Senest opdateret: 9. april 2026
Databehandleraftale
Mellem dig (dataansvarlig) og Online Erhverv ApS (databehandler)
Hvad er dette? Når du bruger Online Erhverv, behandler vi data om dine kunder (f.eks. chatbot-samtaler, bookinger, kontaktoplysninger) på dine vegne. Denne aftale opfylder kravene i GDPR artikel 28 og sikrer, at dine kunders data behandles forsvarligt.
1. Parter
Dataansvarlig (dig): Den virksomhed eller person, der har oprettet en konto på Online Erhverv platformen.
Databehandler (os): Online Erhverv ApS, CVR: DK43216163, Strandvejen 126, 2900 Hellerup.
2. Formål og omfang
Databehandleren behandler personoplysninger på vegne af den dataansvarlige med det formål at levere følgende tjenester:
- Drift af AI-chatbot der interagerer med den dataansvarliges kunder
- Booking-system der opsamler kundedata (navn, telefon, e-mail)
- Synkronisering af data fra tredjepartsintegrationer
- Afsendelse af SMS og e-mail på den dataansvarliges vegne
- Generering af rapporter baseret på kundedata
- Opbevaring af kundekontakter, fakturaer og bookinger
3. Kategorier af personoplysninger
- Kontaktoplysninger: Navn, e-mail, telefonnummer, adresse
- Chatbot-data: Samtaler, sessions-ID, IP-adresser
- Booking-data: Datoer, tidspunkter, ydelser, noter
- Integrationsdata: Kontakter, fakturaer, betalinger, anmeldelser fra tilknyttede systemer
- Branche-specifik data: Behandlingsjournal (skønhed), reparationshistorik (auto), sessionnoter (coaching) m.fl.
4. Kategorier af registrerede
- Den dataansvarliges kunder og klienter
- Chatbot-besøgende på den dataansvarliges hjemmeside
- Kontakter synkroniseret fra integrationer
5. Databehandlerens forpligtelser
Databehandleren forpligter sig til at:
- Kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige
- Sikre at medarbejdere med adgang til data er underlagt tavshedspligt
- Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger
- Ikke engagere underdatabehandlere uden den dataansvarliges forudgående godkendelse
- Bistå den dataansvarlige med at opfylde registreredes rettigheder
- Bistå den dataansvarlige med at overholde GDPR artikel 32-36
- Slette eller returnere alle personoplysninger ved aftalens ophør
- Stille nødvendig dokumentation til rådighed for at påvise overholdelse
6. Sikkerhedsforanstaltninger
Databehandleren anvender følgende sikkerhedsforanstaltninger:
- Kryptering: TLS 1.3 for data i transit, AES-256 for integrations-tokens i hvile
- Adgangskontrol: Row Level Security i database — kunder kan kun se egne data
- Autentificering: Bcrypt-hashede adgangskoder, session-baseret autentificering
- Rate limiting: Alle offentlige endpoints er beskyttet mod misbrug
- Prompt injection-beskyttelse: AI-chatbot har input-filtrering og output-validering
- Logning: Aktivitetslog med sporbarhed
- Hosting: Vercel (SOC 2 Type II) og Supabase (SOC 2 Type II, ISO 27001)
7. Underdatabehandlere
Den dataansvarlige godkender følgende underdatabehandlere ved accept af denne aftale:
| Leverandør | Formål | Lokation |
|---|---|---|
| Supabase Inc. | Database og autentificering | EU (Frankfurt) |
| Vercel Inc. | Hosting og serverless | EU/USA (SCC) |
| Stripe Inc. | Betalingsbehandling | USA (SCC) |
| Anthropic PBC | AI-modeller (Claude) — primær | USA (SCC) |
| OpenAI Inc. | AI-modeller (GPT) — fallback når Claude er nede | USA (SCC) |
| ElevenLabs Inc. | AI-stemmesyntese til telefonopkald | USA (SCC) |
| Resend Inc. | E-mail-udsendelse (transaktionel) | USA (SCC) |
| Twilio Inc. | SMS- og telefon-infrastruktur | USA (SCC) |
| Google LLC | Gmail OAuth (kun hvis kunden tilslutter Gmail) | EU/USA (SCC) |
| Microsoft Corp. | Outlook/Microsoft 365 OAuth (kun hvis kunden tilslutter) | EU/USA (SCC) |
| Make.com (Celonis) | Workflow-automation (kun hvis kunden tilslutter) | EU |
Ved ændring af underdatabehandlere informeres den dataansvarlige mindst 30 dage før med mulighed for indsigelse.
8. Overførsel til tredjelande
Data kan overføres til USA via ovennævnte underdatabehandlere. Overførslen sker på baggrund af EU Standard Contractual Clauses (SCC) og leverandørernes supplerende sikkerhedsforanstaltninger.
9. Brud på persondatasikkerheden
Ved brud på persondatasikkerheden underretter databehandleren den dataansvarlige uden unødig forsinkelse og senest 48 timer efter at bruddet er blevet kendt. Underretningen indeholder:
- Beskrivelse af bruddet og omfanget
- Sandsynlige konsekvenser
- Trufne eller foreslåede foranstaltninger
- Kontaktoplysninger for yderligere information
10. Varighed og ophør
- Denne aftale gælder så længe den dataansvarlige har en aktiv konto på platformen
- Ved ophør slettes alle personoplysninger inden 90 dage, medmindre lovkrav forhindrer det
- Den dataansvarlige kan til enhver tid anmode om eksport af sine data
11. Revision og audit
Databehandleren stiller nødvendig dokumentation til rådighed og medvirker til audits og inspektioner udført af den dataansvarlige eller en bemyndiget revisor, med rimeligt varsel.
12. Kontakt
Henvendelser vedr. databeskyttelse rettes til:
support@onlineerhverv.dk