Last ned eller skriv ut denne avtalen for signering

Skriv ut / Lagre PDF
English | Español

Databehandleravtale

mellom Behandlingsansvarlig og Timeplaner AS

1. Avtalens parter

Behandlingsansvarlig

Organisasjon: _______________________

Org.nr: _______________________

Kontaktperson: _______________________

E-post: _______________________

Databehandler

Organisasjon: Timeplaner AS

Org.nr: 936 380 387

Kontaktperson: Alexander Kvarven

E-post: [email protected]

Personvernombud: Alexander Kvarven ([email protected])

2. Bakgrunn og formål

Denne databehandleravtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av tjenesten Timeplaner.no.

Timeplaner.no er et digitalt planleggingsverktøy for lærere som gjør det mulig å:

Viktig: Timeplaner.no behandler opplysninger om lærere (ansatte) og pseudonymiserte elevidentifikatorer. Læreren bestemmer selv hva som registreres om elever (nummer, initialer eller navn). Ingen personnummer, karakterer eller helseopplysninger behandles.

3. Kategorier av personopplysninger

3.1 Opplysninger som behandles

Kategori Opplysninger Kilde
Identifikasjon Navn, e-postadresse Feide / Google / Microsoft
Autentisering Feide-ID, Google-ID, Microsoft-ID Feide / Google / Microsoft
Organisasjonstilhørighet Skole/kommune, rolle ved organisasjonen (lærer/ansatt/elev) — rolle brukes kun til å avvise elev-innlogginger ved registrering, lagres ikke i tjenestens database Feide
Brukerinnhold Ukeplaner, årsplaner, notater Opprettet av bruker
Teknisk Innloggingstidspunkt, språkvalg Systemgenerert
Elevidentifikatorer Kallenavn/nummer/initialer, kjønn (valgfritt), bursdag (MM-DD, valgfritt) Registrert av lærer
Elevaktivitet Leksestatus (levert/ikke levert/forsinket), test- og quizresultater Registrert av lærer / systemgenerert
Fraværsregistrering Dato, time, fraværsstatus (tilstede/syk/ugyldig fravær) Registrert av lærer
Sikkerhetslogging IP-adresse, brukeragent (oppbevares 12 mnd) Systemgenerert
Aktivitetslogging Sidebesøk, handlinger i tjenesten (aggregert) Systemgenerert
AI-leksjonskontekst Fagnavn, klassenavn, tema, lærerens tekst (kun ved bruk av AI-assistent) Lærer-aktivert
Skylagret innhold Dokumenter opprettet av lærer (kun ved Drive/OneDrive-tilkobling) Lærer-aktivert
Om elevdata: Læreren er behandlingsansvarlig for elevopplysninger og bestemmer selv hva som registreres i identifikatorfeltet (nummer, initialer eller navn). Timeplaner.no anbefaler bruk av pseudonymiserte identifikatorer. Data er isolert per lærer — ingen krysstilgang mellom lærere.

3.2 Opplysninger som IKKE behandles

4. Registrerte personer

Avtalen gjelder behandling av personopplysninger om:

Antall registrerte vil variere basert på hvor mange lærere som velger å ta tjenesten i bruk og hvor mange elever de registrerer.

5. Formål og behandlingsgrunnlag

Databehandler behandler personopplysninger utelukkende for følgende formål:

  1. Autentisering: Verifisere brukerens identitet via Feide, Google eller Microsoft
  2. Tjenesteleveranse: Levere funksjonaliteten beskrevet i punkt 2
  3. AI-assistert planlegging: Generere forslag til leksjonsinnhold når læreren aktivt benytter AI-assistenten
  4. Skylagring: Lagre lærerens dokumenter i Google Drive eller Microsoft OneDrive når læreren har aktivert tilkoblingen
  5. Brukerstøtte: Hjelpe brukere med tekniske problemer
  6. Sikkerhet: Beskytte mot uautorisert tilgang og misbruk

Behandlingsgrunnlag er GDPR artikkel 6(1)(b) - oppfyllelse av avtale med den registrerte.

6. Databehandlers plikter

6.1 Generelle plikter

Databehandler skal:

  1. Kun behandle personopplysninger i samsvar med dokumenterte instrukser fra Behandlingsansvarlig
  2. Sikre at personer med tilgang til personopplysningene har forpliktet seg til konfidensialitet
  3. Treffe alle tiltak som kreves etter GDPR artikkel 32 (sikkerhet)
  4. Bistå Behandlingsansvarlig med å oppfylle sine forpliktelser overfor registrerte
  5. Slette eller tilbakelevere personopplysninger ved avtalens opphør
  6. Gjøre tilgjengelig all informasjon som er nødvendig for å påvise etterlevelse

6.2 Sikkerhetstiltak

Databehandler har implementert følgende sikkerhetstiltak:

7. Underleverandører (underdatabehandlere)

Databehandler benytter følgende underleverandører:

7.1 Alltid aktive underleverandører

Underleverandør Tjeneste Lokasjon
Hetzner Online GmbH Webhosting og database Server i Finland (Norden, EU/EØS)
Cloudflare, Inc. CDN og DDoS-beskyttelse EU/USA*
SMTP2GO E-postutsendelse (transaksjonelle e-poster, ingen elevdata) EU (Amsterdam, Nederland)**
Sikt — Kunnskapssektorens tjenesteleverandør Feide-autentisering (når Feide-innlogging brukes) Norge
Google LLC Google OAuth 2.0 (når Google-innlogging brukes) EU/USA*
Microsoft Corporation Microsoft OAuth 2.0 (når Microsoft-innlogging brukes) EU/USA*

