Juridisk

Databehandleraftale

Skabelon efter GDPR art. 28 mellem NordicAI (databehandler) og værkstedet (dataansvarlig).

Sidst opdateret: 16 July 2026 · NordicAI

Bemærk: Dette er en standard-databehandleraftale, som accepteres ved oprettelse. Kontakt os hvis I ønsker en underskreven papirversion eller tilretning til jeres specifikke behov.

1. Parterne

  • Dataansvarlig: Autoværkstedet der har oprettet en konto på nordicai.dk.
  • Databehandler: NordicAI.

2. Formål og karakter

Databehandleren behandler personoplysninger på den dataansvarliges vegne i forbindelse med NordicAI-tjenesten: modtagelse af skade-forespørgsler, AI-vurdering, videresendelse til den dataansvarlige, samt lagring og administration af leads.

3. Kategorier af personoplysninger

  • Almindelige oplysninger: navn, e-mail, telefonnummer, nummerplade.
  • Fri tekstbeskrivelse og billeder af bilskader (kan indeholde køretøjsdata).

Der behandles ikke følsomme personoplysninger jf. GDPR art. 9.

4. Kategorier af registrerede

Bilister der aktivt bruger den dataansvarliges NordicAI-widget.

5. Databehandlerens forpligtelser

Databehandleren:

  • Behandler kun oplysninger efter dokumenteret instruks fra den dataansvarlige.
  • Sikrer at personer med adgang har tavshedspligt.
  • Træffer passende tekniske og organisatoriske sikkerhedsforanstaltninger (jf. § 8).
  • Bistår den dataansvarlige med at opfylde forpligtelser om registreredes rettigheder.
  • Underretter uden unødig forsinkelse ved brud på persondatasikkerheden.
  • Sletter eller returnerer alle personoplysninger ved ophør af tjenesten.

6. Underdatabehandlere

Følgende underdatabehandlere anvendes:

  • Supabase Inc. — hosting af database og filer (EU-region).
  • Cloudflare, Inc. — hosting af serverless funktioner (EU-region).
  • Mailgun Technologies — udsendelse af transaktionelle e-mails (EU-region).
  • Google LLC / OpenAI — AI-billedanalyse via Lovable AI Gateway. Billeder sendes i signeret form og behandles kun i det aktive kald; ingen langtidslagring hos AI-udbyder.

Ved skift af underdatabehandler varsles den dataansvarlige med mindst 30 dages frist og har mulighed for at gøre indsigelse.

7. Overførsel til tredjelande

Al databehandling foregår primært i EU. Enkelte AI-kald kan indebære databehandling uden for EU. I så fald sker overførslen på grundlag af EU-Kommissionens standardkontrakter (SCC).

8. Sikkerhed

  • Kryptering under transmission (TLS 1.2+) og hvile (AES-256).
  • Adgangskoder gemmes hashed og saltet.
  • Adgangskontrol med Row-Level Security på al databaseadgang.
  • Regelmæssige sikkerhedsscanninger og backup.

9. Databrud

Databehandleren underretter den dataansvarlige uden unødig forsinkelse (senest 48 timer) efter at være blevet opmærksom på et brud, med information om bruddets art, omfang og forventede konsekvenser.

10. Sletning

Ved ophør af abonnement slettes alle personoplysninger inden for 90 dage, medmindre opbevaring er lovpligtig (fx bogføring).

11. Kontakt

Spørgsmål om databehandling rettes til nordicaiceo@gmail.com.