Privatlivspolitik
Sidst opdateret: 24. april 2026
1. Dataansvarlig
Denne privatlivspolitik gælder for tjenesten Bygpas, der drives af:
UBRY
CVR-nr.: 41366230
Adresse: Østerbrogade 226, st. th, 2100 København Ø
E-mail: hej@bygpas.io
Hjemmeside: https://bygpas.io
UBRY er dataansvarlig for behandlingen af dine personoplysninger som beskrevet nedenfor.
2. Hvilke personoplysninger vi behandler
Når du bruger Bygpas, behandler vi følgende kategorier af personoplysninger:
2.1 Oplysninger du selv giver os
- E-mailadresse (til oprettelse af konto, levering af rapport og kvitteringer)
- Søgeforespørgsler (CVR-numre eller virksomhedsnavne du slår op)
- Eventuelle beskeder du sender til vores AI-rådgiver
- Markedsføringssamtykke (hvis du tilmelder dig nyhedsbrev)
2.2 Oplysninger vi indsamler automatisk
- IP-adresse (hashet med SHA-256 til misbrugsforebyggelse — vi gemmer aldrig den rå IP)
- Browser- og enhedsoplysninger (browsertype, operativsystem, sprogindstilling)
- Tidsstempler for brug af tjenesten
- Henvisende URL (hvor du kom fra)
2.3 Betalingsoplysninger
Når du køber en rapport eller chat-credits, behandles din betaling af vores betalingsudbyder Stripe. Vi modtager IKKE dine kortoplysninger. Vi modtager kun bekræftelse på, at betalingen er gennemført, samt et købs-ID. Stripe er certificeret efter PCI DSS Level 1 — den højeste sikkerhedsstandard for kortbetalinger.
3. Formål og retsgrundlag
Vi behandler dine personoplysninger til følgende formål med følgende retsgrundlag:
| Formål | Retsgrundlag |
|---|---|
| Levere rapporter og produkter du har købt | Opfyldelse af aftale (databeskyttelsesforordningens art. 6, stk. 1, litra b) |
| Sende ordrebekræftelser og kvitteringer | Opfyldelse af aftale samt retlig forpligtelse (bogføringsloven) |
| Misbrugsforebyggelse og rate-limiting | Legitim interesse (art. 6, stk. 1, litra f) |
| Forbedring af tjenesten via brugsstatistik | Legitim interesse (art. 6, stk. 1, litra f) |
| Markedsføring via e-mail | Samtykke (art. 6, stk. 1, litra a) |
| Overholdelse af lovkrav (skat, regnskab) | Retlig forpligtelse (art. 6, stk. 1, litra c) |
3.1 Behandlingsgrundlag for CVR-baseret behandling
Bygpas behandler personoplysninger om direktører, bestyrelsesmedlemmer og ejere af danske virksomheder på grundlag af legitim interesse jf. GDPR art. 6, stk. 1, litra f. Den legitime interesse er forbrugerbeskyttelse — at give boligejere mulighed for at verificere oplysninger om virksomheder de overvejer at indgå aftale med.
Bygpas videregiver standardmæssige finansielle nøgletal beregnet efter almindelige anerkendte formler med standardiseret kategorisering. Denne aktivitet falder uden for reglerne om kreditoplysningsbureauer i databeskyttelseslovens § 19, jf. Datatilsynets vejledning oktober 2019.
Bygpas foretager ingen individuel kreditvurdering eller anden vurdering af enkelte virksomheder. Bygpas videregiver ikke advarsler mod forretningsforbindelser.
Læs vores forklaring af kategoriseringssystem og vores Legitimate Interest Assessment for fuld gennemsigtighed.
