Databehandleraftale
Sidst opdateret: 15. maj 2026
Denne databehandleraftale ("Aftalen") regulerer behandling af personoplysninger, som EIGHT, CVR 46473299 ("Databehandleren") udfører på vegne af den kunde, der har accepteret aftalen ved registrering på EIGHT-platformen ("Den dataansvarlige").
Aftalen er en integreret del af hovedaftalen om brug af EIGHT (Vilkår og betingelser) og indgås for at opfylde kravene i GDPR artikel 28. Aftalen tager udgangspunkt i Datatilsynets og Det Europæiske Databeskyttelsesråds skabelonbestemmelser, men skal — som al juridisk skabelontekst — gennemgås af Kundens egen rådgiver inden brug i konkrete tvister.
1. Aftalens omfang og varighed
Aftalen gælder, så længe Databehandleren behandler personoplysninger for den dataansvarlige, dvs. så længe hovedaftalen er i kraft, og herefter under afvikling/sletning eller tilbagelevering, jf. punkt 11.
2. Den dataansvarliges instrukser
Databehandleren må alene behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige. Hovedaftalen, denne Aftale, herunder bilagene, samt instrukser i platformens normale brug udgør den dokumenterede instruks.
Hvis Databehandleren mener, at en instruks strider mod GDPR eller anden databeskyttelseslovgivning, skal Databehandleren straks underrette den dataansvarlige.
3. Databehandlerens forpligtelser
Databehandleren forpligter sig til at:
- Alene behandle personoplysninger efter dokumenteret instruks, jf. punkt 2.
- Sikre, at personer med adgang til personoplysninger har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
- Implementere de tekniske og organisatoriske sikkerhedsforanstaltninger beskrevet i Bilag B, der svarer til risikoen ved behandlingen.
- Bistå den dataansvarlige med at opfylde sine forpligtelser, herunder besvarelse af anmodninger om udøvelse af de registreredes rettigheder, anmeldelse af brud på persondatasikkerheden, og gennemførelse af konsekvensanalyser (DPIA), i det omfang det med rimelighed kan kræves.
- Stille de oplysninger til rådighed, som er nødvendige for at påvise, at forpligtelserne i artikel 28 er overholdt.
- Slette eller tilbagelevere alle personoplysninger ved Aftalens ophør, jf. punkt 11.
4. Den dataansvarliges forpligtelser
Den dataansvarlige garanterer over for Databehandleren at:
- Have et lovligt retsgrundlag for behandlingen, herunder for eventuel behandling af særlige kategorier af personoplysninger (GDPR artikel 9), navnlig helbredsoplysninger der måtte forekomme i bookingnoter (fx hos klinikker og fodterapeuter).
- Have indhentet de fornødne samtykker fra de registrerede, hvor påkrævet, og at have informeret de registrerede i overensstemmelse med GDPR artikel 13/14.
- Sikre, at oplysninger der overføres til platformen er korrekte og ajourførte.
- Anvende platformens sikkerhedsfunktioner korrekt (stærke adgangskoder, 2FA, rolledefinitioner, mv.).
5. Underdatabehandlere
Den dataansvarlige giver ved indgåelse af denne Aftale generel forhåndsgodkendelse til, at Databehandleren anvender underdatabehandlere som angivet i Bilag C.
Databehandleren skal underrette den dataansvarlige skriftligt (e-mail er tilstrækkeligt) om planlagte ændringer i listen over underdatabehandlere med mindst 30 dages varsel. Den dataansvarlige har ret til at gøre indsigelse mod sådanne ændringer. Hvis indsigelsen ikke kan løses, har den dataansvarlige ret til at opsige hovedaftalen.
Databehandleren skal sikre, at underdatabehandlere er underlagt databeskyttelsesforpligtelser svarende til dem, der gælder efter denne Aftale.
