DPA
Feature Detail
Description
The Data Processing Agreement (DPA) feature provides a publicly accessible static page on the Product Sales Website containing the template DPA that Meander offers to customer organizations under GDPR Article 28. The page presents the agreement governing Norse Digital Products' role as data processor when an organization becomes a tenant of the operational products. Making the DPA visible pre-sale lets prospective organizations and their legal teams review Norse's data protection commitments - including the list of sub-processors (Supabase, Vercel, Vipps, Firebase, Apple, Google) - before entering procurement discussions.
Sources & reasoning
Source lists DPA as a Sales Website core capability (line 168) and in the area taxonomy (line 387). Subprocessors.md confirms GDPR Art. 28 processor relationships exist and need to be disclosed. Phase 1 MVP per §5 bundled legal scope.
-
docs/source/likeperson.md · line 168Privacy policy, Terms of Service, Data Processing Agreement, Cookie Policy
-
docs/source/likeperson.md · line 387sales-legal | Legal Documents | Privacy Policy, Terms of Service, DPA, Cookie Policy
-
docs/source/Subprocessors.md · line 1-3Norse Digital Products AS benytter følgende underleverandører for drift av Meander. Alle underleverandører er databehandlere iht. GDPR art. 28
Analysis
Under GDPR Article 28, a documented DPA between controller (the customer organization) and processor (Norse Digital Products) is legally required before any production processing of personal data on the organization's behalf. Publishing the template DPA on the sales site accelerates procurement: legal teams of prospective organizations can review terms during evaluation rather than at contract-signing, shortening sales cycles. For organizations handling sensitive data on volunteers, peer mentors, and vulnerable contacts (children with cancer, blind persons, hearing-impaired), processor commitments and sub-processor transparency are non-negotiable. Publishing the DPA and sub-processor list demonstrates compliance-readiness and is a material differentiator in this market.
Implemented as a static page in the Sales Website's static export (Next.js static export, Astro, or plain HTML). The DPA content is authored in markdown or JSX and rendered at build time. The page should incorporate or link to the current sub-processor list (mirroring docs/source/Subprocessors.md content) and reference SCCs for transfers outside the EEA. Linked from the global footer next to Privacy Policy, ToS, and Cookie Policy. Versioning via git; the "last updated" date must be displayed on the page. No backend or acceptance-flow is required at MVP - the operational DPA-signing process happens later in the customer relationship.
Quality Assurance
Prospective Buyer (primary)Prospective Buyer
Quick UAT
- Åpne salgsnettsiden i nettleseren og naviger til Juridiske dokumenter → Databehandleravtale (DPA).
- Bekreft at DPA-siden viser lesbar avtaletekst med GDPR art. 28-innhold og lenke til underleverandørliste.
- Trykk pĂĄ nedlastingslenken og bekreft at DPA-dokumentet lastes ned i lesbart format.
- Følg lenken til underleverandørlisten og bekreft at aktive underleverandører (Supabase, Vercel, Vipps m.fl.) vises med formål og lokasjon.
Quick UAT — Accessibility
-
Åpne salgsnettsiden i nettleseren og naviger til Juridiske dokumenter → Databehandleravtale (DPA).
- Screen reader Sidetittel 'Databehandleravtale (DPA)' annonseres som H1; landemerker (banner, main, contentinfo) er identifiserbare.
- Keyboard / focus DPA-lenken i hovedmenyen nĂĄs via Tab; Enter aktiverer navigasjon.
- Focus visibility Synlig fokusring pĂĄ navigasjonslenken med tydelig kontrast.
-
Bekreft at DPA-siden viser lesbar avtaletekst med GDPR art. 28-innhold og lenke til underleverandørliste.
- Screen reader Overskrifter (H2/H3) leses i logisk rekkefølge; lenker annonseres med formål.
- Zoom Avtaletekst forblir lesbar og uten horisontal scroll ved 200% zoom.
- Contrast Brødtekst minimum 4.5:1 mot bakgrunn; lenker skiller seg ut med mer enn farge alene (understrek).
-
Trykk pĂĄ nedlastingslenken og bekreft at DPA-dokumentet lastes ned i lesbart format.
- Screen reader Lenken annonseres som 'Last ned DPA, PDF' med filtype og eventuell filstørrelse.
- Keyboard / focus Nedlastingslenken nĂĄs via Tab; Enter starter nedlasting.
- Focus visibility Synlig fokusring pĂĄ nedlastingslenken; lenketekst er beskrivende (ikke 'klikk her').
- Touch target Nedlastingsknapp/lenke har klikkflate ≥ 24×24 CSS-piksler.
-
Følg lenken til underleverandørlisten og bekreft at aktive underleverandører (Supabase, Vercel, Vipps m.fl.) vises med formål og lokasjon.
- Screen reader Tabell annonseres med kolonneoverskrifter (Underleverandør, Formål, Data, Lokasjon); rader leses i kontekst.
- Keyboard / focus Tabellnavigasjon mulig med piltaster; ingen tastaturfeller.
- Zoom Tabell forblir brukbar ved 200% zoom (responsiv layout eller horisontal scroll i tabellen, ikke siden).
Role Boundaries
4 role(s) must NOT access this feature-
Peer Mentor (Likeperson)
DPA-siden er offentlig og krever ingen pĂĄlogging; rollen har ingen tilgang til salgsnettstedets administrasjon eller redigering av innholdet.
-
Coordinator (Koordinator)
DPA-siden er offentlig og krever ingen pĂĄlogging; rollen har ingen tilgang til salgsnettstedets administrasjon eller redigering av innholdet.
-
Organization Administrator
DPA-siden er offentlig og krever ingen pĂĄlogging; rollen har ingen tilgang til salgsnettstedets administrasjon eller redigering av innholdet.
-
Global Administrator
DPA-siden er offentlig og krever ingen pĂĄlogging; salgsnettstedet er ikke en del av operasjonelle produkter og har ingen admin-grensesnitt for Norse-personell.
Expected End State
Prospective Buyer har lest og/eller lastet ned gjeldende DPA-tekst med tilhørende underleverandørliste, og har tilstrekkelig grunnlag til å sende avtalen til intern juridisk gjennomgang før demo-booking eller anskaffelse.
Components (6)
Shared Components
These components are reused across multiple features
User Stories
No user stories have been generated for this feature yet.