1. Hvad er en underdatabehandler?
Når du som erhvervskunde bruger LovBot til at behandle personoplysninger om tredjeparter (f.eks. medarbejderes CPR-numre i en ansættelseskontrakt), er du dataansvarlig, og LovBot er databehandler. De leverandører, vi til gengæld benytter til at drive tjenesten, er underdatabehandlere i henhold til GDPR art. 28, stk. 4.
Hver underdatabehandler er bundet af en skriftlig aftale med os, der pålægger dem de samme databeskyttelsesforpligtelser, som vi har over for dig. Overførsler til tredjelande er dækket af EU-Kommissionens standardkontraktbestemmelser (SCC) og — hvor relevant — EU-U.S. Data Privacy Framework.
2. Aktuelle underdatabehandlere
| Leverandør | Formål | Data der behandles | Dataregion | Overførselsgrundlag |
|---|---|---|---|---|
| Supabase Inc. | Database, brugerautentificering og fillagring | Kontooplysninger, sessioner, dokumentindhold, skabeloner, kontrakttjek-uploads | EU (AWS Irland) | Inden for EU/EØS — ikke tredjelandsoverførsel |
| Anthropic PBC | AI-inference (Claude) til juridiske svar og dokumentgenerering | Prompts indeholdende dokumentindhold og brugerspørgsmål; inputs og outputs anvendes ikke til modeltræning. Zero Data Retention (ZDR) aktiveret — ingen opbevaring ud over selve inference-kaldet. | USA Snart EU | SCC + EU-U.S. Data Privacy Framework. Migration til AWS Bedrock EU undervejs. |
| Railway Corp. | Hosting af backend-API | Forespørgsler i transit; ingen permanent opbevaring af persondata | EU | Inden for EU/EØS — ikke tredjelandsoverførsel |
| Vercel Inc. | Hosting af frontend (statiske aktiver og edge-rendering) | Tekniske data (IP, browser, request-metadata); ingen dokumentindhold | EU | Inden for EU/EØS — ikke tredjelandsoverførsel |
| Stripe Inc. | Betalingsbehandling og abonnementshåndtering | Fakturainformation, betalingshistorik. Kortdata indtastes direkte i Stripes felter og rammer aldrig vores servere. | EU + USA | SCC + EU-U.S. Data Privacy Framework + PCI DSS |
| one.com (Group.one) | SMTP-relay for transaktions- og lifecycle-e-mails | Modtager-e-mail, navn, e-mailindhold (velkomst, prøvevarsel, kvitteringer) | EU (Danmark) | Inden for EU/EØS — ikke tredjelandsoverførsel |
| CVRapi (cvrapi.dk) | Opslag af danske virksomheder via CVR-nummer | CVR-numre du selv indtaster; svar caches lokalt i 30 dage | EU (Danmark) | Inden for EU/EØS — offentligt CVR-register, kun virksomhedsdata |
3. Ændringer og varsel
Tilføjelse eller udskiftning af en underdatabehandler bekendtgøres på denne side mindst 30 dage før ændringen træder i kraft. Erhvervskunder med en aktiv databehandleraftale modtager parallelt en e-mail med:
- Den pågældende leverandør og formål
- Hvilken eksisterende underdatabehandler den eventuelt afløser
- Dataregion og overførselsgrundlag
- Forventet ikrafttrædelsesdato
Mindre ændringer (f.eks. ny region for samme leverandør, eller migration der reducerer datadeling) varsles ved opdatering af siden.
4. Indsigelse
Erhvervskunder kan i overensstemmelse med deres databehandleraftale gøre indsigelse mod en ny underdatabehandler inden for 30-dages varslet. Hvis vi ikke kan imødekomme indsigelsen, har du ret til at opsige den del af tjenesten, der berøres af ændringen, uden yderligere omkostninger og med refusion af forudbetalte gebyrer for den ubrugte periode.
5. Kontakt
Spørgsmål til vores brug af underdatabehandlere, anmodning om databehandleraftale eller indsigelse mod en ny underdatabehandler:
- Email: kontakt@lovbot.dk