Databehandleraftale

Sidst opdateret: 15. maj 2026

Denne DPA er indarbejdet ved reference i Vilkår for erhvervskunder og træder i kraft, når Kunden accepterer Vilkår for erhvervskunder eller første gang anvender Tjenesten efter ovenstående dato, alt efter hvad der sker først. Den Kunde, der ønsker en medunderskrevet kopi af denne DPA på virksomhedens brevpapir, kan anmode herom ved at skrive til privacy@easyweek.io. EasyWeek vil medunderskrive uden ændringer i dette dokuments indhold.

1. Definitioner

Begreber, der er skrevet med stort begyndelsesbogstav, men som ikke er defineret i denne DPA, har den betydning, der er angivet i Erhvervsvilkårene eller i GDPR. Navnlig:

• „GDPR" — forordning (EU) 2016/679 som suppleret af den danske Databeskyttelseslov, og, hvor det er relevant, UK GDPR og schweizisk FADP læst med de nødvendige substitutioner.
• „Dataansvarlig", „Databehandler", „Registreret", „Personoplysninger", „Brud på persondatasikkerheden", „Behandling", „Underdatabehandler", „Tilsynsmyndighed" — som defineret i GDPR art. 4.
• „Kundens Personoplysninger" — Personoplysninger, som Kunden eller dennes autoriserede brugere indsender til eller genererer via Tjenesten, og som behandles af EasyWeek på Kundens vegne.
• „Standardkontraktbestemmelser" — Standardkontraktbestemmelserne for overførsel af personoplysninger til tredjelande i medfør af GDPR, vedtaget ved Kommissionens gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021.

2. Roller

Kunden er den Dataansvarlige for Kundens Personoplysninger. EasyWeek er Databehandleren og behandler Kundens Personoplysninger udelukkende på dokumenterede instrukser fra Kunden og i overensstemmelse med denne DPA, Servicevilkårene for Erhverv og gældende lovgivning, herunder GDPR og Databeskyttelsesloven.

Parterne anerkender, at EasyWeek er den Dataansvarlige for begrænsede kategorier af personoplysninger, som EasyWeek behandler til egne formål — for eksempel kontooplysninger tilhørende autoriserede brugere, faktureringsdata og brugstelemetre for Servicen. Denne behandling er reguleret af Privatlivspolitikken for Erhverv og ikke af denne DPA.

3. Emne, varighed, formål

Emnet, karakteren, formålet, varigheden, kategorierne af Personoplysninger og kategorierne af Registrerede er beskrevet i Bilag I.

DPA'en er gældende, så længe EasyWeek behandler Kundens Personoplysninger på vegne af Kunden, og overlever opsigelsen af Forretningsbetingelserne i det omfang, det er nødvendigt for at overholde Afsnit 13.

4. Kundens instrukser

Selve Servicen, den konfiguration, som Kunden foretager via Servicens brugergrænseflade og API, Forretningsbetingelserne og denne DPA udgør Kundens fuldstændige og endelige dokumenterede instrukser til EasyWeek vedrørende behandling af Kundens Personoplysninger. Eventuelle yderligere eller anderledes instrukser kræver skriftlig aftale og kan medføre yderligere gebyrer.

EasyWeek vil uden unødig forsinkelse underrette Kunden, hvis EasyWeek er af den opfattelse, at en instruks er i strid med GDPR eller en anden EU-retlig eller medlemsstatsretlig databeskyttelsesbestemmelse, og kan suspendere den omtvistede instruks, indtil Kunden har bekræftet denne skriftligt.

5. Fortrolighed

EasyWeek sikrer, at personale, der er autoriseret til at behandle Kundens Personoplysninger, har forpligtet sig til fortrolighed (eller er underlagt en tilsvarende lovbestemt fortrolighedspligt) og er bundet af adgangskontrol og princippet om mindst mulige rettigheder. Adgang til Kundens Personoplysninger er begrænset til personale, der har behov herfor for at drive eller forbedre Tjenesten.

6. Sikkerhed (TOB'er)

EasyWeek implementerer passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen, som angivet i Bilag II. EasyWeek kan opdatere sine TOB'er over tid, så længe beskyttelsesniveauet ikke reduceres.

7. Underbehandlere (Underdatabehandlere)

Kunden giver hermed EasyWeek en generel skriftlig bemyndigelse til at engagere Underdatabehandlere. Listen over godkendte Underdatabehandlere pr. datoen for denne DPA er angivet i Bilag III og vedligeholdes på /business/subprocessors.

EasyWeek vil give Kunden mindst tredive (30) dages forudgående varsel om enhver påtænkt tilføjelse eller erstatning af Underdatabehandlere via notifikationscentret i applikationen og, hvor Kunden har tilmeldt sig dette, per e-mail. Kunden kan gøre indsigelse på rimelig og dokumenteret databeskyttelsesmæssig grundlag inden for tredive (30) dage efter meddelelsen. Hvis parterne ikke kan opnå enighed om en løsning, kan Kunden opsige Vilkårene for Erhvervskunder for så vidt angår den del af Tjenesten, der kræver den omtvistede Underdatabehandler, med en forholdsmæssig tilbagebetaling af forudbetalte gebyrer for den resterende periode.

