Databehandleraftale
Sidst opdateret: 16. april 2026
Bemærk: Denne databehandleraftale er et udkast og bør gennemgås af en advokat og en databeskyttelsesrådgiver (DPO) før brug i produktion.
Denne databehandleraftale ("Aftalen") er indgået mellem:
Den dataansvarlige ("Håndværkeren"):
Den håndværkervirksomhed, der opretter en profil på Bygpas-platformen, som identificeret ved CVR-nummer og brugerkontooplysninger.
Databehandleren ("Bygpas"):
UBRY
CVR-nr.: 41366230
Adresse: Østerbrogade 226, st. th, 2100 København Ø
E-mail: dpo@bygpas.io
Aftalen er indgået i henhold til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger ("GDPR"), særligt artikel 28.
1. Baggrund og formål
1.1 Baggrund
Håndværkeren har oprettet eller ønsker at oprette en erhvervsprofil på Bygpas-platformen. Som led i denne tjeneste behandler Bygpas visse personoplysninger på vegne af Håndværkeren.
1.2 Formål
Denne aftale regulerer Bygpas' behandling af personoplysninger, som Håndværkeren overlader til Platformen, og sikrer at behandlingen sker i overensstemmelse med GDPR, dansk databeskyttelseslovgivning og Håndværkerens instruktioner.
1.3 Aftalens forrang
I tilfælde af uoverensstemmelse mellem denne aftale og Vilkår for Håndværkere eller Privatlivspolitikken, har denne databehandleraftale forrang for så vidt angår behandling af personoplysninger.
2. Kategorier af personoplysninger
2.1 Personoplysninger der behandles
Bygpas behandler følgende kategorier af personoplysninger på vegne af Håndværkeren:
| Kategori | Eksempler | Registrerede |
|---|---|---|
| Kontaktoplysninger | Navn, e-mail, telefonnummer, adresse | Håndværkerens kontaktpersoner |
| Virksomhedsoplysninger | CVR-nummer, firmanavn, branche, adresse | Virksomheden og dens ejere |
| Profildata | Beskrivelse, specialer, serviceområder, website | Håndværkerens virksomhed |
| Brugeraktivitet | Login-tidspunkter, dashboard-handlinger, profilredigeringer | Håndværkerens brugere |
| Betalingsreferencer | Stripe Customer ID, abonnementsreference (ikke kortdata) | Betalende kontaktperson |
2.2 Følsomme personoplysninger
Bygpas behandler ikke følsomme personoplysninger (GDPR art. 9) eller oplysninger om strafbare forhold (GDPR art. 10) på vegne af Håndværkeren. Håndværkeren forpligter sig til ikke at uploade sådanne oplysninger til Platformen.
3. Behandlingens formål og grundlag
3.1 Behandlingsformål
Bygpas behandler personoplysninger udelukkende med henblik på:
- Drift og vedligeholdelse af Håndværkerens profil på Platformen
- Visning af Håndværkerens kontaktoplysninger i søgeresultater (for Verificeret/Premium-abonnenter)
- Levering af statistik og notifikationer via erhvervsdashboardet
- Fakturering og abonnementsadministration
- Kundesupport relateret til Håndværkerens profil
3.2 Behandlingsgrundlag
Bygpas behandler personoplysninger i henhold til Håndværkerens instruktioner, jf. GDPR art. 28, stk. 3, litra a. Håndværkerens accept af Vilkår for Håndværkere og denne aftale udgør den samlede instruks.
4. Bygpas' forpligtelser
4.1 Instruktioner
Bygpas behandler kun personoplysninger efter dokumenteret instruks fra Håndværkeren, herunder med hensyn til overførsel til tredjelande, medmindre Bygpas er forpligtet hertil i henhold til EU-ret eller dansk ret. I så fald underretter Bygpas Håndværkeren om dette krav inden behandlingen, medmindre loven forbyder en sådan underretning.
