KLASO Databehandleravtale (B2B + B2G — canonical)
Mellom Sele AS (org.nr 930 950 270) — heretter «Sele» og kunden («Kunden»). Avtalen utgjør et tillegg til Hovedavtalen om bruk av KLASO-plattformen.
Avtalen finnes i to varianter:
- B2B (organisator/skole/tilbyder): standard databehandler-relasjon (GDPR art. 28). Kunden er behandlingsansvarlig; Sele er databehandler.
- B2G (kommune): felles behandlingsansvar (GDPR art. 26) der Sele og kommunen er felles behandlingsansvarlige for institusjonelle behandlinger (skole, SFO, barnehage), supplert med databehandler-relasjon for plattform-drift. Den B2G-spesifikke delen er samlet i § 10. Resterende paragrafer gjelder begge varianter.
1. Definisjoner
I denne avtalen menes:
- Personopplysning: Som definert i GDPR art. 4 nr. 1.
- Behandling: Som definert i GDPR art. 4 nr. 2.
- Den registrerte: Foreldre, foresatte, barn, ungdom, ansatte og elever som registreres i plattformen.
- Behandlingsansvarlig: I B2B-varianten er Kunden behandlingsansvarlig (art. 4 nr. 7). I B2G-varianten er Sele og kommunen felles behandlingsansvarlige.
- Databehandler: Sele når Sele behandler personopplysninger på vegne av Kunden (B2B-variant); ev. plattform-drift-aspekter også i B2G-variant.
- Underleverandør (sub-processor): Tredjepart som behandler personopplysninger på vegne av Sele for å levere KLASO-tjenestene. Liste i § 3.
- Personvernforordningen / GDPR: Forordning (EU) 2016/679 og personopplysningsloven (LOV-2018-06-15-38).
- SCC: EUs standard kontraktsvilkår for tredjelands-overføring (Kommisjonens gjennomføringsbeslutning (EU) 2021/914).
2. Behandlings-omfang
2.1 Formål og rettslig grunnlag
Sele behandler personopplysninger på vegne av Kunden for følgende formål:
B2B (tilbyder/organisator):
- Administrasjon av aktivitets-tilbud, deltakerlister, oppmøte-registrering
- Kommunikasjon mellom tilbyder og foreldre om aktivitet og helseopplysninger
- Fakturering og betalings-håndtering for aktivitets-deltakelse (via Stripe)
- Tilbyder-abonnement-administrasjon
B2G (kommune — felles-ansvar, se § 10):
- Koordinering av henting og levering ved kommunens institusjoner
- Klassekart og kontaktinformasjon for foresatte ved kommunens skoler
- Pedagogisk dokumentasjon og §9A-saker
- Sikkerhetsrapporter og institusjons-administrasjon
- Skole-roster-import (OneRoster) og rolle-attestasjon (Feide)
2.2 Datakategorier
| Kategori | Inneholder |
|---|---|
| Identifikasjon | Navn, fødselsdato |
| Kontakt | E-post, telefon, adresse |
| Familie-relasjoner | Hushold, foresatt-barn-relasjon, omsorgsdeling |
| Helseopplysninger (særlig kategori, art. 9) | Allergier, medisinske tilstander, kostholdsbehov — kun ved eksplisitt samtykke fra foresatt |
| Institusjons-data | Klassetilhørighet, skole/SFO/barnehage-tilknytning |
| Henting/levering | Tidspunkter, autorisasjoner, delegater |
| Pedagogiske observasjoner (B2G) | Utviklings-data (utviklingsdomene, valens, milepæler, foto/video med samtykke) |
| Identitets-attestasjon | BankID-/Feide-attestasjons-spor |
| Audit | Tilgangs-logg, sanksjons-vedtak, sikkerhetsrapporter |
2.3 Taushetsplikt
Begge parter erkjenner at personopplysninger behandlet under denne avtalen kan være underlagt taushetsplikt etter forvaltningsloven § 13, opplæringsloven § 15-1, og barnehageloven § 44 (B2G-relasjoner). Begge parter forplikter seg til å sikre at kun autorisert personell med tjenstlig behov har tilgang.
