← Back

Databehandleravtale for Kontira

Sist oppdatert: 27. mars 2026

1. Parter

  • Behandlingsansvarlig: Brukeren (den som oppretter konto og registrerer selskap i Kontira)
  • Databehandler: Hübenthal Invest AS (org.nr 933 773 965)

2. Bakgrunn og formål

Denne avtalen regulerer databehandlerens behandling av personopplysninger på vegne av behandlingsansvarlig i forbindelse med bruk av Kontira. Avtalen er inngått i henhold til personvernforordningen (GDPR) artikkel 28.

3. Omfang av behandlingen

  • Formål: Levere regnskapstjenesten Kontira, herunder bokføring, fakturering og rapportering.
  • Kategorier av registrerte: Kunder, leverandører, aksjonærer og kontaktpersoner registrert i brukerens selskap.
  • Typer personopplysninger: Navn, adresse, organisasjonsnummer, fødselsnummer (aksjonærer), e-postadresse, telefonnummer og bankkontonummer.
  • Behandlingens varighet: Så lenge brukerens konto er aktiv, pluss oppbevaringsperioden etter bokføringsloven (minimum 5 år etter regnskapsårets slutt, jf. bokføringsloven § 13).

4. Databehandlerens plikter

Databehandleren skal:

  • Kun behandle personopplysninger etter dokumenterte instrukser fra behandlingsansvarlig, med mindre behandling kreves etter EU-rett eller norsk rett
  • Sikre at personer som har tilgang til personopplysningene er underlagt taushetsplikt
  • Iverksette nødvendige tekniske og organisatoriske sikkerhetstiltak i henhold til GDPR artikkel 32
  • Ikke engasjere underdatabehandlere uten forhåndsgodkjenning fra behandlingsansvarlig (se punkt 6)
  • Bistå behandlingsansvarlig med å oppfylle sine forpliktelser overfor registrerte (innsynsbegjæringer, retting, sletting osv.)
  • Slette eller tilbakelevere alle personopplysninger etter avtalens opphør, med forbehold om lovpålagt oppbevaring etter bokføringsloven
  • Gjøre tilgjengelig all informasjon som er nødvendig for å påvise overholdelse av forpliktelsene i GDPR artikkel 28

5. Sikkerhetstiltak

Følgende tekniske og organisatoriske tiltak er iverksatt:

  • Kryptert overføring av data (HTTPS/TLS)
  • Kryptert lagring av passord (bcrypt)
  • Kryptert lagring av sensitive nøkler (Cloak)
  • Tilgangskontroll basert på roller
  • PostgreSQL-database med tenant-isolasjon per selskap
  • Jevnlig sikkerhetskopiering adskilt fra produksjonsdata
  • Logging av sikkerhetshendelser

6. Underdatabehandlere

Følgende underdatabehandlere benyttes:

Underdatabehandler Formål Lokasjon
Hostingleverandør Drift av infrastruktur og database EU

Behandlingsansvarlig godkjenner bruk av underdatabehandlerne oppført i denne avtalen. Databehandler skal informere behandlingsansvarlig om planlagte endringer i underdatabehandlere i rimelig tid, slik at behandlingsansvarlig har mulighet til å gjøre innsigelser.

7. Overføring til tredjeland

Personopplysninger lagres innenfor EU/EØS. Ingen overføring til tredjeland finner sted uten forhåndsgodkjenning fra behandlingsansvarlig og uten at det foreligger et gyldig overføringsgrunnlag i henhold til GDPR kapittel V.

8. Bistand ved innsynsbegjæringer

Databehandler skal uten ugrunnet opphold bistå behandlingsansvarlig ved henvendelser fra registrerte som utøver sine rettigheter etter GDPR kapittel III (innsyn, retting, sletting, begrensning, dataportabilitet og innsigelse).

9. Avtalens varighet og opphør

Avtalen gjelder så lenge brukeren har en aktiv konto i Kontira. Ved opphør kan behandlingsansvarlig eksportere data via SAF-T-eksport. Etter eksport slettes personopplysningene, med forbehold om oppbevaring som er pålagt etter bokføringsloven.

10. Kontakt

Spørsmål om denne avtalen kan rettes til hei@kontira.no.