cl
SagsmappenDatabehandleraftale

Databehandler­aftale (standard).

Standardkontraktsbestemmelser i henhold til artikel 28, stk. 3, i forordning (EU) 2016/679 (databeskyttelsesforordningen) med henblik på databehandlerens behandling af personoplysninger — baseret på Datatilsynets standardkontraktsbestemmelser.

Version 1.0 · 14. juni 2026 · Vivian (standard) · Baseret på Datatilsynets standardkontraktsbestemmelser

§
Parterne

Aftalen er indgået mellem to parter.

Disse standardkontraktsbestemmelser (»Bestemmelserne«) er indgået mellem nedenstående parter, der hver især er en »part« og sammen udgør »parterne«.

Den dataansvarlige

Kunden

Kunden, der har indgået aftale om brug af softwaretjenesten Vivian — herefter »den dataansvarlige«.

Databehandleren

Leverandøren

Leverandøren af softwaretjenesten Vivian — herefter »databehandleren«.

Parterne HAR AFTALT følgende standardkontraktsbestemmelser (»Bestemmelserne«) med henblik på at overholde databeskyttelsesforordningen og sikre beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder.

Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.

Se indholdetarrow_forward
1Præambel 2Den dataansvarliges rettigheder 3Databehandleren handler efter instruks 4Fortrolighed 5Behandlingssikkerhed 6Anvendelse af underdatabehandlere 7Overførsel til tredjelande 8Bistand til den dataansvarlige 9Underretning om brud 10Sletning og returnering 11Revision, herunder inspektion 12Parternes aftale om andre forhold 13Ikrafttræden og ophør 14Kontaktpersoner AOplysninger om behandlingen BUnderdatabehandlere CInstruks for behandlingen
1
Bestemmelse 1

Præambel.

  1. Disse Bestemmelser fastsætter databehandlerens rettigheder og forpligtelser, når denne foretager behandling af personoplysninger på vegne af den dataansvarlige.
  2. Disse Bestemmelser er udformet med henblik på parternes efterlevelse af artikel 28, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (databeskyttelsesforordningen).
  3. I forbindelse med levering af softwaretjenesten »Vivian« — en AI-baseret platform til juridisk informationssøgning og dokumentanalyse — som reguleret i aftalen om levering af tjenesten (»Hovedaftalen«), behandler databehandleren personoplysninger på vegne af den dataansvarlige i overensstemmelse med disse Bestemmelser.
  4. Bestemmelserne har forrang i forhold til eventuelle tilsvarende bestemmelser i andre aftaler mellem parterne.
  5. Der hører tre bilag til disse Bestemmelser, og bilagene udgør en integreret del af Bestemmelserne.
  6. Bilag A indeholder nærmere oplysninger om behandlingen af personoplysninger, herunder om behandlingens formål og karakter, typen af personoplysninger, kategorierne af registrerede og varighed af behandlingen.
  7. Bilag B indeholder den dataansvarliges betingelser for databehandlerens brug af underdatabehandlere og en liste af underdatabehandlere, som den dataansvarlige har godkendt brugen af.
  8. Bilag C indeholder den dataansvarliges instruks for så vidt angår databehandlerens behandling af personoplysninger, en beskrivelse af de sikkerhedsforanstaltninger, som databehandleren som minimum skal gennemføre, og hvordan der føres tilsyn med databehandleren og eventuelle underdatabehandlere.
  9. Bestemmelserne med tilhørende bilag skal opbevares skriftligt, herunder elektronisk, af begge parter.
  10. Disse Bestemmelser frigør ikke databehandleren fra forpligtelser, som databehandleren er pålagt efter databeskyttelsesforordningen eller enhver anden lovgivning.
2
Bestemmelse 2

Den dataansvarliges rettigheder og forpligtelser.

  1. Den dataansvarlige er ansvarlig for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med databeskyttelsesforordningen (se forordningens artikel 24), databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret og disse Bestemmelser. Henvisninger til »medlemsstat« i disse Bestemmelser skal forstås som en henvisning til »EØS-medlemsstater«.
  2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke(t) formål og med hvilke hjælpemidler der må ske behandling af personoplysninger.
  3. Den dataansvarlige er blandt andet ansvarlig for at sikre, at der er et behandlingsgrundlag for behandlingen af personoplysninger, som databehandleren instrueres i at foretage.
3
Bestemmelse 3

Databehandleren handler efter instruks.

  1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra den dataansvarlige, medmindre det kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt. Denne instruks skal være specificeret i bilag A og C. Efterfølgende instruks kan også gives af den dataansvarlige, mens der sker behandling af personoplysninger, men instruksen skal altid være dokumenteret og opbevares skriftligt, herunder elektronisk, sammen med disse Bestemmelser.
  2. Databehandleren underretter omgående den dataansvarlige, hvis en instruks efter vedkommendes mening er i strid med databeskyttelsesforordningen eller databeskyttelsesbestemmelser i anden EU-ret eller medlemsstaternes nationale ret.
4
Bestemmelse 4

Fortrolighed.

Oplysningerne kan være omfattet af advokaters tavshedspligt. Fortrolighed er derfor af afgørende betydning for den dataansvarlige.