3. Underleverandører (sub-processors)
Sele benytter følgende underleverandører ved leveranse av KLASO-tjenestene. Cross-link: oppdatert leveranse-state per processor i data-processors.md.
Status-leksikon i tabellen under:
- ✅ Auto-bundlet: DPA-aksept skjer implisitt ved tjeneste-bruk (typisk via Provider's Commercial ToS / Service Agreement).
- ✅ Signert (separat-flow): DPA er manuell-signert i Provider-konsoll eller via egen kontrakt med Sele AS.
- 🟡 Deployd + stub-mode-gated: kode er deployd og live i prod, men returnerer stub-respons inntil flagg-flip (ingen reelle eksterne kall).
- 🔴 DPA pre-launch-blocker: krever signering før live-mode-flip.
- ⏳ DPA pending: under utarbeidelse / venter på provider-respons.
| Underleverandør | Behandling | Lokasjon | DPA-status | Live-state |
|---|---|---|---|---|
| Supabase, Inc. | Database, autentisering, lagring | EU (AWS eu-central-1, Frankfurt) | ✅ Auto-bundlet (User DPA versjon 2025-08-05, akseptert via Dashboard) | Live |
| Vercel, Inc. | Webhosting (myklaso.app + sub-apper) | EU + global CDN | ✅ Auto-bundlet via ToS — Pro-tier (oppgradert 2026-05-01) | Live |
| Expo (650 Industries) | Mobilapp-distribusjon (EAS) + push-tjeneste | USA — DPF-sertifisert + SCC for trafikk | ✅ Signert (separat-flow, Sele AS, 2026-03-19) | Live |
| Mailgun EU | Transaksjons-emails | EU (api.eu.mailgun.net, region-låst per Mailgun region-doc) | ✅ Auto-bundlet via Mailgun ToS § 4.3 (snapshot 2026-04-30) | Live (D.6 LUKKET 2026-04-30) |
| Sinch (sub-processor under Mailgun) | Email-routing-infrastruktur | EU (under Mailgun) | ✅ Auto-bundlet via Mailgun ToS § 4.3 | Live indirekte |
| Anthropic | AI-assistert administrativt utkast — pseudonymisert kontekst | USA — SCC | ✅ Auto-bundlet via Commercial ToS (akseptert 2026-04-27) | 🟡 Deployd + stub-mode-gated (AI_STUB_MODE=true) [jurist-flagg #5] |
| Sentry | Error-tracking + audit-breadcrumbs (PII-scrubbing aktiv) | EU primært, USA fallback under SCC | ✅ Signert (separat-flow, Sele AS, 2026-04-27) | Live |
| Idura/Criipto | BankID-verifisering | EU (Danmark) | ✅ Signert (separat-flow, Sele AS, 2026) | 🟡 Deployd + stub-mode-gated (BANKID_STUB_MODE=true) |
| Sikt (leverer Feide-innlogging via Dataporten) | Skole-rolle-attestasjon — leverer Feide-innlogging for ansatte, foresatte og elever i kommune-/skole-kontekst. Vi mottar navn, e-post, rolle (elev/foresatt/ansatt), institusjon, klasse-tilknytning. | Norge | ⏳ Databehandleravtale + OAuth-organisasjons-konfigurasjon pre-launch-blocker [jurist-flagg #6] | 🟡 Deployd + stub-mode-gated (FEIDE_STUB_MODE=true) |
| Skole-roster-leverandør (OneRoster-spec) | Import av klasselistere, elev–foresatt-relasjoner og instruktør-tilknytning fra Kundens skole-administrasjons-system. Faktisk leverandør avhenger av kommunens valg — typisk Onedhub, Visma Flyt Skole eller IST Administration i Norge. | EU/Norge | ⏳ Separat databehandleravtale med kommunens roster-leverandør per kommune-aktivering [jurist-flagg #6] | 🟡 Deployd + stub-mode-gated (ONEROSTER_STUB_MODE=true) |
| LinkMobility | Eskalerings-SMS (omsorgs-handoff) | EU/Norge | ⏳ Separat-flow pre-launch-blocker [jurist-flagg #7] | 🟡 Deployd + stub-mode-gated (SMS_STUB_MODE=true) |
| Stripe Payments Europe Ltd. | Betaling (B2C aktivitets-betaling, B2B/B2G abonnement) | EU (Stripe Payments Europe, Irland) | ✅ Auto-bundlet (Standard DPA versjon 2025-11-18) | 🟡 Engangs-transaksjoner deployd; subscription-flow pre-launch |
| Vipps MobilePay AS | Betaling (B2B/B2G abonnement + B2C aktivitets-transaksjoner) | Norge | ✅ Auto-bundlet (Standard DPA snapshot 2026-04-27) | 🟡 Deployd + stub-mode-gated (VIPPS_STUB_MODE=true); B2B-forhandler-konto pre-launch. Vipps Login er droppet fra MVP (VIPPS_AUTH_DISABLED=true per MASTERPLAN 2026-03-26). |
| GitHub | Kode-hosting (ikke kunde-/produksjons-data) | USA — SCC | ✅ Auto-bundlet (Standard DPA versjon 2025-10) | Live |
[STATUS-NOTE: jurist-flagg #8 — Mailgun's fullstendige sub-processor-liste innhentes fra Mailgun support og oppdateres her ved versjons-bump (D.6.1 follow-up).]
