Kort sagt: Når AI-AG bygger software eller integrationer, der behandler personoplysninger på vegne af en kunde, er AI-AG databehandler og kunden dataansvarlig. Denne aftale fastlægger rammerne i henhold til databeskyttelsesforordningens artikel 28. Herunder er de juridiske detaljer.
1. Parterne og deres roller
Denne databehandleraftale ("Aftalen") regulerer AI-AG's behandling af personoplysninger på vegne af kunden i forbindelse med de ydelser, AI-AG leverer (softwareudvikling, procesautomatisering, AI-agentløsninger og integrationer).
Databehandler:
AI-AG
CVR: 39251639
Kontaktperson: Martin Terp
E-mail: martin@ai-ag.dk
Telefon: 81 71 70 18
Dataansvarlig: Kunden, dvs. den virksomhed, der har indgået aftale med AI-AG om levering af en løsning. Den dataansvarlige bestemmer formålet med og midlerne til behandlingen.
2. Baggrund og formål
AI-AG behandler udelukkende personoplysninger med henblik på at levere, drifte og vedligeholde den aftalte løsning. Et eksempel er AI-AG's kostpris-integration med kundens e-conomic-aftale, hvor løsningen læser en ordre ud fra ordrenummeret og skriver en beregnet kostpris og pris tilbage på ordren. Behandlingen sker alene for at opfylde aftalen mellem parterne.
3. Behandlingens genstand, varighed, karakter og formål
- Genstand: Personoplysninger, der indgår i eller tilgås af den løsning, AI-AG leverer til kunden.
- Varighed: Aftalen gælder, så længe AI-AG behandler personoplysninger på vegne af kunden, og ophører, når samarbejdet afsluttes, og data er slettet eller tilbageleveret jf. punkt 12. Oplysninger, der er nødvendige for løsningens funktion — herunder afledte data såsom låste kostpris-beregninger, der gemmes som dokumentation og revisionsspor — opbevares i hele aftalens løbetid uden en på forhånd fastsat maksimal opbevaringsperiode og slettes eller tilbageleveres ved ophør jf. punkt 12, idet bogføringslovens opbevaringskrav kan medføre fortsat opbevaring.
- Karakter: Indsamling, opslag, registrering, opbevaring, strukturering, tilpasning, samkøring (fx auto-udfyldning fra et ordreopslag) samt sletning.
- Formål: Levering, drift, fejlretning og videreudvikling af den aftalte løsning.
4. Typer af personoplysninger og kategorier af registrerede
Behandlingen omfatter typisk almindelige (ikke-følsomme) personoplysninger:
- Typer: Navn, virksomhedsnavn, CVR-nummer, kontaktoplysninger samt ordre- og transaktionsdata, der hentes fra eller skrives til kundens systemer (fx e-conomic).
- Kategorier af registrerede: Kundens egne kunder og kontaktpersoner samt kundens medarbejdere (fx sælgere, der anvender løsningen).
AI-AG behandler ikke følsomme personoplysninger (GDPR art. 9) eller CPR-numre på vegne af kunden, medmindre andet er udtrykkeligt og skriftligt aftalt.
5. Den dataansvarliges instruks
AI-AG behandler kun personoplysninger efter dokumenteret instruks fra kunden, herunder denne Aftale og den indgåede leveranceaftale. AI-AG underretter kunden, hvis en instruks efter AI-AG's vurdering er i strid med databeskyttelsesreglerne. AI-AG overfører ikke personoplysninger til tredjelande uden instruks, medmindre det kræves efter EU-ret eller national ret.
6. Fortrolighed
AI-AG sikrer, at de personer, der er autoriseret til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Adgang gives kun til de personer, for hvem det er nødvendigt for at opfylde aftalen (need-to-know).
7. Behandlingssikkerhed (art. 32)
AI-AG gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, herunder:
- Adgangsstyring på rækkeniveau: Row-Level Security (RLS) på alle databasetabeller, så data er isoleret pr. kunde og ikke er synlige for eller tilgængelige for andre kunder.
- Kryptering: Data krypteres under transport (TLS) og i hvile (kryptering på databaseniveau hos databehandlerens underleverandører).
