Databehandleraftale
Udarbejdet i henhold til GDPR artikel 28, stk. 3 · Version 1.0 — 1. april 2026
Denne Databehandleraftale ("DPA") indgås som en del af Brugeraftalen og Servicevilkårene mellem Kunden og Lightholt ApS. DPA'en er bindende for begge parter fra det tidspunkt, Aftalen er indgået. Ønsker du at læse den fulde Brugeraftale, finder du den på ejerblik.dk/brugeraftale.
1. Parter og roller
Dataansvarlig: Kunden (som defineret i Brugeraftalen) — den virksomhed eller person, der opretter en konto på ejerblik.dk.
Databehandler: Lightholt ApS, CVR-nr. 40129537, info@ejerblik.dk.
2. Behandlingens genstand og varighed
Databehandleren behandler personoplysninger på vegne af den Dataansvarlige med henblik på levering af Ejerblik-platformen. Behandlingen varer så længe Brugeraftalen er aktiv plus en 30-dages sletningsperiode efter aftalens ophør.
3. Kategorier af registrerede
- Kundens medarbejdere og ledelse
- Eksterne samarbejdspartnere (revisorer, rådgivere, IT-leverandører)
- Kontaktpersoner tilknyttet digitale aktiver
4. Typer af personoplysninger
Almindelige personoplysninger: Navn, e-mailadresse, telefonnummer, stilling/rolle, virksomhedstilknytning.
Adgangsoplysninger: Rollekonfiguration, afdelingstilknytning, 2FA-status, seneste login.
Kommunikation: Supportbeskeder, AI-samtaler, feedback.
5. Databehandlerens forpligtelser
(a) Instruktionsbaseret behandling. Kun at behandle personoplysninger efter dokumenteret instruks fra den Dataansvarlige, medmindre EU-ret eller dansk ret kræver andet. I sidstnævnte tilfælde underrettes den Dataansvarlige inden behandlingen, medmindre loven forbyder det.
(b) Fortrolighed. At sikre, at alle personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt lovbestemt tavshedspligt.
(c) Sikkerhed (GDPR art. 32). At gennemføre passende tekniske og organisatoriske foranstaltninger, herunder:
- TLS 1.2+ kryptering under transport
- AES-256 kryptering i hvile (Supabase/AWS)
- Row-Level Security (RLS) på databaseniveau
- 2FA på administratorkonti
- Automatiseret backup og katastrofegendannelse
- Adgangskontrol efter princippet om mindste privilegium
- Regelmæssig sikkerhedsgennemgang
(d) Underdatabehandlere. Kun at anvende underdatabehandlere med den Dataansvarliges forudgående generelle skriftlige godkendelse. Aktuel liste fremgår af afsnit 7 nedenfor. Nye underdatabehandlere varsles 14 dage forinden. Den Dataansvarlige kan gøre indsigelse inden varslingsperiodens udløb.
(e) Bistand til registreredes rettigheder. At bistå den Dataansvarlige med besvarelse af henvendelser fra registrerede vedrørende GDPR art. 15–22.
(f) Bistand til overholdelse. At bistå den Dataansvarlige med forpligtelser i henhold til GDPR art. 32–36 (sikkerhed, konsekvensanalyse, forhåndshøring).
(g) Sletning. Ved behandlingens ophør at slette alle personoplysninger inden 30 dage, medmindre EU-ret eller dansk ret kræver opbevaring.
(h) Audit. At stille alle nødvendige oplysninger til rådighed for den Dataansvarlige med henblik på at påvise overholdelse og muliggøre revisioner.
6. Brud på persondatasikkerheden
Databehandleren underretter den Dataansvarlige om brud på persondatasikkerheden uden unødig forsinkelse og senest inden 48 timer efter at have fået kendskab hertil. Underretningen skal indeholde:
- Beskrivelse af bruddet, herunder berørte kategorier og antal registrerede
- Kontaktoplysninger på Databehandlerens kontaktperson
- Beskrivelse af sandsynlige konsekvenser
- Beskrivelse af trufne eller foreslåede foranstaltninger
7. Godkendte underdatabehandlere
Senest opdateret: 1. april 2026. For underdatabehandlere baseret i USA er EU-standardkontraktbestemmelser (SCCs) iht. Kommissionens afgørelse 2021/914 implementeret.
| Underdatabehandler | Funktion | Datalokation |
|---|---|---|
| Supabase Inc. (USA, DPA + SCCs) | Database, autentificering, fillagring | AWS Frankfurt (eu-central-1) |
| Hetzner Online GmbH (DE) | Applikationsserver og hosting | Falkenstein, Tyskland |
| Resend Inc. (USA, DPA + SCCs) | Transaktionelle e-mails | EU |
| Anthropic Inc. (USA, DPA + SCCs) | AI-assistent (AInette) | USA (ingen datapersistering) |
| MailerLite UAB (LT) | Nyhedsbrev (kun ved samtykke) | EU |
| Umami Software | Webanalyse (kun ved samtykke) | EU |
| Contentsquare SAS (FR) | UX-analyse (kun ved samtykke) | EU |
| Hotjar Ltd. (MT) | Adfærdsanalyse (kun ved samtykke) | EU |
8. DPA'ens varighed
Nærværende DPA er gældende, så længe Brugeraftalen er aktiv. DPA'en ophører automatisk 30 dage efter Aftalens ophør, når sletning er gennemført.
Juridisk forbehold: Dette dokument er under gennemgang af en advokat med speciale i IT-ret og databeskyttelse. Indholdet kan ændres inden endelig godkendelse. Kontakt os på info@ejerblik.dk ved spørgsmål.