3.1 Endring av underleverandører
Sele skal ikke benytte nye underleverandører for behandling av Kundens data uten forhåndsvarsel til Kunden med minimum 30 dagers frist for innsigelse. Dersom Kunden har rimelig grunn til innsigelse, skal partene i god tro forhandle alternativ løsning. Hvis ikke alternativ kan oppnås, har Kunden rett til å si opp avtalen med rimelig oppsigelsesfrist.
Endringer publiseres i versjons-historikken til denne avtalen og varsles eksplisitt til Kunden via e-post.
3.2 Tredjelands-overføring
Personopplysninger lagres i EU/EØS (Supabase eu-central-1 Frankfurt). Følgende underleverandører har komponenter som innebærer tredjelands-overføring under SCC:
- Expo Push Service: USA, mottar push-token + varslingsinnhold (ingen helseopplysninger eller barns persondata)
- Anthropic: USA, mottar pseudonymisert administrativ kontekst-tekst (ingen helseopplysninger eller sluttbrukerdata)
- Sentry: Primært EU; eventuell USA-fallback regulert under SCC
- GitHub: USA, kun kode-hosting (ikke produksjons-data)
Ingen helseopplysninger om barn overføres til land utenfor EU/EØS.
4. Sikkerhetstiltak
Sele gjennomfører følgende tekniske og organisatoriske tiltak (GDPR art. 32):
Tekniske tiltak:
- Kryptering i transit (TLS 1.2+) og ved rest (AES-256 via AWS-infrastruktur i eu-central-1 Frankfurt)
- Row-Level Security (RLS) på alle databasetabeller
- Relasjonsbasert tilgangskontroll (kun verifiserte foresatte ser barnets data)
- Sikkerhets-logging (audit trail) for alle sikkerhetskritiske handlinger
- Automatisk dataminimering (tidsbegrensede snapshots for helseopplysninger)
- Rate limiting på alle API-endepunkter
- MFA-krav for administrative operasjoner
- Sikkerhetsheadere (HSTS, CSP, X-Frame-Options)
- Step-up-mekanikk via BankID/Feide for sensitive operasjoner (deployd; aktiveres ved live-mode-flip av identitets-leverandører)
Organisatoriske tiltak:
- Minste privilegium-prinsippet for tilgang til produksjonsdata
- Tofaktor-autentisering på all infrastruktur
- Regelmessig gjennomgang av tilganger
- Utpekt personvernansvarlig (daglig leder)
- Hendelseshåndteringsprosedyre
- ROS-analyse gjennomført
4.1 Konfidensialitet
Begge parter skal sikre at personer autorisert til å behandle personopplysninger har forpliktet seg til konfidensialitet eller er underlagt en passende lovfestet taushetsplikt. Sele har taushetserklæring-mal for eget personell.
5. Brudd på personopplysnings-sikkerheten
5.1 Varsling
Ved brudd på sikkerheten som berører Kundens data, skal Sele varsle Kunden uten ugrunnet opphold og senest innen 24 timer etter at bruddet er oppdaget.
