Databehandleraftale
Senest opdateret: 12. marts 2026
Denne databehandleraftale ("DPA") er indgået i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger (GDPR), artikel 28, samt den danske databeskyttelseslov (lov nr. 502 af 23. maj 2018).
DPA'en udgør en integreret del af aftalen mellem Kunden og Branthiq ApS om brug af DataCVR API.
1. Parter
1.1 Dataansvarlig
Kunden ("den Dataansvarlige") — den virksomhed eller person, der har oprettet en konto hos DataCVR API og benytter Tjenesten.
1.2 Databehandler
Branthiq ApS ("Databehandleren")
CVR-nr.: 44474117
Strandvejen 60
8000 Aarhus C
Danmark
E-mail: kontakt@datacvrapi.dk
2. Behandlingens genstand og formål
2.1 Formål
Databehandleren behandler personoplysninger på vegne af den Dataansvarlige med det formål at levere DataCVR API-tjenesten, herunder:
- Drift og vedligeholdelse af API-adgang
- Opbevaring og fremvisning af brugerkontooplysninger
- Behandling af betalinger
- Registrering af API-forbrug og -statistik
- Kundesupport og kommunikation
2.2 Varighed
Behandlingen finder sted så længe Kunden har en aktiv konto hos DataCVR API. Ved opsigelse af aftalen ophører behandlingen i henhold til afsnit 11.
2.3 Kategorier af registrerede
- Kundens medarbejdere og kontaktpersoner
- Slutbrugere af Kundens systemer, der anvender data hentet via API'et
2.4 Typer af personoplysninger
- Kontaktoplysninger (navn, e-mail, telefonnummer)
- Kontooplysninger (brugernavn, API-nøgle, loginhistorik)
- Betalingsoplysninger (fakturaadresse, betalingshistorik)
- Tekniske data (IP-adresser, API-kaldslogning)
- Offentligt tilgængelige virksomhedsdata fra CVR-registret
Der behandles som udgangspunkt ikke følsomme personoplysninger (GDPR art. 9) eller oplysninger om strafbare forhold (GDPR art. 10).
3. Instruks
3.1 Behandling efter instruks
Databehandleren behandler udelukkende personoplysninger efter dokumenteret instruks fra den Dataansvarlige, jf. GDPR art. 28, stk. 3, litra a. Instruksen er fastsat i denne DPA samt i de til enhver tid gældende handelsbetingelser.
3.2 Underretningspligt
Hvis Databehandleren mener, at en instruks fra den Dataansvarlige er i strid med GDPR eller anden EU/dansk databeskyttelseslovgivning, underretter Databehandleren straks den Dataansvarlige herom, jf. GDPR art. 28, stk. 3, andet afsnit.
4. Fortrolighed
Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, jf. GDPR art. 28, stk. 3, litra b.
Fortrolighedsforpligtelsen gælder også efter ophør af denne aftale.
5. Sikkerhedsforanstaltninger
Databehandleren træffer de nødvendige tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, jf. GDPR art. 32. Foranstaltningerne omfatter bl.a.:
- Kryptering: Al datatransmission sker via HTTPS/TLS. Data krypteres at rest i databasen.
- Adgangskontrol: Rollebaseret adgangsstyring med princippet om mindste privilegium. Kun autoriserede medarbejdere har adgang.
- Logning: Adgangs- og ændringslogning for personoplysninger.
- Backup og gendannelse: Regelmæssig backup med mulighed for gendannelse.
- Sårbarhedshåndtering: Løbende opdatering af software og afhængigheder.
- Regelmæssig afprøvning: Sikkerhedsforanstaltninger evalueres og testes løbende.
6. Underdatabehandlere
6.1 Godkendelse
Den Dataansvarlige giver hermed generel skriftlig godkendelse til, at Databehandleren anvender underdatabehandlere, jf. GDPR art. 28, stk. 2.
6.2 Varsling ved ændringer
Databehandleren underretter den Dataansvarlige mindst 30 dage inden tilføjelse eller udskiftning af underdatabehandlere. Den Dataansvarlige kan gøre indsigelse mod ændringen inden for varslingsperioden.