  1. Databehandleren må kun give adgang til personoplysninger, som behandles på den dataansvarliges vegne, til personer, som er underlagt databehandlerens instruktionsbeføjelser, som har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og kun i det nødvendige omfang. Listen af personer, som har fået tildelt adgang, skal løbende gennemgås. På baggrund af denne gennemgang kan adgangen til personoplysninger lukkes, hvis adgangen ikke længere er nødvendig, og personoplysningerne skal herefter ikke længere være tilgængelige for disse personer.
  2. Databehandleren skal efter anmodning fra den dataansvarlige kunne påvise, at de pågældende personer, som er underlagt databehandlerens instruktionsbeføjelser, er underlagt ovennævnte tavshedspligt.
  3. Databehandleren er bekendt med, at de oplysninger, der behandles på vegne af den dataansvarlige, kan være omfattet af advokaters tavshedspligt, jf. bl.a. retsplejelovens §§ 126 og 129 samt de advokatetiske regler, og at fortrolighed derfor er af afgørende betydning for den dataansvarlige. Databehandleren skal behandle alle oplysninger — også oplysninger, der ikke er personoplysninger — fortroligt og må ikke anvende dem til andre formål end opfyldelse af Hovedaftalen.
5
Bestemmelse 5

Behandlingssikkerhed.

Passende tekniske og organisatoriske foranstaltninger efter databeskyttelsesforordningens artikel 32.

  1. Databeskyttelsesforordningens artikel 32 fastslår, at den dataansvarlige og databehandleren, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der passer til disse risici. Den dataansvarlige skal vurdere risiciene for fysiske personers rettigheder og frihedsrettigheder, som behandlingen udgør, og gennemføre foranstaltninger for at imødegå disse risici. Afhængig af deres relevans kan det omfatte:
    1. pseudonymisering og kryptering af personoplysninger,
    2. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester,
    3. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse,
    4. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
  2. Efter forordningens artikel 32 skal databehandleren — uafhængigt af den dataansvarlige — også vurdere risiciene for fysiske personers rettigheder, som behandlingen udgør, og gennemføre foranstaltninger for at imødegå disse risici. Med henblik på denne vurdering skal den dataansvarlige stille den nødvendige information til rådighed for databehandleren, som gør vedkommende i stand til at identificere og vurdere sådanne risici.
  3. Derudover skal databehandleren bistå den dataansvarlige med vedkommendes overholdelse af den dataansvarliges forpligtelse efter forordningens artikel 32 ved bl.a. at stille den nødvendige information til rådighed for den dataansvarlige vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren allerede har gennemført i henhold til forordningens artikel 32, og al anden information, der er nødvendig for den dataansvarliges overholdelse af sin forpligtelse efter forordningens artikel 32. Hvis imødegåelse af de identificerede risici — efter den dataansvarliges vurdering — kræver gennemførelse af yderligere foranstaltninger end de foranstaltninger, som databehandleren allerede har gennemført, skal den dataansvarlige angive de yderligere foranstaltninger, der skal gennemføres, i bilag C.
6
Bestemmelse 6

Anvendelse af underdatabehandlere.

Databehandleren har den dataansvarliges generelle godkendelse — mod mindst 30 dages varsel ved ændringer.

  1. Databehandleren skal opfylde de betingelser, der er omhandlet i databeskyttelsesforordningens artikel 28, stk. 2 og stk. 4, for at gøre brug af en anden databehandler (en underdatabehandler).
  2. Databehandleren må således ikke gøre brug af en underdatabehandler til opfyldelse af disse Bestemmelser uden forudgående generel skriftlig godkendelse fra den dataansvarlige.
  3. Databehandleren har den dataansvarliges generelle godkendelse til brug af underdatabehandlere. Databehandleren skal skriftligt underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere med mindst 30 dages varsel og derved give den dataansvarlige mulighed for at gøre indsigelse mod sådanne ændringer, inden brugen af de(n) omhandlede underdatabehandler(e) påbegyndes. Nærmere procedure for underretning og indsigelse er angivet i bilag B.2. Listen over underdatabehandlere, som den dataansvarlige allerede har godkendt, fremgår af bilag B.1.
  4. Når databehandleren gør brug af en underdatabehandler i forbindelse med udførelse af specifikke behandlingsaktiviteter på vegne af den dataansvarlige, skal databehandleren, gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret, pålægge underdatabehandleren de samme databeskyttelsesforpligtelser som dem, der fremgår af disse Bestemmelser, hvorved der navnlig stilles de fornødne garantier for, at underdatabehandleren vil gennemføre de tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen overholder kravene i disse Bestemmelser og databeskyttelsesforordningen. Databehandleren er derfor ansvarlig for at kræve, at underdatabehandleren som minimum overholder databehandlerens forpligtelser efter disse Bestemmelser og databeskyttelsesforordningen.
  5. Underdatabehandleraftale(r) og eventuelle senere ændringer hertil sendes — efter den dataansvarliges anmodning herom — i kopi til den dataansvarlige, som herigennem har mulighed for at sikre sig, at tilsvarende databeskyttelsesforpligtelser som følger af disse Bestemmelser er pålagt underdatabehandleren. Bestemmelser om kommercielle vilkår, som ikke påvirker det databeskyttelsesretlige indhold af underdatabehandleraftalen, skal ikke sendes til den dataansvarlige.
  6. Hvis underdatabehandleren ikke opfylder sine databeskyttelsesforpligtelser, forbliver databehandleren fuldt ansvarlig over for den dataansvarlige for opfyldelsen af underdatabehandlerens forpligtelser. Dette påvirker ikke de registreredes rettigheder, der følger af databeskyttelsesforordningen, herunder særligt forordningens artikel 79 og 82, over for den dataansvarlige og databehandleren, herunder underdatabehandleren.
  7. I det omfang det er muligt inden for rammerne af underdatabehandlerens standardvilkår, skal databehandleren i aftalen med underdatabehandleren indsætte den dataansvarlige som begunstiget tredjemand i tilfælde af databehandlerens konkurs eller ophør, således at den dataansvarlige kan håndhæve kravet om sletning eller tilbagelevering af personoplysningerne direkte over for underdatabehandleren.
7
Bestemmelse 7

Overførsel til tredjelande eller internationale organisationer.

