Databehandleraftale

1. Parter

Dataansvarlig (dig): Den virksomhed eller person, der har oprettet en konto på Online Erhverv platformen.
Databehandler (os): Online Erhverv ApS, CVR: DK43216163, Strandvejen 126, 2900 Hellerup.

2. Formål og omfang

Databehandleren behandler personoplysninger på vegne af den dataansvarlige med det formål at levere følgende tjenester:

• Drift af AI-chatbot der interagerer med den dataansvarliges kunder
• Booking-system der opsamler kundedata (navn, telefon, e-mail)
• Synkronisering af data fra tredjepartsintegrationer
• Afsendelse af SMS og e-mail på den dataansvarliges vegne
• Generering af rapporter baseret på kundedata
• Opbevaring af kundekontakter, fakturaer og bookinger

3. Kategorier af personoplysninger

• Kontaktoplysninger: Navn, e-mail, telefonnummer, adresse
• Chatbot-data: Samtaler, sessions-ID, IP-adresser
• Booking-data: Datoer, tidspunkter, ydelser, noter
• Integrationsdata: Kontakter, fakturaer, betalinger, anmeldelser fra tilknyttede systemer
• Opgave- og projektdata: Opgavebeskrivelser, adresser, fotos, KS-rapporter, serviceaftaler, materialer, tilbud, fakturaer og noter knyttet til den dataansvarliges kunder

4. Kategorier af registrerede

• Den dataansvarliges kunder og klienter
• Chatbot-besøgende på den dataansvarliges hjemmeside
• Kontakter synkroniseret fra integrationer

5. Databehandlerens forpligtelser

Databehandleren forpligter sig til at:

• Kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige — herunder ved overførsel til tredjelande — medmindre EU- eller medlemsstatslovgivning kræver behandling. I så fald underretter databehandleren den dataansvarlige om dette retlige krav før behandlingen, medmindre den pågældende lovgivning forbyder en sådan underretning af hensyn til vigtige samfundsinteresser
• Straks underrette den dataansvarlige, hvis en instruks efter databehandlerens vurdering strider mod GDPR eller anden gældende databeskyttelseslovgivning
• Sikre at medarbejdere og andre personer med adgang til personoplysningerne har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt
• Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger, jf. GDPR artikel 32 (uddybet i pkt. 6)
• Kun anvende underdatabehandlere i overensstemmelse med pkt. 7 (generel skriftlig godkendelse med forudgående varsel og indsigelsesret)
• Under hensyntagen til behandlingens karakter bistå den dataansvarlige med passende tekniske og organisatoriske foranstaltninger med at opfylde de registreredes rettigheder (GDPR kapitel III, artikel 12-23)
• Bistå den dataansvarlige med at overholde GDPR artikel 32-36 (behandlingssikkerhed, anmeldelse og underretning ved brud, konsekvensanalyse og forudgående høring)
• Efter den dataansvarliges valg slette eller returnere alle personoplysninger ved ophør af leveringen af tjenesterne og slette eksisterende kopier, medmindre EU- eller medlemsstatslovgivning kræver fortsat opbevaring
• Stille al information, der er nødvendig for at påvise overholdelse af GDPR artikel 28, til rådighed for den dataansvarlige og muliggøre og bidrage til audits, herunder inspektioner (jf. pkt. 11)

6. Sikkerhedsforanstaltninger

Databehandleren anvender følgende sikkerhedsforanstaltninger:

• Kryptering: TLS 1.3 for data i transit, AES-256 for integrations-tokens i hvile
• Adgangskontrol: Row Level Security i database — kunder kan kun se egne data
• Autentificering: Bcrypt-hashede adgangskoder, session-baseret autentificering
• Rate limiting: Alle offentlige endpoints er beskyttet mod misbrug
• Prompt injection-beskyttelse: AI-chatbot har input-filtrering og output-validering
• Logning: Aktivitetslog med sporbarhed
• Hosting: Vercel (SOC 2 Type II) og Supabase (SOC 2 Type II, ISO 27001)

7. Underdatabehandlere

Den dataansvarlige godkender følgende underdatabehandlere ved accept af denne aftale:

Den dataansvarlige giver hermed en generel skriftlig godkendelse til ovennævnte underdatabehandlere. Ved tilføjelse eller udskiftning af underdatabehandlere informeres den dataansvarlige mindst 30 dage før, så den dataansvarlige har mulighed for at gøre begrundet indsigelse. Gør den dataansvarlige begrundet indsigelse, og kan parterne ikke nå til enighed om en løsning, kan den dataansvarlige opsige aftalen for så vidt angår de berørte behandlinger uden binding.