7.2 Valgfrie underleverandører (lærer-aktiverte)

Følgende underleverandører behandler personopplysninger kun når den enkelte læreren aktivt aktiverer en valgfri funksjon:

Underleverandør Tjeneste / data Lokasjon Aktiveres ved
Google LLC Gemini AI — leksjonskontekst (fagnavn, klassenavn, tema, lærerens tekst). Betalt plan; data brukes ikke til trening av Googles modeller. USA* Lærer benytter AI-assistenten
Google LLC Google Drive — dokumentlagring (lærerens egne dokumenter) USA* Lærer kobler til Google Drive
Microsoft Corporation Microsoft Graph / OneDrive — dokumentlagring (lærerens egne dokumenter) USA* Lærer kobler til OneDrive

* Overføring til USA er sikret gjennom EU-US Data Privacy Framework og Standard Contractual Clauses (SCC).
** Timeplaners SMTP2GO-konto er hostet i SMTP2GOs europeiske datasenter i Amsterdam. All e-post sendes, lagres og behandles på servere innenfor EU/EØS. SMTP2GO er ISO 27001-sertifisert og GDPR-samsvarende; det europeiske datasenteret er i tillegg SOC 2 Type II- og ISAE 3402-sertifisert. Morselskapet SMTP2GO Pty Ltd er registrert i New Zealand, og Standard Contractual Clauses (SCC) gjelder for konsernrelasjonen.

Databehandler vil informere Behandlingsansvarlig om eventuelle planlagte endringer i underleverandører minimum 30 dager før endringen trer i kraft.

7.3 Delingsfunksjoner aktivert av læreren

Tjenesten inneholder tre valgfrie delingsmekanismer som læreren selv aktiverer:

All deling kan tilbakekalles av læreren, og tokens er tilfeldige og uangripelige.

8. Overføring av personopplysninger

Personopplysninger lagres primært på servere i Norden (server i Finland, EU/EØS).

E-post sendes via SMTP2GOs europeiske datasenter i Amsterdam, slik at innholdet i transaksjonelle e-poster lagres og behandles innenfor EU/EØS.

Data overføres til USA kun ved bruk av Google-, Microsoft- eller Cloudflare-tjenester (sikret gjennom EU-US Data Privacy Framework og Standard Contractual Clauses).

Overføring utenfor EU/EØS sikres gjennom:

9. Rettigheter for registrerte

Databehandler skal bistå Behandlingsansvarlig med å oppfylle registrertes rettigheter:

Henvendelser om registrertes rettigheter kan rettes til: [email protected]

10. Avvikshåndtering

Ved brudd på personopplysningssikkerheten skal Databehandler:

  1. Varsle Behandlingsansvarlig uten ugrunnet opphold og senest innen 24 timer
  2. Dokumentere alle brudd, inkludert omstendigheter, konsekvenser og tiltak
  3. Bistå Behandlingsansvarlig med varsling til Datatilsynet og registrerte ved behov

Varsel sendes til kontaktperson angitt i punkt 1, samt til: [email protected]

11. Revisjonsrett

Behandlingsansvarlig har rett til å:

Revisjon skal varsles minimum 14 dager i forveien og gjennomføres på en måte som ikke forstyrrer normal drift.

12. Lagring og sletting

12.1 Lagringsperiode

12.2 Ved avtalens opphør

Ved oppsigelse av avtalen skal Databehandler:

  1. Gi Behandlingsansvarlig mulighet til å hente ut data (30 dager)
  2. Slette alle personopplysninger, inkludert sikkerhetskopier (90 dager)
  3. Bekrefte skriftlig at sletting er gjennomført

13. Avtalens varighet

Denne avtalen trer i kraft ved signering og gjelder så lenge Behandlingsansvarlig har brukere som benytter Timeplaner.no via Feide.

Avtalen kan sies opp av begge parter med 3 måneders skriftlig varsel.

14. Ansvar

Databehandler er ansvarlig for:

Databehandler fritas for ansvar dersom det bevises at Databehandler ikke er ansvarlig for hendelsen som førte til skaden.

15. Lovvalg og verneting

Avtalen reguleres av norsk rett. Eventuelle tvister skal søkes løst gjennom forhandlinger. Dersom forhandlinger ikke fører frem, avgjøres tvisten av norske domstoler med Bergen tingrett som verneting.

16. Signaturer

Denne avtalen er utferdiget i to eksemplarer, ett til hver av partene.

For Behandlingsansvarlig:

Sted og dato: _______________________

Navn: _______________________

Stilling: _______________________

For Databehandler (Timeplaner AS):

Sted og dato: _______________________

Navn: Alexander Kvarven

Stilling: Daglig leder

Vedlegg A: Teknisk og organisatorisk sikkerhet

A.1 Tekniske sikkerhetstiltak

A.2 Organisatoriske tiltak

A.3 Kontaktinformasjon

Personvernombud (DPO): Alexander Kvarven — [email protected]
Generelle henvendelser: [email protected]
Avvik og sikkerhetshendelser: [email protected]

Databehandleravtale for Timeplaner.no

Versjon 2.3 - Oppdatert mai 2026

Timeplaner AS | Org.nr: 936 380 387 | timeplaner.no