Læringsplattform

Databehandleravtale

Versjon 1.0 – Sist oppdatert 24.06.2026

Databehandler
CLOP Labs AS, org.nr. 934361466, Oslo, Norge.

Kontakt
post@clop.no. Personvern: privacy@clop.no.

1. Parter

Denne databehandleravtalen («Avtalen») inngås mellom:

  • Behandlingsansvarlig: Kunden som har bestilt tjenesten («Kunden»), og
  • Databehandler: CLOP Labs AS, org.nr. 934361466, Oslo, Norge («CLOP»).

Kunden og CLOP omtales samlet som «Partene».

2. Bakgrunn og formål

CLOP leverer digitale lærings- og administrasjonstjenester til Kunden. Som del av leveransen behandler CLOP personopplysninger på vegne av Kunden. Kunden bestemmer formålene med og de vesentlige midlene for behandlingen og er behandlingsansvarlig. CLOP behandler personopplysninger som databehandler etter Kundens dokumenterte instruks.

Avtalen skal sikre at behandlingen skjer i samsvar med personvernregelverket, inkludert personopplysningsloven og GDPR artikkel 28.

3. Omfang, varighet og instruks

CLOP skal bare behandle personopplysninger:

  • for å levere, drifte, sikre, supportere, vedlikeholde og forbedre Tjenestene for Kunden,
  • i samsvar med kundeavtalen, denne Avtalen og Kundens dokumenterte instrukser,
  • slik det er nødvendig for å oppfylle gjeldende lov.

Avtalen gjelder så lenge CLOP behandler personopplysninger på vegne av Kunden.

Dersom CLOP mener en instruks er i strid med gjeldende personvernregelverk, skal CLOP informere Kunden, med mindre lov forbyr slik informasjon.

4. Behandlingens art og formål

Behandlingen består av lagring, organisering, strukturering, tilgjengeliggjøring, visning, beregning, analyse, kommunikasjon, overføring, sikring, feilsøking, support, sletting og annen behandling som er nødvendig for å levere Tjenestene.

Formålet er å levere digitale lærings-, undervisnings-, administrasjons- og samarbeidsverktøy til Kunden, inkludert adaptive læringsoppgaver, brukeradministrasjon, klasser/grupper, filer, innleveringer, tilbakemeldinger, meldinger, timeplan, vurderinger og andre moduler Kunden aktiverer.

5. Kategorier av registrerte

Behandlingen kan omfatte:

  • elever/studenter,
  • lærere,
  • skoleadministratorer,
  • ansatte hos Kunden,
  • foresatte dersom foresattefunksjonalitet aktiveres,
  • andre brukere Kunden gir tilgang,
  • CLOP-personell i support- og driftsroller.

6. Kategorier av personopplysninger

Avhengig av Kundens bruk kan behandlingen omfatte:

  • navn, e-post, brukernavn, rolle, skole/organisasjon, klasse, gruppe, fag og trinn,
  • innloggingsdata, IP-adresse, enhet, nettleser, tidsstempler og sikkerhetshendelser,
  • oppgavebesvarelser, resultater, progresjon, poeng, streaks, belønninger og læringsanalyse,
  • filer, dokumenter, bilder, innleveringer og læringsmateriell,
  • tilbakemeldinger, vurderinger, karakterer og fravær dersom relevante moduler brukes,
  • meldinger og kommunikasjon i Tjenestene,
  • supportdata og tekniske logger.

7. Særlige kategorier av personopplysninger

Tjenestene behandler ikke helseopplysninger, trivselsdata, sosiogramdata eller andre særlige kategorier av personopplysninger som standard. Slik behandling kan bare skje dersom:

  • det er uttrykkelig avtalt skriftlig,
  • Kunden har dokumentert behandlingsgrunnlag og unntak etter GDPR artikkel 9 der nødvendig,
  • Partene har gjennomført nødvendige risikovurderinger og eventuell DPIA,
  • Avtalen, sikkerhetstiltakene og dokumentasjonen er oppdatert.

8. Kundens plikter

Kunden skal:

  • ha gyldig behandlingsgrunnlag for behandlingen,
  • gi nødvendig informasjon til registrerte,
  • sørge for at personopplysninger som legges inn i Tjenestene er relevante og nødvendige,
  • ikke instruere CLOP til å behandle personopplysninger i strid med lov,
  • administrere brukerroller og tilganger,
  • vurdere behov for DPIA, særlig ved læringsanalyse, barn/elever, skytjenester eller nye moduler,
  • håndtere henvendelser fra registrerte, med bistand fra CLOP der nødvendig.

9. CLOP sine plikter

CLOP skal:

  • behandle personopplysninger bare etter dokumentert instruks,
  • sikre at personer med tilgang til personopplysninger har taushetsplikt,
  • iverksette egnede tekniske og organisatoriske sikkerhetstiltak,
  • bistå Kunden med rettighetsforespørsler, DPIA, sikkerhet og bruddhåndtering i den grad relevant,
  • slette eller returnere personopplysninger ved opphør,
  • tilgjengeliggjøre nødvendig dokumentasjon for å vise etterlevelse,
  • ikke bruke personopplysninger til egne formål, med mindre dette er lovlig og tydelig regulert.

10. Sikkerhetstiltak

CLOP skal opprettholde egnede sikkerhetstiltak, herunder:

  • kryptering i transitt,
  • tilgangsstyring og rollebaserte rettigheter,
  • støtte for tofaktorautentisering,
  • begrensning av administrativ tilgang,
  • separasjon mellom kunder der relevant,
  • sikkerhetslogging og overvåking,
  • backup og gjenopprettingsrutiner,
  • sårbarhets- og avhengighetsoppfølging,
  • leverandørstyring,
  • hendelseshåndtering og varslingsrutiner.