  1. Enhver overførsel af personoplysninger til tredjelande eller internationale organisationer må kun foretages af databehandleren på baggrund af dokumenteret instruks herom fra den dataansvarlige og skal altid ske i overensstemmelse med databeskyttelsesforordningens kapitel V.
  2. Hvis overførsel af personoplysninger til tredjelande eller internationale organisationer, som databehandleren ikke er blevet instrueret i at foretage af den dataansvarlige, kræves i henhold til EU-ret eller medlemsstaternes nationale ret, som databehandleren er underlagt, skal databehandleren underrette den dataansvarlige om dette retlige krav inden behandling, medmindre den pågældende ret forbyder en sådan underretning af hensyn til vigtige samfundsmæssige interesser.
  3. Uden dokumenteret instruks fra den dataansvarlige kan databehandleren således ikke inden for rammerne af disse Bestemmelser: (a) overføre personoplysninger til en dataansvarlig eller databehandler i et tredjeland eller en international organisation, (b) overlade behandling af personoplysninger til en underdatabehandler i et tredjeland, eller (c) behandle personoplysningerne i et tredjeland.
  4. Den dataansvarliges instruks vedrørende overførsel af personoplysninger til et tredjeland, herunder det eventuelle overførselsgrundlag i databeskyttelsesforordningens kapitel V, som overførslen er baseret på, er angivet i bilag C.6.
  5. Disse Bestemmelser skal ikke forveksles med standardkontraktsbestemmelser som omhandlet i databeskyttelsesforordningens artikel 46, stk. 2, litra c og d, og disse Bestemmelser kan ikke udgøre et grundlag for overførsel af personoplysninger som omhandlet i databeskyttelsesforordningens kapitel V.
8
Bestemmelse 8

Bistand til den dataansvarlige.

  1. Databehandleren bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder som fastlagt i databeskyttelsesforordningens kapitel III. Dette indebærer, at databehandleren så vidt muligt skal bistå den dataansvarlige i forbindelse med, at den dataansvarlige skal sikre overholdelsen af:
    1. oplysningspligten ved indsamling af personoplysninger hos den registrerede,
    2. oplysningspligten, hvis personoplysninger ikke er indsamlet hos den registrerede,
    3. indsigtsretten,
    4. retten til berigtigelse,
    5. retten til sletning (»retten til at blive glemt«),
    6. retten til begrænsning af behandling,
    7. underretningspligten i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling,
    8. retten til dataportabilitet,
    9. retten til indsigelse,
    10. retten til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering.
  2. I tillæg til databehandlerens forpligtelse til at bistå den dataansvarlige i henhold til Bestemmelse 5.3 bistår databehandleren endvidere, under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for databehandleren, den dataansvarlige med:
    1. den dataansvarliges forpligtelse til uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed, Datatilsynet, medmindre det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder,
    2. den dataansvarliges forpligtelse til uden unødig forsinkelse at underrette den registrerede om brud på persondatasikkerheden, når bruddet sandsynligvis vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder,
    3. den dataansvarliges forpligtelse til forud for behandlingen at foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger (en konsekvensanalyse),
    4. den dataansvarliges forpligtelse til at høre den kompetente tilsynsmyndighed, Datatilsynet, inden behandling, såfremt en konsekvensanalyse vedrørende databeskyttelse viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen.
  3. Parterne har i bilag C angivet de fornødne tekniske og organisatoriske foranstaltninger, hvormed databehandleren skal bistå den dataansvarlige, samt i hvilket omfang og udstrækning. Det gælder for de forpligtelser, der følger af Bestemmelse 8.1 og 8.2.
9
Bestemmelse 9

Underretning om brud på persondatasikkerheden.

Databehandleren underretter den dataansvarlige om muligt senest 48 timer efter at være blevet bekendt med bruddet.

  1. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket et brud på persondatasikkerheden.
  2. Databehandlerens underretning til den dataansvarlige skal om muligt ske senest 48 timer efter, at denne er blevet bekendt med bruddet, sådan at den dataansvarlige kan overholde sin forpligtelse til at anmelde bruddet på persondatasikkerheden til den kompetente tilsynsmyndighed, jf. databeskyttelsesforordningens artikel 33.
  3. I overensstemmelse med Bestemmelse 8.2, litra a, skal databehandleren bistå den dataansvarlige med at foretage anmeldelse af bruddet til den kompetente tilsynsmyndighed. Det betyder, at databehandleren skal bistå med at tilvejebringe nedenstående information, som ifølge artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse af bruddet til den kompetente tilsynsmyndighed: (a) karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger, (b) de sandsynlige konsekvenser af bruddet på persondatasikkerheden, og (c) de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.
  4. Parterne har i bilag C.3 angivet den information, som databehandleren skal tilvejebringe i forbindelse med sin bistand til den dataansvarlige i dennes forpligtelse til at anmelde brud på persondatasikkerheden til den kompetente tilsynsmyndighed.
10
Bestemmelse 10

Sletning og returnering af oplysninger.

