Databehandleravtale (DPA)

1. Bakgrunn og formål

Klubben er behandlingsansvarlig for personopplysninger om sine medlemmer, dykkere, gjester og arrangementsdeltakere. Klubben har inngått avtale med DS Divelogger om bruk av plattformen divelogger.no for digital dykkelogg, medlemsregister og arrangementsadministrasjon.

For at DS Divelogger skal kunne behandle personopplysninger på vegne av Klubben, kreves en databehandleravtale i henhold til GDPR artikkel 28. Denne avtalen regulerer hvordan slik behandling skal foregå.

2. Behandlingens art, formål og varighet

Formål: DS Divelogger behandler personopplysninger for å levere:

• Digital dykkelogg og logg-historikk
• Medlemsregister med kontaktinformasjon og sertifiseringsnivå
• Påmelding til arrangementer og turer
• Betalingsbehandling for arrangementer (via Stripe og Vipps)
• Utsending av e-post og bekreftelser
• Statistikk og rapporter til klubbens egen bruk

Type personopplysninger: Navn, e-post, telefonnummer, sertifikat-info, dykklogger, påmeldings- og betalingsdata, innloggingssesjoner og IP-adresse i audit-logg.

Kategorier registrerte: Klubbens medlemmer, båtførere, gjester ved arrangementer og personer som kjøper medlemskap.

3. DS Diveloggers plikter som databehandler

• Behandle opplysninger kun etter dokumentert instruks fra Klubben
• Sikre konfidensialitet hos personer med tilgang til data
• Iverksette tekniske og organisatoriske tiltak iht. GDPR art. 32 (se pkt. 7)
• Bistå Klubben med innsyn-, retting-, sletting- og portabilitetskrav fra registrerte
• Varsle Klubben ved sikkerhetsbrudd uten ugrunnet opphold, og senest innen 24 timer
• Slette eller tilbakelevere all data ved opphør av avtalen, innen 30 dager
• Benytte underleverandører kun som angitt i Vedlegg 1, og varsle endringer minst 30 dager i forveien

4. Klubbens plikter som behandlingsansvarlig

• Sørge for at det foreligger lovlig behandlingsgrunnlag (typisk avtale eller berettiget interesse)
• Informere de registrerte om behandlingen iht. GDPR art. 13–14
• Beskytte sin innloggingskonto med sterkt passord
• Sørge for at klubbens administratorer kun behandler data til lovlige formål

5. Underleverandører

DS Divelogger benytter følgende underleverandører for å levere tjenesten:

Personopplysninger lagres primært i Turso eu-west-1 (Frankfurt). Endringer i underleverandørlisten varsles minst 30 dager i forveien.

6. Sikkerhetsbrudd

Ved oppdagelse av et brudd på personopplysningssikkerheten varsler DS Divelogger Klubben skriftlig uten ugrunnet opphold, og senest innen 24 timer. Varselet inneholder bruddets art, omfang, sannsynlige konsekvenser, iverksatte tiltak og kontaktpunkt for ytterligere informasjon.

7. Sikkerhetstiltak

• Kryptering: Trafikk over HTTPS (TLS 1.2+), data «at rest» kryptert (AES-256), passord/PIN bcrypt-hashet
• Tilgangskontroll: Sterk autentisering, rollebasert tilgang, multi-tenant isolasjon på clubId
• Audit-logg: Alle administrative handlinger logges med aktør, IP og tidsstempel
• Backups: Daglige automatiske backups (Turso point-in-time-recovery, 7 dagers retensjon)
• Overvåking: Sentry for feilrapportering, UptimeRobot for tilgjengelighet
• Ingen tracking: Kun nødvendige innloggingscookies, ingen adferdsanalyse

8. Sletting ved opphør

Ved opphør av avtalen leverer DS Divelogger ut alle personopplysningene i strukturert, maskinlesbart format (JSON-eksport) innen 30 dager, eller sletter dem etter Klubbens valg. Sikkerhetskopier slettes ved første ordinære rotasjon (innen 90 dager). Data som lov krever bevart (f.eks. regnskap iht. bokføringsloven § 13) lagres i påkrevd periode.

9. Lovvalg

Avtalen er underlagt norsk rett. Verneting er Hordaland tingrett.