[STATUS-NOTE: jurist-flagg #13 — 24-timers varsling til kommune (B2G) vs. ren databehandler-relasjon (B2B) der GDPR art. 33 nr. 2 sier «without undue delay»; harmonisering med Datatilsynets 72-timers-frist for behandlingsansvarlig.]
5.2 Innhold i varselet
Varselet skal som minimum inneholde:
- Beskrivelse av bruddet, kategorier og omtrentlig antall berørte
- Kontaktpunkt for ytterligere informasjon
- Sannsynlige konsekvenser
- Tiltak iverksatt eller foreslått for å håndtere bruddet
5.3 Melding til Datatilsynet
Hver part vurderer egen meldeplikt til Datatilsynet (GDPR art. 33, 72-timersfristen) for brudd som berører data innenfor eget ansvarsområde. I B2G-varianten samarbeider partene om informasjonsinnhenting og koordinerer varsling der bruddet berører begges ansvar.
6. Bistand til Kundens etterlevelse
Sele bistår Kunden med:
- Den registrertes rettigheter (art. 12–22): Sele tilrettelegger for innsyn, retting, sletting og portabilitet via plattformens selvbetjente datauttrekk-funksjon. For henvendelser som krever manuell håndtering, svarer Sele innen 30 dager.
- Sikkerhets-vurdering (art. 32): Sele leverer dokumentasjon (sikkerhets-spesifikasjon, ROS-utdrag) på rimelig forespørsel.
- DPIA (art. 35): Sele leverer teknisk informasjon Kunden trenger for egen DPIA av sin bruk av KLASO.
- Forhåndskonsultasjon (art. 36): Ved behov bistår Sele Kunden i Datatilsyns-konsultasjon.
7. Revisjon og kontroll
7.1 Dokumentasjon
Sele gjør på forespørsel tilgjengelig nødvendig dokumentasjon for å påvise etterlevelse av denne avtalen og GDPR art. 28, herunder:
- Teknisk sikkerhets-dokumentasjon
- ROS-analyse-utdrag
- Tilgangs-oversikt
- Hendelses-logg
7.2 Revisjon
Kunden har rett til å gjennomføre eller la en uavhengig tredjepart gjennomføre revisjon av Seles etterlevelse:
- Inntil én gang per år ved planlagt revisjon (30 dagers varsel)
- Ved begrunnet mistanke om brudd (rimelig varsel)
Kostnader for revisjon utover én gang per år eller for utvidet omfang dekkes av Kunden, med mindre revisjonen avdekker vesentlig brudd på denne avtalen — i så tilfelle bæres kostnaden av Sele.
[STATUS-NOTE: jurist-flagg #11 — Omfang av revisjons-rett for små kunder vs. store organisasjoner; standard-formuleringen over kan justeres ved kunde-forhandling.]
7.3 Sertifisering
Når Sele oppnår ISAE 3402 type II / ISO 27001-sertifisering, kan revisjons-rapporten erstatte individuell revisjon, med mindre Kunden har begrunnet behov for supplerende kontroll.
8. Ansvar og erstatning
Ved kollisjon mellom denne avtalen og Hovedavtalen om KLASO-bruk, skal denne avtalen ha forrang for spørsmål om personopplysninger.
For spørsmål om ansvar og erstatning utover GDPR art. 82 (registrertes erstatnings-rett mot behandlingsansvarlig og databehandler) gjelder Brukervilkårenes ansvars-bestemmelser. [STATUS-NOTE: terms.md (KLASO-brukervilkår canonical) er FASE 2 — pris-SSOT/Senior-feature/Stripe-subscription-flow blocker. Inntil terms.md eksisterer, henvises til eksisterende ~/klaso/docs/legal/BRUKERVILKAR.md.]
[STATUS-NOTE: jurist-flagg #12 — Ansvars-begrensning. Standard-pattern er begrensning til 12 mnd avgift, med unntak for forsett/grov uaktsomhet. Forhandles individuelt for kommuner med spesielle behov og store B2B-kunder.]
9. Varighet og opphør
9.1 Varighet
Avtalen gjelder så lenge partene behandler personopplysninger gjennom KLASO-plattformen.