  1. Ved ophør af tjenesterne vedrørende behandling af personoplysninger er databehandleren forpligtet til at slette alle personoplysninger, der er blevet behandlet på vegne af den dataansvarlige, og bekræfte over for den dataansvarlige, at oplysningerne er slettet, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne. Den dataansvarlige kan forud for sletning anmode om at få personoplysningerne returneret i et almindeligt anvendt, maskinlæsbart format.
  2. Der gælder ikke regler i EU-retten eller dansk ret, som foreskriver, at databehandleren skal opbevare personoplysningerne efter ophør af tjenesterne. Skulle sådanne regler blive aktuelle, forpligter databehandleren sig til alene at behandle personoplysningerne til de(t) formål, i den periode og under de betingelser, som disse regler foreskriver.
11
Bestemmelse 11

Revision, herunder inspektion.

  1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelsen af databeskyttelsesforordningens artikel 28 og disse Bestemmelser, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige.
  2. Procedurerne for den dataansvarliges revisioner, herunder inspektioner, med databehandleren og underdatabehandlere er nærmere angivet i bilag C.7 og C.8.
  3. Databehandleren er forpligtet til at give tilsynsmyndigheder, som efter gældende lovgivning har adgang til den dataansvarliges eller databehandlerens faciliteter, eller repræsentanter, der optræder på tilsynsmyndighedens vegne, adgang til databehandlerens fysiske faciliteter mod behørig legitimation.
12
Bestemmelse 12

Parternes aftale om andre forhold.

  1. Parterne kan aftale andre bestemmelser vedrørende tjenesten vedrørende behandling af personoplysninger om f.eks. erstatningsansvar, så længe disse andre bestemmelser ikke direkte eller indirekte strider imod Bestemmelserne eller forringer den registreredes grundlæggende rettigheder og frihedsrettigheder, som følger af databeskyttelsesforordningen.
  2. Spørgsmål om erstatningsansvar og ansvarsbegrænsning mellem parterne reguleres i Hovedaftalen.
13
Bestemmelse 13

Ikrafttræden og ophør.

  1. Bestemmelserne træder i kraft på det tidspunkt, hvor den dataansvarlige accepterer dem elektronisk i forbindelse med oprettelse af eller tilmelding til tjenesten Vivian.
  2. Begge parter kan kræve Bestemmelserne genforhandlet, hvis lovændringer eller uhensigtsmæssigheder i Bestemmelserne giver anledning hertil.
  3. Bestemmelserne er gældende, så længe tjenesten vedrørende behandling af personoplysninger varer. I denne periode kan Bestemmelserne ikke opsiges, medmindre andre bestemmelser, der regulerer levering af tjenesten vedrørende behandling af personoplysninger, aftales mellem parterne.
  4. Hvis levering af tjenesterne vedrørende behandling af personoplysninger ophører, og personoplysningerne er slettet eller returneret til den dataansvarlige i overensstemmelse med Bestemmelse 10.1 og bilag C.4, kan Bestemmelserne opsiges med skriftligt varsel af begge parter.
14
Bestemmelse 14

Kontaktpersoner.

  1. Parterne kan kontakte hinanden som angivet nedenfor. Den dataansvarliges kontaktoplysninger er dem, der er registreret på Kundens konto i tjenesten Vivian, og underretninger til den dataansvarlige — herunder ved brud på persondatasikkerheden — sendes til den e-mailadresse, der er registreret på kontoen.
  2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktpersoner.

På vegne af databehandleren

Navn
Marc Rasmussen
Stilling
Indehaver
E-mail
marc@vivian.dk

Indgåelse og accept

Denne databehandleraftale indgås elektronisk og kræver ikke fysisk underskrift. Aftalen accepteres af den dataansvarlige i forbindelse med oprettelse af eller tilmelding til softwaretjenesten Vivian. Den person, der accepterer aftalen, indestår for at være bemyndiget til at indgå den på vegne af den dataansvarlige.

Aftalen træder i kraft på tidspunktet for den dataansvarliges accept, jf. Bestemmelse 13.1, og udgør sammen med Hovedaftalen om brug af tjenesten det samlede aftalegrundlag mellem parterne.

A
Bilag A

Oplysninger om behandlingen.

A.1Formålet med behandlingen

Databehandleren stiller softwaretjenesten Vivian til rådighed for den dataansvarlige som en SaaS-løsning. Vivian er en AI-baseret platform til juridisk informationssøgning og dokumentanalyse, som den dataansvarlige anvender som led i sin advokatvirksomhed. Formålet med databehandlerens behandling af personoplysninger er at levere tjenestens funktioner til den dataansvarlige, herunder:

  1. opbevaring og visning af dokumenter og tekst, som den dataansvarlige uploader eller indtaster i tjenesten,
  2. indeksering og fremsøgning af indhold (herunder vektorbaseret søgning),
  3. AI-understøttet analyse, sammenfatning og udarbejdelse af udkast på grundlag af den dataansvarliges materiale og forespørgsler,
  4. drift, support, fejlhåndtering og vedligehold af tjenesten.

Databehandleren må ikke anvende oplysningerne til andre formål, herunder ikke til træning eller forbedring af AI-modeller. Oplysningerne må ikke behandles efter instruks fra andre end den dataansvarlige.

A.2Behandlingens karakter

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige omfatter opbevaring (hosting), strukturering, indeksering, fremsøgning, visning, sikkerhedskopiering og sletning af oplysninger samt OCR-behandling og AI-inferens via godkendte underdatabehandlere, jf. bilag B.

