Tilbage

Databehandleraftale

Standardaftale baseret på Datatilsynets skabelon.

1. Parterne

Dataansvarlig: Kunden der bruger OptiHub.

Databehandler: Optimized (CVR: indsættes), driftsansvarlig for OptiHub.

2. Formål

Databehandleren må kun behandle personoplysninger for at drive OptiHub-tjenesten efter instruks fra den dataansvarlige. Dataene må ikke bruges til andre formål og må ikke videregives til tredjepart uden skriftlig accept.

3. Kategorier af data og registrerede

Oplysninger om den dataansvarliges slutkunder: navn, kontaktoplysninger, adresse, og fritekst der er relateret til en opgave.

Der behandles IKKE følsomme personoplysninger (fx helbred, politisk tilhørsforhold, race), CPR-numre eller betalingskortdata.

4. Sikkerhedsforanstaltninger

Databehandleren sørger for:

  • HTTPS-kryptering af al trafik
  • Bcrypt-hashede passwords
  • Adskillelse af kunders data på database-niveau (tenant isolation)
  • Signerede session-cookies (HttpOnly, SameSite=Lax)
  • Backup af data mindst én gang i døgnet
  • Logning af administrativ adgang

5. Sletning af data

Ved ophør af samarbejdet slettes alle persondata indenfor 30 dage. Den dataansvarlige kan til enhver tid kræve tidligere sletning eller udlevering af data i struktureret format.

6. Underdatabehandlere

Databehandleren benytter følgende underdatabehandlere:

  • Egen server-infrastruktur placeret i Danmark

Ændringer i listen af underdatabehandlere varsles mindst 30 dage i forvejen. Den dataansvarlige kan gøre indsigelse.

7. Databrud

Ved brud på datasikkerheden underretter databehandleren den dataansvarlige uden unødig forsinkelse og senest 24 timer efter at bruddet er konstateret, så den dataansvarlige kan overholde sin egen 72-timers anmeldelsesfrist til Datatilsynet.

8. Audit-rettigheder

Den dataansvarlige har ret til én gang årligt at føre tilsyn med databehandlerens overholdelse af aftalen. Tilsyn kan ske ved skriftlig besvarelse af spørgsmål eller ved fysisk audit efter rimeligt varsel.

9. Gældende ret

Aftalen er underlagt dansk ret. Tvister afgøres ved retten på databehandlerens adresse.

10. Skabelonen

Denne aftale følger Datatilsynets officielle skabelon for databehandleraftaler (GDPR art. 28). Den fulde version i Word-format kan downloades fra Datatilsynet:

Download Datatilsynets skabelon (.docx)

Se også privatlivspolitikken.