Databehandleraftale

Sidst opdateret: 15. maj 2026

Denne databehandleraftale ("Aftalen") regulerer behandling af personoplysninger, som EIGHT, CVR 46473299 ("Databehandleren") udfører på vegne af den kunde, der har accepteret aftalen ved registrering på EIGHT-platformen ("Den dataansvarlige").

Aftalen er en integreret del af hovedaftalen om brug af EIGHT (Vilkår og betingelser) og indgås for at opfylde kravene i GDPR artikel 28. Aftalen tager udgangspunkt i Datatilsynets og Det Europæiske Databeskyttelsesråds skabelonbestemmelser, men skal — som al juridisk skabelontekst — gennemgås af Kundens egen rådgiver inden brug i konkrete tvister.

1. Aftalens omfang og varighed

Aftalen gælder, så længe Databehandleren behandler personoplysninger for den dataansvarlige, dvs. så længe hovedaftalen er i kraft, og herefter under afvikling/sletning eller tilbagelevering, jf. punkt 11.

2. Den dataansvarliges instrukser

Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Hovedaftalen, denne Aftale, herunder bilagene, samt instrukser i platformens normale brug udgør den dokumenterede instruks.

Hvis Databehandleren mener, at en instruks strider mod GDPR eller anden databeskyttelseslovgivning, skal Databehandleren straks underrette den dataansvarlige.

3. Databehandlerens forpligtelser

Databehandleren forpligter sig til at:

4. Den dataansvarliges forpligtelser

Den dataansvarlige garanterer over for Databehandleren at:

5. Underdatabehandlere

Den dataansvarlige giver ved indgåelse af denne Aftale generel forhåndsgodkendelse til, at Databehandleren anvender underdatabehandlere som angivet i Bilag C.

Databehandleren skal underrette den dataansvarlige skriftligt (e-mail er tilstrækkeligt) om planlagte ændringer i listen over underdatabehandlere med mindst 30 dages varsel. Den dataansvarlige har ret til at gøre indsigelse mod sådanne ændringer. Hvis indsigelsen ikke kan løses, har den dataansvarlige ret til at opsige hovedaftalen.

Databehandleren skal sikre, at underdatabehandlere er underlagt databeskyttelsesforpligtelser svarende til dem, der gælder efter denne Aftale.

6. Overførsel til tredjelande

Visse underdatabehandlere er etableret eller behandler data i USA (se Bilag C). Overførsel sker på grundlag af EU-Kommissionens Standardkontraktbestemmelser (Standard Contractual Clauses, 2021/914) og leverandørens certificering under EU-US Data Privacy Framework. Databehandleren forpligter sig til at gennemføre nødvendige supplerende foranstaltninger, hvor det måtte være påkrævet efter Schrems II-praksis.

7. Brud på persondatasikkerheden

Ved brud på persondatasikkerheden, der vedrører den dataansvarliges personoplysninger, underretter Databehandleren den dataansvarlige uden unødig forsinkelse og senest 48 timer efter, at Databehandleren er blevet bekendt med bruddet. Underretningen indeholder som minimum:

Databehandleren bistår den dataansvarlige med at opfylde dennes 72-timers-anmeldelsespligt over for Datatilsynet.

8. Tilsyn og audit

Databehandleren stiller én gang årligt skriftlig dokumentation til rådighed for, at de tekniske og organisatoriske sikkerhedsforanstaltninger i Bilag B overholdes. Dokumentationen kan bestå af en intern compliance-rapport med screenshots, konfigurations- udsnit og logs fra de relevante systemer. Den dataansvarlige kan rekvirere denne dokumentation én gang om året uden særskilt vederlag.

Bemærk: Databehandleren har p.t. ikke en formel tredjepartserklæring (såsom ISAE 3000 eller ISO 27001). Hvis sådan dokumentation senere bliver tilgængelig, vil den blive stillet til rådighed i stedet for den interne rapport.

Audit på stedet kan kræves ved begrundet mistanke om manglende overholdelse, mod et rimeligt vederlag og med mindst 30 dages skriftligt varsel.

9. Erstatning og ansvar

Parternes ansvar over for hinanden følger hovedaftalens ansvarsbegrænsning, jf. Vilkår og betingelser punkt 7. Ansvar over for de registrerede og myndigheder følger GDPR artikel 82.

10. Lovvalg og værneting

Aftalen er underlagt dansk ret. Tvister afgøres i overensstemmelse med hovedaftalens værnetingsbestemmelse.

11. Sletning og tilbagelevering ved ophør

Ved ophør af hovedaftalen skal Databehandleren — efter den dataansvarliges valg — slette eller tilbagelevere samtlige personoplysninger samt slette eksisterende kopier, medmindre EU-/medlemsstatsret kræver fortsat opbevaring (fx bogføringsloven for fakturadata).

12. Underskrift / accept

Aftalen indgås elektronisk ved den dataansvarliges accept af hovedaftalens vilkår i forbindelse med registrering eller fornyelse. Tidspunkt og IP-adresse for accept logges af Databehandleren som dokumentation.

Bilag A — Behandlingens karakter, formål og typer af personoplysninger

Behandlingens karakter og formål

Kategorier af registrerede

Kategorier af personoplysninger

Varighed af behandlingen

Behandlingen pågår, så længe den dataansvarliges konto er aktiv. Ved ophør slettes data efter punkt 11, dog med 5 års opbevaring af bogføringsmateriale.

Bilag B — Tekniske og organisatoriske sikkerhedsforanstaltninger

Bilag C — Liste over underdatabehandlere

Databehandleren anvender følgende underdatabehandlere ved levering af tjenesten:

LeverandørLand/regionFormålOverførselsgrundlag
Hetzner Online GmbHTyskland (EU/EØS)Hosting, database, backupEU/EØS — intet særligt grundlag krævet
Resend, Inc.USA (EU-region for behandling)Transaktionel e-mailSCC + EU-US Data Privacy Framework
Stripe Payments Europe Ltd.Irland (EU) + USA (moderselskab)BetalingsformidlingSCC + EU-US Data Privacy Framework
Anthropic PBCUSAAI-baseret mønstergenkendelse ved kalender-import. Data sendes ad hoc og opbevares ikke længere end 30 dage hos leverandøren.SCC + EU-US Data Privacy Framework

Listen kan ændres, jf. punkt 5. Den til enhver tid gældende liste er denne side.