OCR-behandling

Når den dataansvarlige uploader dokumenter i billedformat eller PDF-format, sendes dokumenterne til optisk tegngenkendelse (OCR) hos underdatabehandleren Mistral AI SAS, inden indholdet er tilgængeligt som maskinlæsbar tekst. Da pseudonymisering forudsætter tilstedeværelsen af maskinlæsbar tekst, kan pseudonymisering ikke gennemføres forud for OCR-behandlingen. Dokumenter sendes således til Mistral AI SAS i deres oprindelige form og kan indeholde direkte og indirekte identificerende oplysninger.

Følgende kompenserende foranstaltninger er etableret for OCR-behandlingen:

  • Transmission sker udelukkende krypteret (TLS 1.2 eller nyere).
  • Mistral AI SAS' databehandleraftale forbyder anvendelse af den dataansvarliges data til træning, finjustering eller forbedring af AI-modeller.
  • Behandlingen sker inden for EU/EØS på Mistral AI SAS' infrastruktur (Microsoft Azure, Sverige/Norge, samt CoreWeave, EØS).
  • Dokumenter opbevares ikke hos Mistral AI SAS efter afslutningen af den enkelte OCR-forespørgsel; Mistral AI SAS' standardvilkår indebærer sletning inden for 30 dage, og zero data retention kan aftales særskilt.

Pseudonymisering forud for AI-inferens

Efter OCR-behandlingen og inden indhold sendes til AI-inferens hos Microsoft Azure OpenAI Service, gennemfører databehandleren en automatiseret pseudonymisering af direkte identificerende oplysninger i det maskinlæsbare indhold. Funktionen benævnes internt »anonymisering«, men retligt er der tale om pseudonymisering, jf. databeskyttelsesforordningens artikel 4, nr. 5, idet processen er reversibel.

Pseudonymiseringen gennemføres ved tjenestens HTTP-grænse, før indhold sendes til underdatabehandleren, og fungerer som følger:

Oplysningstyper der erstattes
Direkte identifikatorer erstattes automatisk med stabile pladsholdere (fx [PERSON_1], [CPR_1], [EMAIL_2]). Processen er målrettet personnavne, danske CPR-numre, e-mailadresser og danske telefonnumre samt navne på kendte sagsparter (klient, modpart og rådgivere), som er oplyst for den pågældende forespørgsel.
Reversibilitet
Processen er reversibel og udgør derfor pseudonymisering — ikke anonymisering. En tovejs-sammenhæng mellem pladsholder og oprindelig værdi opretholdes under behandlingen af den enkelte forespørgsel, og de oprindelige værdier genindsættes i modellens svar, før resultatet vises for brugeren eller lagres.
Opbevaring af nøgle/mapping
Sammenhængen mellem pladsholder og oprindelig værdi opbevares alene i hukommelsen under den enkelte forespørgsel og persisteres ikke. De oprindelige oplysninger opbevares fortsat i klar tekst i tjenestens applikationsdatabase (sagsfelter, dokumenttekst og dokumentsammenfatninger) hos hosting-underdatabehandleren, jf. bilag B.
Begrænsninger
Pseudonymiseringen sker på et »best effort«-grundlag og fjerner ikke al personrelateret information. Indirekte identifikatorer og oplysninger i fri tekst — herunder postadresser, sags- og kontonumre, organisationsnavne samt personnavne, der ikke genkendes — kan fortsat indgå i det materiale, der sendes til underdatabehandleren. Pseudonymiseret materiale udgør derfor fortsat personoplysninger, jf. databeskyttelsesforordningens betragtning 26, og en underdatabehandler, der modtager materialet, behandler personoplysninger.

Da der kan behandles fortrolige og følsomme oplysninger fra advokatsager, er databehandleren forpligtet til at etablere passende sikkerhedsforanstaltninger svarende til behandlingens karakter og i overensstemmelse med databeskyttelsesforordningens artikel 32. Instruks fremgår af bilag C.

A.3Typer af personoplysninger

Tjenesten behandler det indhold, som den dataansvarlige uploader eller indtaster. Indholdet bestemmes af den dataansvarlige, og behandlingen kan derfor omfatte:

Almindelige personoplysninger
Navne, kontaktoplysninger, stillingsbetegnelser, identifikationsoplysninger, sagsoplysninger, økonomiske forhold, ansættelsesforhold og øvrige oplysninger indeholdt i juridiske dokumenter. Forekommer som udgangspunkt altid.
CPR-numre
Kan forekomme i uploadet materiale.
Følsomme oplysninger (art. 9)
Kan forekomme i uploadet materiale, fx helbredsoplysninger, fagforeningsforhold eller etnisk oprindelse i sagsakter.
Oplysninger om strafbare forhold (art. 10)
Kan forekomme i uploadet materiale, fx i straffesager eller tvister.

Den dataansvarlige er ansvarlig for at vurdere, hvilke oplysninger der uploades til tjenesten, jf. Bestemmelse 2.

A.4Kategorier af registrerede

Behandlingen omfatter følgende kategorier af registrerede: den dataansvarliges klienter, modparter, vidner, medarbejdere, rådgivere samt øvrige fysiske personer, der er omtalt i dokumenter og forespørgsler, som den dataansvarlige uploader eller indtaster i tjenesten.

