Databehandleraftale

I henhold til artikel 28, stk. 3 i Europa-Parlamentet og Rådets Forordning (EU) 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger, som indgået mellem kunden, som den dataansvarlige, 

og 

Billy.dk

CVR nr. 33 23 91 06

Fiolstræde 17B

1171 København K, som databehandler. 

Parterne er hver især en “part” og sammen udgør de “parterne”. 

Parterne har aftalt følgende standardkontraktbestemmelser (Bestemmelserne) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder. 

Introduktion

Disse bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige. 

Ved anvendelse af regnskabsprogrammet Billy og enhver af de tilgængelige tillægsfunktioner tilknyttet platformen (herefter “Platformen”) behandler databehandleren personoplysninger på vegne af den dataansvarlige. 

Der hører tre bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne. 

Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varigheden af behandlingen. 

Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.

Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere. 

Det er den dataansvarlige, der er ansvarlig for behandlingen af personoplysninger på Platformen. Databehandleren behandler personoplysninger på instruks fra den dataansvarlige, samt i overensstemmelse med national databeskyttelseslovgivning, herunder databeskyttelsesforordningen, og sin egen privatlivspolitik. 

Bestemmelserne anvender definitioner som defineret i databeskyttelsesforordningen og den danske databeskyttelseslov. 

Den dataansvarliges rettigheder og forpligtelser 

Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen, samt andre databeskyttelsesbestemmelser i EU-retten eller medlemsstaternes national ret og disse Bestemmelser. 

Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler, der må ske behandling af personoplysninger. Den dataansvarlige er endvidere ansvarlige for at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage. 

Den dataansvarlige bærer oplysningsforpligtelsen overfor de registrerede, som den dataansvarlige behandler personoplysninger om, samt instruerer databehandleren i at behandle. Dette indebærer også en forpligtelse til at give garantier i forbindelse med tekniske og sikkerhedsmæssige foranstaltninger for de registreredes personoplysninger. 

Ved anvendelse af Platformen er den dataansvarlige ansvarlig for at tilvejebringe udelukkende de personoplysninger som er specificeret i Bilag A, og til at minimere behandlingen af særlige kategorier af personoplysninger som beskrevet i artikel 9 i databeskyttelsesforordningen. Sådan begrænsning kan gøres ved at anonymisere visse personoplysninger før overførsel til databehandleren. 

Databehandleren handler efter instruks

Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks er specificeret i Bilag A og C. efterfølgende instruks kan gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftlig, herunder elektronisk, sammen med disse Bestemmelser. 

Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommende mening er i strid med denne forordning eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret. Den i Bilag C beskrevne instruks ses ikke at give grund til at tro, at gældende lovgivning forhindrer en sådan behandling af personoplysninger. 

I tilfælde, hvor databehandleren vurderer, at en instruks fra den dataansvarlige er ulovlig eller i uoverensstemmelse med gældende lovgivning, skal databehandleren informere den dataansvarlige, som skal berigtige instruksen uden unødig forsinkelse. Er den dataansvarlige ikke i stand til at berigtige instruksen er databehandleren berettiget til at ophæve servicekontrakten mellem parterne. 

Databehandleren assisterer den dataansvarlige med at indføre de passende tekniske og sikkerhedsmæssige foranstaltninger, der svarer til karakteren og kategorien af de personoplysninger, som behandles. 

Endvidere assisterer databehandleren den dataansvarlige ved anmodninger fra de registrerede vedrørende udøvelse af disses rettigheder som bestemt i databeskyttelsesforordningen. Databehandleren besvarer dog ikke disse anmodninger medmindre særligt aftalt med den dataansvarlige. 

Ved anmodninger fra den dataansvarlige vedrørende information eller assistance i forbindelse med den dataansvarliges sikkerhedsmæssige foranstaltninger eller behandling af personoplysninger, og disse anmodninger overstiger hvad der er nødvendigt i henhold til gældende databeskyttelsesbestemmelser, er databehandleren berettiget til at kræve betaling for sådan yderligere ydelser. 

Fortrolighed 

Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. 

Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer. 

Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt. 

Behandlingssikkerhed 

Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici.  

Begge parter skal evaluere risici for fysiske personers rettigheder og frihedsrettigheder som behandlingen udgør. Sikkerhedsmæssige foranstaltninger passende til disse risici skal implementeres af begge parter i henhold til deres respektive vurderinger. 

