# Databehandleraftale — Klar

**(Data Processing Agreement, jf. GDPR art. 28)**

**Version 1.0 — gældende fra 14. maj 2026**

---

Denne databehandleraftale ("**DPA**") indgås mellem:

**Den dataansvarlige ("Kunden"):**

Virksomhed: ____________________________________________
CVR/registreringsnr: ____________________________________
Adresse: _______________________________________________
Land: _________________________________________________
Kontaktperson: _________________________________________
Email: _________________________________________________

og

**Databehandleren:**

**Globaltech Service ApS**
CVR: 45307905
Amaliegade 6, 2. tv, 1256 København K, Danmark
contact@global-t-service.com
Tlf: +45 93 93 74 14

(samlet kaldet "**Parterne**" og hver for sig "**Part**")

---

## Baggrund

Kunden har tegnet abonnement på Klar — en SaaS-platform til håndtering af EU AI-forordnings-compliance, som leveres af Globaltech ("**Tjenesten**").

I forbindelse med leveringen behandler Globaltech personoplysninger på vegne af Kunden. Denne DPA fastlægger vilkår for behandlingen i overensstemmelse med GDPR art. 28.

## 1. Definitioner

Begreber anvendt i denne DPA har den betydning de tildeles i GDPR. Herudover gælder:

- **Hovedaftalen** — Globaltech's Vilkår for service (klar.global-t-service.com/terms) og det tegnede abonnement.
- **Behandling** — enhver behandling af personoplysninger som beskrevet i Bilag A.
- **Underbehandler** — enhver tredjepart Globaltech engagerer til at udføre dele af behandlingen.

## 2. Genstand og varighed

2.1. Denne DPA regulerer Globaltech's behandling af personoplysninger på vegne af Kunden i forbindelse med levering af Tjenesten.

2.2. DPA træder i kraft samtidig med Hovedaftalen og forbliver i kraft så længe Globaltech behandler personoplysninger for Kunden.

## 3. Karakter og formål med behandlingen

3.1. **Karakter:** Globaltech behandler personoplysninger som er nødvendige for at levere Tjenesten til Kunden, herunder lagring, fremvisning, klassifikation, generering af dokumenter, og export.

3.2. **Formål:** at gøre Kunden i stand til at opfylde sine forpligtelser under EU AI-forordningen, GDPR, og anden relevant lovgivning ved hjælp af Tjenesten.

## 4. Typer af personoplysninger og kategorier af registrerede

Detaljerede oplysninger om typer af persondata og kategorier af registrerede fremgår af **Bilag A**.

## 5. Databehandlerens forpligtelser

Globaltech forpligter sig til:

### 5.1. Behandling efter instruks

5.1.1. Kun at behandle personoplysninger efter dokumenteret instruks fra Kunden, medmindre EU-ret eller dansk ret kræver andet, i hvilket tilfælde Globaltech underretter Kunden herom, medmindre underretningen er forbudt af tungtvejende almene hensyn.

5.1.2. Kundens instrukser anses som givet ved indgåelse af Hovedaftalen og DPA samt ved Kundens brug af Tjenestens funktionalitet. Yderligere instrukser kan gives skriftligt til contact@global-t-service.com.

### 5.2. Tavshedspligt

5.2.1. At sikre at personer, der har autoriseret adgang til personoplysningerne, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

### 5.3. Sikkerhed

5.3.1. At gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et beskyttelsesniveau, der svarer til risikoen, jf. GDPR art. 32. De konkrete foranstaltninger fremgår af **Bilag B**.

### 5.4. Underbehandlere

5.4.1. Kunden giver hermed sin **generelle skriftlige godkendelse** til, at Globaltech anvender underbehandlere til at behandle personoplysninger på Kundens vegne.

5.4.2. Liste over aktuelle underbehandlere fremgår af **Bilag C** og opdateres løbende på klar.global-t-service.com/sub-processors.

5.4.3. Globaltech giver Kunden mindst **30 dages varsel** før tilføjelse eller udskiftning af underbehandlere via email til Kundens registrerede kontaktperson. Kunden har i denne periode ret til at gøre indsigelse mod ændringen. Hvis Kunden gør indsigelse og parterne ikke kan finde en løsning, har Kunden ret til at opsige Hovedaftalen uden bindingsperiode.

5.4.4. Globaltech indgår skriftlig databehandleraftale med alle underbehandlere, der pålægger underbehandlerne samme forpligtelser som Globaltech har efter denne DPA.

### 5.5. Den registreredes rettigheder

5.5.1. Globaltech bistår Kunden, så vidt muligt og under hensyntagen til behandlingens karakter, med passende tekniske og organisatoriske foranstaltninger med opfyldelse af Kundens forpligtelser til at besvare anmodninger fra registrerede om udøvelse af rettigheder efter GDPR art. 15-22.

