Spring til indhold
Databehandleraftale

Version 2026-06-02 · Sidst opdateret 2. juni 2026

Databehandleraftale

Denne databehandleraftale fastsætter Databehandlerens rettigheder og forpligtelser ved behandling af personoplysninger på vegne af Kunden (den dataansvarlige). Aftalen opfylder kravene i GDPR art. 28, stk. 3, samt databeskyttelses­lovens § 27, og den supplerer den kommercielle hovedaftale mellem parterne.

Tiltrædelse. Denne aftale indgås mellem Kunden som dataansvarlig og Keyton ApS som databehandler og træder i kraft ved parternes tiltrædelse. Aftalen kan tiltrædes elektronisk eller ved fysisk underskrift, jf. GDPR art. 28, stk. 9. Har du brug for en papir-version til underskrift, så skriv til support@flexnu.dk.

1. Parter

Dataansvarlig (“Kunden”): Kundens vognmandsvirksomhed, der bestemmer formålet med og hjælpemidlerne til behandlingen. Virksomhedens navn, CVR-nr. og adresse indsættes ved udsendelse eller ved fysisk eller elektronisk signering.

Databehandler: Keyton ApS, CVR-nr. 38508571, Aalborg, Danmark (“Databehandleren”), der handler udelukkende efter Kundens dokumenterede instruks.

2. Aftalens genstand, formål og varighed

Databehandleren behandler personoplysninger på vegne af Kunden i forbindelse med Kundens levering af flex-trafik via Tjenesten. Behandlingen omfatter alene de formål, der er nødvendige for at stille Tjenesten til rådighed for Kunden og for at Kunden kan opfylde sine egne forpligtelser over for de registrerede.

Aftalen er udformet med henblik på efterlevelse af GDPR art. 28, stk. 3, og databeskyttelseslovens § 27. Behandlingen løber, så længe Kundens hovedaftale er i kraft, og ophører i overensstemmelse med § 10. Yderligere oplysninger fremgår af privatlivspolitikken.

3. Kategorier af personoplysninger og registrerede

Kategorier af registrerede: Kundens chauffører og brugere af Tjenesten samt passagerer, der indgår i de transportopgaver, Kunden udfører.

Kategorier af personoplysninger: Identifikations- og kontaktoplysninger, autentificeringsoplysninger, positions- og tidsdata knyttet til transportopgaver, oplysninger om udførte opgaver samt log- og hændelsesoplysninger. Behandlingen omfatter ikke særlige kategorier af personoplysninger (GDPR art. 9), medmindre dette aftales særskilt skriftligt.

4. Instruks

Databehandleren behandler kun personoplysninger efter dokumenteret instruks fra Kunden, herunder vedrørende eventuel overførsel til tredjelande, medmindre behandling kræves i henhold til EU-ret eller dansk ret. Den oprindelige instruks udgøres af denne aftale, hovedaftalen og de funktioner, Kunden aktiverer i Tjenesten.

Databehandleren underretter omgående Kunden, hvis en instruks efter Databehandlerens vurdering er i strid med databeskyttelsesreglerne.

5. Fortrolighed

Databehandleren sikrer, at de personer, der er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Adgang til personoplysninger begrænses efter need-to-know-princippet til de medarbejdere, for hvem adgang er nødvendig for at opfylde Databehandlerens forpligtelser efter denne aftale.

6. Sikkerhed (GDPR art. 32)

Databehandleren gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der svarer til risikoen, jf. GDPR art. 32. Disse omfatter som minimum:

  • Kryptering af personoplysninger under overførsel og, hvor relevant, under opbevaring.
  • Foranstaltninger til sikring af fortrolighed, integritet, tilgængelighed og robusthed i behandlingssystemerne.
  • Rollebaseret adgangsstyring og logning af adgang til personoplysninger.
  • Regelmæssig sikkerhedskopiering samt mulighed for rettidig genoprettelse af adgang til oplysninger i tilfælde af en hændelse.
  • Adskillelse mellem produktions- og udviklingsmiljøer samt en dokumenteret proces for håndtering af sikkerhedshændelser.
  • En procedure for regelmæssig afprøvning, vurdering og evaluering af foranstaltningernes effektivitet.