A.5Varighed af behandlingen

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige kan påbegyndes efter disse Bestemmelsers ikrafttræden. Behandlingens varighed er bestemt af Hovedaftalens løbetid. Sletning ved ophør sker i overensstemmelse med Bestemmelse 10.1 og bilag C.4.

B
Bilag B

Underdatabehandlere.

B.1Godkendte underdatabehandlere

Ved Bestemmelsernes ikrafttræden har den dataansvarlige godkendt brugen af følgende underdatabehandlere:

MicrosoftUnderdatabehandler 1
Navn og adresse
Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland (del af Microsoft-koncernen, hvis moderselskab Microsoft Corporation er etableret i USA).
Behandlingsaktivitet
AI-inferens via Azure OpenAI Service (behandling af forespørgsler og dokumentindhold med henblik på generering af svar) samt identitets- og adgangsstyring (Microsoft Entra ID).
Lokalitet
Azure-region Sweden Central (Sverige). Modeludrulning sker udelukkende med udrulningstypen »Data Zone Standard (EU)«, hvorved prompts og output behandles inden for EU-datazonen. Data i hvile opbevares i den valgte region. Microsoft Entra ID er en global tjeneste; identitetsdata for EU-baserede tenants opbevares som udgangspunkt i EU i henhold til Microsofts EU Data Boundary, og begrænset behandling via globale systemkomponenter er omfattet af overførselsgrundlaget nedenfor.
Overførselsgrundlag
Behandlingen er konfigureret til at ske inden for EU/EØS. For eventuelle begrænsede residualoverførsler (fx sikkerheds- og driftsformål) gælder Microsofts Data Protection Addendum (DPA), der inkorporerer EU-Kommissionens standardkontraktsbestemmelser (SCC, 2021) som overførselsgrundlag, suppleret af Microsofts EU Data Boundary-forpligtelser. TIA for residualoverførsler: under udarbejdelse.
Sikkerhedsforanstaltninger
ISO/IEC 27001-certificering, SOC 2-rapporter, kryptering i transit og i hvile. Kundedata anvendes ikke til træning af modeller. Misbrugsmonitorering er konfigureret, så eventuel menneskelig gennemgang sker af EU-baseret personale; data overføres ikke til regioner uden for datazonen (automatisk overløb til andre regioner — »spillover« — er deaktiveret).
DigitalOceanUnderdatabehandler 2
Navn og adresse
DigitalOcean, LLC, 105 Edgeview Drive, Suite 425, Broomfield, CO 80021, USA (moderselskab etableret i USA).
Behandlingsaktivitet
Hosting af applikation og databaser (PostgreSQL og Qdrant), herunder opbevaring, backup og drift af den dataansvarliges data i tjenesten.
Lokalitet
Datacenter AMS3, Amsterdam, Holland (EU). Data i hvile forbliver i den valgte region. Begrænset fjernadgang fra USA kan forekomme i særlige drifts- og supportsituationer.
Overførselsgrundlag
EU-Kommissionens standardkontraktsbestemmelser (SCC, 2021), som indgår i DigitalOceans Data Processing Agreement, suppleret med tekniske foranstaltninger (kryptering i transit og i hvile). DigitalOceans certificering under EU-U.S. Data Privacy Framework udgør et supplerende grundlag. TIA: under udarbejdelse.
Sikkerhedsforanstaltninger
ISO/IEC 27001-certificering, SOC 2-rapporter, fysisk datacentersikkerhed, kryptering i transit og i hvile.

Databehandleren må ikke — uden den dataansvarliges skriftlige godkendelse — gøre brug af en underdatabehandler til en anden behandlingsaktivitet end den beskrevne og aftalte eller gøre brug af en anden underdatabehandler til denne behandlingsaktivitet.

B.2Varsel for underretning om ændringer af underdatabehandlere

Databehandleren skal pr. e-mail til den dataansvarliges kontaktperson, jf. afsnit 14, underrette den dataansvarlige om eventuelle planlagte ændringer vedrørende tilføjelse eller udskiftning af underdatabehandlere. En sådan underretning skal være den dataansvarlige i hænde mindst 30 dage, før anvendelsen eller ændringen træder i kraft.

Hvis den dataansvarlige har indsigelser mod ændringerne, skal den dataansvarlige give meddelelse herom til databehandleren inden 14 dage efter modtagelsen af underretningen. Den dataansvarlige kan alene gøre indsigelse, hvis den dataansvarlige har rimelige, konkrete årsager hertil.

Hvis databehandleren ikke kan imødekomme en rimelig og konkret indsigelse inden for en rimelig frist, er den dataansvarlige berettiget til med 1 måneds skriftligt varsel at opsige Hovedaftalen for så vidt angår den ydelse, hvor underdatabehandleren ville få adgang til personoplysninger.

Ved antagelse af nye underdatabehandlere i Bestemmelsernes løbetid skal databehandleren iagttage de aftalte vilkår i bilag C.5 om lokalitet for behandling samt bilag C.6 om instruks vedrørende overførsel af personoplysninger til tredjelande.

C
Bilag C

Instruks vedrørende behandling af personoplysninger.

C.1Behandlingens genstand/instruks

Databehandlerens behandling af personoplysninger på vegne af den dataansvarlige sker ved, at databehandleren udfører følgende:

  1. hosting, drift, support og vedligehold af tjenesten Vivian, herunder opbevaring, visning, backup, fejlfinding og sletning af den dataansvarliges data,
  2. indeksering og vektorisering af uploadet indhold med henblik på fremsøgning,
  3. automatiseret pseudonymisering af direkte identificerende oplysninger forud for AI-inferens, jf. beskrivelsen i bilag A.2,
  4. AI-inferens via Microsoft Azure OpenAI Service i EU-datazonen (Sweden Central, udrulningstype »Data Zone Standard (EU)«), jf. bilag B.

