Juridisk · Tredjeland
Overføring til tredjeland.
Denne siden beskriver hvordan personopplysninger behandles i forhold til overføring til land utenfor EU/EØS (tredjeland), i tråd med Schrems II-dommen og GDPR kapittel V.
§ 1 · Hovedregel
Hvor data lagres§
Applikasjonsdata (personopplysninger, quiz-resultater, sertifikater) lagres i EU/EØS-region hos Supabase (AWS eu-north-1, Stockholm — ingen speiling til tredjeland).
§ 2 · Underleverandører og dataflyt
Hvem som behandler data og hvor§
Krescado benytter et begrenset antall databehandlere. Alle er bundet av databehandleravtale etter art. 28 GDPR.
Supabase Inc.EU/EØS
Database og autentisering · primær datalagring
- Tjeneste
- Managed Postgres, autentisering og applikasjonsdata for portalen.
- Lokasjon
- Stockholm, Sverige · region eu-north-1, ingen speiling til tredjeland
- Mekanisme
- DPA med Standard Contractual Clauses (SCCs) på plass.
Vercel Inc.USA · SCC
Hosting og serverless functions
- Tjeneste
- Serverless functions kjører som standard i iad1 (Washington, D.C.). Vi begrenser data som behandles i Vercel compute til det som er nødvendig for å levere tjenesten.
- Lokasjon
- USA · compute-region kan konfigureres ved behov
- Mekanisme
- Eventuell tredjelandsoverføring håndteres via leverandørens DPA med Standard Contractual Clauses (SCCs).
Brevo (Sendinblue SAS)EU
Transaksjonell e-post fra applikasjonen
- Tjeneste
- Invitasjoner, passordtilbakestilling og varslinger sendt av applikasjonen.
- Lokasjon
- Frankrike
- Mekanisme
- All data lagres og behandles i EU. Ingen tredjelandsoverføring.
Postmark (ActiveCampaign, LLC)USA · SCC
Autentiserings-e-post via Supabase Auth
- Tjeneste
- Utsending av innloggingskoder (engangskoder/OTP) og autentiseringsrelaterte e-poster. Brukes av autentiseringstjenesten (Supabase Auth, custom SMTP). Behandler e-postadresse, e-postmetadata og innholdet i auth-e-posten.
- Lokasjon
- USA · Postmark tilbyr ikke EU-region
- Mekanisme
- DPA med Standard Contractual Clauses (SCCs). I tillegg er ActiveCampaign, LLC sertifisert under EU-U.S. Data Privacy Framework med Postmark-enheten (AC PM LLC) som dekket enhet.
Plausible Analytics OÜEU
Webanalyse · cookiefri
- Tjeneste
- Anonymiserte sidevisninger og trafikkstatistikk.
- Lokasjon
- Hetzner, Tyskland
- Mekanisme
- Cookiefri løsning som ikke sporer individer. Ingen tredjelandsoverføring.
Upstash Inc.EU
Rate limiting · Redis
- Tjeneste
- Hashede IP-adresser og forespørselsantall med kort levetid.
- Lokasjon
- Frankfurt, Tyskland
- Mekanisme
- Data lagres og behandles i EU. Ingen personopplysninger overføres til tredjeland.
Anthropic PBCUSA · SCC
AI-generering av scorecard-rapport og risikovurdering
- Tjeneste
- AI-analyse for personalisert scorecard-rapport og automatisk risikovurdering av AI-verktøy. Kun dataminimerte svar og verktøynavn sendes — ingen direkte identifikatorer som e-post eller organisasjonsnavn. API-data slettes normalt innen 30 dager og brukes ikke til modelltrening.
- Lokasjon
- USA
- Mekanisme
- DPA med Standard Contractual Clauses (SCCs) via Anthropics Commercial Terms.
Sentry (Functional Software, Inc.)US-selskap · EU-data
Feilrapportering og observability
- Tjeneste
- Tekniske feilmeldinger og stack-traces med PII-scrubbing aktivert. Data lagres i EU (ingest.de.sentry.io, Frankfurt); selskapet er US-basert, så support-/kontotilgang kan utgjøre tredjelandsoverføring.
- Lokasjon
- Frankfurt, Tyskland · US-morselskap
- Mekanisme
- Sentry DPA med Standard Contractual Clauses (SCCs). Functional Software, Inc. er i tillegg sertifisert under EU-U.S. Data Privacy Framework.
§ 3 · Risikovurdering
Restrisiko ved tredjelandsoverføring§
Vi designer for dataminimering. Personopplysninger lagres primært i EU/EØS. Enkelte metadata (IP-adresser, HTTP-headers) kan behandles i tredjeland av underleverandører som del av tjenesteleveransen.
§ 4 · Supplerende tiltak
Sikkerhetsmekanismer§
- TLS-kryptering for all dataoverføring
- Dataminimering i alle behandlingsledd
- Standard Contractual Clauses (SCCs) hos alle underleverandører med tredjelandsoverføring
- Regelmessig vurdering av underleverandørenes sikkerhetstiltak og juridiske rammeverk
§ 5 · Kontakt
Spørsmål om tredjelandsoverføringer§
Spørsmål om tredjelandsoverføringer rettes til: personvern@krescado.no