Databehandleren assisterer den dataansvarlige i sikringen af overholdelse af forpligtelserne i artikel 32 i databeskyttelsesforordningen. Dette sker blandt andet ved, at databehandleren stiller den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til artikel 32, og al anden information, der er nødvendig for databehandleren som gør vedkommende i stand til at identificere og vurdere sådanne risici. 

Hvis imødegåelse af de identificerede risici, efter den dataansvarliges vurdering, kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i Bilag C. 

Anvendelse af underdatabehandlere

Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler). 

Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse bestemmelser uden forudgående generel skriftlig godkendelse fra den dataansvarlige. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. 

Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere, og giver den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer inden brugen af de(n) omhandlede underdatabehandler(e). Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af Bilag B. 

Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke  behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen. 

Databehandleren er ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen. 

Underdatabehandleraftaler og eventuelle senere ændringer hertil sendes, efter den dataansvarliges anmodning herom, i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige. 

Databehandleren skal i sin aftale med underdatabehandleren indføre den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs, således at den dataansvarlige kan indtræde i databehandlerens rettigheder og gøre dem gældende over for underdatabehandleren, som f.eks. gøre den dataansvarlige i stand til at instruere underdatabehandleren i at slette eller tilbagelevere personoplysningerne. 

Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig overfor den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, overfor den dataansvarlige of databehandleren, herunder underdatabehandleren. 

Overførsel til tredjelande eller internationale organisationer 

Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V. 

Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser. 

Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke indenfor rammerne af disse Bestemmelser: 

  1. overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation
  2. overlade behandling af personoplysninger til en underdatabehandler i et tredjeland
  3. behandle personoplysningerne i et tredjeland

Den dataansvarliges instruks vedrørende en overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, skal angives i bilag C.6.

Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V. 

Bistand til den dataansvarlige 

Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III. 

Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af: 

  1. oplysningspligten ved indsamling af personoplysninger hos den registrerede
  2. oplysningspligten, hvis personoplysningerne ikke er indsamlet hos den registrerede
  3. indsigtsretten
  4. retten til berigtigelse
  5. retten til sletning (“retten til at blive glemt”)
  6. retten til begrænsning af behandling 
  7. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsninger af behandling 
  8. retten til dataportabilitet 
  9. retten til indsigelse
  10. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering 

I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 6, bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:

  1. Den dataansvarliges forpligtelse til uden unødig forsinkelse og om mulig senest 72 timer, efter at denne er blevet bekendt med det at anmelde brug på persondatasikkerheden til den kompetente tilsynsmyndighed, det danske Datatilsyn, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. 
  2. Den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder
  3. Den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse)
  4. Den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, det danske Datatilsyn, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen. 

Parterne skal i bilag C angive de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 9. 

Underretning om brud på persondatasikkerheden

Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden. 

Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 36 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningen s artikel 33. 

I overensstemmelse med Bestemmelse 9 skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed:

  1. karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger. 
  2. de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  3. de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.  

Parterne skal i bilag C angive den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed. 

Sletning og returnering af oplysninger

Ved ophør af tjenesterne vedrørende behandling af personoplysninger, er databehandleren forpligtet til at tilbagelevere alle personoplysningerne og slette eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne. 

Ovenstående gør sig ikke gældende for de personoplysninger, som databehandleren behandler som dataansvarlig i kundeforholdet mellem databehandleren og den dataansvarlige. 

Revision, herunder inspektion

Databehandleren stiller alle oplysninger, der er nødvendig for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige. 

Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i Bilag C. 

Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivning har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation. 

Parternes aftale om andre forhold

Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. Erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider mod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder eller frihedsrettigheder, som følger af databeskyttelsesforordningen. 

Ikrafttræden og ophør

Bestemmelserne træder i kraft på datoen for underskrift af servicekontrakten mellem parterne. 

Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil. 

Bestemmelserne er gældende så længe tjenesten vedrørende behandling af personoplysninger varer, samt så længe servicekontrakten varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger aftales mellem parterne. 

Bestemmelserne er underlagt dansk lovgivning og enhver konflikt afgøres i det danske domstolssystem. 

Bilag A: Kategorier af registrerede og personoplysninger 

A.1. Kategorier af registrerede:

  1. Den dataansvarliges kontaktperson(er)
  2. Den dataansvarliges medarbejder(e)
  3. Den dataansvarliges kunde(r) og deres kontaktperson(er)
  4. Den dataansvarliges kunde(r) og deres medarbejder(re)
  5. Den dataansvarliges tilknyttede bogholder eller revisor

A.2. Kategorier af personoplysninger:

  1. Fornavn og efternavn
  2. Arbejdstitel
  3. Telefonnummer
  4. E-mailadresse
  5. Adresse
  6. Betalingsoplysninger på fakturaer
  7. Betalingsoplysninger via online funktioner

Databehandleren behandler ikke særlige kategorier af personoplysninger medmindre den dataansvarlige giver specifik instruks herom. Såfremt særlige kategorier af personoplysninger er omfattet som en naturlig del af de ovenfor nævnte kategorier, f.eks. i forbindelse med fakturering af helbredsydelser, er den dataansvarlige opfordret til at anonymisere sådanne personoplysninger forud for overførsel til databehandleren.