5.5.2. Tjenesten indeholder funktioner til eksport, sletning og rettelse af data, som Kunden selv kan anvende. Hvis ekstra bistand er nødvendig, faktureres dette efter Globaltech's almindelige timepris.

### 5.6. Sikkerhedsbrud

5.6.1. Globaltech underretter Kunden uden ugrundet ophold og senest inden for **24 timer** efter at være blevet bekendt med et brud på persondatasikkerheden vedrørende Kundens data.

5.6.2. Underretningen indeholder mindst:
- Karakteren af bruddet, herunder hvor muligt kategorier og antal af berørte registrerede og dataposter
- Sandsynlige konsekvenser
- Iværksatte eller foreslåede foranstaltninger
- Kontaktoplysninger til Globaltech's DPO eller anden kontaktperson

### 5.7. Konsekvensanalyser (DPIA)

5.7.1. Globaltech bistår Kunden med konsekvensanalyser efter GDPR art. 35 og forudgående høringer efter art. 36 i det omfang Globaltech har viden om behandlingen. Tjenesten genererer automatisk DPIA-skabeloner som del af leverancen.

### 5.8. Tilbagelevering og sletning

5.8.1. Ved Hovedaftalens ophør sletter eller tilbageleverer Globaltech alle personoplysninger til Kunden efter Kundens valg.

5.8.2. Kunden har 30 dage efter ophør til at eksportere data via Tjenestens funktioner. Efter 30 dage slettes alle personoplysninger fra Globaltech's aktive systemer.

5.8.3. Personoplysninger kan opbevares i backups op til 90 dage efter sletning fra aktive systemer. Disse backups slettes automatisk og kan ikke gendannes efter denne periode.

5.8.4. Globaltech kan opbevare oplysninger så længe det kræves efter EU-ret eller medlemsstats ret (typisk regnskabsbilag jf. bogføringsloven).

### 5.9. Dokumentation og audit

5.9.1. Globaltech stiller alle oplysninger til rådighed for Kunden, som er nødvendige for at påvise overholdelse af forpligtelserne i denne DPA og GDPR art. 28.

5.9.2. Kunden har ret til at gennemføre eller iværksætte revisioner, herunder inspektioner, af Globaltech's databehandling. Disse kan udføres:
- ved at Globaltech leverer den seneste tredjeparts-audit-rapport (Codex Cybersecurity-rapporter eller tilsvarende)
- ved at Kunden eller en bemyndiget tredjepart udfører audit på rimeligt varsel (min. 30 dage) og uden urimelige forstyrrelser af Globaltech's drift
- Kundens egne audit-omkostninger afholdes af Kunden, medmindre der konstateres væsentlige overtrædelser

## 6. Ansvar

6.1. Hver Part er ansvarlig for de bøder og krav fra Datatilsynet eller andre myndigheder, der opstår som følge af den pågældende Parts overtrædelse af GDPR.

6.2. For andre tab gælder ansvarsbegrænsningerne i Hovedaftalen.

## 7. Lovvalg og værneting

7.1. Denne DPA er underlagt dansk ret.

7.2. Tvister afgøres ved Sø- og Handelsretten i København som første instans.

## 8. Hele aftalen

8.1. Denne DPA udgør, sammen med Hovedaftalen og bilagene, parternes fulde aftale om databehandling.

8.2. Ved konflikt mellem denne DPA og Hovedaftalen gælder DPA først for så vidt angår databehandling.

## 9. Ændringer

9.1. Ændringer skal være skriftlige og underskrevet af begge parter for at være bindende.

9.2. Ændringer som følge af ændringer i lovgivning eller vejledning fra Datatilsynet kan gennemføres af Globaltech med 30 dages varsel.

---

# Bilag A: Behandlingens karakter

## A.1. Formål med behandlingen

At gøre Kunden i stand til at opfylde sine forpligtelser under EU AI-forordningen ved hjælp af Tjenesten, herunder:

- Registrering og inventering af AI-systemer Kunden anvender
- Risikoklassificering under AI-forordningens artikler
- Generering af compliance-dokumentation
- Sporing af medarbejder-AI-træning (Artikel 4)
- Audit-log af compliance-relaterede handlinger

## A.2. Behandlingens karakter

Lagring, automatisk behandling via AI (klassifikation og dokument-generering), strukturering, søgning, eksport, sletning.