Databehandleren må ikke anvende den dataansvarliges data — hverken i identificerbar eller anonymiseret form — til træning, finjustering eller forbedring af AI-modeller, og databehandleren skal sikre, at det samme gælder hos underdatabehandlerne.

C.2Behandlingssikkerhed

Sikkerhedsniveauet skal afspejle, at behandlingen kan omfatte fortrolige oplysninger, oplysninger omfattet af advokaters tavshedspligt samt personoplysninger omfattet af databeskyttelsesforordningens artikel 9 og 10. Der skal derfor etableres et højt sikkerhedsniveau.

Databehandleren skal løbende identificere og dokumentere risici gennem risikovurderinger. Databehandleren er herefter berettiget og forpligtet til at træffe beslutninger om, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger der skal gennemføres for at etablere det nødvendige (og aftalte) sikkerhedsniveau. Databehandleren skal dog — under alle omstændigheder og som minimum — gennemføre følgende foranstaltninger:

  1. Kryptering af data under transmission (TLS 1.2 eller nyere) og af data i hvile.
  2. Adgangsstyring via Microsoft Entra ID med multifaktorautentifikation for administrative adgange. Adgang til personoplysninger begrænses til personer med et arbejdsbetinget behov, og adgangsrettigheder gennemgås løbende.
  3. Logning af væsentlige hændelser, herunder adgang til systemet og fejlhændelser, samt registrering af afviste adgangsforsøg.
  4. Regelmæssig sikkerhedskopiering. Backup opbevares krypteret og adskilt fra produktionsmiljøet.
  5. Adskillelse af produktions- og eventuelle testmiljøer. Testmiljøer må ikke anvende den dataansvarliges produktionsdata i identificerbar form.
  6. Pseudonymisering af direkte identificerende oplysninger i indhold forud for AI-inferens hos underdatabehandler, jf. bilag A.2.
  7. Opdatering af systemkomponenter med sikkerhedsrettelser uden unødig forsinkelse samt anvendelse af passende tekniske foranstaltninger mod uautoriseret adgang og skadelig kode.
  8. Tavshedspligt for enhver person, der af databehandleren gives adgang til den dataansvarliges oplysninger, jf. Bestemmelse 4.
  9. Procedurer for håndtering af brud på persondatasikkerheden og for genoprettelse af tilgængelighed af og adgang til personoplysninger i tilfælde af en teknisk eller fysisk hændelse.
  10. Regelmæssig vurdering og afprøvning af effektiviteten af de tekniske og organisatoriske foranstaltninger.

C.3Bistand til den dataansvarlige

Databehandleren skal så vidt muligt — inden for det nedenstående omfang og udstrækning — bistå den dataansvarlige i overensstemmelse med Bestemmelse 8.1 og 8.2:

Anmodninger fra registrerede: Databehandleren skal uden unødig forsinkelse skriftligt underrette den dataansvarlige om enhver anmodning rettet til databehandleren fra en registreret om udøvelse af dennes rettigheder. Databehandleren besvarer ikke selv sådanne anmodninger. Databehandleren bistår på anmodning den dataansvarlige med at fremsøge, berigtige, eksportere eller slette personoplysninger i tjenesten.

Bistand ved sikkerhedsbrud: Databehandleren indsamler og dokumenterer oplysninger om sikkerhedshændelser hos databehandleren og underdatabehandlere og underretter den dataansvarlige uden unødig forsinkelse og om muligt senest inden for den tidsramme, der fremgår af Bestemmelse 9.2 (48 timer). Underretningen skal så vidt muligt indeholde de oplysninger, der fremgår af Bestemmelse 9.3, og sendes til den dataansvarliges kontaktperson, jf. afsnit 14.

Omkostninger: Databehandlerens lovpligtige bistand efter databeskyttelsesforordningens artikel 28, stk. 3, litra e og f, honoreres ikke særskilt.

C.4Opbevaringsperiode/sletterutine

Personoplysninger opbevares hos databehandleren, indtil den dataansvarlige sletter dem i tjenesten eller anmoder om at få oplysningerne slettet eller returneret, dog senest indtil Hovedaftalens ophør, jf. Bestemmelse 10.1.

Når den dataansvarlige sletter indhold i tjenesten, slettes indholdet fra produktionsmiljøet uden unødig forsinkelse. Indhold i sikkerhedskopier slettes ved backuppens rotation, senest efter 30 dage. Ved ophør af Hovedaftalen sletter databehandleren alle personoplysninger senest 30 dage efter ophør og bekræfter sletningen skriftligt over for den dataansvarlige. Ved udfasning eller kassation af udstyr sikrer databehandleren, at oplysninger er slettet på betryggende vis.

C.5Lokalitet for behandling

Behandling af de af Bestemmelserne omfattede personoplysninger kan ikke uden den dataansvarliges forudgående skriftlige godkendelse ske på andre lokaliteter end følgende, jf. dog de i bilag C.6 tilladte begrænsede residualoverførsler:

Databehandleren
Danmark (administration og drift).
DigitalOcean, LLC
Datacenter AMS3, Amsterdam, Holland (EU).
Microsoft Ireland Operations Ltd.
Azure-region Sweden Central (Sverige), Data Zone Standard (EU). For Microsoft Entra ID: EU, jf. Microsofts EU Data Boundary-forpligtelser.