- Hemmeligheder og nøgler: API-nøgler og tokens opbevares sikkert (secret-håndtering), aldrig i kildekode eller versionsstyring, og videregives aldrig til klientsiden.
- Mindste privilegium: Integrationer tildeles den mindst nødvendige rolle/rettighed (fx kun salgsrelaterede endpoints i e-conomic).
- Adgangskontrol til drift: Multifaktor-godkendelse på de administrative systemer, der anvendes til at drifte løsningen.
- Logning: Fejl- og hændelseslogning, der kan deles ved fejlsøgning.
- Vedligehold: Løbende opdatering af software og afhængigheder.
8. Underdatabehandlere
Kunden giver AI-AG en generel godkendelse til at anvende underdatabehandlere. AI-AG anvender følgende underdatabehandlere til drift af løsningerne:
- Supabase Inc. — database og backend (EU-region).
- Vercel Inc. — hosting af applikationens frontend (EU-region; for evt. behandling i USA gælder EU's standardkontraktbestemmelser).
- Cloudflare, Inc. — edge-funktioner og opfangning af adgangs-tokens (for evt. behandling uden for EU gælder EU's standardkontraktbestemmelser).
AI-AG sikrer, at underdatabehandlere er underlagt de samme databeskyttelsesforpligtelser som i denne Aftale. AI-AG underretter kunden om planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere, så kunden har mulighed for at gøre indsigelse.
9. Overførsel til tredjelande
Behandlingen sker som udgangspunkt inden for EU/EØS. Hvor en underdatabehandler behandler personoplysninger uden for EU/EØS, sker overførslen på grundlag af EU-Kommissionens standardkontraktbestemmelser (SCC'er) eller et andet gyldigt overførselsgrundlag i overensstemmelse med GDPR kapitel V.
10. Bistand til den dataansvarlige
AI-AG bistår, under hensyntagen til behandlingens karakter og så vidt muligt, kunden med:
- Opfyldelse af kundens forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder (indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse — GDPR art. 12-23).
- Overholdelse af forpligtelserne i GDPR art. 32-36 (behandlingssikkerhed, anmeldelse af brud, konsekvensanalyser og forudgående høring).
11. Brud på persondatasikkerheden
AI-AG underretter kunden uden unødig forsinkelse efter at være blevet opmærksom på et brud på persondatasikkerheden, så kunden kan overholde sin eventuelle anmeldelsespligt over for Datatilsynet (inden 72 timer) og de registrerede. Underretningen indeholder de oplysninger, der med rimelighed er til rådighed om bruddets karakter, omfang og afhjælpning.
12. Sletning og tilbagelevering ved ophør
Ved ophør af samarbejdet sletter eller tilbageleverer AI-AG efter kundens valg alle personoplysninger, der er behandlet på vegne af kunden, og sletter eksisterende kopier, medmindre opbevaring kræves efter EU-ret eller national ret (fx bogføringslovens opbevaringskrav).
13. Revision og tilsyn
AI-AG stiller alle oplysninger, der er nødvendige for at påvise overholdelse af GDPR art. 28, til rådighed for kunden og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af kunden eller en anden revisor, som kunden har bemyndiget. Revision aftales med rimeligt varsel og forstyrrer ikke unødigt AI-AG's drift.
14. Ansvar
Parternes ansvar følger databeskyttelsesforordningen og de aftalte handelsbetingelser. AI-AG's samlede ansvar er begrænset i overensstemmelse med handelsbetingelserne, i det omfang dette ikke er i strid med ufravigelig lovgivning.
15. Ikrafttræden, ændringer og lovvalg
Aftalen træder i kraft, når AI-AG begynder at behandle personoplysninger på vegne af kunden, og er gældende, så længe behandlingen varer. AI-AG kan opdatere denne Aftale for at afspejle ændringer i lovgivning, underdatabehandlere eller løsninger; væsentlige ændringer varsles. Aftalen er underlagt dansk ret, og tvister afgøres ved de danske domstole. I tilfælde af uoverensstemmelse mellem en individuelt indgået, underskrevet databehandleraftale og denne side, har den underskrevne aftale forrang.
Har I brug for en individuelt underskrevet databehandleraftale, kontakt os på martin@ai-ag.dk.