EasyWeek pålægger hver Underdatabehandler databeskyttelsesforpligtelser ved skriftlig kontrakt, der er mindst lige så beskyttende som dem, der er fastsat i denne DPA. EasyWeek forbliver fuldt ansvarlig over for Kunden for Underdatabehandlernes opfyldelse af deres forpligtelser.

8. Internationale overførsler

Kundens Personoplysninger behandles primært inden for Det Europæiske Økonomiske Samarbejdsområde. Hvor Kundens Personoplysninger overføres til et land uden for EØS uden en tilstrækkelighedsbeslutning fra Europa-Kommissionen, finder Standardkontraktbestemmelserne (SKB) anvendelse med følgende valg:

• Modul To (Dataansvarlig til Databehandler) er inkorporeret ved reference for overførsler fra Kunden (eller dennes EØS-dataansvarlige) til EasyWeek, hvor EasyWeek behandler Kundens Personoplysninger i et tredjeland.
• Modul Tre (Databehandler til Databehandler) er inkorporeret ved reference for videreoverførsler fra EasyWeek til Underbehandlere i et tredjeland.
• Klausul 7 (Tiltrædelsesklausul) er medtaget.
• Klausul 9(a) — Mulighed 2 (generel skriftlig bemyndigelse, 30 dages varsel) finder anvendelse.
• Klausul 11(a) — uafhængigt organ til tvistbilæggelse er ikke valgt.
• Klausul 17 — gældende ret er tysk ret.
• Klausul 18 — kompetente domstole er domstolene i Düsseldorf, Tyskland.
• Bilag I til SKB udfyldes ved reference til Bilag I i denne DPA.
• Bilag II til SKB udfyldes ved reference til Bilag II i denne DPA.
• Bilag III til SKB udfyldes ved reference til Bilag III i denne DPA.

En overførselskonsekvensanalyse, der opsummerer EasyWeeks vurdering af lovgivningen i destinationslandet samt eventuelle supplerende tekniske, kontraktmæssige eller organisatoriske foranstaltninger, er tilgængelig på anmodning via privacy@easyweek.io.

For overførsler til Det Forenede Kongerige finder UK International Data Transfer Addendum til SKB (udstedt af ICO og i kraft fra 21. marts 2022) anvendelse. For overførsler til Schweiz læses SKB med de substitutioner, der kræves af FDPIC.

9. Registreredes rettigheder (anmodninger fra registrerede)

Tjenesten stiller selvbetjeningsfunktioner til rådighed, der giver Kunden mulighed for at efterkomme anmodninger fra registrerede om indsigt, berigtigelse, sletning, begrænsning, dataportabilitet og indsigelse. Hvis en registreret henvender sig direkte til EasyWeek, videresender EasyWeek anmodningen til Kunden uden unødig forsinkelse og vil ikke besvare den registrerede ud over at bekræfte modtagelsen og viderestille anmodningen til Kunden.

EasyWeek bistår Kunden – under hensyntagen til behandlingens karakter – ved hjælp af passende tekniske og organisatoriske foranstaltninger med opfyldelsen af Kundens forpligtelse til at besvare anmodninger fra registrerede i henhold til GDPR art. 12-22.

10. Brud på persondatasikkerheden

EasyWeek vil underrette Kunden uden unødigt ophold og under alle omstændigheder inden for tooghalvfjerds (72) timer efter at være blevet opmærksom på et Brud på persondatasikkerheden, der berører Kundens Personoplysninger. Underretningen vil som minimum indeholde de oplysninger, der kræves i henhold til GDPR art. 33, stk. 3, i det omfang de er kendte: bruddets art, kategorier og det omtrentlige antal berørte Registrerede og registreringer, sandsynlige konsekvenser samt trufne eller påtænkte foranstaltninger.

EasyWeek vil træffe rimelige foranstaltninger for at inddæmme og afhjælpe Bruddet og for at forsyne Kunden med de oplysninger, der er nødvendige for, at Kunden kan opfylde sine egne underretningsforpligtelser over for sin Tilsynsmyndighed og over for de berørte Registrerede.

11. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring

EasyWeek vil yde Kunden rimelig bistand i forbindelse med enhver konsekvensanalyse vedrørende databeskyttelse eller forudgående høring, som Kunden er forpligtet til at gennemføre i henhold til GDPR og Databeskyttelsesloven art. 35 eller 36, i det omfang sådan bistand er rimeligt nødvendig, og oplysningerne er i EasyWeeks besiddelse.

12. Revision

EasyWeek stiller alle oplysninger til rådighed for Kunden, der er nødvendige for at dokumentere overholdelse af denne DPA, herunder:

• Ajourførte kopier af de mest relevante certificeringer og revisionsrapporter (såsom ISO 27001, hvor dette er tilgængeligt, samt SOC 2 type II-rapporter fra relevante Underbehandlere).
• Skriftlige svar på et rimeligt sikkerhedsspørgeskema, én gang pr. tolvmånedersperiode, vederlagsfrit.