Bilag B: Databehandlerens underdatabehandlere

Databehandlerens software er afhængig af en række underdatabehandlere for at kunne operere. Sådanne underdatabehandlere er tredjepartsleverandører i og uden for EU/EØS. Databehandlerens underdatabehandlere er oplistet i den til enhver tid opdaterede liste nedenfor. 

Den dataansvarlige har givet generel accept af databehandlerens brug af følgende underdatabehandlere.

Leverandør  Adresse Hosting lokation   Formål
Ageras Finance ApS

CVR: 42328944

Vesterbrogade 1e

1620 København
Danmark

Danmark  Ageras Finance er vores partner for at tilbyde financiering direkte i vores platform. Kunder som ønsker det bliver sendt videre til Ageras Finance for at oprette sig som kunder, samt ansøge om lån.
Aiia A/S

CVR.nr. 33509006

 

Artillerivej 86
2300 Copenhagen S
Denmark

 Danmark Aiia er en platform til udveksling af bankposteringer. Som en del af PSD2-lovgivningen, har regnskabsprogrammer mulighed for at automatisk importere banklinjer fra samtlige danske banker. Aiia er mellemled i denne proces, hvor de integrerer med alle banker. Vores kunder kan forbinde deres bankkonto og give særskilt samtykke til at bankdata overføres automatisk. 
Amazon Web Services EMEA SARL

Reg. No.: B186284

38 Avenue John F. Kennedy, L-1855 Luxembourg  Sverige, Tyskland Amazon er vores primære leverandør af cloud-infrastuktur. Databaser med kundedata, backups og server til brug for drift afvikles på denne platform.
Årsregnskabet ApS

CVR: 33352514

Pilestræde 52, 2 - 1112 København K - Danmark  Danmark Årsregnskabet ApS er en anden partner til udarbejdelse af årsregnskaber. Deres service inkluderer et tættere samarbejde med kunden, hvor de har direkte adgang til at få regnskabet afstemt inden årsrapporten udarbejdes
Cluvio GmbH

VAT #: DE305359096
Registration #: HRB 173385 B

Friedrichstrasse 79

Berlin, Berlin 10117
Germany

 Tyskland Cluvio er et værktøj til visualisering af data. Det benyttes til internt brug til at vise forskellige rapporter omkring forretningen.
Datadog, Inc.

EIN: 27-2825503

620 8th Avenue

45th floor
New York, NY 10018

USA  Datadog benyttes til intern overvågning af vores kritiske systemer. Ved at have overvågning sat op, så vi får besked om problemer, kan vi sikre en stabil drift af systemet og hurtig reaktion i tilfælde af problemer.
Google Ireland Limited

VAT: IE 6388047V

Gordon House

Barrow Street
Dublin 4
Ireland

 Irland Vi bruger Google som et værktøj til oprettelse og samarbejde om dokumenter. Vi bruger Google Drive som en cloud storage- og filsynkroniseringstjeneste. Vi opretter marketingkampagner via Google Ads, og vi bruger Google Vision til at levere billedgenkendelse og analysefunktioner.
Hotjar Ltd.

VAT Number: MT21846014

Dragonara Business Centre

5th Floor, Dragonara Road,
Paceville St Julian's STJ 3141
MALTA (EU)

 Malta HotJar benyttes til analyse af kundeadfærd på platformen. Der er to primære funktioner: Optagelse af kundeadfærd og spørgeskemaer, hvor vi kun benytter os af det første. Optagelser af kunderne sker baseret på IP-adresser og alle indtastningsfelter er anonymiseret. Vi tilføjer ikke ekstra persondata til HotJar.
Intercom Inc.

FEIN: 45-3543192

55 Second Street, Suite 400

San Francisco, CA 94105
United States

 USA Intercom er vores primære værktøj til håndtering af kundesupport. Dette inkluderer kommunikation med vores kunder via email og chat direkte i platformen. Den data vi udveklser er begrænset til basale bruger information og den kommunikation vi har via support.
Iterable, Inc.

