Databehandleraftale (DPA)

Parter

1. Aftalens formål og indhold

Denne databehandleraftale ("DPA") regulerer Databehandlerens behandling af persondata på vegne af den Dataansvarlige i forbindelse med Kundens brug af Brokier Varmt arbejde.

Aftalen indgås for at sikre, at behandlingen sker i overensstemmelse med EU's Databeskyttelsesforordning (GDPR) og dansk databeskyttelseslov.

2. Roller og ansvar

Rolle	Hvem	Ansvar
Dataansvarlig	Kunden	Bestemmer formål og midler for behandlingen; ansvarlig for at have lovligt behandlingsgrundlag for sine underskrivere
Databehandler	Brokier (CeSi Forsikringsagentur)	Behandler kun data efter Kundens instruks; sikrer teknisk beskyttelse
Underdatabehandler	Nordicway (hosting), api.qrserver.com (QR-genering)	Behandler kun data efter Brokiers instruks

3. Behandlingens kategorier

3.1 Kategorier af registrerede

• Kundens egne medarbejdere (bestillere)
• Eksterne underskrivere (entreprenører, brandvagter, bygherrer)
• Kontaktpersoner hos arbejdssteder

3.2 Typer af persondata

Datakategori	Eksempler
Identifikationsdata	Navn, email, telefon, firmanavn, CVR
Tekniske data	IP-adresse, browser (user-agent), tidsstempler
Lokationsdata (frivilligt)	GPS-position ved underskrift, hvis underskriver tillader
Signaturdata	Digital signatur (krypteret SVG/billede)
Indholdsdata	Erklæringers indhold (arbejdssted, opgavebeskrivelse m.v.)

Ingen følsomme oplysninger (jf. GDPR art. 9) eller CPR-numre behandles via tjenesten.

3.3 Behandlingens formål

• Levering af tjenesten Brokier Varmt arbejde
• Dokumentation af aftale om varmt arbejde iht. DBI 10A
• Verifikation af underskrifter
• Forsikringsmæssig beviskraft
• Sikkerhed og audit (forebyggelse af misbrug)

4. Databehandlerens forpligtelser

Brokier forpligter sig til:

1. Kun at behandle persondata efter dokumenteret instruks fra Kunden
2. At sikre fortrolighed — kun bemyndigede personer har adgang
3. At implementere passende tekniske og organisatoriske foranstaltninger:
   • Kryptering af passwords (bcrypt) og engangs-links
   • HTTPS/TLS 1.3 på alle forbindelser
   • Brute-force beskyttelse (5 forsøg, 15 min lockout)
   • Audit-log over alle handlinger
   • Adgangsstyring og to-faktor for admin
   • Backup hos hosting-partner (daglig)
4. At assistere Kunden ved opfyldelse af registreredes rettigheder
5. At underrette Kunden om sikkerhedsbrud uden ugrundet ophold (inden 24 timer)
6. At anvende underdatabehandlere kun efter forudgående accept fra Kunden
7. At stille al nødvendig dokumentation til rådighed for Kunden ved revision
8. At slette eller returnere data ved aftalens ophør (efter lovkrav til opbevaring)

5. Underdatabehandlere

Brokier benytter følgende underdatabehandlere:

Underdatabehandler	Funktion	Lokation
Nordicway A/S	Webhosting (cPanel, MySQL, mail)	Danmark
api.qrserver.com	QR-kode generering (kun for offentligt token, ingen persondata)	EU

Brokier orienterer Kunden om planlagte ændringer i underdatabehandlere mindst 30 dage før de træder i kraft. Kunden kan gøre indsigelse mod nye underdatabehandlere.

6. Overførsel til tredjelande

Brokier overfører ikke persondata til lande uden for EU/EØS. Hvis det bliver nødvendigt, sker det kun på grundlag af EU's standardkontraktklausuler og kun efter forudgående accept fra Kunden.

7. Bistand til Kunden

Brokier bistår Kunden med følgende, i det omfang behandlingens art tillader det:

• Imødekommelse af registreredes rettigheder (indsigt, sletning, dataportabilitet)
• Sikkerhedsforanstaltninger og brudhåndtering
• Konsekvensanalyser (DPIA)
• Forudgående høring hos Datatilsynet

8. Brud på persondatasikkerheden

1. Ved kendskab til brud på persondatasikkerheden underretter Brokier Kunden uden ugrundet ophold og senest indenfor 24 timer.
2. Underretningen indeholder:
   • Beskrivelse af bruddet
   • Kategorier og omtrentligt antal berørte registrerede
   • Sandsynlige konsekvenser
   • Iværksatte modforanstaltninger
3. Brokier dokumenterer alle brud, uanset alvor, internt.

9. Sletning og udlevering

Ved aftalens ophør:

• Brokier opbevarer data i 5 år iht. DBI 10A og forsikringskrav
• Kunden kan til enhver tid anmode om eksport af egne data i CSV/JSON-format
• Efter 5 år slettes alle data automatisk via daglig cron-job
• Backup-kopier slettes som del af Nordicway's normale backup-rotation

10. Audit og inspektion

Kunden har ret til at gennemføre inspektion eller revision af Brokiers behandling én gang årligt med mindst 30 dages skriftligt varsel. Omkostninger ved revision afholdes af Kunden, medmindre revisionen påviser væsentlig misligholdelse fra Brokiers side.

Brokier kan opfylde revisionsforpligtelsen ved at fremlægge dokumentation, certificeringer eller revisionsrapporter.

11. Erstatning

1. Brokier er ansvarlig over for Kunden for skader forårsaget af brud på denne DPA, i overensstemmelse med GDPR art. 82.
2. Brokiers samlede erstatningsansvar er begrænset som angivet i Vilkår og betingelser, punkt 6 (12 måneders licens-betaling).
3. Begrænsningen gælder ikke ved grov uagtsomhed eller forsætligt brud.

12. Aftalens varighed og ophør

DPA'en træder i kraft samtidig med licens-aftalen og er gyldig så længe Brokier behandler persondata på vegne af Kunden. DPA'en ophører automatisk ved licensens ophør, idet betingelserne i punkt 9 (Sletning) finder anvendelse.

13. Ændringer

Brokier kan ændre DPA'en med mindst 60 dages skriftlig varsel. Væsentlige ændringer kommunikeres pr. email og kræver ny accept fra Kunden.

14. Lovvalg og værneting

Denne DPA er underlagt dansk ret. Tvister afgøres ved Retten i Herning.

15. Acceptdato

Acceptdato vises efter login når DPA er accepteret af bestiller-admin.