## A.3. Typer af personoplysninger der behandles

**Identifikationsoplysninger:**
- Navn, email, jobtitel, virksomhedstilhørsforhold (om Kundens egne brugere)
- Navn og email på systemejere (om Kundens medarbejdere registreret som AI-system-ansvarlige)
- Eventuelt kontaktoplysninger på Kundens kontaktpersoner hos AI-leverandører

**Træningsdata:**
- Status for AI-træning per medarbejder (Artikel 4)
- Tidsstempel for gennemførsel

**Tekniske data:**
- IP-adresse, login-tidspunkter, browser-information
- Audit-log over handlinger udført i Tjenesten

**Ingen særlige kategorier (Art. 9) eller domsdata (Art. 10) bør tilføres Tjenesten.**

## A.4. Kategorier af registrerede

- Kundens medarbejdere (som brugere af Tjenesten eller som systemejere)
- Kundens leverandørers kontaktpersoner (hvis Kunden registrerer disse)
- Kundens slutkunder (kun hvis Kunden eksplicit registrerer disse i Tjenesten)

## A.5. Varighed af behandlingen

Så længe Kunden har et aktivt abonnement, plus 30 dage efter ophør til eksport. Backups slettes inden for 90 dage.

---

# Bilag B: Tekniske og organisatoriske sikkerhedsforanstaltninger

Globaltech har implementeret følgende foranstaltninger:

## B.1. Adgangskontrol

- Multi-faktor authentication for administrativ adgang
- Rolle-baseret adgangskontrol (OWNER/ADMIN/MEMBER) på Kunde-niveau
- Minimum privilegium-princip for alt personale
- Adgangsgennemgang hvert kvartal
- Adgang fjernes umiddelbart ved ophør af ansættelse

## B.2. Kryptering

- TLS 1.3 for alle data i transit
- AES-256 kryptering af data i hvile (Neon, AWS)
- Adgangskoder gemmes som bcrypt-hash (cost factor 10)
- API-nøgler opbevares som krypterede miljøvariabler

## B.3. Logning og overvågning

- Audit-log af alle administrative handlinger
- Sikkerheds-logs gemt i 24 måneder
- Automatisk overvågning af unormale loginmønstre
- Brute-force-beskyttelse (rate limiting på auth-flow)

## B.4. Sikkerhedstest

- Tredjeparts-sikkerhedsaudit (senest gennemført maj 2026 af Codex Cybersecurity)
- Automatisk dependency-scanning (GitHub Dependabot)
- Secret-scanning på kode-repos
- Penetrationstest planlagt min. hvert 12. måned

## B.5. Backup og kontinuitet

- Automatiske daglige backups (Neon)
- Point-in-time recovery 7 dage
- Backups gemmes i EU (Frankfurt)
- Hændelsesberedskab dokumenteret og testet

## B.6. Hændelsesberedskab

- Dokumenteret incident response-procedure
- 24-timers underretningspligt til Kunden ved persondatabrud
- 72-timers anmeldelse til Datatilsynet jf. GDPR art. 33

## B.7. Personalesikkerhed

- Skriftlige fortrolighedserklæringer for alt personale
- Sikkerheds-træning for alle med adgang til Kunde-data
- Baggrundstjek for kritiske roller

## B.8. Fysisk sikkerhed

- Hosting hos certificerede cloud-leverandører (Vercel, Neon, AWS) med ISO 27001-certificering
- Ingen on-premises servere hos Globaltech

---

# Bilag C: Underdatabehandlere

Følgende underdatabehandlere er pr. 14. maj 2026 godkendt af Kunden:

| Underbehandler | Funktion | Lokation | Overførsels-grundlag |
|---|---|---|---|
| **Vercel Inc.** | Hosting af applikation | EU + USA | EU SCCs 2021/914 + DPF |
| **Neon Inc.** | PostgreSQL database | EU (Frankfurt) | Behandling i EU |
| **Anthropic PBC** | AI-inference (Claude) | USA | EU SCCs 2021/914 |
| **Stripe Inc.** | Betalingsbehandling | EU + USA | EU SCCs 2021/914 + DPF |
| **Cloudflare Inc.** | DNS, CDN, DDoS-beskyttelse | EU + USA | EU SCCs 2021/914 |
| **Google LLC (Workspace)** | Email-kommunikation | EU + USA | EU SCCs 2021/914 + DPF |
| **Resend (Plus Five Five, Inc.)** | Transaktionel email (nulstilling, invitationer) | EU + USA | EU SCCs 2021/914 |
| **Upstash, Inc.** | Rate limiting (Redis) | EU | Behandling i EU |

Den til enhver tid gældende liste er tilgængelig på klar.global-t-service.com/sub-processors.

---

# Underskrifter

**Globaltech Service ApS (Databehandler):**

Underskrift: _________________________________

Navn: **Navid Zaboli**
Titel: Direktør
Dato: 14. maj 2026


**Kunden (Dataansvarlig):**

Underskrift: _________________________________

Navn: _______________________________________
Titel: ______________________________________
Dato: _______________________________________

---

*Denne aftale er udarbejdet i overensstemmelse med GDPR art. 28 og Datatilsynets vejledning om databehandleraftaler.*