4.2 Fortrolighed
Bygpas sikrer, at de personer, der er bemyndiget til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
4.3 Sikkerhedsforanstaltninger
Bygpas gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, jf. GDPR art. 32. Disse omfatter som minimum:
- Kryptering: TLS 1.2+ for data i transit; AES-256 for data at rest (Supabase, Stripe)
- Adgangsstyring: JWT-baseret autentificering, Row Level Security (RLS) på alle databasetabeller, adskillelse af brugerdata
- Netværkssikkerhed: HSTS, CSP headers, X-Frame-Options DENY, CORS-whitelist
- Logging og overvågning: Audit-logs for administrative handlinger, fejllogning, anomalidetektion
- Patch management: Automatiske sikkerhedsopdateringer via Netlify og Supabase managed services
- Incident response: Dokumenteret procedure for sikkerhedshændelser (se afsnit 8)
4.4 Bistand til den dataansvarlige
Bygpas bistår Håndværkeren med at opfylde sine forpligtelser i henhold til GDPR art. 32-36, herunder:
- Sikkerhedsforanstaltninger (art. 32)
- Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden (art. 33)
- Underretning af registrerede om brud (art. 34)
- Konsekvensanalyse vedrørende databeskyttelse (art. 35)
- Forudgående høring af tilsynsmyndigheden (art. 36)
4.5 Registreredes rettigheder
Bygpas bistår Håndværkeren med at opfylde registreredes rettigheder i henhold til GDPR kapitel III (indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse). Bygpas vil:
- Videresende henvendelser fra registrerede til Håndværkeren inden for 3 hverdage
- Stille tekniske redskaber til rådighed for at opfylde anmodninger (eksport, sletning via API eller dashboard)
- Ikke besvare henvendelser direkte fra registrerede uden Håndværkerens instruks, medmindre det kræves ved lov
5. Opbevaringsperiode
5.1 Under aftaleperioden
Personoplysninger opbevares så længe Håndværkerens profil er aktiv og abonnementet løber. Håndværkeren kan til enhver tid opdatere eller slette profildata via erhvervsdashboardet.
5.2 Ved opsigelse
Ved opsigelse af abonnementet eller sletning af profilen sletter Bygpas Håndværkerens personoplysninger inden for 30 dage, med undtagelse af:
- Fakturaer og betalingshistorik: Opbevares i 5 år i henhold til bogføringsloven (lovbekendtgørelse nr. 648 af 15. juni 2006)
- Logfiler til sikkerhedsformål: Opbevares i op til 12 måneder
- Data der er nødvendige for at dokumentere overholdelse af lovkrav: Opbevares så længe det er lovpligtigt
5.3 Sletning og returnering
Ved aftalens ophør sletter Bygpas alle personoplysninger i overensstemmelse med ovenstående tidsfrister, medmindre Håndværkeren inden for 14 dage efter opsigelse anmoder om at få data returneret i et struktureret, maskinlæsbart format (CSV eller JSON).
6. Underbehandlere
6.1 Godkendte underbehandlere
Håndværkeren giver hermed generel forudgående skriftlig godkendelse til Bygpas' brug af underbehandlere, jf. GDPR art. 28, stk. 2. Følgende underbehandlere anvendes pr. aftalens dato:
| Underbehandler | Formål | Lokation | Overførselsgrundlag |
|---|---|---|---|
| Supabase Inc. | Database (PostgreSQL), autentificering, Edge Functions | EU (Frankfurt, aws-eu-central-1) | Data forbliver i EU |
| Stripe Inc. | Betalingsbehandling, abonnementsadministration, fakturering | EU (Irland) / US | EU-US Data Privacy Framework + SCCs |
| Netlify Inc. | Webhosting, serverless functions, CDN | US / Global CDN | SCCs (Standard Contractual Clauses, EU-Kommissionens afgørelse 2021/914) |
| Anthropic PBC | AI-analyse og rapportgenerering (Claude API) | US | SCCs + Data Processing Addendum |
| Resend Inc. | Transaktionelle e-mails (kvitteringer, notifikationer) | US | SCCs |
| Klaviyo Inc. | Nyhedsbreve og marketing-e-mails (kun med samtykke) | US | SCCs + Data Processing Addendum |
| Plausible Insights OÜ | Anonym webanalyse (ingen persondata, ingen cookies) | EU (Estland / Tyskland) | Data forbliver i EU |
6.2 Ændring af underbehandlere
Bygpas underretter Håndværkeren om planlagte ændringer vedrørende tilføjelse eller udskiftning af underbehandlere med mindst 30 dages varsel via e-mail. Håndværkeren kan gøre indsigelse inden for 14 dage. Hvis indsigelsen er berettiget og Bygpas ikke kan imødekomme den, har Håndværkeren ret til at opsige aftalen med virkning fra ændringstidspunktet.
