Databehandleraftale
Sidst opdateret: 14. april 2026
Denne databehandleraftale (DPA) er indgået i overensstemmelse med GDPR artikel 28 og gælder for alle kunder der anvender secureit4-platformen.
Dataansvarlig: Den virksomhed (forhandler eller klient) der anvender secureit4-platformen.
Databehandler: Navwis Management, CVR [CVR-nummer], secureit4.com
Ikrafttrædelsesdato: Automatisk ved oprettelse af konto på secureit4-platformen.
1. Behandlingens formål og omfang
Databehandleren behandler personoplysninger på vegne af den dataansvarlige med henblik på levering af secureit4-platformen — herunder IT-sikkerhedsstyring, compliance-tjeklister, dokumenthåndtering og AI-rådgivning.
Behandlingen omfatter følgende kategorier af registrerede: medarbejdere og kontaktpersoner hos den dataansvarliges organisation.
Kategorier af personoplysninger: navn, e-mailadresse, login-oplysninger (OAuth-token), aktivitetslog og virksomhedsoplysninger.
2. Databehandlerens forpligtelser
Databehandleren forpligter sig til at:
- Behandle personoplysninger udelukkende efter dokumenterede instrukser fra den dataansvarlige
- Sikre fortrolighed for personer med adgang til personoplysningerne
- Træffe passende tekniske og organisatoriske sikkerhedsforanstaltninger (jf. GDPR art. 32)
- Bistå den dataansvarlige med at opfylde registreredes rettigheder (indsigt, sletning, portabilitet)
- Slette eller tilbagelevere alle personoplysninger ved aftalens ophør
- Stille al information til rådighed der er nødvendig for at påvise overholdelse af GDPR art. 28
3. Sikkerhedsforanstaltninger
Databehandleren har implementeret følgende tekniske og organisatoriske foranstaltninger:
- TLS-kryptering på alle dataforbindelser (HTTPS med automatisk HTTP-omdirigering)
- OAuth 2.0-only autentificering via Google Workspace og Microsoft 365 — ingen adgangskoder gemmes
- Rollebaseret adgangskontrol (RBAC) med tre adgangsniveauer: Admin, Partner og Klient
- Tamper-evident audit log med SHA-256 hash-kæde for alle handlinger
- Redis-backed rate limiting med Lua-script mod misbrug
- Datalagring udelukkende i EU (OVH Frankfurt, Neon EU-region)
- Daglige krypterede snapshots af audit logs
4. Underdatabehandlere
Den dataansvarlige giver hermed generel tilladelse til at anvende følgende underdatabehandlere. Databehandleren informerer den dataansvarlige om planlagte ændringer med mindst 14 dages varsel.
| Leverandør | Formål | Land | Overførselsgrundlag |
|---|---|---|---|
| OVH SAS | Applikationsserver (VPS) | Frankfurt, DE | EU/EEA |
| Neon (Neon Inc.) | PostgreSQL-database | EU-region | EU/EEA |
| Vercel Blob | Fillagring | EU-endpoint | EU/EEA |
| Stripe Inc. | Betalingsbehandling | USA | EU SCCs |
| Resend Inc. | Transaktionelle e-mails | USA | EU SCCs |
| Twilio (SendGrid) | Nyhedsbreve | USA | EU SCCs |
| Nebius B.V. | AI-model (DeepSeek-R1) | EU | EU/EEA |
| Google LLC | OAuth-login | USA | EU SCCs |
| Microsoft Corp. | OAuth-login (Entra ID) | USA | EU SCCs |
| Sentry (Functional Software) | Fejlrapportering | USA | EU SCCs |
SCCs = EU-standardkontraktbestemmelser (Commission Decision 2021/914/EU)
5. Overførsler til tredjelande
Alle primære data (database, applikationsserver, fillagring og AI-model) opbevares inden for EU/EEA. Visse underdatabehandlere er etableret i USA; overførsler til disse sker på grundlag af EU-standardkontraktbestemmelser (SCCs) som godkendt af Europa-Kommissionen.
6. Sletning og tilbagelevering
Ved aftalens ophør sletter databehandleren alle personoplysninger inden 30 dage, medmindre EU- eller national ret kræver opbevaring. Sletning kan anmodes af den dataansvarlige via e-mail til privacy@secureit4.com.
7. Registreredes rettigheder
Databehandleren bistår den dataansvarlige med at besvare anmodninger fra registrerede om indsigt, berigtigelse, sletning, begrænsning og dataportabilitet inden for rimelig tid og senest 72 timer efter modtagelse af anmodningen.
8. Brud på persondatasikkerheden
Databehandleren underretter den dataansvarlige om brud på persondatasikkerheden uden unødig forsinkelse og senest 24 timer efter at have fået kendskab til bruddet, med de oplysninger der er angivet i GDPR artikel 33, stk. 3.
9. Kontakt
Spørgsmål vedrørende denne DPA rettes til: privacy@secureit4.com
Navwis Management
Att.: Micael Torp
secureit4.com