EIN: 46-2289594

71 Stevenson St., Suite 300

San Francisco, CA 94105

 USA Iterable er et værktøj til at sende emails. Det benyttes primært at marketing til at sende kampagner. Derudover bruges det til visse transaktionelle emails, som f.eks. besked om opdatering af forretningsvilkår. Vi udveksler kun begrænset data om slutkunden (email) 

LETREGNSKAB.DK ApS
CVR.nr. 30004671

C/O Woiremose & Partner ApS
Pilestræde 52, 2.
1112 København K
Danmark

 

Danmark  Letregnskab ApS er en partner til udarbejdelse af årsregnskaber. Vores kunder udfylder en række spørgsmål, der sammen med deres bogføringsdata sendes til Letregnskab, der derefter udarbejder den endelige årsrapport til indrapportering til Skat.

Mixpanel International Inc.
Tax ID # 27-0231379

One Front Street, 28th Floor
San Francisco CA 94111
United States

USA Mixpanel er et værktøj til analyse af events. Vi har defineret en række brugerhandlinger, som vi gerne vil analysere. Dette er f.eks. for analysere hvor mange brugere, der benytter en bestemt funktion.
Postmark by
ActiveCampaign, LLC
FEIN: 20-0215482

1 North Dearborn St, 5th Floor
Chicago, IL 60602

USA Postmark er en service til at sende transaktionelle emails. Alle emails genereret fra vores platform (ikke marketing og support) sendes via denne service. Eksempler på dette er faktura-emails, bekræftelse på upload af bilag og password reset emails.

ProductBoard, Inc.
EIN: 465356613

612 Howard street,
4th floor,
San Francisco,
CA 94105

USA ProductBoard bruges til at indsamle feedback fra kunder. Det kan komme fra NPS-feedback eller kundesupport. Ved at samle store mængder af feedback og kundeønsker, kan vi foretage bedre valg for fremtidige forbedringer af vores produkt. Vi udveksler begrænset data om slutkunden og deres ønsker til forbedringer.

Relatel A/S
CVR: 40075291

Teglværksgade 18
2100 København Ø
Danmark

Danmark Relatel er en service til telefoni for kundesupport. Det giver mulighedhed for viderestilling af samtaler, telefonkøer og håndtering af åbningstider for telefonen.

Segment IO
Twilio Ireland Limited
VAT ID: IE3335493BH

3 Dublin Landings, North Wall Quay, Dublin 1,
Dublin, Ireland D01 C4E0

Ireland  Segment er et internt event-system. Vi har defineret en række brugerhandlinger, hvor vi sender events til Segment. Segment søger for at route disse events til andre dele i vores system

Sentry
VAT Identification Number: EU372050121

45 Fremont Street, 8th Floor
San Francisco, CA 94105

USA Vi bruger Sentry til monitorering og sikkerhed. Det giver os opdaterede rapporter, når slutbrugerne har problemer, så vi kan fejlsøge mere effektivt og proaktivt.

Sproom by
Visma e-conomic A/S
CVR.nr. 29403473

Gærtorvet 1-5
1799 København V
Danmark

Danmark Sproom er en leverandør af infrastruktur til at sende og modtage elektroniske fakturaer via den danske Nemhandel-platform.

Upodi ApS
CVR: 38558862

Åbogade 25A
8200 Aarhus N
Danmark

Irland Upodi er en platform til håndtering af abonnementer og fakturering for brug af vores platform. Vi har forskellige produkter der kan betales med forskellige intervaller og Upodi håndterer den endelige fakturering.

Userflow Inc.
EIN: 35-2628653

548 Market St PMB 69598, San Francisco, CA 94104-5401, USA  USA UserFlow er en platform til at kommunikere med kunder direkte i produktet. Det bruges til spørgeskemaer, guidede ture gennem funktioner i produktet, samt beskeder. Vi udveksler begrænset data om slutkunden (email)

Bilag C: Instruks vedrørende behandling af personoplysninger 

C.1. Behandlingens genstand og instruks

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende: 

Databehandleren leverer en tjeneste for mikrovirksomheder, som administrerer deres fakturering, regnskab, momsindberetninger og bogholderi. 

Databehandleren behandler sådanne personoplysninger på vegne af den dataansvarlige for at kunne levere denne tjeneste, og dermed kontrakten mellem parterne, jf. Artikel 6, stk. 1, litra b, samt den dataansvarliges legitime interesse i henhold til artikel 6, stk. 1, litra f, vedrørende deres interesse i at administrere deres virksomhed.