4. Hvem deler vi dine oplysninger med
Vi sælger ALDRIG dine personoplysninger til tredjepart. Vi deler dem kun med følgende databehandlere, som hjælper os med at drive tjenesten:
| Databehandler | Formål | Placering |
|---|---|---|
| Supabase | Databasehosting | EU (Frankfurt, Tyskland) |
| Netlify | Webhosting | EU/USA — overførsel sikret via Standard Contractual Clauses |
| Stripe | Betalingsbehandling | EU/USA — certificeret efter EU-US Data Privacy Framework |
| Resend | Transaktionel e-mail-levering (kvitteringer, rapporter, magic links) | EU/USA — Standard Contractual Clauses |
| Klaviyo | Nyhedsbreve og markedsførings-e-mail (kun ved aktivt samtykke) | EU/USA — Standard Contractual Clauses |
| Anthropic (Claude AI) | AI-baseret analyse af håndværkerdata. Anthropic anvender ikke dine data til træning af modeller. | USA — Standard Contractual Clauses |
| Google (Places API) | Hentning af offentlige Google Reviews | EU/USA — adekvat beskyttelsesniveau |
| SelskabsInfo / CVR-API | Hentning af offentlige CVR-data | Danmark |
| Plausible Analytics | Privatlivsvenlig webstatistik — ingen cookies, ingen persondata, ingen tracking på tværs af sites | EU (Tyskland) |
Vi har indgået databehandleraftaler (DBA) med alle databehandlere i overensstemmelse med GDPR artikel 28.
For overførsler til USA anvender vi Standard Contractual Clauses godkendt af EU-Kommissionen samt yderligere tekniske foranstaltninger for at sikre et tilstrækkeligt beskyttelsesniveau.
5. Hvor længe gemmer vi dine oplysninger
| Datatype | Opbevaringsperiode |
|---|---|
| Kontooplysninger (e-mail) | Indtil du sletter din konto |
| Søgehistorik | Mellemlagret i 24 timer, derefter arkiveret i 12 måneder, derefter slettet eller anonymiseret |
| Købshistorik | 5 år (jf. bogføringsloven §10) |
| Bilag og fakturaer | 5 år (jf. bogføringsloven §10) |
| Markedsføringssamtykke | Indtil du trækker det tilbage, dog max 2 år uden aktivitet |
| IP-hash til misbrugsforebyggelse | 30 dage |
| Chat-historik med AI-rådgiver | 12 måneder |
6. Cookies
Bygpas anvender følgende typer cookies:
6.1 Nødvendige cookies (kræver ikke samtykke)
- Session-cookie til at huske om du er logget ind
- CSRF-token til sikkerhed
- Cookie-samtykke-præference
6.2 Funktionelle cookies (kræver samtykke)
- Sprog- og visningspræferencer
6.3 Statistik-cookies (kræver IKKE samtykke)
Vi anvender Plausible Analytics til anonym webstatistik. Plausible sætter ingen cookies, logger ingen IP-adresser og udfører ingen tracking på tværs af sites. Derfor kræver brug af Plausible hverken samtykke efter cookiebekendtgørelsen eller efter GDPR.
6.4 Markedsføringscookies
Vi anvender IKKE markedsføringscookies eller tracking på tværs af tredjeparter. Vi deler ikke adfærdsdata med annoncører eller sociale medier.
Du kan til enhver tid ændre eller trække dit samtykke tilbage via cookie-banneret nederst på siden.
6.5 AI-behandling af dine forespørgsler
Når du foretager et håndværkertjek eller stiller spørgsmål til vores AI-rådgiver, sendes forespørgslen til Anthropic (Claude AI) som databehandler. Vi har indgået databehandleraftale, og Anthropic anvender ikke dine data til at træne deres AI-modeller. Anthropic opbevarer forespørgsler i op til 30 dage til misbrugsdetektion, hvorefter de slettes.
Du kan ikke fravælge AI-behandling, da den er kernen i tjenesten — men du kan undlade at bruge chat-rådgiveren eller undlade at inkludere personlige oplysninger i dine forespørgsler.
6.6 Behandling af virksomhedsdata
Bygpas' kerneydelse er at samle og videregive offentligt tilgængelige data om danske håndværker-virksomheder, fra otte kilder: CVR-registret, SelskabsInfo, Sikkerhedsstyrelsens autorisationsregister, Byggeriets Ankenævn, Byg Garanti / DI Byggeri (medlemskab og garantiordning), Trustpilot, AnmeldHåndværker, Google Places & Reviews — supplereret af Statstidende (konkurser og gælds-anmeldelser i ejerkredsen). Den fulde liste med beskrivelse af hver kilde, opdateringsfrekvens og lagring findes på Datakilder. For finansielle nøgletal anvender vi standardiseret kategorisering — samme tabel for alle virksomheder — jf. Datatilsynets vejledning oktober 2019 (Eniro-undtagelsen). Se vores standardiseringssystem for fuld forklaring. Bygpas foretager ingen samlet vurdering eller kreditvurdering af virksomheder. Fordi virksomheders ejerstruktur indeholder persondata — navne, ejerandele — kan vores behandling udgøre behandling af personoplysninger i GDPR's forstand. Dette afsnit forklarer hvad det betyder for dig.
