Databehandleraftale

Version 1.0 — gældende fra 11. maj 2026

Denne databehandleraftale (DPA) regulerer LovBots behandling af personoplysninger på vegne af erhvervskunden i overensstemmelse med GDPR artikel 28. Den indgår som integreret del af Servicevilkårene og accepteres automatisk når kunden opretter en konto.

1. Indledning og parter

Denne databehandleraftale (herefter "DPA") indgås mellem:

  • LovBot ApS, København, Danmark (kontakt@lovbot.dk) — herefter "Databehandleren", og
  • Erhvervskunden, som er den juridiske person der har oprettet en konto på lovbot.dk — herefter "Den Dataansvarlige".

DPA'en udgør en integreret del af Servicevilkårene mellem parterne og accepteres ved Den Dataansvarliges accept af Servicevilkårene. Ved konflikt mellem DPA'en og Servicevilkårene har DPA'en forrang i forhold til behandling af personoplysninger.

DPA'en er udarbejdet i overensstemmelse med Europa-Parlamentets og Rådets forordning 2016/679 ("GDPR") art. 28, stk. 3, og er inspireret af Datatilsynets standard­kontrakt­bestemmelser.

2. Definitioner

Begreber anvendt med stort begyndelsesbogstav har den betydning, der er anført nedenfor. Begreber der ikke er specifikt defineret, har den betydning de tildeles i GDPR.

  • "Personoplysninger" — enhver oplysning om en identificeret eller identificerbar fysisk person, jf. GDPR art. 4, nr. 1.
  • "Behandling" — som defineret i GDPR art. 4, nr. 2.
  • "Tjenesten" — LovBot-platformen som tilgået via lovbot.dk, herunder dokumentgenerering, Kontrakttjek og brugerdefinerede skabeloner.
  • "Underdatabehandler" — enhver tredjepart, som Databehandleren engagerer til at behandle Personoplysninger på vegne af Den Dataansvarlige.
  • "Sikkerhedsbrud" — som defineret i GDPR art. 4, nr. 12.
  • "Datatilsynet" — den danske tilsynsmyndighed, jf. databeskyttelseslovens § 27.

3. Behandlingens omfang

3.1 Formål

Databehandleren behandler Personoplysninger med det formål at levere Tjenesten til Den Dataansvarlige, herunder:

  • Generering af juridiske dokumenter (kontrakter, aftaler, GDPR-dokumentation mv.) baseret på Den Dataansvarliges input.
  • Analyse af kontrakter (Kontrakttjek) uploaded af Den Dataansvarlige.
  • Lagring af genererede dokumenter, sessionshistorik og brugerdefinerede skabeloner.
  • Besvarelse af juridiske spørgsmål med citater til relevante retskilder.

3.2 Karakter og varighed

Behandlingen sker løbende i den periode, hvor Den Dataansvarlige har en aktiv konto, samt indtil 30 dage efter kontoens opsigelse hvor data slettes endeligt (med undtagelse af lovpligtigt opbevarede faktura­data, jf. bogføringsloven § 12).

3.3 Kategorier af registrerede

Behandlingen kan omfatte personoplysninger om følgende kategorier af registrerede, alt efter hvilke dokumenttyper Den Dataansvarlige anvender:

  • Medarbejdere (nuværende, tidligere og kommende)
  • Lejere og udlejere
  • Aktionærer, direktører og bestyrelsesmedlemmer
  • Kunder, leverandører og samarbejdsparter
  • Konsulenter og freelancere
  • Andre kontraktsparter, som Den Dataansvarlige indtaster i Tjenesten

3.4 Typer af personoplysninger

Behandlingen kan omfatte følgende typer af personoplysninger:

  • Almindelige oplysninger: Navn, adresse, telefonnummer, e-mail, fødselsdato, CVR-nummer, kontaktoplysninger, ansættelsesvilkår, lønoplysninger, kontonumre.
  • CPR-numre (databeskyttelseslovens § 11): Forekommer typisk i ansættelseskontrakter, lejekontrakter og selskabsdokumenter.
  • Følsomme oplysninger (GDPR art. 9), når Den Dataansvarlige aktivt vælger at indtaste dem: Fagforeningsmedlemskab (relevant ved overenskomstansatte) og helbredsoplysninger (relevant ved HR-relaterede dokumenter).
Den Dataansvarlige er ansvarlig for at have et gyldigt retsgrundlag for behandlingen af Personoplysninger om tredjeparter, herunder art. 9-grundlag for følsomme oplysninger og databeskyttelseslovens § 11 for CPR-numre.