Databehandleren behandler personoplysninger som fastslået i disse Bestemmelser med det formål at opfylde og levere den tjeneste, som den dataansvarlige har købt af databehandleren. Denne behandling indebærer formålet med at levere en platform for disse tjenester og opfyldelsen af kontrakten mellem parterne, samt levering af produktet solgt af databehandleren. 

Enhver anden behandling af personoplysninger omfattet af tjenesten må aftales mellem parterne, og vil være underlagt databehandlerens betingelser og privatlivspolitikker. Personoplysninger behandlet som led i tjenesten leveret til den dataansvarlige sker dog udelukkende på den dataansvarliges instruks. 

C.2. Behandlingssikkerhed

Niveauet af sikkerhed tager hensyn til behandlingens omfang, karakter, sammenhæng og formål, samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Som udgangspunkt udgør behandlingen af personoplysninger ikke behandling af særlige kategorier af personoplysninger. Sikkerhedsniveauet afspejler dette. 

Databehandleren er dog instrueret til at have implementeret sikkerhedsforanstaltninger for at undgå enhver uautoriseret adgang til personoplysningerne, uanset at karakteren af personoplysningerne udgør en lav risiko. Disse foranstaltninger udgør firewall-beskyttelse, antivirusprogrammer, mobile management og lignende beskyttelsesmetoder for alle plug-ins og kommercielle links, hvor personoplysninger bliver behandlet. 

Med hensyntagen til omfanget af personoplysninger har databehandleren indført kryptering af personoplysningerne, hvor dette er passende og muligt, herunder men ikke begrænset til under transmission. 

Endvidere er den dataansvarlige opfordret til at pseudonymisere særlige kategorier af personoplysninger, hvor behandlingen af sådanne oplysninger er nødvendig for databehandleren for at levere den aftalte tjeneste. 

C.3. Bistand til den dataansvarlige

Databehandleren skal så vidt muligt, indenfor nedenstående omfang og udstrækning, bistå den dataansvarlige i overensstemmelse med Bestemmelserne ved at gennemføre tekniske og organisatoriske foranstaltninger. 

Tekniske og organisatoriske foranstaltninger implementeret af databehandleren indebærer organisatorisk fortrolighed, krypteringer, sikkerhed i forbindelse med adgang til opbevarede personoplysninger og lignede foranstaltninger hvor dette synes nødvendigt. 

C.4. Opbevaringsperiode og sletterutine

Databehandleren sletter de behandlede personoplysninger når de ikke længere er nødvendige for deres formål, herunder ved opgør av servicekontrakten mellem parterne. Databehandleren kan opbevare personoplysningerne i længere tid hvis EU-ret eller medlemsstaternes nationale ret foreskriver en sådan længere opbevaring. Idet der foreligger et kundeforhold mellem parterne, hvor databehandleren også er dataansvarlig for andre personoplysninger, vil sådanne personoplysninger opbevares i 3 år efter ophøret af servicekontrakten. 

C.5. Lokalitet for behandling

Behandlingen af personoplysningerne i henhold til disse Bestemmelser må ikke behandles på andre lokationer end databehandlerens faciliteter, herunder databehandlerens underdatabehandlere. Enhver behandling udenfor disse lokationer skal godkendes af den dataansvarlige forud for behandlingen. 

På grund af brugen af underdatabehandlere vil der kunne ske overførsler til tredjelande. I sådanne tilfælde har databehandleren sikret overholdelse af databeskyttelsesforordningen gennem databehandleraftaler baseret på EU-Kommissionens standardkontraktbestemmelser, samt passende organisatoriske og tekniske foranstaltninger for at sørge for behandlingssikkerheden. Databehandleren har sikret et lovlig overførselsgrundlag, såvel som de supplerende foranstaltninger som er påkrævet for at garantere behandlingssikkerheden. 

C.6. Procedurer for den dataansvarliges revisioner, herunder inspektioner, med behandlingen af personoplysninger, som er overladt til databehandleren

Ved anmodning fra den dataansvarlige skal databehandleren indhente en inspektionsrapport fra en tredjepart vedrørende databehandlerens overholdelse af databeskyttelsesforordningen, databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. 

Den dataansvarliges eventuelle udgifter i forbindelse med en fysisk inspektion afholdes af den dataansvarlige selv. Databehandleren er forpligtet til at afsætte de rimelige ressourcer, herunder tid, der er nødvendig for at den dataansvarlige kan gennemføre sin inspektion.

Tidligere databehandleraftale

Du finder et link til den tidligere databehandleraftale her.