BookingTilbake til forsiden

Databehandleravtale

Sist oppdatert: 3. mai 2026

Denne databehandler­avtalen ("Avtalen") gjelder mellom klinikken som abonnerer på Booking ("Behandlings­ansvarlig") og Booking AS ("Databehandler"), og regulerer hvordan Databehandler behandler personopplysninger på vegne av Behandlings­ ansvarlig i samsvar med GDPR art. 28.

1. Partene

  • Behandlingsansvarlig: Klinikken som registrerer seg og bruker Booking.
  • Databehandler: Booking AS, org.nr. [TILKOMMER], [ADRESSE].

2. Formål med behandlingen

Databehandler behandler personopplysninger for å levere et bookingsystem som lar klinikken administrere kalender, kunder, tjenester, lønn og regnskap.

3. Type personopplysninger og kategorier av registrerte

  • Klinikkens kunder: navn, telefon, e-post, booking­ historikk, eventuelle interne notater fra klinikken.
  • Klinikkens ansatte: navn, e-post, rolle, vakter og innloggings­historikk.

4. Databehandlerens plikter

  • Konfidensialitet: personell med tilgang er underlagt taushetsplikt.
  • Sikkerhet: kryptering i transitt (TLS) og hvile, row- level security på databasenivå, mulighet for to-trinns­bekreftelse på kontoer, og audit-logger på sensitive operasjoner.
  • Avviksvarsling: Databehandler varsler Behandlings­ ansvarlig uten ugrunnet opphold ved kjent personvernavvik.
  • Bistand: Databehandler bistår ved DPIA, sikkerhets­ revisjoner og forespørsler fra Datatilsynet eller registrerte.
  • Sletting/retur: ved opphør slettes eller returneres data etter Behandlings­ansvarliges valg, senest 90 dager etter opphør, med unntak av lovpålagt fortsatt lagring.

5. Bruk av underleverandører

Behandlings­ansvarlig gir generelt forhåndssamtykke til at Databe­ handler bruker underleverandører. Databehandler varsler ved endringer med minst 30 dagers frist. Følgende underleverandører brukes i dag:

  • Supabase Inc. — database og auth (EU, AWS Frankfurt).
  • Cloudflare Inc. — hosting og CDN.
  • Resend Inc. — transaksjonelle e-poster.

6. Overføring til tredjeland

Personopplysninger lagres i EU/EØS. Eventuelle overføringer utenfor EØS skjer kun på grunnlag av Standard Contractual Clauses (SCC) eller annet gyldig overførings­grunnlag.

7. Ansvar og erstatning

Hver part er ansvarlig for skade forårsaket av egne brudd på Avtalen eller personvern­regelverket, i samsvar med GDPR art. 82 og norsk rett.

8. Endringer og varsler

Endringer i Avtalen varsles skriftlig (e-post) med minst 30 dagers frist. Varsel om underleverandører gjøres på samme måte.

9. Tvister og verneting

Avtalen er underlagt norsk rett. Tvister avgjøres ved Oslo tingrett som avtalt verneting.

10. Aksept

Avtalen anses akseptert digitalt ved registrering av klinikkens konto i Booking, med samme juridiske virkning som en signert avtale.