BRANTHIQ
Databehandleraftale
Databehandleraftale
Senest opdateret: 6. maj 2026
Når Branthiq ApS behandler personoplysninger på vegne af en kunde, indgås en databehandleraftale i overensstemmelse med GDPR artikel 28. Denne side beskriver de generelle vilkår - en konkret aftale tilpasses og underskrives separat ved opgavestart.
Parter
- Dataansvarlig: Kunden (den virksomhed Branthiq leverer til).
- Databehandler: Branthiq ApS, CVR 45786943.
Genstand og varighed
Databehandlingen vedrører de personoplysninger, der er nødvendige for at levere de aftalte ydelser (udvikling, hosting, support, marketing m.v.). Aftalen gælder så længe, der leveres ydelser hvor personoplysninger behandles.
Databehandlerens forpligtelser
Branthiq:
- Behandler kun personoplysninger efter dokumenteret instruks fra dataansvarlig.
- Sikrer fortrolighed - kun medarbejdere med behov har adgang.
- Implementerer passende tekniske og organisatoriske foranstaltninger (jf. art. 32).
- Bistår dataansvarlig med at opfylde de registreredes rettigheder.
- Underretter dataansvarlig uden unødig forsinkelse ved et brud på persondatasikkerheden.
- Sletter eller tilbageleverer personoplysninger ved aftalens ophør.
- Stiller alle nødvendige oplysninger til rådighed for revisioner.
Underdatabehandlere
Branthiq anvender følgende underdatabehandlere. Kunden har ved aftaleindgåelsen accepteret disse, og ændringer varsles med 30 dages frist.
| Leverandør | Formål | Lokation / overførselsgrundlag |
|---|---|---|
| Netlify, Inc. | Hosting, CDN, deploy | USA - EU-US Data Privacy Framework |
| Supabase Inc. | Database, auth, storage | EU (Frankfurt) |
| Google LLC | Analytics, Tag Manager (kun ved samtykke) | USA - EU-US Data Privacy Framework |
| Resend Inc. | Transaktionsmails fra kontaktformular | USA - EU-Kommissionens SCCs |
| Anthropic, PBC | AI-assistent (chat-funktioner, kun ved aktiv brug) | USA - SCCs + zero-retention API endpoints |
| GitHub, Inc. | Kildekode, deploy-pipeline (ingen kunde-personoplysninger) | USA - EU-US Data Privacy Framework |
Sikkerhed (art. 32)
- TLS 1.3 på al datatrafik.
- Hashed adgangskoder (bcrypt/argon2) - ingen plaintext.
- Row Level Security (RLS) i Supabase - data isoleret pr. kunde/bruger.
- To-faktor-godkendelse på alle administratorkonti.
- Krypteret backup med begrænset adgang.
- Logning af alle ændringer i produktionssystemer.
- Mindst-privilegie-princippet for medarbejderadgang.
Brud på persondatasikkerheden
Ved et databrud underretter vi dataansvarlig uden unødig forsinkelse og senest inden 24 timer efter konstatering. Underretningen indeholder alle relevante oplysninger jf. GDPR art. 33.
Audit
Dataansvarlig kan en gang årligt anmode om revision/audit. Revisionen kan udføres af dataansvarlig eller en uafhængig tredjepart efter forudgående aftale. Branthiq bærer egne omkostninger; revisor bærer egne.
Sletning og tilbagelevering
Ved aftalens ophør sletter eller tilbageleverer Branthiq alle personoplysninger inden 30 dage, medmindre lovgivning kræver fortsat opbevaring (fx bogføring i 5 år).
Lovvalg
Aftalen er underlagt dansk ret. Tvister afgøres ved Retten i Odense.
Indgåelse af konkret DPA
Skriv til contact@branthiq.com for at få tilsendt vores konkrete DPA-skabelon til underskrift.