Særlig fremhævelse

Begge underdatabehandlere er koncernforbundne med moderselskaber i USA (Microsoft Corporation hhv. DigitalOcean, LLC). Amerikansk ret, herunder U.S. CLOUD Act og FISA Section 702, kan efter omstændighederne danne grundlag for udleveringskrav rettet mod amerikanske moderselskaber. De aftalte foranstaltninger til imødegåelse heraf fremgår af bilag B.1 og C.6.

C.6Instruks vedrørende overførsel af personoplysninger til tredjelande

Som udgangspunkt må behandling af personoplysninger under disse Bestemmelser alene ske inden for EU/EØS, og databehandleren er ikke berettiget til at overføre personoplysninger til tredjelande.

Den dataansvarlige giver dog hermed dokumenteret instruks om, at følgende begrænsede overførsler er tilladt:

  1. Eventuelle residualoverførsler til USA, der er nødvendige som led i Microsofts og DigitalOceans levering af de i bilag B beskrevne ydelser (fx drifts-, support- og sikkerhedsformål), forudsat at overførslen sker på grundlag af EU-Kommissionens standardkontraktsbestemmelser (2021), som er inkorporeret i den pågældende underdatabehandlers databehandleraftale, og ledsages af supplerende foranstaltninger i overensstemmelse med EDPB Recommendations 01/2020.
  2. Som supplerende foranstaltninger gælder navnlig: kryptering af data i transit og i hvile, pseudonymisering forud for AI-inferens (bilag A.2) samt konfiguration af AI-behandlingen til EU-datazonen (bilag B.1).

Databehandleren skal kunne dokumentere beslutningsgrundlag, vurderinger og foranstaltninger for de tilladte overførsler, herunder en Transfer Impact Assessment (TIA), der ikke er ældre end 12 måneder. TIA'er for Microsoft og DigitalOcean er under udarbejdelse.

Databehandleren og dennes underdatabehandlere skal anfægte enhver anmodning om udlevering af data fra et hvilket som helst lands myndigheder, i det omfang det er retligt muligt og — for underdatabehandlernes vedkommende — inden for rammerne af deres aftalevilkår, og skal straks underrette den dataansvarlige om anmodningen, medmindre dette er forbudt efter den lovgivning, anmodningen hviler på. Er underretning forbudt, skal databehandleren i stedet, i det omfang det er lovligt, oplyse den dataansvarlige om, at databehandleren ikke kan opfylde sine forpligtelser efter disse Bestemmelser.

Databehandleren skal løbende følge udviklingen i gyldigheden af de anvendte overførselsgrundlag (herunder EU-U.S. Data Privacy Framework og EU-Kommissionens tilstrækkelighedsafgørelser) og straks orientere den dataansvarlige, hvis et anvendt grundlag ikke kan opretholdes, samt træffe foranstaltninger til at sikre, at personoplysninger alene behandles i EU/EØS eller på et gyldigt overførselsgrundlag.

C.7Procedurer for den dataansvarliges tilsyn med databehandleren

Databehandleren udarbejder én gang årligt — og derudover på den dataansvarliges rimelige anmodning — en skriftlig redegørelse til den dataansvarlige om databehandlerens overholdelse af disse Bestemmelser, herunder en beskrivelse af de gennemførte tekniske og organisatoriske foranstaltninger, status på underdatabehandlere og eventuelle sikkerhedshændelser. Redegørelsen kan suppleres med besvarelse af den dataansvarliges spørgeskema.

Den dataansvarlige eller en repræsentant for den dataansvarlige kan herudover — med et skriftligt varsel på mindst 10 arbejdsdage — foretage inspektion, herunder fysisk inspektion, af databehandlerens behandling af personoplysninger med henblik på at fastslå databehandlerens overholdelse af databeskyttelsesforordningen og disse Bestemmelser. Den dataansvarliges eventuelle udgifter i forbindelse hermed afholdes af den dataansvarlige selv. Databehandleren stiller den tid og de oplysninger til rådighed, der er nødvendige for tilsynets gennemførelse, uden særskilt vederlag.

C.8Procedurer for tilsyn med underdatabehandlere

Databehandleren fører tilsyn med underdatabehandlerne ved årligt at gennemgå den dokumentation for overholdelse af databeskyttelsesforpligtelserne, som underdatabehandlerne stiller til rådighed, herunder revisionserklæringer og certificeringer (fx SOC 2-rapporter og ISO/IEC 27001-certificeringer), oplysninger om underdatabehandlernes egne underdatabehandlere samt status for overførselsgrundlag.

Databehandleren dokumenterer det gennemførte tilsyn og fremsender på anmodning dokumentationen til den dataansvarlige. Giver gennemgangen anledning til væsentlige bemærkninger, underretter databehandleren uden unødig forsinkelse den dataansvarlige herom sammen med en plan for eventuelle afhjælpende foranstaltninger.

Den dataansvarliges eventuelle deltagelse i et tilsyn hos en underdatabehandler ændrer ikke ved, at databehandleren har det fulde ansvar for underdatabehandlerens overholdelse af databeskyttelsesforordningen og disse Bestemmelser.

Spørgsmål til aftalen?

Dette er Vivians standard­databehandleraftale. Skal vi gennemgå den med dig — eller tilpasse den til jeres firma — så skriv til os. En rigtig person svarer, ikke en bot.

mailKontakt os