6.6.1 Profilering af hvem?
Subjektet for vores datapræsentation er virksomheden — ikke den boligejer der søger, og ikke den enkelte privatperson i øvrigt. Det er virksomheden vi viser data om. Persondata indgår kun hvor det er nødvendigt for at beskrive virksomhedens ejerstruktur og historik (fx navn på reel ejer, ejerandel, og hvorvidt ejeren har drevet tidligere virksomheder der er gået konkurs). Disse oplysninger er allerede offentligt tilgængelige via CVR-registret og SelskabsInfo.
6.6.2 Træffer Bygpas en afgørelse om dig?
Nej. Bygpas træffer ingen afgørelse om hverken boligejer eller virksomhed. Datapræsentationen er et datagrundlag — beslutningen om at indgå kontrakt træffer boligejeren selv. Derfor er GDPR art. 22 (forbud mod afgørelse baseret udelukkende på automatisk behandling med retsvirkning eller tilsvarende væsentlig betydning) ikke anvendelig på vores datapræsentation. Vi citerer bevidst ikke art. 22 som retsgrundlag, fordi det ville være misbrug af bestemmelsen. Det samme fremgår af den juridiske posture-note i hver rapport.
6.6.3 Hvad er logikken bag datapræsentationen?
Bygpas viser rå data fra seks offentlige kilder (CVR, SelskabsInfo, Sikkerhedsstyrelsen, Byggeriets Ankenævn, Trustpilot, Google) plus standardiseret kategorisering af nøgletal — fx soliditetsgrad indplaceret som lav/middel/høj efter samme universelle tabel for alle virksomheder. Kategoriserings-tabellerne er offentligt dokumenteret — se Sådan fungerer Bygpas, Standardisering og Datakilder. Bygpas foretager ingen vægtning, ingen samlet bedømmelse og ingen kreditvurdering af virksomheden.
For aggregerede anmeldelses-tal (Trustpilot, Google, AnmeldHåndværker) gemmer vi kun gennemsnit og antal — aldrig enkeltanmeldelser. Det er en aktiv håndhævelse, ikke et politik-løfte alene (se Datakilder §"Hvad vi ikke gemmer").
6.6.4 Kan du gøre indsigelse?
Ja. Hvis du er ejer af eller beslutningstager i en virksomhed, der er vist på Bygpas, og mener at data er forkerte, forældede eller misforståede, kan du indsende en indsigelse efter GDPR art. 21 via vores dedikerede kanal: bygpas.io/for-virksomheder. Vi svarer inden for 14 hverdage, registrerer hver indsigelse i en audit-trail og opdaterer datapræsentationen hvis indsigelsen giver anledning til det.
Hvis du er privatperson der optræder i en ejerstruktur (fx som reel ejer eller ledelsesperson) og ønsker at gøre indsigelse mod behandlingen af dine persondata i den forbindelse, kan du skrive til hej@bygpas.io. Vi behandler personrelaterede indsigelser efter samme 30-dages-frist som øvrige GDPR-henvendelser (art. 12, stk. 3).
7. Dine rettigheder
I henhold til databeskyttelsesforordningen (GDPR) har du følgende rettigheder:
- Ret til indsigt (art. 15): Du har ret til at få at vide, hvilke personoplysninger vi behandler om dig, og få en kopi af dem.
- Ret til berigtigelse (art. 16): Du har ret til at få rettet urigtige eller ufuldstændige oplysninger om dig.
- Ret til sletning (art. 17, "retten til at blive glemt"): Du har ret til at få slettet dine oplysninger, medmindre vi har en lovlig grund til at beholde dem (fx bogføringsforpligtelser).
- Ret til begrænsning (art. 18): Du har ret til at få begrænset behandlingen af dine oplysninger i visse tilfælde.
- Ret til dataportabilitet (art. 20): Du har ret til at få dine oplysninger udleveret i et struktureret, almindeligt anvendt format.
- Ret til indsigelse (art. 21): Du har ret til at gøre indsigelse mod vores behandling baseret på legitim interesse, herunder profilering.
- Ret til at trække samtykke tilbage: Du kan til enhver tid trække dit samtykke til markedsføring tilbage uden konsekvenser.
