Databehandleraftale
GDPR art. 28 — Version 1.0
Denne aftale regulerer WiconSoft ApS' behandling af personoplysninger på dine vegne som databehandler.
Sidst opdateret: 15. april 2026
Denne aftale indgås mellem:
Dataansvarlig
Jeres virksomhed (kunden), som aftalt ved oprettelse af abonnement på WiconSofts SaaS-ydelser.
Databehandler
WiconSoft ApS
CVR 43094637
Kirkegade 11a, 1. sal
DK-7100 Vejle
privacy@wiconsoft.com
1. Formål og omfang
Denne Databehandleraftale ("DPA") regulerer WiconSoft ApS' ("Databehandlerens") behandling af personoplysninger på vegne af den dataansvarlige i forbindelse med levering af WiconSofts SaaS-ydelser, herunder Boardly.
Aftalen supplerer og er en integreret del af WiconSofts handelsbetingelser. Ved uoverensstemmelse mellem DPA'en og handelsbetingelserne har DPA'en forrang for så vidt angår behandling af personoplysninger.
1.1. Behandlingens karakter og formål
Databehandleren behandler personoplysninger med henblik på at levere WiconSofts SaaS-ydelser, herunder Boardly — en cloudbaseret bestyrelsesportal der faciliterer:
- Afholdelse og administration af bestyrelsesmøder
- Behandling af dagsordener, beslutningsreferater og protokoller
- Håndtering af sagsstyring og opgaver
- Dokumenthåndtering og adgangsstyring
- Kommunikation og notifikationer til bestyrelsesmedlemmer
1.2. Kategorier af registrerede
- Bestyrelsesmedlemmer og observatører
- Organisationsadministratorer
- Inviterede gæster og samarbejdspartnere
1.3. Typer af personoplysninger
Behandlingen kan omfatte følgende kategorier af almindelige personoplysninger:
- Navn, e-mailadresse, titel og organisationstilknytning
- Adfærdsdata (login-tidspunkter, aktivitetslog)
- Kommunikationsindhold i møder og sager (i det omfang den dataansvarlige indfører sådanne)
WiconSoft behandler ikke følsomme personoplysninger (særlige kategorier, jf. GDPR art. 9) med mindre den dataansvarlige selv indfører sådanne via platformen.
1.4. Varighed
DPA'en er gældende så længe Databehandleren behandler personoplysninger på vegne af den dataansvarlige, dvs. fra abonnementsstart til ophør inkl. eventuel opbevaringsperiode. Ved abonnementsophør slettes data inden for 90 dage, jf. pkt. 6.
2. Databehandlerens forpligtelser
2.1. Instruks
Databehandleren behandler udelukkende personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre EU-ret eller national ret kræver andet. Denne DPA samt handelsbetingelserne udgør den dokumenterede instruks.
Databehandleren underretter straks den dataansvarlige, hvis en instruks efter Databehandlerens vurdering er i strid med GDPR eller anden databeskyttelseslovgivning.
2.2. Fortrolighed
Databehandleren sikrer, at enhver person, der er autoriseret til at behandle de pågældende personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
2.3. Underretningspligt
Databehandleren underretter den dataansvarlige uden unødig forsinkelse — og senest inden for 72 timer — efter at være blevet opmærksom på et brud på persondatasikkerheden. Underretningen skal som minimum indeholde:
- En beskrivelse af bruddet, herunder kategorierne og det omtrentlige antal berørte registrerede
- Kontaktoplysninger på et kontaktpunkt
- De sandsynlige konsekvenser af bruddet
- De foranstaltninger, der er truffet eller foreslås truffet for at håndtere bruddet
3. Sikkerhedsforanstaltninger (GDPR art. 32)
Databehandleren træffer passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, herunder:
- Kryptering af personoplysninger under transmission (TLS 1.2+) og i hvile (AES-256)
- Adgangskontrol baseret på mindst-privilegium-princippet og rollebaserede tilladelser
- Løbende fortrolighedssikring, integritet og tilgængelighed af behandlingssystemer
- Redundant infrastruktur hostet udelukkende i EU (OVH Cloud, Frankfurt)
- Procedurer for regelmæssig afprøvning, vurdering og evaluering af effektiviteten
- Revisionslog over alle datamutationer med bruger-ID, IP-adresse og tidsstempel
- Rate limiting og beskyttelse mod brute force på autentificeringspunkter
4. Underdatabehandlere (GDPR art. 28, stk. 2)
Den dataansvarlige giver hermed generel skriftlig tilladelse til, at Databehandleren kan anvende underdatabehandlere. Databehandleren underretter den dataansvarlige med mindst 30 dages varsel om planlagte ændringer i underdatabehandlerlisten.
