Gromis
Databehandleravtale
Denne avtalen regulerer hvordan Gromis behandler personopplysninger på vegne av kunden når Gromis brukes til regnskap, faktura, lønn og integrasjoner.
- Versjon
- 2026-05-06.1
- Sist oppdatert
- 6.5.2026
Innhold
1.Parter og roller
Kunden er behandlingsansvarlig for personopplysninger som legges inn i Gromis om kundens ansatte, kunder, leverandører, bilag, betalinger og regnskap.
Gromis er databehandler for disse opplysningene og skal bare behandle dem etter kundens dokumenterte instrukser, denne avtalen og gjeldende lov.
2.Behandlingens formål og varighet
Formålet er å levere regnskaps-, faktura-, lønns-, MVA-, skattemeldings-, bank-, betalings- og dokumenthåndteringsfunksjoner i Gromis.
Behandlingen varer så lenge kunden har en aktiv konto eller så lenge Gromis må oppbevare opplysninger etter kundens instrukser, lovpålagte krav eller nødvendig avslutning av tjenesten.
3.Kategorier av registrerte og opplysninger
- Kundens brukere og kontaktpersoner.
- Kundens ansatte og oppdragstakere, inkludert lønnsdata, bankkonto og fødselsnummer der nødvendig.
- Kundens kunder, leverandører og kontraktsmotparter.
- Personer nevnt i bilag, kvitteringer, fakturaer, kontrakter, banktransaksjoner eller offentlige innsendinger.
- Regnskaps-, betalings-, integrasjons-, fil- og loggdata som er nødvendig for tjenesten.
4.Instrukser
Kundens bruk av funksjoner i Gromis, innstillinger, API-kall og skriftlige henvendelser utgjør dokumenterte instrukser. Gromis skal varsle kunden dersom en instruks etter vår vurdering strider mot personvernregelverket.
Gromis kan behandle opplysninger uten særskilt instruks når dette er nødvendig for sikkerhet, feilretting, drift, lovpålagte krav eller for å beskytte tjenesten mot misbruk.
5.Sikkerhetstiltak
- Tilgangsstyring og flerleietaker-isolasjon med krav om userId-scoping i databasetilgang.
- Kryptering av fødselsnummer ved lagring og kryptert transport via HTTPS.
- Hemmeligheter lagres i miljøvariabler og skal ikke hardkodes.
- Sikkerhetssjekker for manglende autentisering, manglende tenant-filter og PII-lekkasjer.
- Logging skal begrenses, og fødselsnummer, passord, tokens og rå hemmeligheter skal ikke logges.
- Produksjonsendringer går gjennom migrasjoner og deploy-kontroller.
6.Underleverandører
Kunden gir Gromis generell tillatelse til å bruke underleverandører som er nødvendige for å levere tjenesten. Gromis skal pålegge underleverandører tilsvarende personvernforpliktelser som følger av denne avtalen.
Listen under viser godkjente underleverandører på avtaletidspunktet. Vesentlige endringer eller utskifting av underleverandører skal varsles minst 30 dager før de trer i kraft, slik at kunden kan motsette seg endringen og eventuelt avslutte tjenesten uten gebyr.
| Leverandør | Formål | Lokasjon | Overføringsgrunnlag |
|---|---|---|---|
| Vercel Inc. | Hosting, kjøring av API/Next.js, edge-cache | EU + USA | SCC + DPA |
| Vercel Blob | Filer (kvitteringer, lønnsslipper, kontrakter) | EU + USA | SCC + DPA |
| Turso (ChiselStrike, Inc.) | Database (libSQL/SQLite-replikering) | EU | Inne i EØS |
| OpenAI Ireland Ltd. | OCR av kvitteringer | EU + USA | SCC + DPA, ingen treningsbruk |
| Anthropic PBC | AI-assistent / fallback for tekstforståelse | USA | SCC + DPA, ingen treningsbruk |
| Resend, Inc. | Transaksjonell e-post (velkomst, passord-reset) | USA | SCC + DPA |
| Sentry (Functional Software, Inc.) | Feilsporing og driftslogger | EU | Inne i EØS (EU-region valgt) |
| Neonomics AS | PSD2 bank-tilkobling og kontoinformasjon | Norge / EØS | Inne i EØS (Finanstilsynet-lisensiert) |
| Digitaliseringsdirektoratet (Digdir) | Maskinporten og ID-porten ved bruk av offentlige API | Norge | Inne i EØS |
7.Bistand til rettigheter og plikter
Gromis skal bistå kunden med innsyn, retting, sletting, begrensning, dataportabilitet og andre rettigheter så langt det er mulig ut fra tjenestens art.
Gromis skal også bistå med relevante plikter etter GDPR artikkel 32-36, inkludert sikkerhet, avvikshåndtering og vurderinger knyttet til personvernkonsekvenser.
8.Avvik
Ved brudd på personopplysningssikkerheten som gjelder kundens data, skal Gromis varsle kunden uten ugrunnet opphold og gi nødvendig informasjon for at kunden kan vurdere varsling til Datatilsynet eller registrerte.
9.Sletting og tilbakelevering
Ved opphør skal Gromis slette eller gjøre tilgjengelig kundens personopplysninger etter kundens valg, med mindre lov krever videre lagring. Sletting fra sikkerhetskopier følger dokumenterte backup-rutiner.
10.Revisjon og dokumentasjon
Gromis skal gjøre nødvendig informasjon tilgjengelig for å dokumentere etterlevelse av denne avtalen. Praktisk revisjon avtales særskilt og skal gjennomføres på en måte som ikke svekker sikkerheten for andre kunder.
11.Digdir, Maskinporten og ID-porten
Når kunden aktiverer offentlige integrasjoner, må kunden ha behandlingsgrunnlag for personopplysninger i token og saklig og nødvendig behov for eventuell behandling av fødselsnummer. Gromis skal begrense innhenting og lagring til det som er nødvendig for den aktuelle funksjonen.
Kontakt
Har du spørsmål om personvern, eller ønsker du å utøve rettighetene dine, kontakt oss på support@gromis.no
Klagerett
Hvis du mener at vi behandler personopplysningene dine i strid med regelverket, kan du klage til Datatilsynet.