Databehandleravtale (DPA)
Verka Konsult AS
Versjon: 1.2
Dato: 12. mai 2026
Språk: Norsk
Status: Gjeldende
Kategori: Juridisk krav (Compliance)
---
1. PARTER
| Rolle | Part | Organisasjonsnummer | Juridisk adresse |
|---|---|---|---|
| **Databehandler** | Verka Konsult AS | [ORGNR] | [ADRESSE] |
| **Behandlingsansvarlig** | Kunde | [ORGNR/PERSONNR] | [Kundens adresse] |
Virksomhet: Verka Konsult AS tilbyr digitalisert regnskapsbistand, bilagsbehandling og regnskap for små håndverksbedrifter (ENK og små AS) i Norge.
---
2. OMFANG – DATABEHANDLING
Datatyper som behandles
- Innkommende bilag (fakturaer, kvitteringer, fotografier av bilag)
- Kjørjournalopplysninger (dato, kjørte kilometer, oppdrag)
- Fakturainformasjon (kundepersoner, kontaktdetaljer)
- Betalingsinformasjoner (innbetalingsreferanser, betalingstidspunkt)
- Kommunikasjon via Telegram (instruksjoner, bilagsfoto, meldinger)
Formål med behandlingen
Utføring av regnskapsbistand og bilagsdigitalisering iht. kundens kontrakt med Verka.
Lovgrunnlag
- **GDPR Art. 6(1)(b):** Oppfylling av kontraktuell plikt
- **Norsk bokføringsloven § 13:** Lovpålagt oppbevaring av bilag
- **Norsk regnskapsstandard NS 4102:** Regnskap for små bedrifter
- **Regnskapsplakaten:** Norskspråkige fullt utskrivelige bilagsaksler
---
3. SIKKERHETSTILTAK
Verka implementerer følgende sikkerhetstiltak for å beskytte personopplysninger:
- **Kryptering i transit:** HTTPS/TLS for all kommunikasjon
- **Tilgangskontroll:** Isolert lagring per kunde (ingen deling mellom kunder)
- **Backup og gjenoppretting:** Daglig automatisert backup med 4 timers gjenopprettingstid
- **Operatørkontroll:** Begrenset tilgang til kundedata for ansatte
- **Revisjonsspor:** Dokumentasjon av databehandling oppbevares i minimum 3 år
---
4. PLIKTER – DATABEHANDLER (Verka)
Verka forplikter seg til å:
1. Behandle data korrekt: Behandle personopplysninger kun etter kundens instruksjon og iht. denne avtale
2. Sikre data: Implementere og opprettholde sikkerhetstiltak for å beskytte data mot utilsiktet eller ulovlig behandling
3. Underleverandører: Samarbeide kun med underleverandører som har inngått databehandleravtaler, og varsle kunden ved endringer
4. Kundens rettigheter: Hjelpe kunden med å oppfylle vedkommendes plikter overfor registrerte, herunder:
- Rett til innsyn (data-eksport innen 7 dager)
- Rett til sletting (innen 5 arbeidsdager, hvor lovlig)
- Rett til dataportabilitet (i maskinlesbart format)
5. Avviksvarsel: Varsle kunden umiddelbart, og senest innen 24 timer, dersom det oppstår mistenkt dataangrep, uautorisert tilgang eller datalekkasje
6. Revisjonsspor: Oppbevare behandlingsspor og gjøre det tilgjengelig for kundens revisor eller Datatilsynet på anmodning
---
5. PLIKTER – BEHANDLINGSANSVARLIG (Kunde)
Kunden forplikter seg til å:
1. Instruksjon: Instruere Verka om hva som skal behandles, og godkjenne prosesseringsflyt før oppstart
2. Lovlighet: Sikre at all bilagsdata som sendes til Verka er lovlig innhentet og ikke inneholder personopplysninger om tredjeparter uten tilstrekkelig grunnlag
3. Medarbeidere: Informere sine medarbeidere og samarbeidspartnere om at bilag digitaliseres via Verka
4. Avtaleslutt: Instruere Verka om sletting eller arkivering av data ved avtaleavslutning
---
6. UNDERLEVERANDØRER
Verka benytter følgende tredjeparts-leverandører i behandlingen:
- **Hetzner Online GmbH** – VPS-hosting og sikkerhetskopi
- **Google Cloud (Gemini)** – Optisk tegngjenkjenning (OCR)
- **Stripe Inc.** – Betalingsformidling
- **Anthropic (via OpenRouter)** – Datastrukturering via kunstig intelligens
- **Telegram** – Kommunikasjonskanal for instruksjonsmottak
Kunden godkjenner denne listen ved kontraktsignering. Dersom Verka innfører nye underleverandører, varsles kunden skriftlig.
---
7. OPPBEVARING OG SLETTING
| Datatype | Oppbevaringsfrist | Grunn |
|---|---|---|
| Bilag og fakturaer | 5 år | Bokføringsloven § 13 |
| Kjørjournal | 3–5 år | Revisjons- og skattemessig krav |
| Kommunikasjonslog (Telegram) | 90 dager etter oppgjør | Kunstøtting |
| Interne notater | Ved avtaleslutt | Konfidensialitet |
Sletting: Data slettes automatisk etter oppbevaringsfristen. På kundens anmodning kan data slettes tidligere, med unntak av lovpålagt arkiv. Verka gir skriftlig bekreftelse av sletting innen 10 arbeidsdager.
---
8. KUNDENES GDPR-RETTIGHETER
Kunden har følgende rettigheter iht. GDPR:
- **Rett til innsyn:** Kunden kan be om alle personopplysninger om registrerte
- **Rett til sletting:** «Retten til å bli glemt» hvor lovlig
- **Rett til dataportabilitet:** Eksport av data i maskinlesbart format (ZIP)
- **Rett til berichtelse:** Rett til å få feil data rettet
Verka tilrettelegger for alle disse rettighetene ved kundens anmodning.
---
9. VARIGHET OG AVSLUTNING
| Punkt | Betingelse |
|---|---|
| **Varighet** | Fra signering til avtale avsluttet |
| **Oppsigelsesfrist** | 30 dager skriftlig varsel (e-post) |
| **Databehandling ved oppsigelelse** | Sletting eller arkivering etter kundens valg |
| **Sletting-attestasjon** | Gis skriftlig innen 10 arbeidsdager |
| **Revisjonsspor** | Bevares av Verka i 5 år etter sletting |
---
10. LOVVALG OG JURISDIKSJON
- **Gjeldende lov:** Norsk lov (Bokføringsloven, GDPR, personopplysningsloven)
- **Domstol:** Ordinær domstol i Norge
---
11. UNDERSKRIFT
Denne databehandleravtale inngås mellom partene nedenfor:
| Part | Navn | Funksjon | Dato | Signatur |
|---|---|---|---|---|
| **Verka Konsult AS** | Tom Arne Lillehovde | Daglig leder | [DATO] | [SIGNATUR] |
| **Kunde** | [KUNDENAVN] | [FUNKSJON] | [DATO] | [SIGNATUR] |
---
Dokumentversion: 1.2 (Streamlined)
Gjeldende fra: 12. mai 2026
Neste gjennomgang: 12. mai 2027