6.3 Aktuelle underdatabehandlere
| Underdatabehandler | Formål | Lokation | Overførselsgrundlag |
|---|---|---|---|
| Supabase, Inc. | Database og autentificering | USA | EU-US Data Privacy Framework |
| Netlify, Inc. | Hosting og CDN | USA | EU-US Data Privacy Framework |
| Stripe, Inc. | Betalingsbehandling | USA | EU-US Data Privacy Framework |
| Google LLC (Analytics) | Webanalyse (anonymiseret) | USA | EU-US Data Privacy Framework |
6.4 Underdatabehandleraftaler
Databehandleren sikrer, at der er indgået skriftlig aftale med alle underdatabehandlere, der pålægger dem de samme databeskyttelsesforpligtelser som fastsat i denne DPA, jf. GDPR art. 28, stk. 4. Databehandleren forbliver fuldt ansvarlig over for den Dataansvarlige for underdatabehandlernes opfyldelse af deres forpligtelser.
7. Overførsel til tredjelande
Overførsel af personoplysninger til lande uden for EU/EØS sker udelukkende på grundlag af et gyldigt overførselsgrundlag i henhold til GDPR kapitel V, herunder:
- EU-US Data Privacy Framework: For underdatabehandlere certificeret under DPF
- EU's standardkontraktbestemmelser (SCCs): Som supplement, hvor relevant
Databehandleren må ikke overføre personoplysninger til tredjelande uden den Dataansvarliges dokumenterede instruks herom.
8. Bistand til den Dataansvarlige
8.1 Registreredes rettigheder
Databehandleren bistår den Dataansvarlige med at opfylde dennes forpligtelser over for de registrerede, herunder anmodninger om indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse, jf. GDPR art. 15-22.
8.2 Sikkerhed og databrud
Databehandleren bistår den Dataansvarlige med at opfylde forpligtelserne i GDPR art. 32-36, herunder:
- Sikring af et passende sikkerhedsniveau
- Anmeldelse af brud på persondatasikkerheden til Datatilsynet
- Underretning af registrerede ved brud
- Konsekvensanalyse vedrørende databeskyttelse, hvis relevant
9. Brud på persondatasikkerheden
Databehandleren underretter den Dataansvarlige uden unødigt ophold og senest inden for 48 timer, efter at Databehandleren er blevet opmærksom på et brud på persondatasikkerheden.
Underretningen skal som minimum indeholde:
- En beskrivelse af bruddets karakter, herunder berørte kategorier og antal registrerede
- Kontaktoplysninger på Databehandlerens kontaktperson
- En beskrivelse af de sandsynlige konsekvenser af bruddet
- En beskrivelse af de foranstaltninger, der er truffet eller foreslås truffet for at håndtere bruddet
10. Audit og tilsyn
10.1 Dokumentation
Databehandleren stiller alle nødvendige oplysninger til rådighed for den Dataansvarlige for at påvise overholdelse af forpligtelserne i GDPR art. 28, jf. GDPR art. 28, stk. 3, litra h.
10.2 Inspektioner
Den Dataansvarlige eller en af den Dataansvarlige udpeget uafhængig revisor har ret til at foretage inspektioner, herunder fysiske inspektioner, af Databehandlerens behandlingsaktiviteter. Inspektioner varsles med mindst 14 dages varsel og gennemføres under hensyntagen til Databehandlerens sikkerhed og forretningshemmeligheder.
10.3 Årlig redegørelse
Databehandleren udarbejder på anmodning en årlig redegørelse for sikkerhedsforanstaltninger og behandlingsaktiviteter, der kan tjene som dokumentation for overholdelse af denne DPA.
11. Sletning og tilbagelevering
Ved ophør af behandlingen sletter eller tilbageleverer Databehandleren alle personoplysninger til den Dataansvarlige efter den Dataansvarliges valg, jf. GDPR art. 28, stk. 3, litra g.
Sletning sker senest 30 dage efter aftalens ophør, medmindre EU-ret eller dansk ret foreskriver opbevaring af personoplysningerne (fx bogføringslovens krav om 5 års opbevaring af regnskabsmateriale).
Databehandleren bekræfter skriftligt, at sletning er gennemført, på den Dataansvarliges anmodning.
12. Lovvalg og værneting
Denne DPA er underlagt dansk ret. Tvister afgøres ved Retten i Aarhus som første instans.
13. Kontakt
Spørgsmål vedrørende denne databehandleraftale rettes til: