🏠 Overview â€ș 🎯 Features â€ș🎯 Data Processing Agreement (DPA)

Data Processing Agreement (DPA)

Feature Detail

medium complexity extracted Legal Documents Confidence: 100%
4
Components
18
Shared
0
User Stories
Yes
Analyzed

Description

The Data Processing Agreement page provides the standard GDPR Article 28 contract governing how Norse Digital Products processes personal data on behalf of customer organizations using the Meander platform. It covers the subject matter, duration, nature and purpose of processing, types of personal data, categories of data subjects, and the obligations and rights of both controller and processor. Published as a static document on the Sales Website, it is reviewed during procurement and linked from the Privacy Policy for reference.

Sources & reasoning

Listed explicitly in the Sales Website product description at line 224. Phase mapping: Sales Website scope appears in Fase 1 MVP at lines 335-338 → "MVP". A DPA is a GDPR Article 28 prerequisite for any SaaS platform processing personal data on behalf of customer organizations; all four target organizations are data controllers bound by GDPR.

Analysis

Business Value

A published DPA is a GDPR Article 28 legal requirement whenever a data processor (Norse Digital Products) processes personal data on behalf of a controller (the customer organization). Without it, prospective customers - especially Norwegian non-profit and public-sector organizations subject to strict GDPR enforcement by Datatilsynet - cannot lawfully sign up. A standard DPA de-risks procurement by allowing data-protection officers at NHF, Blindeforbundet, and HLF to review terms without lengthy back-and-forth negotiation, directly accelerating the sales cycle and reducing legal overhead for each new customer onboarding.

Implementation Notes

Implemented as a static Next.js page rendered at build time from Markdown with an optional PDF download generated via a build script. The DPA must include all mandatory GDPR Article 28 clauses: subject matter and duration, nature and purpose of processing, type of data and categories of data subjects, processor obligations (security measures, sub-processor approval, deletion on termination), and data-subject rights facilitation. The sub-processor list should be maintained as a separate linked annex to allow updates without a full DPA revision. Norwegian is the primary language; English may be added given the international compliance tooling used by some customers. Legal review is required before launch.

Quality Assurance

Prospective Organization Representative (primary)
1
Scenarios
5
UAT Steps
15
A11y Annotations
4
Role Boundaries
Prospective Organization Representative

Prospective Organization Representative

Quick UAT

  1. Åpne Meander-nettstedet i en nettleser og naviger til Juridisk → Databehandleravtale (DPA).
  2. Bekreft at alle obligatoriske GDPR artikkel 28-seksjoner vises: avtalens formÄl, varighet, behandlingens art og formÄl, kategorier av personopplysninger, kategorier av registrerte, og partenes plikter og rettigheter.
  3. Klikk pÄ en seksjonstittel i innholdsfortegnelsen (f.eks. «Behandlingens art og formÄl») og bekreft at siden ruller direkte til riktig seksjon.
  4. Aktiver nettleserens utskriftsdialog (Ctrl+P / Cmd+P) og bekreft at navigasjon, sidemeny og interaktive elementer er skjult i forhÄndsvisningen, og at all avtaletekst er synlig og lesbar.
  5. Naviger til PersonvernerklĂŠringen og finn lenken til Databehandleravtalen. Bekreft at lenken Ă„pner riktig DPA-side.

Quick UAT — Accessibility

  1. Åpne Meander-nettstedet i en nettleser og naviger til Juridisk → Databehandleravtale (DPA).
    • Screen reader Sidetittel annonseres som «Databehandleravtale» ved sideinnlasting; navigasjonslandmerker (nav, main) kunngjĂžres korrekt.
    • Keyboard / focus Tab-rekkefĂžlge: toppnavigasjon → innholdsfortegnelse → hoveddokument. Fokus begynner pĂ„ fĂžrste interaktive element.
    • Contrast Navigasjonslenker og brĂždtekst oppfyller 4.5:1 kontrastkrav; aktiv navigasjonstittel skilles ikke kun med farge.
  2. Bekreft at alle obligatoriske GDPR artikkel 28-seksjoner vises: avtalens formÄl, varighet, behandlingens art og formÄl, kategorier av personopplysninger, kategorier av registrerte, og partenes plikter og rettigheter.
    • Screen reader Seksjonsoverskrifter annonseres med korrekt overskriftsnivĂ„ (h2/h3); lister leses med antall elementer.
    • Zoom Alle seksjoner forblir lesbare og ikke avklipt ved 200 % zoom; horisontal scrolling unngĂ„s.
    • Contrast Avtaletekst oppfyller 4.5:1; store overskrifter (≄18 pt) oppfyller 3:1.
  3. Klikk pÄ en seksjonstittel i innholdsfortegnelsen (f.eks. «Behandlingens art og formÄl») og bekreft at siden ruller direkte til riktig seksjon.
    • Screen reader Ankerlenkens destinasjon kunngjĂžres; fokus flyttes til mĂ„loverskriften slik at skjermleser annonserer seksjonstittelen.
    • Keyboard / focus Ankerlenker i innholdsfortegnelsen er nĂ„bare med Tab og aktiverbare med Enter; synlig fokusring vises.
    • Focus visibility Etter aktivering av ankerlenke er fokus synlig pĂ„ mĂ„lseksjonen; overskriften er programmatisk merket som fokusmĂ„l.
    • Touch target ≄ 24×24 CSS px for hvert element i innholdsfortegnelsen.
  4. Aktiver nettleserens utskriftsdialog (Ctrl+P / Cmd+P) og bekreft at navigasjon, sidemeny og interaktive elementer er skjult i forhÄndsvisningen, og at all avtaletekst er synlig og lesbar.
    • Screen reader Ikke aktuelt for utskriftsdialog (OS-kontrollert); kontroller at ingen skjult tekst med display:none er eneste forekomst av obligatorisk avtaletekst.
    • Zoom Utskriftsstiler sikrer at tekst ikke klippes ved A4-bredde; sideskift unngĂ„r Ă„ dele overskrift fra tilhĂžrende klausul.
  5. Naviger til PersonvernerklĂŠringen og finn lenken til Databehandleravtalen. Bekreft at lenken Ă„pner riktig DPA-side.
    • Screen reader Lenketeksten «Databehandleravtale» (eller tilsvarende) er meningsfull uten kontekst; ikke «klikk her».
    • Keyboard / focus Lenken er nĂ„bar med Tab og aktiverbar med Enter fra PersonvernerklĂŠringen.
    • Focus visibility Synlig fokusring pĂ„ lenken; lenken er ikke skjult for tastaturbrukere.

Role Boundaries

4 role(s) must NOT access this feature
  • Peer Mentor

    Siden finnes ikke i mobilappens navigasjon; deep-link til /legal/dpa Ă„pner offentlig nettleservisning uten autentisering — ingen spesiell tilgang eller handlinger tilgjengelig i appen.

  • Coordinator

    Siden finnes ikke i mobilappens navigasjon; ingen DPA-administrasjonsfunksjon er tilgjengelig i mobilappen eller admin-portalen for denne rollen.

  • Organization Administrator

    DPA-siden er kun tilgjengelig som offentlig statisk side pÄ salgsnettsiden; admin-portalen inneholder ingen redigerings- eller godkjenningsfunksjon for DPA-innhold.

  • Global Administrator

    DPA-innhold administreres som statiske filer i kodebasen, ikke via admin-portalen; Global Administrator har ingen DPA-administrasjonsflate i systemet.

Expected End State

DPA-siden er fullt synlig med alle GDPR artikkel 28-seksjoner, innholdsfortegnelsens ankernavigasjon fungerer korrekt, utskriftsvisningen er ren og navigasjonsfri, og lenken fra PersonvernerklĂŠringen leder direkte til DPA-siden.

Components (22)

User Interface (2)

ui DpaPage medium ui DpaTableOfContents medium

Service Layer (1)

service DpaContentService medium

Data Layer (1)

data DpaDocumentRepository medium

Shared Components

These components are reused across multiple features

User Stories

No user stories have been generated for this feature yet.