Databehandleraftale

1. Aftalens parter og definitioner

Denne aftale er indgået mellem:

• Dataansvarlig: Den revisor eller virksomhed, der opretter en konto på OnboardSync ("den dataansvarlige", "revisoren").
• Databehandler: OnboardSync ApS ("databehandleren", "OnboardSync").

I denne aftale anvendes følgende definitioner i overensstemmelse med GDPR art. 4:

• Persondata: Enhver oplysning om en identificeret eller identificerbar fysisk person.
• Behandling: Enhver operation eller række af operationer, som persondata gøres til genstand for.
• Registrerede: De fysiske personer, hvis persondata behandles.
• Underdatabehandler: En tredjepartsleverandør, som OnboardSync anvender til at behandle persondata på den dataansvarliges vegne.

Denne DPA supplerer OnboardSyncs servicevilkår. Ved modstrid mellem servicevilkårene og denne DPA har DPA'en forrang, for så vidt angår behandling af persondata.

2. Genstand, formål og varighed

Genstand: OnboardSync stiller en digital onboarding-platform til rådighed, hvori revisoren indsamler og behandler persondata fra sine klienter.

Formål: Opbevaring, visning og formidling af klientdata i forbindelse med revisorens digitale onboarding-proces.

Varighed: Behandlingen varer, så længe revisoren har et aktivt abonnement hos OnboardSync. Ved ophør af abonnementet slettes persondata i henhold til sektion 14.

3. Behandlingens art

OnboardSync udfører følgende behandlingsaktiviteter på vegne af den dataansvarlige:

1. Modtagelse og opbevaring af klienters formularsvar
2. Opbevaring af uploadede dokumenter
3. Afsendelse af email-notifikationer og påmindelser
4. MitID-verifikation af klienters identitet
5. Visning af indsamlede data i revisorens dashboard
6. Automatiske påmindelser og deadline-notifikationer
7. Eksport af data i maskinlæsbart format (CSV)

4. Kategorier af registrerede

De registrerede omfatter:

• Revisorens klienter (privatpersoner og virksomhedsrepræsentanter)
• Klienternes kontaktpersoner, som deltager i onboarding-processen

5. Typer af persondata

Følgende kategorier af persondata kan blive behandlet, afhængigt af revisorens skabelon-konfiguration:

Revisoren bestemmer selv, hvilke felter der oprettes i onboarding-skabelonerne. OnboardSync kan derfor behandle persondata ud over ovenstående, afhængigt af revisorens konfiguration. Revisoren er ansvarlig for at sikre lovligt grundlag for de datatyper, der indsamles.

6. Den dataansvarliges rettigheder og forpligtelser

Revisoren (den dataansvarlige) har ansvar for:

1. At have gyldigt retsgrundlag for behandling af klienternes persondata (art. 6)
2. At opfylde oplysningspligten over for de registrerede (art. 13/14)
3. At vurdere, om indsamling af CPR-numre eller følsomme data er nødvendig og lovlig
4. At besvare henvendelser fra registrerede om indsigt, sletning mv. (med bistand fra OnboardSync, jf. sektion 12)
5. At gennemføre risikovurdering af behandlingen
6. At føre tilsyn med OnboardSync som databehandler (jf. sektion 15)

7. Instruktionsbaseret behandling

OnboardSync behandler udelukkende persondata efter den dataansvarliges dokumenterede instruktioner, jf. art. 28, stk. 3, litra a.

• Revisorens brug af platformens funktioner (oprettelse af skabeloner, afsendelse af påmindelser mv.) udgør dokumenterede instruktioner
• Yderligere instruktioner kan gives skriftligt til kontakt@onboardsync.dk
• Hvis OnboardSync vurderer, at en instruks strider mod GDPR eller anden databeskyttelseslovgivning, underrettes revisoren inden udførelse
• OnboardSync behandler ikke persondata til egne formål, undtagen aggregeret, anonymiseret statistik

8. Fortrolighed

OnboardSync sikrer, at alle personer, der er autoriseret til at behandle persondata, er underlagt tavshedspligt, jf. art. 28, stk. 3, litra b.

• Adgang til persondata begrænses til det strengt nødvendige (need-to-know-princip)
• OnboardSync vedligeholder adgangskontrol og fører log over, hvem der har adgang til produktionsdata

9. Sikkerhedsforanstaltninger

OnboardSync har implementeret følgende tekniske og organisatoriske foranstaltninger i henhold til art. 32:

Tekniske foranstaltninger

• Row Level Security (RLS) på alle databasetabeller — data er isoleret per organisation
• Kryptering in transit (TLS/HTTPS på al trafik)
• Kryptering at rest (Supabase-managed encryption)
• Bcrypt password-hashing (12 rounds) for API-nøgler og klient-passwords
• CSPRNG-genererede tokens (access tokens, API keys)
• HMAC-signerede cookies og webhook-payloads
• PKCE OAuth2 flow for MitID-verifikation
• Rate limiting på alle offentlige endpoints
• SSRF-beskyttelse for webhook-URLs
• Security headers (HSTS, X-Frame-Options, Content-Security-Policy mv.)
• Parameteriserede database-queries (SQL injection-beskyttelse)
• XSS-beskyttelse (ingen brug af uescaped HTML-rendering)

Organisatoriske foranstaltninger

• Adgangsrettigheder baseret på roller (admin/member)
• MFA (TOTP) tilgængeligt for alle brugerkonti
• Audit trail for sikkerhedsrelevante handlinger
• Activity log for sporbarhed