Databehandleren pålægger via kontrakt enhver underdatabehandler de samme databeskyttelsesforpligtelser som fremgår af denne aftale, herunder krav om passende tekniske og organisatoriske sikkerhedsforanstaltninger og fortrolighed. Online Erhverv ApS forbliver fuldt ansvarlig over for den dataansvarlige for opfyldelsen af enhver underdatabehandlers forpligtelser. Opfylder en underdatabehandler ikke sine databeskyttelsesforpligtelser, hæfter Online Erhverv ApS fuldt ud over for den dataansvarlige for udførelsen af underdatabehandlerens forpligtelser.

8. Overførsel til tredjelande

Data kan overføres til USA via ovennævnte underdatabehandlere. Overførsel til tredjelande sker kun efter dokumenteret instruks fra den dataansvarlige (givet ved accept af denne aftale) eller hvor EU- eller medlemsstatslovgivning kræver det. Overførslen sker på et gyldigt overførselsgrundlag — EU Standard Contractual Clauses (SCC) — suppleret med leverandørernes supplerende tekniske og organisatoriske foranstaltninger.

9. Brud på persondatasikkerheden

Ved brud på persondatasikkerheden underretter databehandleren den dataansvarlige uden unødig forsinkelse og senest 48 timer efter at bruddet er blevet kendt. Underretningen indeholder:

• Beskrivelse af bruddet og omfanget
• Sandsynlige konsekvenser
• Trufne eller foreslåede foranstaltninger
• Kontaktoplysninger for yderligere information

Databehandleren bistår desuden den dataansvarlige med dennes egne forpligtelser ved et brud, herunder eventuel anmeldelse til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer (GDPR artikel 33) samt underretning af berørte registrerede, hvor bruddet sandsynligvis vil indebære en høj risiko (GDPR artikel 34).

10. Varighed og ophør

• Denne aftale gælder så længe den dataansvarlige har en aktiv konto på platformen
• Ved ophør slettes alle personoplysninger inden 12 måneder, medmindre EU- eller medlemsstatslovgivning (fx bogføringsloven) kræver fortsat opbevaring
• Visse kategorier slettes løbende tidligere — uanset ophør: AI-telefon-transskriptioner slettes automatisk efter 90 dage, og chatbot-samtaler efter 12 måneder
• Bogførings- og betalingsdata opbevares i 5 år, jf. bogføringsloven
• Den dataansvarlige kan til enhver tid anmode om eksport af sine data

11. Revision og audit

Databehandleren stiller nødvendig dokumentation til rådighed og medvirker til audits og inspektioner udført af den dataansvarlige eller en bemyndiget revisor, med rimeligt varsel. Databehandlerens og dennes underdatabehandleres overholdelse kan dokumenteres ved anerkendte uafhængige tredjeparts-revisionsrapporter og certificeringer (fx ISAE 3000, SOC 2 Type II eller ISO 27001), hvor sådanne foreligger, og den dataansvarlige kan rekvirere disse i stedet for en fysisk inspektion, medmindre der er konkret anledning til andet.

12. Lovvalg, forrang og ophør af aftalen

Denne databehandleraftale er underlagt dansk ret, og eventuelle tvister afgøres ved de danske domstole. Aftalen er accessorisk til Online Erhvervs vilkår. I tilfælde af uoverensstemmelse mellem denne aftale og de øvrige aftaler mellem parterne vedrørende behandling af personoplysninger har denne databehandleraftale forrang. Aftalen er gyldig, så længe databehandleren behandler personoplysninger på vegne af den dataansvarlige, og uanset aftalens ophør forbliver pkt. 5, 6 og 9 i kraft, indtil alle personoplysninger er slettet eller returneret.

13. Kontakt

Henvendelser vedr. databeskyttelse rettes til:
hej@onlineerhverv.dk