6. Overførsel til tredjelande
Visse underdatabehandlere er etableret eller behandler data i USA (se Bilag C). Overførsel sker på grundlag af EU-Kommissionens Standardkontraktbestemmelser (Standard Contractual Clauses, 2021/914) og leverandørens certificering under EU-US Data Privacy Framework. Databehandleren forpligter sig til at gennemføre nødvendige supplerende foranstaltninger, hvor det måtte være påkrævet efter Schrems II-praksis.
7. Brud på persondatasikkerheden
Ved brud på persondatasikkerheden, der vedrører den dataansvarliges personoplysninger, underretter Databehandleren den dataansvarlige uden unødig forsinkelse og senest 48 timer efter, at Databehandleren er blevet bekendt med bruddet. Underretningen indeholder som minimum:
- Karakteren af bruddet og — hvis muligt — kategorier og antal berørte registrerede og kategorier og antal berørte oplysninger.
- Sandsynlige konsekvenser af bruddet.
- Trufne eller foreslåede afhjælpende foranstaltninger.
- Kontaktoplysninger til Databehandlerens kontaktperson.
Databehandleren bistår den dataansvarlige med at opfylde dennes 72-timers-anmeldelsespligt over for Datatilsynet.
8. Tilsyn og audit
Databehandleren stiller én gang årligt skriftlig dokumentation til rådighed for, at de tekniske og organisatoriske sikkerhedsforanstaltninger i Bilag B overholdes. Dokumentationen kan bestå af en intern compliance-rapport med screenshots, konfigurations- udsnit og logs fra de relevante systemer. Den dataansvarlige kan rekvirere denne dokumentation én gang om året uden særskilt vederlag.
Bemærk: Databehandleren har p.t. ikke en formel tredjepartserklæring (såsom ISAE 3000 eller ISO 27001). Hvis sådan dokumentation senere bliver tilgængelig, vil den blive stillet til rådighed i stedet for den interne rapport.
Audit på stedet kan kræves ved begrundet mistanke om manglende overholdelse, mod et rimeligt vederlag og med mindst 30 dages skriftligt varsel.
9. Erstatning og ansvar
Parternes ansvar over for hinanden følger hovedaftalens ansvarsbegrænsning, jf. Vilkår og betingelser punkt 7. Ansvar over for de registrerede og myndigheder følger GDPR artikel 82.
10. Lovvalg og værneting
Aftalen er underlagt dansk ret. Tvister afgøres i overensstemmelse med hovedaftalens værnetingsbestemmelse.
11. Sletning og tilbagelevering ved ophør
Ved ophør af hovedaftalen skal Databehandleren — efter den dataansvarliges valg — slette eller tilbagelevere samtlige personoplysninger samt slette eksisterende kopier, medmindre EU-/medlemsstatsret kræver fortsat opbevaring (fx bogføringsloven for fakturadata).
- Den dataansvarlige har 30 dage efter ophør til at eksportere data via dataeksport-funktionen.
- Herefter sker teknisk sletning fra produktionsmiljø senest 90 dage efter ophør.
- Backup-kopier slettes efter den løbende backup-rotation (jf. Bilag B), dog senest 180 dage efter ophør.
- Bogføringsmateriale opbevares i 5 år efter udløbet af det regnskabsår, materialet vedrører, jf. bogføringslovens § 12.
12. Underskrift / accept
Aftalen indgås elektronisk ved den dataansvarliges accept af hovedaftalens vilkår i forbindelse med registrering eller fornyelse. Tidspunkt og IP-adresse for accept logges af Databehandleren som dokumentation.