4. Den Dataansvarliges instrukser

Databehandleren behandler udelukkende Personoplysninger efter dokumenterede instrukser fra Den Dataansvarlige, jf. GDPR art. 28, stk. 3, litra a.

Den Dataansvarliges instrukser består af:

  • Denne DPA samt Servicevilkårene.
  • De konkrete handlinger Den Dataansvarlige foretager i Tjenesten (oprettelse af dokumenter, upload til Kontrakttjek, indtastning af felter mv.).
  • Skriftlige instruktioner fremsendt til kontakt@lovbot.dk.

Hvis Databehandleren vurderer, at en instruks er i strid med GDPR eller anden gældende databeskyttelseslovgivning, vil Databehandleren underrette Den Dataansvarlige uden unødigt ophold.

Databehandleren overfører ikke Personoplysninger til tredjelande uden for EU/EØS undtagen som beskrevet i § 8.

5. Fortrolighed

Databehandleren sikrer, at personer der får adgang til Personoplysninger har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, jf. GDPR art. 28, stk. 3, litra b.

Adgang til Personoplysninger begrænses til de medarbejdere og kontraktansatte hos Databehandleren, der har et reelt arbejdsmæssigt behov herfor.

6. Sikkerhedsforanstaltninger (art. 32)

Databehandleren har truffet egnede tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen, jf. GDPR art. 32. Foranstaltningerne omfatter — men er ikke begrænset til — følgende:

6.1 Tekniske foranstaltninger

  • Kryptering i transit: Al trafik mellem brugerens browser, frontend, backend og databaser er beskyttet med TLS 1.2 eller højere.
  • Kryptering at rest: Personoplysninger i Supabase Postgres og Storage er krypteret på lagerniveau.
  • Adgangskontrol: Backend-adgang til databasen sker via en service-role-nøgle, der opbevares som krypteret miljøvariabel og aldrig eksponeres for browsere eller logfiler.
  • Bruger-isolation: Hvert datakald i Tjenesten filtreres på den autentificerede brugers ID. Tjenestens kildekode dækkes af integrationstests, der specifikt sikrer, at bruger A ikke kan tilgå bruger B's data.
  • Automatisk sletning: Originalfiler uploadet til Kontrakttjek slettes automatisk fra Supabase Storage 7 dage efter analysen er gennemført.
  • Zero Data Retention med AI-leverandør: Anthropic (Claude) opbevarer ikke prompts eller completions efter inference-kaldet, jf. aftale med Databehandleren.
  • Cache-pseudonymisering: Den interne API-cache nøgles på SHA-256-hash af forespørgsler, ikke på den oprindelige tekst.
  • Robust autentificering: Brugerautentificering via Supabase Auth med understøttelse af passwordless og MFA.
  • Strukturerede logs: Driftslogs indeholder begivenheds­type og felt­nøgler, ikke felt­værdier — Personoplysninger forekommer normalt ikke i logs.

6.2 Organisatoriske foranstaltninger

  • Skriftlig procedure for brug af service-role-nøglen, herunder break-glass-anvendelse og nøglerotation (mindst hver 12. måned).
  • Konsekvensanalyse (DPIA) udført før launch og opdateres mindst årligt.
  • Pre-commit-hooks der blokerer utilsigtet commit af hemmeligheder.
  • Skriftlig procedure for håndtering og indberetning af sikkerhedsbrud (jf. § 10).
  • Begrænset antal personer med produktionsadgang.
Yderligere detaljer findes på /security. Den Dataansvarlige kan anmode om en aktuel, detaljeret beskrivelse via kontakt@lovbot.dk.

7. Underdatabehandlere

7.1 Generel forhåndstilladelse

Den Dataansvarlige giver hermed Databehandleren generel forhåndstilladelse, jf. GDPR art. 28, stk. 2, til at anvende de underdatabehandlere, der er opført på lovbot.dk/website/subprocessors.html, samt fremtidige underdatabehandlere underlagt processen i § 7.2.

7.2 Varsling ved ændringer

Databehandleren varsler enhver tilføjelse eller udskiftning af underdatabehandlere mindst 30 dage før ændringen træder i kraft. Varsel sker ved opdatering af underdatabehandlerlisten samt parallelt via e-mail til kunder med en aktiv konto.

7.3 Indsigelsesret

Den Dataansvarlige kan inden for varslingsperioden gøre rimelig indsigelse mod en ny underdatabehandler. Hvis Databehandleren ikke kan imødekomme indsigelsen, har Den Dataansvarlige ret til at opsige den berørte del af Tjenesten uden yderligere omkostninger og med refusion af forudbetalte gebyrer for den ubrugte periode.