11. Bruk av underdatabehandlere

Kunden gir CLOP generell tillatelse til å bruke underdatabehandlere for å levere Tjenestene. CLOP skal føre en oppdatert liste over underdatabehandlere.

CLOP skal varsle Kunden om nye eller erstattede underdatabehandlere innen rimelig tid før endringen trer i kraft, slik at Kunden kan protestere på saklig grunnlag. Dersom Partene ikke blir enige, kan Kunden si opp den berørte Tjenesten i samsvar med kundeavtalen.

CLOP skal inngå skriftlig avtale med underdatabehandlere som pålegger tilsvarende databeskyttelsesforpliktelser som denne Avtalen.

12. Overføring utenfor EØS

CLOP skal ikke overføre personopplysninger utenfor EØS uten gyldig overføringsgrunnlag og nødvendige tilleggstiltak der dette kreves.

Dersom en underdatabehandler eller annen leverandør innebærer overføring utenfor EØS, skal CLOP sikre at overføringen skjer i samsvar med gjeldende personvernregelverk, for eksempel gjennom adekvansbeslutning, EU Standard Contractual Clauses eller annet lovlig grunnlag.

13. Bistand med registrertes rettigheter

CLOP skal, så langt det er mulig og hensiktsmessig, bistå Kunden med å oppfylle plikter ved forespørsler om innsyn, retting, sletting, begrensning, dataportabilitet, protest og andre rettigheter.

Dersom CLOP mottar en forespørsel direkte fra en registrert om Kundedata, skal CLOP normalt videresende forespørselen til Kunden eller be den registrerte kontakte Kunden, med mindre CLOP er rettslig forpliktet til å svare direkte.

14. Brudd på personopplysningssikkerheten

CLOP skal varsle Kunden uten ugrunnet opphold etter å ha blitt kjent med et brudd på personopplysningssikkerheten som gjelder Kundens personopplysninger.

Varslet skal, så langt informasjonen er tilgjengelig, beskrive:

  • hva som har skjedd,
  • kategorier og omtrentlig antall registrerte og opplysninger,
  • sannsynlige konsekvenser,
  • tiltak som er gjennomført eller foreslått,
  • kontaktpunkt for oppfølging.

CLOP skal bistå Kunden med informasjon Kunden trenger for å vurdere varsel til Datatilsynet eller registrerte.

15. Revisjon og dokumentasjon

CLOP skal gjøre tilgjengelig informasjon som er nødvendig for å vise etterlevelse av denne Avtalen. Kunden kan gjennomføre revisjon eller kontroll med rimelig varsel, forutsatt at revisjonen ikke unødig forstyrrer CLOP sin drift, ikke svekker sikkerheten eller konfidensialiteten for andre kunder, og er begrenset til behandling relevant for Kunden.

CLOP kan oppfylle revisjonskrav gjennom dokumentasjon, sikkerhetsrapporter, leverandørerklæringer, spørreskjemaer eller tredjepartsrapporter der dette er tilstrekkelig.

16. Retur og sletting ved opphør

Ved opphør skal CLOP etter Kundens valg returnere eller slette Kundedata, med mindre lov krever videre lagring. Dersom Kunden ikke gir instruks, kan CLOP slette Kundedata inntil 3 måneder etter opphør.

Backups slettes eller overskrives i ordinær backupsyklus, normalt innen 3 måneder. Data i backups skal ikke gjenopprettes for andre formål enn sikkerhet, kontinuitet eller lovpålagt behov.

17. Bruk av anonymiserte og aggregerte data

CLOP kan bruke anonymiserte og aggregerte data til statistikk, sikkerhet, produktforbedring, rapportering og videreutvikling, forutsatt at dataene ikke kan identifisere Kunden, en skole, en klasse eller enkeltpersoner. Pseudonymiserte data regnes fortsatt som personopplysninger og omfattes av denne Avtalen.

18. Varighet og opphør

Avtalen gjelder så lenge CLOP behandler personopplysninger på vegne av Kunden. Ved opphør gjelder bestemmelsene om konfidensialitet, sletting, revisjon og ansvar så langt de etter sin art fortsatt skal gjelde.

19. Lovvalg

Avtalen er underlagt norsk rett. Tvister behandles etter lovvalg og verneting i kundeavtalen, eller ved norske domstoler dersom annet ikke er avtalt.

Vedlegg 1 – Behandlingsoversikt

PunktBeskrivelse
TjenesterCLOP sine digitale lærings- og administrasjonstjenester
BehandlingsansvarligKunden
DatabehandlerCLOP Labs AS
FormålDigital læring, undervisning, klasse-/gruppeadministrasjon, innleveringer, feedback, meldinger, læringsanalyse, sikkerhet og support
RegistrerteElever/studenter, lærere, administratorer, ansatte, foresatte dersom aktivert, andre godkjente brukere
DatakategorierKonto, rolle, skole, klasse, fag, aktivitet, resultater, filer, meldinger, vurderinger, logger, supportdata
Særlige kategorierIkke del av standardtjenesten; krever særskilt avtale og vurdering
LokasjonNettside hos Webhuset i Oslo; Tjenester delvis i AWS eu-north-1; backups i Oslo
SlettingInntil 3 måneder etter opphør, med mindre annet er avtalt eller lovpålagt