7. Underdatabehandlere

Kunden giver hermed Databehandleren generel godkendelse til at anvende underdatabehandlere. De til enhver tid anvendte kategorier af underdatabehandlere fremgår af Bilag A nedenfor. Databehandleren pålægger enhver underdatabehandler de samme databeskyttelses­forpligtelser, som påhviler Databehandleren efter denne aftale, og forbliver fuldt ansvarlig over for Kunden for underdatabehandlerens opfyldelse heraf.

Ændringsvarsel. Tilføjelse eller udskiftning af en underdatabehandler varsles til Kundens registrerede kontaktadresse i rimelig tid før ibrugtagning. Kunden kan gøre indsigelse med saglig begrundelse. Kan parterne ikke nå til enighed, kan Kunden opsige den berørte del af hovedaftalen i overensstemmelse med dennes vilkår.

8. Overførsel til tredjelande

Eventuel overførsel af personoplysninger til tredjelande uden for EU/EØS sker alene på et gyldigt overførselsgrundlag, herunder Europa-Kommissionens standardkontraktbestemmelser (SCC), suppleret med passende supplerende foranstaltninger på grundlag af en overførselskonsekvensanalyse. Overførsel sker kun, i det omfang Kunden har instrueret herom, eller det kræves i henhold til gældende ret.

9. Brud på persondatasikkerheden

Databehandleren underretter Kunden uden unødig forsinkelse efter at være blevet opmærksom på et brud på persondatasikkerheden. Underretningen indeholder de oplysninger, der er nødvendige efter GDPR art. 33, stk. 3, så Kunden kan opfylde sin egen anmeldelsespligt over for Datatilsynet og om nødvendigt underrette de registrerede. Databehandleren bistår Kunden med at afdække og afhjælpe bruddet.

10. Bistand til de registreredes rettigheder

Databehandleren bistår — under hensyntagen til behandlingens karakter og i det omfang det er muligt — Kunden med passende tekniske og organisatoriske foranstaltninger med at besvare anmodninger fra de registrerede om udøvelse af deres rettigheder efter GDPR art. 12–22, herunder indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse. Databehandleren bistår endvidere Kunden med at sikre overholdelse af forpligtelserne i GDPR art. 32–36.

11. Sletning og tilbagelevering ved ophør

Ved ophør af behandlingen sletter eller tilbageleverer Databehandleren — efter Kundens valg — alle personoplysninger og sletter eksisterende kopier, medmindre fortsat opbevaring kræves i henhold til EU-ret eller dansk ret (f.eks. bogføringsloven). Tilbagelevering sker i et struktureret, almindeligt anvendt og maskinlæsbart format.

12. Revision og tilsyn

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af forpligtelserne i GDPR art. 28, til rådighed for Kunden og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af Kunden eller en anden revisor bemyndiget af Kunden. Revision på stedet forudsætter rimeligt forudgående varsel, afvikles uden væsentlig forstyrrelse af Databehandlerens drift og kan udføres af en gensidigt accepteret uafhængig tredjepart.

13. Ansvar, lovvalg og værneting

Parternes erstatningsansvar reguleres af GDPR art. 82 samt den kommercielle hovedaftale mellem parterne. Denne databehandleraftale er undergivet dansk ret. Tvister, der ikke kan løses i mindelighed, afgøres ved de almindelige danske domstole med Aalborg som værneting.

Bilag A — Kategorier af underdatabehandlere

Nedenstående tabel angiver de kategorier af underdatabehandlere, Databehandleren anvender til at levere Tjenesten. Den konkrete leverandør pr. kategori — og enhver ændring heri — håndteres efter ændringsvarslet i § 7. Eventuel overførsel uden for EU/EØS sker udelukkende på grundlag af et gyldigt overførselsgrundlag, herunder EU-Kommissionens standardkontraktbestemmelser (SCC), jf. § 8.

KategoriFormål
Hosting og infrastrukturDrift af applikations- og databasetjenester
E-mailUdsendelse af transaktionelle og driftsrelaterede meddelelser
Netværks- og leveringssikkerhedFiltrering, beskyttelse og lastfordeling af indgående trafik
Fejlovervågning og notifikationDrifts- og fejlovervågning samt levering af notifikationer

Den konkrete liste over navngivne underdatabehandlere pr. kategori udleveres til Kunden ved forespørgsel til support@flexnu.dk. Indsigelse mod en varslet ændring rettes samme sted, jf. § 7.

Kontakt

Spørgsmål til denne aftale, til en konkret behandling eller til kredsen af underdatabehandlere rettes til support@flexnu.dk. En signaturklar version til underskrift udleveres ved henvendelse.