Databehandleraftale

1.1 Den Dataansvarlige anvender BoardPanel, en SaaS-platform leveret af Databehandleren, til at strukturere og dokumentere bestyrelsesarbejde med AI-baseret sparring. 1.2 Databehandleren behandler personoplysninger på vegne af den Dataansvarlige i forbindelse med levering af BoardPanel-tjenesten. 1.3 Denne databehandleraftale ("Aftalen") regulerer behandlingen i overensstemmelse med artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 ("GDPR") og databeskyttelsesloven.

2.1 Formål: At levere BoardPanel-tjenesten til den Dataansvarlige, herunder bestyrelsesplanlægning, mødeafvikling, dokumentlagring, beslutningssporing og AI-genereret rådgivning. 2.2 Behandlingens art: Indsamling, opbevaring, strukturering, søgning, læsning, ændring, deling med underdatabehandlere (jf. § 7), sletning. 2.3 Varighed: Aftalen løber så længe den Dataansvarlige har et aktivt abonnement på BoardPanel og indtil al personoplysninger er slettet eller returneret, jf. § 11.

Personoplysninger behandlet under denne Aftale vedrører følgende kategorier: • Den Dataansvarliges direktion, bestyrelsesmedlemmer og medarbejdere • Kunder, leverandører og samarbejdspartnere nævnt i bestyrelsesdokumenter • Brugere af BoardPanel-platformen tilknyttet den Dataansvarlige

Følgende almindelige personoplysninger kan blive behandlet: • Navn, kontaktoplysninger (email, telefon), titel og rolle • Loginoplysninger (krypteret password-hash, JWT-session) • Beskæftigelsesoplysninger, herunder ansvarsområder og kompetencer • Indhold fra bestyrelsesmøder: dagsordener, referater, beslutninger, citater • Strategi-, økonomi- og driftsdata indtastet af den Dataansvarlige • Tekniske logoplysninger (IP-adresse, browserdata, tidspunkter) Aftalen omfatter ikke følsomme personoplysninger (GDPR art. 9) eller oplysninger om strafbare forhold (art. 10), medmindre den Dataansvarlige eksplicit og bevidst indtaster sådanne. Den Dataansvarlige er ansvarlig for at instruere brugere om ikke at indtaste følsomme oplysninger.

5.1 Den Dataansvarlige er ansvarlig for, at der foreligger fornødent retsgrundlag for behandlingen efter GDPR. 5.2 Den Dataansvarliges instruks til Databehandleren udgøres af denne Aftale samt den løbende brug af BoardPanel-tjenesten gennem dens funktioner og indstillinger. 5.3 Den Dataansvarlige bekræfter ved at acceptere denne Aftale, at instruksen er lovlig.

6.1 Databehandleren behandler kun personoplysninger efter dokumenteret instruks fra den Dataansvarlige. 6.2 Databehandleren sikrer, at personer der får adgang til personoplysningerne er underlagt fortrolighedsforpligtelse. 6.3 Databehandleren implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger, herunder: • Kryptering i transit (TLS 1.3) og i hvile • Adgangsstyring med stærke adgangskoder (bcrypt med 12 rounds) og JWT-sessioner • Network-isoleret database der ikke er eksponeret eksternt • Daglige automatiske backups med 7 dages retention • Audit-logging af administrative handlinger • Subscription-tilstandskontrol og pilotadgangsstyring • Sikkerhedshovedere (HSTS, X-Frame-Options, Content-Security-Policy) • Rate-limiting på login og password-reset 6.4 Databehandleren bistår den Dataansvarlige med opfyldelse af forpligtelser efter GDPR art. 32-36 (sikkerhed, brudnotifikation, konsekvensanalyse). 6.5 Databehandleren stiller alle oplysninger til rådighed der er nødvendige for at påvise overholdelse af forpligtelserne i denne Aftale samt giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den Dataansvarlige eller en anden auditor bemyndiget af denne.

7.1 Den Dataansvarlige giver generel forhåndsgodkendelse til, at Databehandleren anvender underdatabehandlere til at levere BoardPanel-tjenesten. 7.2 Aktuel liste over underdatabehandlere fremgår af https://boardpanel.dk/subprocessors og er en integreret del af denne Aftale. 7.3 Databehandleren underretter den Dataansvarlige om planlagte ændringer i underdatabehandlere mindst 30 dage før ændringen træder i kraft. Den Dataansvarlige kan inden for denne periode gøre indsigelse. Hvis indsigelse ikke kan imødekommes, har den Dataansvarlige ret til at opsige Aftalen og BoardPanel-abonnementet uden varsel. 7.4 Databehandleren sikrer, at alle underdatabehandlere er underlagt mindst tilsvarende databeskyttelsesforpligtelser som denne Aftale, herunder ved skriftlig databehandleraftale eller anden lovgivningsmæssig akt.

8.1 Visse underdatabehandlere er etableret uden for EU/EØS (jf. listen i § 7.2), herunder USA. For sådanne overførsler anvender Databehandleren EU-Kommissionens Standardkontraktbestemmelser (SCC, Module 2 controller-to-processor eller Module 3 processor-to-processor afhængigt af kontekst). 8.2 SCC'erne er inkorporeret i Databehandlerens aftaler med de pågældende underdatabehandlere og kan fremvises på den Dataansvarliges anmodning.

9.1 Databehandleren bistår, i det omfang det er muligt, den Dataansvarlige med at opfylde forpligtelsen til at besvare anmodninger om udøvelse af de registreredes rettigheder (GDPR kap. III). 9.2 Databehandleren videresender uden ugrundet ophold enhver anmodning fra en registreret til den Dataansvarlige.

10.1 Databehandleren underretter den Dataansvarlige uden ugrundet ophold og senest 48 timer efter at have konstateret et brud på persondatasikkerheden. 10.2 Underretningen indeholder mindst: • Karakteren af bruddet, herunder kategorier og omtrentligt antal berørte registrerede • De sandsynlige konsekvenser • De foranstaltninger, der er truffet eller foreslås truffet 10.3 Den Dataansvarlige er ansvarlig for evt. anmeldelse til Datatilsynet (inden 72 timer) og underretning af de registrerede.

11.1 Ved Aftalens ophør har den Dataansvarlige ret til at få returneret eller slettet alle personoplysninger. 11.2 Den Dataansvarlige kan til enhver tid eksportere data via funktioner i BoardPanel-platformen. 11.3 30 dage efter abonnementsophør slettes alle aktive data automatisk. Backups indeholdende personoplysninger slettes efter den almindelige 7-dages backup-retention. 11.4 Databehandleren kan opbevare nødvendige bogføringsdata i op til 5 år efter ophør, jf. bogføringsloven § 12.

12.1 Parternes ansvar over for hinanden i henhold til denne Aftale er begrænset til det beløb den Dataansvarlige har betalt til Databehandleren for BoardPanel-tjenesten de seneste 12 måneder før kravet rejses. 12.2 Begrænsningen i 12.1 gælder ikke ved grov uagtsomhed eller forsæt.

13.1 Databehandleren kan opdatere Aftalen ved skriftlig underretning til den Dataansvarlige med 30 dages varsel. Hvis ændringen er væsentligt forringende for den Dataansvarlige, kan denne opsige Aftalen og BoardPanel-abonnementet inden for varselperioden.

14.1 Aftalen er underlagt dansk ret. 14.2 Tvister søges først løst ved forhandling. Kan enighed ikke opnås, afgøres tvisten ved retten i den retskreds hvor Databehandleren har sit hovedsæde.