9.2 Ved opphør
Ved opphør av avtalen skal Sele etter Kundens valg:
- Slette alle Kundens data fra plattformen, eller
- Tilbakelevere data i strukturert maskinlesbart format (JSON-eksport)
Slettingen/tilbakeleveringen gjennomføres innen 90 dager etter opphør. Sele bekrefter skriftlig at sletting er gjennomført.
Merk (B2G): Se § 10.2 for B2C-avgrensning ved kommunens opphør.
9.3 Unntak — anonymisert audit-spor
Audit-trail bevares i anonymisert form (bruker-referanser satt til NULL) i inntil 3 år etter opphør, i samsvar med berettiget interesse for etterrettelighet (GDPR art. 6 nr. 1 f).
10. B2G-spesifikt — felles behandlingsansvar (kun når Kunden er kommune)
Denne paragrafen gjelder kun B2G-varianten (kommunen som Kunde). Den utgjør en avtale om felles behandlingsansvar (GDPR art. 26) som tillegg til den øvrige databehandler-strukturen.
10.1 Felles formål
Partene behandler personopplysninger i fellesskap for følgende formål:
- Koordinering av henting og levering av barn ved kommunens institusjoner
- Klassekart og kontaktinformasjon for foresatte ved kommunens skoler
- Kommunikasjon mellom foresatte og kommunens institusjoner
- Administrering av institusjoner via admin-portalen
- Sikkerhetsrapporter og tilsyn
10.2 Avgrensning — B2C-funksjoner utenfor felles-ansvar
KLASO tilbyr funksjoner der Sele er selvstendig behandlingsansvarlig og kommunen ikke er part. Disse er ikke dekket av felles-ansvar-paragrafen:
- Bursdagsinvitasjoner og private arrangementer
- Fritidsaktiviteter (påmelding hos eksterne tilbydere)
- Ungdomsbarnepass (privat mellom familier og ungdommer)
- Ungdoms nødhjelp-funksjon (GPS-lokasjon til foresatte)
- Senior-tjenesten (kommende — separat ansvarsmodell publiseres ved aktivering)
For disse behandlingene gjelder Seles personvernerklæring (privacy.md).
10.3 Ansvarsfordeling
| Ansvarsområde | Kommunen | Sele |
|---|---|---|
| Rettslig grunnlag for ansattes bruk | ✅ Ansvarlig | Bistår |
| Institusjons-data (skoler, SFO, klasser, barnehage) | ✅ Eier og tilfører | Lagrer + behandler |
| Ansatt-data (institusjons-ansattes profiler) | ✅ Ansvarlig | Lagrer + behandler |
| Elev-data (klassetilhørighet, foresatt-relasjon) | Felles | Felles |
| Plattform-drift (teknisk sikkerhet, RLS, oppetid) | — | ✅ Ansvarlig |
| Auto-sletting per definerte lagrings-tider (plattform) | — | ✅ Ansvarlig |
| Aktiv sletting/avregistrering ved institusjons- eller ansatt-endringer | ✅ Ansvarlig | Bistår |
| Tilgangskontroll (RLS-policyer, rolle-styring) | — | ✅ Ansvarlig |
| Informasjons-plikt (art. 13/14) | Egne ansatte | Foreldre/barn |
| Innsyn, retting, sletting (art. 15–17) | Egne ansatte | Foreldre/barn (selvbetjent) |
| Sikkerhetsbrudd-varsling til Datatilsynet | Egne data | Plattform-data |
| DPIA for egen bruk | ✅ Ansvarlig | Bistår med teknisk info |
[STATUS-NOTE: jurist-flagg #4 — eksakt omfang av delt ansvar for elev-data, særlig for helseopplysninger som flyter fra foresatt → tilbyder/skole. KLASO standpunkt er at foresatts samtykke driver delingen og at kommunen + Sele har felles ansvar for at behandlingen skjer korrekt; for-jurist-detaljer.]
10.4 Kontaktpunkt for registrerte (art. 26 nr. 1)
Registrerte (foresatte, barn, ansatte) kan henvende seg til begge parter uavhengig av ansvarsfordelingen. Partene videresender uten ugrunnet opphold henvendelser som tilhører den andre parts ansvarsområde.
