Overføring til tredjeland.
Denne siden beskriver hvordan personopplysninger behandles i forhold til overføring til land utenfor EU/EØS (tredjeland), i tråd med Schrems II-dommen og GDPR kapittel V.
Hovedregel
Applikasjonsdata (personopplysninger, quiz-resultater, sertifikater) lagres i EU/EØS-region hos Supabase (AWS eu-north-1, Stockholm).
Underleverandører og dataflyt
Supabase Inc.
Database og autentisering
Amerikansk selskap. Databasen kjører i EU/EØS-region (eu-north-1, Stockholm). DPA med Standard Contractual Clauses (SCCs) er på plass.
Vercel Inc.
Hosting og serverless functions
Serverless functions kjører som standard i iad1 (Washington, D.C.). Vi begrenser data som behandles i Vercel compute til det som er nødvendig for å levere tjenesten, og lagrer primært applikasjonsdata i EU/EØS. Ved behov kan vi konfigurere compute-region(er) for funksjoner. Eventuell tredjelandsoverføring håndteres via leverandørens DPA med Standard Contractual Clauses (SCCs).
Brevo (Sendinblue SAS)
Transaksjonell e-post
Fransk e-posttjeneste for verifiseringskoder og invitasjoner. All data lagres og behandles i EU (Frankrike). Ingen tredjelandsoverføring.
Plausible Analytics OÜ
Webanalyse (cookiefri)
Estisk selskap. All data behandles og lagres i EU (Hetzner, Tyskland). Cookiefri løsning som ikke sporer individer. Ingen tredjelandsoverføring.
Upstash Inc.
Rate limiting (Redis)
Amerikansk selskap. Data lagres og behandles i EU (Frankfurt, Tyskland). Kun hashede IP-adresser og forespørselsantall med kort levetid. Ingen personopplysninger overføres til tredjeland.
Risikovurdering
Vi designer for dataminimering. Personopplysninger lagres primært i EU/EØS. Enkelte metadata (IP-adresser, HTTP-headers) kan behandles i tredjeland av underleverandører som del av tjenesteleveransen.
Supplerende tiltak
- TLS-kryptering for all dataoverføring
- Dataminimering i alle behandlingsledd
- Standard Contractual Clauses (SCCs) hos alle underleverandører med tredjelandsoverføring
- Regelmessig vurdering av underleverandørenes sikkerhetstiltak og juridiske rammeverk
Kontakt
Spørsmål om tredjelandsoverføringer rettes til: personvern@krescado.no