7.4 Ansvar

Databehandleren pålægger underdatabehandlere de samme databeskyttelsesforpligtelser, som påhviler Databehandleren i denne DPA. Databehandleren forbliver fuldt ansvarlig overfor Den Dataansvarlige for opfyldelsen af underdatabehandlernes forpligtelser.

8. Tredjelandsoverførsler

Hovedreglen er, at Personoplysninger forbliver inden for EU/EØS. Databehandleren tilstræber dataresidens i EU på alle led:

  • Database og fillagring: Supabase (AWS Irland)
  • Backend-hosting: Railway (EU)
  • Frontend-hosting: Vercel (EU)
  • Mail-relay: one.com (Danmark)
  • CVR-opslag: cvrapi.dk (Danmark) — indeholder kun virksomheds­data

Per den dato denne DPA træder i kraft sker behandling hos to leverandører delvist i USA: Anthropic (AI-inference) og Stripe (betaling). For disse overførsler gælder:

  • EU-Kommissionens standardkontraktbestemmelser (SCC) er indgået.
  • Begge leverandører er certificeret under EU-U.S. Data Privacy Framework.
  • For Anthropic er Zero Data Retention aktiveret, så prompts og completions ikke opbevares ud over selve inference-kaldet.
  • For Stripe rammer kortdata aldrig Databehandlerens servere — kortindtastning sker direkte i Stripes felter og kortdata er PCI DSS-beskyttet.

Databehandleren arbejder aktivt på at migrere AI-inference til AWS Bedrock i EU (Frankfurt), hvorefter ingen Personoplysninger forlader EU/EØS for at gennemføre Tjenestens kernefunktion. Status offentliggøres på /security.

9. Bistand til den registreredes rettigheder

Databehandleren bistår — under hensyntagen til behandlingens karakter og så vidt muligt — Den Dataansvarlige med opfyldelsen af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelse af de registreredes rettigheder, jf. GDPR art. 28, stk. 3, litra e og art. 12-22.

Konkrete værktøjer i Tjenesten:

  • Art. 15 (indsigt): Den Dataansvarlige har via sin konto direkte adgang til alle dokumenter, sessioner og uploadede filer, der vedrører dens behandling. Eksport via standard download­funktion.
  • Art. 16 (berigtigelse): Den Dataansvarlige kan til enhver tid redigere felter i en session eller regenerere dokumenter med opdaterede data.
  • Art. 17 (sletning): Sletning af enkeltdokumenter, sessioner og uploadede filer via Tjenestens grænseflade. Sletning af hele kontoen via DELETE /api/me/account, der kaskade-sletter alle bruger­data.
  • Art. 20 (dataportabilitet): Genererede dokumenter er tilgængelige som .docx-filer; sessionshistorik kan eksporteres på anmodning.
  • Forwarding: Hvis Databehandleren modtager en henvendelse direkte fra en registreret tredjepart, videresendes denne til Den Dataansvarlige uden unødigt ophold.

Ad-hoc-anmodninger om bistand kan rettes til kontakt@lovbot.dk. Standardbistand er inkluderet i abonnementet. Ekstraordinære anmodninger, der kræver væsentligt teknisk arbejde, kan faktureres efter forudgående aftale.

10. Sikkerhedsbrud

Databehandleren underretter Den Dataansvarlige uden unødigt ophold — og senest 48 timer efter, Databehandleren er blevet bekendt med bruddet — om enhver hændelse, der må anses for at udgøre et Sikkerhedsbrud, jf. GDPR art. 33.

Underretningen indeholder så vidt muligt:

  • Karakteren af bruddet, herunder kategorier og antal af registrerede og af registreringer.
  • Sandsynlige konsekvenser af bruddet.
  • De foranstaltninger, der er truffet eller foreslås truffet for at imødegå bruddet og afbøde dets eventuelle skadevirkninger.
  • Kontaktoplysninger på Databehandlerens ansvarlige.

Hvis ikke alle oplysninger kan gives samlet, gives de i etaper uden yderligere unødigt ophold. Databehandleren dokumenterer brud og afhjælpende foranstaltninger.

Den Dataansvarlige er — som dataansvarlig — selv ansvarlig for eventuel anmeldelse til Datatilsynet og underretning af de registrerede, jf. GDPR art. 33-34. Databehandleren bistår med nødvendige oplysninger.

10b. Bistand til konsekvensanalyse og forudgående høring

Databehandleren bistår — under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for Databehandleren — Den Dataansvarlige med at opfylde sine forpligtelser efter GDPR art. 35 (konsekvensanalyse) og art. 36 (forudgående høring af Datatilsynet), jf. art. 28, stk. 3, litra f.