- Foreldre/barn: personvern@myklaso.app (Sele)
- Kommunens ansatte: kommunens DPO (utfylles ved signering)
10.5 Audit-rett (utvidet)
I tillegg til § 7.2 gjelder kommunens revisjonsrett som forvaltnings-aktør. Sele skal være tilgjengelig for kommunalt tilsyn etter rimelig varsel.
11. Endringer og tvister
11.1 Endringer
Endringer i denne avtalens hovedtekst skal være skriftlige og signert av begge parter. Sele kan oppdatere avtalens tekniske vedlegg (sikkerhets-spesifikasjon, sub-processor-liste i § 3) i samsvar med varslings-prosedyren i § 3.1, under forutsetning av at endringene ikke svekker den registrertes vern.
11.2 Tvister
Tvister søkes løst gjennom forhandlinger. Dersom forhandlinger ikke fører frem, kan tvisten bringes inn for de ordinære domstoler [STATUS-NOTE: jurist-flagg #1 — verneting (Sogn og Fjordane tingrett vs. nærmere kunde-tingrett for kommune-relasjoner)].
12. Signatur
| Kunden | Sele AS | |
|---|---|---|
| Signatur | __________________ | __________________ |
| Navn | __________________ | Nikolai Sele |
| Stilling | __________________ | Daglig leder |
| Org.nr | __________________ | 930 950 270 |
| Dato | __________________ | __________________ |
| DPO (kun B2G — kommune) | __________________ | n/a |
Vedlegg A: Teknisk sikkerhetsbeskrivelse
A.1 Infrastruktur
- Database: PostgreSQL via Supabase, hostet i AWS eu-central-1 (Frankfurt, Tyskland)
- API: PostgREST med Row-Level Security (RLS)
- Web: Vercel (Pro-tier — global CDN; logs i EU)
- Mobil-distribusjon: Expo (EAS Build/Submit)
- Push: Expo Push Service (USA, DPF-sertifisert)
- Email: Mailgun EU (
api.eu.mailgun.net, region-låst) - Autentisering: Supabase Auth + BankID via Idura/Criipto (eIDAS «høyt»); Feide via Sikt/Dataporten for skole-kontekst
- Error-tracking: Sentry (EU-region primært)
- AI-assistert utkast (administrativt): Anthropic Claude (server-side, pseudonymisert kontekst)
A.2 Tilgangskontroll
- 113+ RLS-policyer håndhever tilgangsregler på databasenivå
- Rollebasert tilgang: parent, staff, admin, system_admin, provider, youth
- Relasjonsbasert tilgang via
child_guardians(kun verifiserte foresatte) - «Nei trumfer ja»-prinsipp for samtykke ved delt omsorg
- MFA-krav (TOTP) for system_admin-operasjoner
- Step-up-mekanikk via BankID/Feide for sensitive operasjoner (deployd; aktiveres ved live-mode-flip)
A.3 Kryptering
- Transit: TLS 1.2+ på alle endepunkter
- Ro: AES-256 via AWS (eu-central-1 Frankfurt)
- Personnummer: Kryptert lagring i
profiles-tabellen (felt-kryptering via Supabase Vault planlagt) - Sesjon: iOS Keychain / Android Keystore
A.4 Auto-sletting (lagrings-tider relevant for B2B/B2G-relasjon)
| Datatype | Lagrings-tid |
|---|---|
| Oppmøte-registreringer | 2 år |
| Sikkerhetsrapporter | 3 år |
| Inaktive push-tokens | 6 måneder |
| Importerte kalender-hendelser | 90 dager etter slutt |
| Audit-log | 3 år |
| Pedagogiske observasjoner (B2G) | 2 skoleår |
| §9A-dokumentasjon (B2G) | 5 år |
A.5 Hendelses-håndtering
- Automatisk sikkerhets-logging (audit trail) for kritiske hendelser
- 24-timers varslings-plikt til Kunden ved brudd
- Hendelses-håndteringsprosedyre etablert; oppdateres løpende
Denne avtalen er utarbeidet for å møte kravene i GDPR art. 28 (databehandler-relasjon), art. 26 (felles-ansvar i B2G-variant), og Datatilsynets veiledning. Sele AS er ikke juridisk rådgiver — Kunden bør kvalitets-sikre avtalen med egen DPO eller juridisk avdeling, særlig for kommune-relasjoner.