mellom Behandlingsansvarlig og Timeplaner AS
I henhold til personopplysningsloven og GDPR artikkel 28
Organisasjon: _______________________
Org.nr: _______________________
Kontaktperson: _______________________
E-post: _______________________
Organisasjon: Timeplaner AS
Org.nr: 936 380 387
Kontaktperson: Alexander Kvarven
E-post: [email protected]
Personvernombud: Alexander Kvarven ([email protected])
Denne databehandleravtalen regulerer Databehandlers behandling av personopplysninger på vegne av Behandlingsansvarlig i forbindelse med bruk av tjenesten Timeplaner.no.
Timeplaner.no er et digitalt planleggingsverktøy for lærere som gjør det mulig å:
| Kategori | Opplysninger | Kilde |
|---|---|---|
| Identifikasjon | Navn, e-postadresse | Feide / Google / Microsoft |
| Autentisering | Feide-ID, Google-ID, Microsoft-ID | Feide / Google / Microsoft |
| Organisasjonstilhørighet | Skole/kommune, rolle ved organisasjonen (lærer/ansatt/elev) — rolle brukes kun til å avvise elev-innlogginger ved registrering, lagres ikke i tjenestens database | Feide |
| Brukerinnhold | Ukeplaner, årsplaner, notater | Opprettet av bruker |
| Teknisk | Innloggingstidspunkt, språkvalg | Systemgenerert |
| Elevidentifikatorer | Kallenavn/nummer/initialer, kjønn (valgfritt), bursdag (MM-DD, valgfritt) | Registrert av lærer |
| Elevaktivitet | Leksestatus (levert/ikke levert/forsinket), test- og quizresultater | Registrert av lærer / systemgenerert |
| Fraværsregistrering | Dato, time, fraværsstatus (tilstede/syk/ugyldig fravær) | Registrert av lærer |
| Sikkerhetslogging | IP-adresse, brukeragent (oppbevares 12 mnd) | Systemgenerert |
| Aktivitetslogging | Sidebesøk, handlinger i tjenesten (aggregert) | Systemgenerert |
| AI-leksjonskontekst | Fagnavn, klassenavn, tema, lærerens tekst (kun ved bruk av AI-assistent) | Lærer-aktivert |
| Skylagret innhold | Dokumenter opprettet av lærer (kun ved Drive/OneDrive-tilkobling) | Lærer-aktivert |
Avtalen gjelder behandling av personopplysninger om:
Antall registrerte vil variere basert på hvor mange lærere som velger å ta tjenesten i bruk og hvor mange elever de registrerer.
Databehandler behandler personopplysninger utelukkende for følgende formål:
Behandlingsgrunnlag er GDPR artikkel 6(1)(b) - oppfyllelse av avtale med den registrerte.
Databehandler skal:
Databehandler har implementert følgende sikkerhetstiltak:
Databehandler benytter følgende underleverandører:
| Underleverandør | Tjeneste | Lokasjon |
|---|---|---|
| Hetzner Online GmbH | Webhosting og database | Server i Finland (Norden, EU/EØS) |
| Cloudflare, Inc. | CDN og DDoS-beskyttelse | EU/USA* |
| SMTP2GO | E-postutsendelse (transaksjonelle e-poster, ingen elevdata) | EU (Amsterdam, Nederland)** |
| Sikt — Kunnskapssektorens tjenesteleverandør | Feide-autentisering (når Feide-innlogging brukes) | Norge |
| Google LLC | Google OAuth 2.0 (når Google-innlogging brukes) | EU/USA* |
| Microsoft Corporation | Microsoft OAuth 2.0 (når Microsoft-innlogging brukes) | EU/USA* |
Følgende underleverandører behandler personopplysninger kun når den enkelte læreren aktivt aktiverer en valgfri funksjon:
| Underleverandør | Tjeneste / data | Lokasjon | Aktiveres ved |
|---|---|---|---|
| Google LLC | Gemini AI — leksjonskontekst (fagnavn, klassenavn, tema, lærerens tekst). Betalt plan; data brukes ikke til trening av Googles modeller. | USA* | Lærer benytter AI-assistenten |
| Google LLC | Google Drive — dokumentlagring (lærerens egne dokumenter) | USA* | Lærer kobler til Google Drive |
| Microsoft Corporation | Microsoft Graph / OneDrive — dokumentlagring (lærerens egne dokumenter) | USA* | Lærer kobler til OneDrive |
* Overføring til USA er sikret gjennom EU-US Data Privacy Framework og Standard Contractual Clauses (SCC).