6.3 Underbehandleraftaler
Bygpas sikrer, at der er indgået databehandleraftaler med alle underbehandlere, der pålægger dem de samme databeskyttelsesforpligtelser som dem, der følger af denne aftale, jf. GDPR art. 28, stk. 4.
7. Overførsel til tredjelande
Personoplysninger overføres til tredjelande (primært USA) via ovennævnte underbehandlere. Overførsler sker på grundlag af:
- EU-US Data Privacy Framework (for underbehandlere der er certificeret herunder)
- Standard Contractual Clauses (SCCs) vedtaget af EU-Kommissionen i henhold til GDPR art. 46, stk. 2, litra c
Bygpas gennemfører supplerende foranstaltninger (Transfer Impact Assessments) i overensstemmelse med Schrems II-dommen (C-311/18), herunder kryptering i transit og at rest, pseudonymisering hvor muligt, samt vurdering af det pågældende tredjelands lovgivning.
8. Brud på persondatasikkerheden
8.1 Notifikation
Bygpas underretter Håndværkeren om ethvert brud på persondatasikkerheden uden unødig forsinkelse og senest inden for 72 timer efter at Bygpas er blevet bekendt med bruddet, jf. GDPR art. 33, stk. 2.
8.2 Notifikationens indhold
Underretningen skal som minimum indeholde:
- En beskrivelse af bruddets karakter, herunder om muligt kategorierne af og det omtrentlige antal berørte registrerede og registreringer
- Navn og kontaktoplysninger på Bygpas' kontaktpunkt
- En beskrivelse af de sandsynlige konsekvenser af bruddet
- En beskrivelse af de foranstaltninger, der er truffet eller foreslås truffet for at afhjælpe bruddet og begrænse dets mulige skadevirkninger
8.3 Samarbejde
Bygpas bistår Håndværkeren med at opfylde sin anmeldelsespligt over for Datatilsynet (art. 33) og sin underretningspligt over for registrerede (art. 34), herunder ved at levere supplerende oplysninger i takt med at de bliver tilgængelige.
9. Audit og inspektion
9.1 Dokumentation
Bygpas stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af GDPR art. 28, til rådighed for Håndværkeren.
9.2 Auditering
Håndværkeren eller en af Håndværkeren udpeget uafhængig revisor har ret til at gennemføre audits, herunder inspektioner, med henblik på at verificere Bygpas' overholdelse af denne aftale. Audits gennemføres:
- Med mindst 30 dages forudgående skriftligt varsel
- I normal arbejdstid (hverdage 09:00-17:00 CET)
- Højst 1 gang pr. kalenderår, medmindre der foreligger konkret mistanke om brud
- Under iagttagelse af fortrolighedsforpligtelser
Omkostninger til audit afholdes af Håndværkeren, medmindre auditten afslører væsentlige overtrædelser fra Bygpas' side.
10. Aftalens varighed
Denne aftale er gældende så længe Bygpas behandler personoplysninger på vegne af Håndværkeren. Aftalen ophører automatisk 30 dage efter afslutningen af alle behandlingsaktiviteter, jf. afsnit 5 om opbevaringsperiode.
Bestemmelserne om fortrolighed (afsnit 4.2), sletning (afsnit 5) og audit (afsnit 9) forbliver gældende efter aftalens ophør.
11. Lovvalg og tvister
Denne aftale er underlagt dansk ret. Tvister afgøres i overensstemmelse med bestemmelserne i Vilkår for Håndværkere, afsnit 13.
Håndværkeren kan desuden klage til Datatilsynet:
DatatilsynetCarl Jacobsens Vej 35
2500 Valby
www.datatilsynet.dk
E-mail: dt@datatilsynet.dk
12. Kontakt
Henvendelser vedrørende databeskyttelse og denne aftale rettes til:
UBRY — Bygpas Databeskyttelse
E-mail: dpo@bygpas.io
Adresse: Østerbrogade 226, st. th, 2100 København Ø
Denne databehandleraftale er et udkast og bør gennemgås af en advokat og en databeskyttelsesrådgiver (DPO) før brug i produktion.
Denne aftale er udarbejdet med udgangspunkt i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (GDPR), den danske databeskyttelseslov (lov nr. 502 af 23. maj 2018), samt Datatilsynets vejledning om databehandleraftaler.