Bistanden omfatter:

  • Udlevering af resumé af Databehandlerens egen DPIA samt beskrivelse af tekniske og organisatoriske foranstaltninger (jf. § 6), så Den Dataansvarlige kan dokumentere sin egen konsekvensanalyse.
  • Besvarelse af konkrete spørgsmål om behandlingens karakter, omfang og risici inden for rimelig tid.
  • Levering af relevante oplysninger til en forudgående høring af Datatilsynet, hvor Den Dataansvarlige vurderer dette nødvendigt.

Standardbistand er inkluderet i abonnementet. Ekstraordinære anmodninger, der kræver væsentligt teknisk eller juridisk arbejde, kan faktureres efter forudgående aftale.

11. Sletning eller returnering ved ophør

Ved aftalens ophør, eller efter Den Dataansvarliges valg ved en konkret anmodning, sletter Databehandleren alle Personoplysninger der er behandlet for Den Dataansvarlige, og sletter eksisterende kopier, medmindre EU-retten eller dansk ret kræver opbevaring (eksempelvis bogføringslovens 5-årige opbevarings­pligt for faktura­bilag, jf. § 12 i lov 700/2022).

Sletning sker senest 30 dage efter ophør eller anmodning. Den Dataansvarlige kan i forbindelse med ophør anmode om dataportabilitet (eksport af alle Personoplysninger til standard formater) inden sletning gennemføres.

Tekniske backups, der overskriver sig selv inden for normalt 7 dage, er undtaget — disse vil i den naturlige rotation slette sig selv.

12. Audit og tilsyn

Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af denne DPA, til rådighed for Den Dataansvarlige, og giver mulighed for og bidrager til revisioner, herunder inspektioner, jf. GDPR art. 28, stk. 3, litra h.

I praksis sker dette via:

  • Offentligt tilgængelige sikkerheds- og underdatabehandler-sider opdateret løbende.
  • Adgang til at modtage en kopi af Databehandlerens seneste DPIA-resumé efter anmodning og under fortrolighed.
  • Ret for Den Dataansvarlige til én skriftlig forespørgsel per år vedrørende overholdelse af denne DPA. Databehandleren besvarer inden 30 dage.
  • Ret for Den Dataansvarlige til, mod rimelig forhåndsvarsel og uden væsentlig forstyrrelse af Tjenesten, at lade en uafhængig revisor gennemføre on-site eller dokumentbaseret inspektion. Databehandlerens omkostninger i forbindelse med en inspektion ud over én årligt kan faktureres efter dokumenteret medgået tid.

13. Ansvar

Hver part er ansvarlig for skade, der følger af partens egen overtrædelse af GDPR, jf. art. 82.

Databehandlerens samlede ansvar overfor Den Dataansvarlige for tab opstået under denne DPA — uanset om kravet er kontraktligt, deliktisk eller andet — er begrænset til det beløb, Den Dataansvarlige har betalt for Tjenesten i de seneste 12 måneder forud for hændelsen. Begrænsningen gælder ikke for forsætlige eller groft uagtsomme handlinger, eller hvor begrænsning er udelukket ved lov.

14. Varighed og ophør

Denne DPA træder i kraft samtidig med Servicevilkårene og er gældende så længe Databehandleren behandler Personoplysninger på vegne af Den Dataansvarlige. DPA'en ophører automatisk ved Servicevilkårenes ophør samt efter gennemførelse af sletningsforpligtelsen i § 11.

15. Ændringer

Databehandleren kan ændre denne DPA med mindst 30 dages skriftligt varsel. Ændringer, der materielt forringer Den Dataansvarliges rettigheder eller udvider Den Dataansvarliges forpligtelser, giver Den Dataansvarlige ret til at opsige Tjenesten med virkning fra ændringernes ikrafttrædelses­dato og modtage refusion for forudbetalte gebyrer for den ubrugte periode.

Den til enhver tid gældende version offentliggøres på denne side med versionsnummer og ikrafttrædelses­dato.

16. Lovvalg og værneting

Denne DPA er underlagt dansk ret. Tvister søges først løst i mindelighed. Kan tvisten ikke løses, skal den afgøres ved de almindelige danske domstole med Københavns Byret som første instans.

17. Kontakt

Spørgsmål til denne DPA, anmodning om signeret PDF-version, eller anmodning om bistand til den registreredes rettigheder rettes til:

  • Email: kontakt@lovbot.dk
  • Postadresse: LovBot ApS, København, Danmark

Den Dataansvarlige kan også klage til Datatilsynet (datatilsynet.dk).