** Timeplaners SMTP2GO-konto er hostet i SMTP2GOs europeiske datasenter i Amsterdam. All e-post sendes, lagres og behandles på servere innenfor EU/EØS. SMTP2GO er ISO 27001-sertifisert og GDPR-samsvarende; det europeiske datasenteret er i tillegg SOC 2 Type II- og ISAE 3402-sertifisert. Morselskapet SMTP2GO Pty Ltd er registrert i New Zealand, og Standard Contractual Clauses (SCC) gjelder for konsernrelasjonen.
Databehandler vil informere Behandlingsansvarlig om eventuelle planlagte endringer i underleverandører minimum 30 dager før endringen trer i kraft.
Tjenesten inneholder tre valgfrie delingsmekanismer som læreren selv aktiverer:
All deling kan tilbakekalles av læreren, og tokens er tilfeldige og uangripelige.
Personopplysninger lagres primært på servere i Norden (server i Finland, EU/EØS).
E-post sendes via SMTP2GOs europeiske datasenter i Amsterdam, slik at innholdet i transaksjonelle e-poster lagres og behandles innenfor EU/EØS.
Data overføres til USA kun ved bruk av Google-, Microsoft- eller Cloudflare-tjenester (sikret gjennom EU-US Data Privacy Framework og Standard Contractual Clauses).
Overføring utenfor EU/EØS sikres gjennom:
Databehandler skal bistå Behandlingsansvarlig med å oppfylle registrertes rettigheter:
Henvendelser om registrertes rettigheter kan rettes til: [email protected]
Ved brudd på personopplysningssikkerheten skal Databehandler:
Varsel sendes til kontaktperson angitt i punkt 1, samt til: [email protected]
Behandlingsansvarlig har rett til å:
Revisjon skal varsles minimum 14 dager i forveien og gjennomføres på en måte som ikke forstyrrer normal drift.
Ved oppsigelse av avtalen skal Databehandler:
Denne avtalen trer i kraft ved signering og gjelder så lenge Behandlingsansvarlig har brukere som benytter Timeplaner.no via Feide.
Avtalen kan sies opp av begge parter med 3 måneders skriftlig varsel.
Databehandler er ansvarlig for:
Databehandler fritas for ansvar dersom det bevises at Databehandler ikke er ansvarlig for hendelsen som førte til skaden.
Avtalen reguleres av norsk rett. Eventuelle tvister skal søkes løst gjennom forhandlinger. Dersom forhandlinger ikke fører frem, avgjøres tvisten av norske domstoler med Bergen tingrett som verneting.
Denne avtalen er utferdiget i to eksemplarer, ett til hver av partene.
For Behandlingsansvarlig:
Sted og dato: _______________________
Navn: _______________________
Stilling: _______________________
For Databehandler (Timeplaner AS):
Sted og dato: _______________________
Navn: Alexander Kvarven
Stilling: Daglig leder
| Personvernombud (DPO): | Alexander Kvarven — [email protected] |
| Generelle henvendelser: | [email protected] |
| Avvik og sikkerhetshendelser: | [email protected] |
Databehandleravtale for Timeplaner.no
Versjon 2.3 - Oppdatert mai 2026
Timeplaner AS | Org.nr: 936 380 387 | timeplaner.no