10. Underdatabehandlere

OnboardSync anvender følgende godkendte underdatabehandlere, jf. art. 28, stk. 2 og 4:

Procedure for ændringer

• Den dataansvarlige giver med denne aftale generel forhåndsgodkendelse til brug af underdatabehandlere
• OnboardSync underretter den dataansvarlige mindst 30 dage inden en ny underdatabehandler tages i brug, via email til den registrerede kontoadresse
• Den dataansvarlige kan gøre indsigelse inden for 30-dages fristen. Hvis indsigelsen ikke kan imødekommes, kan den dataansvarlige opsige aftalen
• OnboardSync sikrer, at underdatabehandlere er underlagt samme forpligtelser som denne DPA (art. 28, stk. 4)
• OnboardSync er ansvarlig for underdatabehandlerens opfyldelse af forpligtelserne

11. Overførsel til tredjelande

OnboardSync overfører persondata til tredjelande (USA) via underdatabehandlerne Resend, Stripe og Vercel. Overførselsgrundlaget er EU-Kommissionens standardkontraktbestemmelser (SCCs) i henhold til art. 46, stk. 2, litra c.

• OnboardSync foretager Transfer Impact Assessments (TIA) for hver tredjelandsoverførsel
• Primær databehandling (database, filer) sker i EU (Frankfurt) via Supabase
• OnboardSync overfører ikke persondata til tredjelande ud over, hvad der er angivet i underdatabehandler-listen, uden den dataansvarliges forudgående instruks

12. Bistand til den dataansvarlige

OnboardSync bistår den dataansvarlige med at opfylde forpligtelserne vedrørende de registreredes rettigheder, jf. art. 28, stk. 3, litra e og f:

Registreredes rettigheder (art. 15-22)

• Indsigtsret (art. 15) — revisoren kan eksportere al klientdata via CSV-eksport
• Ret til berigtigelse (art. 16) — revisoren kan redigere klientdata i dashboard
• Ret til sletning (art. 17) — revisoren kan slette individuelle onboardings og klientdata
• Ret til begrænsning (art. 18) — revisoren kan arkivere onboardings
• Ret til dataportabilitet (art. 20) — CSV-eksport i maskinlæsbart format

Øvrig bistand

• Bistand ved konsekvensanalyse (DPIA) efter anmodning (art. 35-36)
• Bistand ved forudgående høring af Datatilsynet (art. 36)

Responstider

• Henvendelser om bistand besvares inden 5 arbejdsdage
• Ved komplicerede anmodninger kan fristen forlænges med yderligere 10 arbejdsdage med besked

13. Sikkerhedsbrud

OnboardSync underretter den dataansvarlige uden unødig forsinkelse og senest inden 72 timer efter at være blevet opmærksom på et brud på persondatasikkerheden, jf. art. 33.

Underretningen skal indeholde:

1. Beskrivelse af bruddets karakter, herunder berørte kategorier og antal registrerede
2. Kontaktoplysninger for yderligere information
3. Beskrivelse af sandsynlige konsekvenser
4. Beskrivelse af trufne eller foreslåede foranstaltninger

OnboardSync bistår den dataansvarlige med at opfylde underretningspligten over for Datatilsynet (art. 33) og de registrerede (art. 34). OnboardSync dokumenterer alle sikkerhedsbrud, deres virkninger og afhjælpning.

14. Sletning ved ophør

Ved ophør af abonnementet gælder følgende, jf. art. 28, stk. 3, litra g:

• OnboardSync giver den dataansvarlige 30 dage til at eksportere data
• Efter eksportperioden sletter OnboardSync alle persondata inden yderligere 30 dage (i alt max 60 dage efter ophør)
• Sletning omfatter: formularsvar, uploadede dokumenter, klientoplysninger, MitID-data, activity logs og audit trails
• OnboardSync bekræfter sletningen skriftligt efter anmodning
• Undtaget fra sletning: data, som OnboardSync er forpligtet til at opbevare efter EU-ret eller dansk ret

15. Tilsyn og audit

OnboardSync stiller alle nødvendige oplysninger til rådighed for, at den dataansvarlige kan verificere overholdelse af denne DPA, jf. art. 28, stk. 3, litra h.

• Den dataansvarlige har ret til at foretage eller lade en uafhængig tredjepart foretage audits, herunder inspektioner
• Audit anmodes med mindst 30 dages skriftligt varsel
• OnboardSync bidrager til audits og stiller relevant dokumentation til rådighed
• Omkostninger ved audit bæres af den dataansvarlige, medmindre auditten afslører væsentlig misligholdelse
• OnboardSync kan opfylde audit-forpligtelsen ved at stille relevant certificering eller audit-rapporter til rådighed (fx SOC 2, penetrationstest-rapporter)

16. Ansvar og lovvalg

• Denne aftale er underlagt dansk ret
• Tvister søges løst gennem dialog. Såfremt dette ikke lykkes, afgøres tvisten ved de danske domstole
• Hver part hæfter for egne overtrædelser af databeskyttelseslovgivningen i henhold til art. 82
• OnboardSync hæfter for underdatabehandleres overtrædelser i henhold til art. 28, stk. 4

Har du spørgsmål til denne databehandleraftale, er du velkommen til at kontakte os på kontakt@onboardsync.dk.