Tilbage til forsiden

Databehandleraftale

Sidst opdateret: 9. maj 2026

Denne aftale er udkast og standard-skabelon. Ved tilmelding af et nyt abonnement underskrives den endelige aftale elektronisk via Documenso, hvor parternes konkrete oplysninger udfyldes (kundens firma-navn, CVR, kontaktperson). Den underskrevne version er den juridisk bindende.

1. Parter

Denne databehandleraftale er indgået mellem:

DATAANSVARLIG

[Revisorfirma]
CVR [Kundens CVR]
[Adresse]

DATABEHANDLER

MakerToo
CVR 42784346
Aarhus, Danmark

Aftalen indgås i henhold til GDPR (forordning 2016/679) artikel 28 og dansk databeskyttelseslovgivning.

2. Behandlingens formål

Databehandleren behandler personoplysninger og virksomhedsdata på vegne af dataansvarlige med det formål at levere Konkursradar-tjenesten — herunder overvågning af Statstidende for konkursbegæringer vedrørende dataansvarliges klienter, udsendelse af alarm-e-mails samt påmindelser om årsrapport-deadlines.

3. Behandlingens varighed

Aftalen løber så længe abonnementet er aktivt. Ved opsigelse af abonnementet ophører behandlingen, og data slettes i overensstemmelse med pkt. 9.

4. Karakteren og formålet med databehandling

Behandlingen omfatter:

  • Modtagelse, lagring og match af klientlistens CVR-numre mod Statstidendes RSS-feed
  • Generering og udsendelse af alarm-e-mails til dataansvarliges kontaktperson
  • Generering og udsendelse af deadline-påmindelser baseret på Erhvervsstyrelsens årsrapport-frister
  • Logning af systemets aktivitet med henblik på drift, fejlsøgning og statistik

5. Typer af personoplysninger

Behandlingen omfatter et begrænset sæt oplysninger og ingen følsomme personoplysninger:

  • Dataansvarliges firma-navn og CVR-nummer
  • Kontaktpersonens navn og e-mail-adresse hos dataansvarlige
  • CVR-numre på dataansvarliges klienter (klientlisten) — virksomhedsdata, ikke personoplysninger
  • Eventuelt firma-navn på klienter til reference i e-mails

Der behandles ingen CPR-numre, sundhedsdata, økonomiske oplysninger om enkeltpersoner eller andre kategorier af følsomme oplysninger som omfattet af GDPR art. 9.

6. Kategorier af registrerede

Kontaktpersoner hos dataansvarlige (typisk en revisor eller en partner i firmaet). Klientvirksomheder er juridiske personer og er som udgangspunkt ikke omfattet af GDPR-beskyttelsen — men eventuelle personoplysninger der måtte opstå (f.eks. CVR der tilhører en enkeltmandsvirksomhed med ejerens navn) behandles efter samme principper.

7. Tekniske og organisatoriske sikkerhedsforanstaltninger

Databehandleren har implementeret følgende foranstaltninger:

  • Kryptering i transit: Al kommunikation over TLS 1.2 eller nyere
  • Kryptering at-rest: Database og backups er krypteret
  • Adgangskontrol: Adgang til driftsdata begrænset til MakerToos ejer; multi-faktor-autentificering på administrative grænseflader
  • Audit log: Alle ændringer til klientliste og administrative handlinger logges med tidsstempel og bruger-id
  • Dataminimalisme: Vi indsamler kun de data der er nødvendige for at levere tjenesten
  • Backups: Daglige automatiserede backups med 30 dages opbevaring
  • Hærdning: Operativsystemer og applikationer holdes opdateret; sikkerhedsopdateringer installeres inden for 7 dage efter offentliggørelse

8. Underdatabehandlere

Dataansvarlige giver ved underskrivelsen generel tilladelse til at databehandleren anvender følgende underdatabehandlere — alle EU-baserede:

  • Coolify-host — applikations- og database-hosting
  • Listmonk-Rigsdaler (self-hosted) — e-mail-transport for alarmer og påmindelser
  • Invoice Ninja (self-hosted) — fakturering
  • Cloudflare — DNS og CDN, EU-noder
  • Documenso (self-hosted) — elektronisk underskrift

Databehandleren varsler dataansvarlige med mindst 30 dages varsel om planlagte ændringer i listen over underdatabehandlere. Dataansvarlige kan gøre indsigelse mod ændringer; ved indsigelse har dataansvarlige ret til at opsige aftalen uden varsel.

9. Databehandlerens forpligtelser

  • Behandle data alene efter dokumenteret instruks fra dataansvarlige
  • Sikre at personer der behandler data er underlagt fortrolighedspligt
  • Bistå dataansvarlige med at opfylde forpligtelser om de registreredes rettigheder (indsigt, berigtigelse, sletning, dataportabilitet)
  • Bistå dataansvarlige med konsekvensanalyser efter GDPR art. 35 ved behov
  • Stille de oplysninger til rådighed der er nødvendige for at påvise overholdelse af denne aftale, herunder muliggøre revision

10. Bistand ved sikkerhedsbrud

Databehandleren skal underrette dataansvarlige uden unødigt ophold og senest inden for 72 timer efter at have fået kendskab til et brud på sikkerheden. Underretningen skal indeholde de oplysninger der er nødvendige for at dataansvarlige kan opfylde sin egen anmeldelsespligt over for Datatilsynet, herunder karakteren af bruddet, omfang, sandsynlige konsekvenser og iværksatte foranstaltninger.

11. Sletning og tilbagelevering

Ved aftalens ophør sletter databehandleren al klientliste-data og tilhørende brugslog senest 90 dage efter ophør. Dataansvarlige kan i denne periode anmode om udlevering af klientlisten i et almindeligt format (CSV) eller anmode om straks-sletning.

Bogføringsdata (fakturaer, betalinger) opbevares i 5 år som krævet af bogføringsloven.

12. Tvister

Aftalen er underlagt dansk ret. Tvister afgøres ved Københavns byret som første instans, jf. vilkårenes pkt. 9.

13. Underskrift

[Signature placeholder — generated via Documenso during onboarding]

Den endelige version af denne aftale udsendes via Documenso ved oprettelse af abonnement og underskrives elektronisk af begge parter. Underskrevne aftaler arkiveres i 5 år efter abonnementets ophør.