Bilag A — Behandlingens karakter, formål og typer af personoplysninger
Behandlingens karakter og formål
- Hosting af bookingsystem og database
- Kalender- og bookinghåndtering
- Betalingsformidling via Stripe (depositum, fuld forudbetaling)
- Udsendelse af transaktionelle e-mails (bekræftelser, påmindelser, opfølgning)
- Logning til drifts-, sikkerheds- og fejlsøgningsformål
- Frivillig (opt-in) AI-baseret mønstergenkendelse ved kalender-import
Kategorier af registrerede
- Slutkunder hos den dataansvarlige (privatpersoner, der booker)
- Ansatte og leverandører hos den dataansvarlige med adgang til systemet
Kategorier af personoplysninger
- Almindelige oplysninger: navn, e-mail, telefonnummer, adresse
- Bookingdata: tidspunkt, ydelse, behandler, noter, status
- Betalingsdata: bekræftelse fra Stripe, sidste 4 cifre — ikke fulde kortdetaljer
- Kommunikationsdata: e-mailindhold, sms-indhold
- Særlige kategorier (GDPR artikel 9) — helbredsoplysninger: kan forekomme i bookingnoter hos sundhedsfaglige kunder (fx fodterapeuter, klinikker). Den dataansvarlige er ansvarlig for at have et lovligt grundlag for denne behandling og for at minimere mængden af følsomme oplysninger i fritekstfelter.
Varighed af behandlingen
Behandlingen pågår, så længe den dataansvarliges konto er aktiv. Ved ophør slettes data efter punkt 11, dog med 5 års opbevaring af bogføringsmateriale.
Bilag B — Tekniske og organisatoriske sikkerhedsforanstaltninger
- Kryptering: Personoplysninger krypteres i hvile (database og backup) og i transit (HTTPS/TLS 1.3 i hele forbindelsen).
- Adgangskontrol: Rollebaseret adgangskontrol (RBAC). Mindst-priviligerede princip. 2FA påkrævet for alle administrative konti.
- Audit logs: Alle væsentlige ændringer i data og konfiguration logges med brugeridentitet, tidspunkt og handling. Logs opbevares i mindst 24 måneder.
- Backup: Automatiske natlige backups af databasen. Backups krypteres lokalt med AES-256 (GPG) inden upload, og uploades dagligt til en separat lagerinfrastruktur (Hetzner Storage Box), der er fysisk adskilt fra applikations-VPS'en. Opbevaring følger en rullende plan: 7 daglige, 4 ugentlige og 6 månedlige snapshots.
- Sårbarhedshåndtering: Automatiseret overvågning af afhængigheder, månedlig sikkerhedsopdatering af platformen, hurtig udrulning af sikkerhedspatches ved kritiske CVE'er.
- Netværkssikkerhed: WAF/firewall foran applikation, rate limiting på autentificeringsendpoints, DDoS-beskyttelse via Hetzner.
- Adskillelse af miljøer: Produktion er adskilt fra udvikling og test. Personoplysninger fra produktion bruges ikke i udviklingsmiljøer.
- Sletning: Sletning ved ophør gennemføres som beskrevet i punkt 11, herunder logisk sletning fra database og rotation af krypteringsnøgler hvor relevant.
- Personalehåndtering: Personer med adgang til produktionsdata er underlagt skriftlig tavshedspligt.
- Fysisk sikkerhed: Hosting hos Hetzner i tysk datacenter med ISO 27001-certificering.
Bilag C — Liste over underdatabehandlere
Databehandleren anvender følgende underdatabehandlere ved levering af tjenesten:
| Leverandør | Land/region | Formål | Overførselsgrundlag |
|---|---|---|---|
| Hetzner Online GmbH | Tyskland (EU/EØS) | Hosting, database, backup | EU/EØS — intet særligt grundlag krævet |
| Resend, Inc. | USA (EU-region for behandling) | Transaktionel e-mail | SCC + EU-US Data Privacy Framework |
| Stripe Payments Europe Ltd. | Irland (EU) + USA (moderselskab) | Betalingsformidling | SCC + EU-US Data Privacy Framework |
| Anthropic PBC | USA | AI-baseret mønstergenkendelse ved kalender-import. Data sendes ad hoc og opbevares ikke længere end 30 dage hos leverandøren. | SCC + EU-US Data Privacy Framework |
Listen kan ændres, jf. punkt 5. Den til enhver tid gældende liste er denne side.