oikos

1. Parter

Denne databehandleravtalen («Avtalen») er inngått mellom organisasjonen som bruker Oikos («Behandlingsansvarlig») og Oikos («Databehandler»). Avtalen regulerer databehandlers behandling av personopplysninger på vegne av behandlingsansvarlig i henhold til GDPR (forordning (EU) 2016/679).

2. Formål og omfang

Databehandler behandler personopplysninger utelukkende for å levere menighetsstyringssystemet Oikos til behandlingsansvarlig. Behandlingen omfatter lagring, organisering, strukturering og tilgjengeliggjøring av opplysninger som beskrevet i denne avtalen.

3. Kategorier av personopplysninger

Følgende kategorier av personopplysninger behandles:

• Kontaktopplysninger (navn, e-post, telefon, adresse)
• Medlemsinformasjon (gruppemedlemskap, roller, oppmøtehistorikk)
• Frivilligdata (tjenesteområder, tilgjengelighet, oppgavehistorikk)
• Kommunikasjonsdata (meldinger, e-postlogger)
• Økonomiske data (donasjoner, gavehistorikk)
• Barnedata (navn, fødselsdato, foresatte, allergier)

4. Registrerte

Behandlingen gjelder følgende kategorier av registrerte:

• Menighetsmedlemmer og tilknyttede personer
• Frivillige og ansatte
• Barn og deres foresatte
• Kontaktpersoner og besøkende

5. Sikkerhetstiltak

Databehandler skal implementere passende tekniske og organisatoriske tiltak, herunder:

• Kryptering av data under overføring (TLS) og ved lagring
• Tilgangskontroll med rollebasert autorisering
• Regelmessig sikkerhetskopiering av data
• Logging av tilgang til personopplysninger
• Sikkerhetsoppdateringer og vedlikehold av infrastruktur
• Opplæring av personale som har tilgang til personopplysninger

6. Underleverandører

Databehandler benytter følgende underleverandører (underdatabehandlere) for å levere tjenesten:

• Cloudflare, Inc. — Hosting, CDN og DDoS-beskyttelse (USA/EU)
• Supabase, Inc. — Databasetjenester og lagring (EU/USA)
• Resend, Inc. — E-postutsending (USA)

Alle underleverandører er bundet av databehandleravtaler og standardavtalevilkår (SCCs) i henhold til GDPR. Behandlingsansvarlig vil bli varslet ved endring av underleverandører.

7. De registrertes rettigheter

Databehandler skal bistå behandlingsansvarlig med å oppfylle de registrertes rettigheter etter GDPR, herunder rett til innsyn, retting, sletting, dataportabilitet, innsigelse og begrensning av behandling. Forespørsler fra registrerte videresendes til behandlingsansvarlig uten ugrunnet opphold.

8. Bruddvarsling

Ved brudd på personopplysningssikkerheten skal databehandler varsle behandlingsansvarlig uten ugrunnet opphold, og senest innen 72 timer etter å ha blitt kjent med bruddet. Varselet skal inneholde:

• Beskrivelse av bruddets art og omfang
• Kategorier og antall berørte registrerte
• Sannsynlige konsekvenser av bruddet
• Tiltak iverksatt eller foreslått for å håndtere bruddet

9. Revisjon

Behandlingsansvarlig har rett til å gjennomføre revisjoner, eller utpeke en uavhengig tredjepart til å gjennomføre revisjoner, for å verifisere at databehandler overholder denne avtalen. Databehandler skal gi nødvendig tilgang og bistand til slike revisjoner.

10. Varighet og opphør

Denne avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. Ved opphør av avtalen skal databehandler, etter behandlingsansvarlig sitt valg, slette eller tilbakelevere alle personopplysninger, og slette eksisterende kopier med mindre lagring er pålagt ved lov.