Skip to Content

Databehandleraftale (DPA)

Denne aftale er indgået mellem:

Dataansvarlig: Kunden

Og

Databehandler: Nordic Source ApS (CVR 26933684) Vesterbrogade 124B 1620 København

1. Formål og omfang

Denne databehandleraftale (herefter DPA) fastlægger parternes rettigheder og forpligtelser i forbindelse med Nordic Source ApS' behandling af personoplysninger på vegne af den Dataansvarlige. Aftalen er et lovkrav i henhold til GDPR artikel 28.

Aftalen gælder for alle ydelser leveret af Databehandleren, der involverer behandling af personoplysninger på vegne af den Dataansvarlige, herunder hosting, serverdrift og relaterede IT-ydelser.

2. Rollefordeling

  • Dataansvarlig: Kunden er den dataansvarlige. Kunden bestemmer formålet med behandlingen af personoplysninger og har det fulde ansvar for, at behandlingen er lovlig.
  • Databehandler: Nordic Source ApS er databehandler og behandler udelukkende personoplysninger efter dokumenterede instruktioner fra den Dataansvarlige. Databehandleren har intet ansvar for indholdet af de data, der lagres på dets systemer.

3. Instruks for databehandling

Databehandleren er instrueret i at behandle personoplysninger for at levere de aftalte ydelser. Denne behandling omfatter hosting og lagring af data på Databehandlerens servere, samt opretholdelse og sikring af systemernes drift. Behandlingen omfatter ikke aktivt gennemsyn, redigering eller brug af personoplysninger, da Databehandleren opererer efter et zero-knowledge-princip, hvor data er ende-til-ende krypteret.

4. Sikkerhedsforanstaltninger

Databehandleren forpligter sig til at opretholde et passende sikkerhedsniveau. Dette omfatter tekniske og organisatoriske foranstaltninger, herunder:

  • Kryptering: Alle data lagres med ende-til-ende kryptering, som sikrer, at Databehandleren ikke kan tilgå indholdet.
  • Adgangskontrol: Fysisk og digital adgang til systemer og data er strengt begrænset og kontrolleret.
  • Datacentre: Hosting sker udelukkende i datacentre med ISO 27001-certificering og fuldt europæisk ejerskab, der ikke har investorer med en potentiel trussel mod europæisk suverænitet.
  • Overvågning: Løbende overvågning for at opdage og imødegå sikkerhedstrusler.

5. Brug af underdatabehandlere

Databehandleren kan anvende underdatabehandlere til at levere de aftalte ydelser. En liste over godkendte underdatabehandlere fremgår af bilag A til denne aftale. Databehandleren forpligter sig til at sikre, at disse underdatabehandlere overholder de samme forpligtelser og sikkerhedskrav som i denne aftale.

6. Overførsel til tredjelande

Databehandleren garanterer, at data, der behandles under denne aftale, aldrig overføres til lande uden for EU/EØS under normale omstændigheder.

I tilfælde af en samfundskritisk force majeure-situation, f.eks. krig, forbeholder Databehandleren sig dog retten til at aktivere en beredskabsplan for at sikre forretningskontinuitet. I et sådant tilfælde kan det være nødvendigt at overføre data til et datacenter i et tredjeland. Denne handling vil kun ske, hvis det er nødvendigt for at opretholde kritiske ydelser og i overensstemmelse med GDPR's undtagelser for almen interesse (Artikel 49).

7. Bistand til den Dataansvarlige

Databehandleren vil bistå den Dataansvarlige i at overholde den Dataansvarliges forpligtelser i henhold til GDPR, herunder:

  • Behandling af anmodninger fra registrerede (f.eks. indsigt, sletning, rettelse).
  • Gennemførelse af konsekvensanalyser vedrørende databeskyttelse (DPIA).
  • Håndtering af sikkerhedsbrud.

8. Sikkerhedsbrud

I tilfælde af et sikkerhedsbrud skal Databehandleren uden unødig forsinkelse underrette den Dataansvarlige. Meddelelsen skal som minimum indeholde en beskrivelse af bruddet, de foranstaltninger der er truffet, og de sandsynlige konsekvenser.

9. Fortrolighed

Databehandleren og dets medarbejdere er forpligtet til at behandle alle oplysninger under denne aftale fortroligt.

Bilag A: Liste over underdatabehandlere

Følgende underdatabehandlere er godkendt til at behandle personoplysninger på vegne af den Dataansvarlige:

  • Wordline (tidligere Bambora): Onlinebetalinger og betalingshåndtering.
  • Obmondo: Ekstra konsulentfirma, der overvåger servere 24/7.
  • Hetzner, Curanet, Global Connect: Hosting- og serverdriftspartnere.
  • Punktum: Domæneregistrering.
  • Leverandører og transportvirksomheder: Til afsendelse af ordrer.