begrensning (art. 18, 21): Håndteres av behandlingsansvarlig med bistand fra Veraleva
Forespørsler rettet direkte til Veraleva fra klienter videresendes til behandlingsansvarlig (PT) innen 5 virkedager.
8. Sletting og retur av data
Ved opphør av abonnementet vil Veraleva:
- Gi behandlingsansvarlig en eksportperiode på 30 dager etter oppsigelse for å hente ut data
- Slette eller makulere alle personopplysninger innen 30 dager etter eksportperiodens utløp
- Sende skriftlig bekreftelse på at sletting er gjennomført etter forespørsel
- Oppbevare nødvendig dokumentasjon for å overholde lovpålagte lagringsfrister (f.eks. regnskapsdata)
Data som behandles av underdatabehandlere (f.eks. Anthropic) slettes i henhold til disse underdatabehandlernes respektive retningslinjer for dataoppbevaring.
9. Sikkerhetstiltak
Veraleva implementerer følgende tekniske og organisatoriske sikkerhetstiltak, jf. GDPR art. 32:
Tekniske tiltak:
- Kryptering i overføring: All kommunikasjon skjer over HTTPS/TLS 1.2+
- Kryptering av passord: bcrypt med kostnadsfaktor ≥ 12
- Tilgangskontroll: Rollebasert tilgangsstyring — klienter ser kun egne data, PTer ser kun egne klienter
- Autentiseringstoken: Hashed invitasjonstokens med 7-dagers utløp
- CSRF-beskyttelse: Flask-WTF CSRF på alle POST-endepunkter
- Filopplastingsvalidering: Magic bytes-validering, 5 MB-grense, EXIF-stripping
- Innloggingsforsøk: Rate limiting på autentiseringsendepunkter
- Databasesikkerhet: Parameteriserte spørringer, fremmednøkler, composite-indekser
Organisatoriske tiltak:
- Begrenset antall personer med tilgang til produksjonssystemet
- Regelmessige automatiske databasesikkerhetskopier
- Overvåking og logging av systemhendelser
- Rutinemessig gjennomgang av tilganger og sikkerhetsoppdateringer
10. Varsling ved personvernbrudd
Veraleva varsler behandlingsansvarlig om personvernbrudd som berører klientenes personopplysninger innen 72 timer etter at bruddet er oppdaget, jf. GDPR art. 33.
Varslingen vil inneholde:
- Beskrivelse av bruddet og antatt omfang
- Kategorier og antall berørte registrerte
- Kontaktperson hos Veraleva
- Mulige konsekvenser av bruddet
- Iverksatte og planlagte tiltak for å begrense skadevirkning
Behandlingsansvarlig er selv ansvarlig for å vurdere meldeplikt til Datatilsynet (jf. GDPR art. 33) og eventuell varsling av de registrerte (jf. GDPR art. 34).
11. Avtalens varighet og endringer
Databehandleravtalen gjelder så lenge PT-abonnementet er aktivt. Avtalen avsluttes automatisk ved opphør av abonnementet, med forbehold om bestemmelsene om sletting og retur i seksjon 8.
Veraleva kan oppdatere DPA-en med 30 dagers forhåndsvarsel per e-post. Vesentlige endringer som reduserer beskyttelsen av de registrerte krever eksplisitt re-aksept. Fortsatt bruk etter ikrafttredelsesdatoen anses som aksept av ikke-vesentlige endringer.
Spørsmål om denne avtalen rettes til: hei@veraleva.no
Digital aksept
Denne databehandleravtalen inngås og aksepteres digitalt ved registrering som PT-abonnent hos Veraleva. Datoen for registrering utgjør signatursdatoen. Behandlingsansvarlig bekrefter å ha lest og forstått innholdet i DPA-en og aksepterer å overholde sine forpliktelser som behandlingsansvarlig etter GDPR.
Partenes identitet: Behandlingsansvarlig identifiseres ved e-postadressen oppgitt ved registrering. Databehandler: Veraleva v/Thor-Håkon Larsen, Norge.