Du kan udøve dine rettigheder på to måder:
- Selvbetjening (anbefalet): Log ind på din konto og brug knapperne "Eksporter mine data" (art. 20) og "Slet min konto" (art. 17). Eksport og sletning udføres automatisk og omgående.
- Manuel anmodning: Send en e-mail til hej@bygpas.io. Vi besvarer din henvendelse inden for 30 dage (GDPR art. 12, stk. 3).
Udøvelse af dine rettigheder er gratis. Vi kan dog opkræve et rimeligt gebyr eller afvise anmodningen ved åbenlyst ubegrundede eller overdrevent gentagne anmodninger (jf. art. 12, stk. 5).
7.1 Specifikt om dataportabilitet (art. 20)
Du kan til enhver tid downloade en komplet JSON-fil med alle oplysninger, vi har registreret om dig: profil, søgehistorik, købshistorik, chatbeskeder og tilmeldinger til nyhedsbrev. Filen er maskinlæsbar og kan overføres til en anden udbyder.
7.2 Specifikt om sletning (art. 17)
Når du sletter din konto:
- Profil, søgehistorik, chatbeskeder, chat-credits og nyhedsbrev-tilmeldinger slettes permanent
- Købshistorik og fakturaer anonymiseres, men beholdes i 5 år grundet bogføringslovens §10
- Stripe bevarer deres egen betalingsdokumentation som krævet af finansiel lovgivning
- IP-hashes og sikkerhedslogs slettes efter 30 dage
Du modtager en bekræftelsesmail på den e-mailadresse, du havde registreret. Sletning kan ikke fortrydes.
8. Klage til Datatilsynet
Hvis du er utilfreds med vores behandling af dine personoplysninger, har du ret til at klage til:
Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
Telefon: +45 33 19 32 00
E-mail: dt@datatilsynet.dk
Hjemmeside: www.datatilsynet.dk
9. Sikkerhed
Vi har implementeret tekniske og organisatoriske foranstaltninger for at beskytte dine personoplysninger mod uautoriseret adgang, tab eller misbrug, herunder:
- Kryptering af data under transport (TLS 1.3)
- Kryptering af data i hvile (database-level encryption)
- Row-Level Security (RLS) på alle databasetabeller
- To-faktor godkendelse på adminkonti
- Regelmæssige sikkerhedsopdateringer
- Adgangskontrol baseret på princippet om mindste rettigheder
- Hashing af IP-adresser med SHA-256
- Logging af adgang til personoplysninger
9.1 Samtykke til markedsføring
Hvis du tilmelder dig vores nyhedsbrev, er det baseret på dit aktive samtykke (GDPR art. 6, stk. 1, litra a og markedsføringslovens §10). Du kan til enhver tid framelde dig ved at:
- Klikke på "afmeld" i bunden af enhver marketing-e-mail (ét-klik afmelding, jf. markedsføringsloven)
- Sende en e-mail til hej@bygpas.io
- Slette din konto (framelder automatisk)
Frameldingen træder i kraft inden for 24 timer. Vi bekræfter frameldingen på e-mail.
10. Børn og mindreårige
Bygpas er ikke rettet mod børn under 16 år. Vi indsamler ikke bevidst personoplysninger om børn under 16 år. Hvis du er forælder og opdager, at dit barn har givet os personoplysninger, bedes du kontakte os, så vi kan slette dem.
10.1 Dataovertrædelser
I tilfælde af en sikkerhedshændelse, der medfører risiko for dine rettigheder og frihedsrettigheder (databrud), anmelder vi hændelsen til Datatilsynet inden for 72 timer jf. GDPR art. 33. Hvis databruddet sandsynligvis medfører høj risiko for dig, underretter vi dig også direkte jf. art. 34 uden unødigt ophold.
11. Ændringer i privatlivspolitikken
Vi kan opdatere denne privatlivspolitik fra tid til anden. Væsentlige ændringer vil blive meddelt på vores hjemmeside og via e-mail til registrerede brugere mindst 30 dage før ikrafttrædelse.
Den til enhver tid gældende version findes på https://bygpas.io/privatlivspolitik
12. Kontakt
Hvis du har spørgsmål til denne privatlivspolitik eller vores behandling af dine personoplysninger, er du velkommen til at kontakte os:
E-mail: hej@bygpas.io
Hjemmeside: https://bygpas.io
Denne privatlivspolitik er udarbejdet i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/679 (databeskyttelsesforordningen, GDPR) samt databeskyttelsesloven (lov nr. 502 af 23. maj 2018).