Databehandleren pålægger underdatabehandlere de samme databeskyttelsesforpligtelser som fastsat i denne DPA, jf. GDPR art. 28, stk. 4.
| Underdatabehandler | Formål | Lokation | Grundlag |
|---|---|---|---|
| OVH Cloud | Hosting, database og fillagring | EU — Frankfurt, DE | Art. 28 DPA |
| Twilio SendGrid | Transaktionsmail | EU — Frankfurt | Art. 28 DPA |
| Stripe | Betalingsbehandling | EU — Dublin, IE | Art. 28 DPA |
| Sentry | Fejlsporing | EU — Frankfurt | Art. 28 DPA |
Alle underdatabehandlere er underlagt skriftlige DPA'er og behandler udelukkende data inden for EU/EØS.
5. Bistand til den dataansvarlige
5.1. Registreredes rettigheder
Databehandleren bistår — i det omfang det er muligt — den dataansvarlige med at opfylde dennes forpligtelse til at besvare anmodninger om udøvelse af den registreredes rettigheder (GDPR art. 12–23), herunder indsigt, berigtigelse, sletning og dataportabilitet.
Henvendelser fra registrerede, der rettes direkte til Databehandleren, viderestilles til den dataansvarlige uden unødig forsinkelse.
5.2. Art. 32–36 forpligtelser
Databehandleren bistår den dataansvarlige med at overholde forpligtelserne vedrørende sikkerhed (art. 32), anmeldelse af brud (art. 33–34), konsekvensanalyse (art. 35) og forudgående høring (art. 36), under hensyntagen til arten af behandlingen og de oplysninger, der er tilgængelige for Databehandleren.
6. Sletning og returnering
Ved ophør af tjenesten eller på den dataansvarliges anmodning sletter eller returnerer Databehandleren alle personoplysninger til den dataansvarlige og sletter eksisterende kopier, medmindre EU-ret eller national ret kræver opbevaring af personoplysningerne.
- Sletning sker inden for 90 dage efter abonnementsophør
- Den dataansvarlige kan til enhver tid eksportere sine data via platformen
- Databehandleren bekræfter skriftligt, at sletning er gennemført, såfremt den dataansvarlige anmoder herom
7. Tilsyn og revision
Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af forpligtelserne i GDPR art. 28, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som den dataansvarlige har bemyndiget.
Revisioner varsles med mindst 14 dages skriftligt varsel og gennemføres på en måde, der ikke unødigt forstyrrer Databehandlerens drift. Omkostninger til revision afholdes af den dataansvarlige, medmindre revisionen afdækker væsentlig misligholdelse af denne DPA.
8. Overførsel til tredjelande
Databehandleren overfører ikke personoplysninger til lande uden for EU/EØS uden forudgående skriftlig tilladelse fra den dataansvarlige og et gyldigt overførselsgrundlag i henhold til GDPR kapitel V.
Al databehandling sker på OVH Clouds infrastruktur i Frankfurt, Tyskland (EU). Alle underdatabehandlere er lokaliseret i EU eller behandler data på EU-servere.
Ikrafttræden og accept
Denne DPA træder i kraft ved indgåelse af abonnement på WiconSofts SaaS-ydelser og udgør en integreret del af aftaleforholdet. Den dataansvarlige accepterer DPA'en ved at oprette eller fortsætte sin brug af WiconSofts platforme.
Spørgsmål til denne aftale kan rettes til privacy@wiconsoft.com.