Hvor ovenstående oplysninger ikke er tilstrækkelige, og Kunden af Datatilsynet (https://www.datatilsynet.dk/) er forpligtet til at gennemføre en fysisk revision, kan Kunden selv gennemføre eller bemyndige en uafhængig revisor til at gennemføre en revision for Kundens regning, med mindst tres (60) dages skriftligt varsel, inden for normal arbejdstid, højst én gang pr. tolvmånedersperiode (medmindre der har fundet et Brud på Persondatasikkerheden sted), under rimelige fortrolighedsforpligtelser og uden at forstyrre EasyWeeks forretningsdrift eller sikkerheden for andre kunder. Revisionens omfang er begrænset til verificering af EasyWeeks overholdelse af denne DPA.

13. Returnering og sletning

Inden for tredive (30) dage efter opsigelsen af forretningsbetingelserne kan Kunden eksportere Kundens Personoplysninger via de selvbetjeningseksportværktøjer, som Tjenesten stiller til rådighed. Efter denne tredives graceperiode vil EasyWeek slette eller anonymisere Kundens Personoplysninger inden for en rimelig frist og under alle omstændigheder inden for halvfems (90) dage, medmindre EasyWeek i henhold til EU-ret eller medlemsstatsret er forpligtet til at opbevare nogle af eller alle disse oplysninger (i hvilket tilfælde de opbevarede oplysninger fortsat er underlagt fortrolighedsforpligtelserne og sikkerhedsforpligtelserne i denne DPA).

Sikkerhedskopier, der indeholder Kundens Personoplysninger, overskrives løbende inden for den standardiserede opbevaringsperiode for sikkerhedskopier og forbliver underlagt denne DPA indtil udløbet heraf.

14. Ansvar og øvrige bestemmelser

Hver parts ansvar i henhold til eller i forbindelse med denne DPA er underlagt de ansvarsgrænser og -undtagelser, der er fastsat i Forretningsbetingelserne.

Denne DPA er en del af Forretningsbetingelserne. I tilfælde af konflikt mellem denne DPA og Forretningsbetingelserne med hensyn til behandling af Kundens Personoplysninger, har denne DPA forrang. I tilfælde af konflikt mellem denne DPA og Standardkontraktklausulerne, har Standardkontraktklausulerne forrang.

Denne DPA er underlagt lovgivningen i Forbundsrepublikken Tyskland. Domstolene i Düsseldorf, Tyskland, har eksklusiv jurisdiktion, uden at dette berører de registreredes ufravigelige retsbeskyttelse i henhold til deres sædvanlige opholdssted.

Bilag I – Beskrivelse af behandlingen

Genstand Den behandling, der er nødvendig for at levere EasyWeek Business-tjenesten til Kunden.

Varighed I løbet af gyldighedsperioden for Forretningsvilkårene og enhver opbevaringsperiode efter ophør, der er påkrævet for at opfylde Afsnit 13.

Behandlingens karakter og formål Hosting, lagring, genfinding, organisering, ændring, transmission, sletning, anonymisering, statistisk analyse og andre behandlingsoperationer, der er nødvendige for at levere onlinebookingsystem, styring af kunderelationer, økonomi og fakturering, marketingautomatisering, hjemmesidebygger, påmindelser og notifikationer, markedspladsannoncering, AI-assisterede funktioner og tilknyttede funktioner.

Kategorier af registrerede

• Kundens slutkunder og potentielle kunder
• Kundens medarbejdere, freelancere, underleverandører og andre autoriserede brugere
• Besøgende på Kundens onlinebookingsider og integrerede widgets
• Afsendere og modtagere af kommunikation, der formidles via Tjenesten

Kategorier af personoplysninger

• Identifikationsoplysninger (navn, foto, køn)
• Kontaktoplysninger (e-mail, telefon, adresse)
• Kontooplysninger for Kundens autoriserede brugere
• Bookings- og aftalehistorik
• Noter, filer, fotos og dokumenter uploadet af Kunden
• Loyalitetsprogramdata, gavekortbeholdninger, kundesegmenter
• Kommunikationsindhold (SMS, WhatsApp, e-mailindhold, push-notifikationsindhold, in-app-chat)
• Finansielle oplysninger (fakturaregistreringer, betalingsstatus, de sidste 4 cifre af betalingskort — fulde kortoplysninger behandles direkte af Stripe og opbevares ikke af EasyWeek)
• Tekniske oplysninger (IP-adresse, enhedsidentifikator, browser, sprog, tidsstempler)
• Hvor Kunden vælger at registrere dem: sundhedsrelaterede noter (i skønheds-, wellness-, medicinske eller tandlægesammenhænge). Kunden er ansvarlig for at sikre, at der foreligger et gyldigt retligt grundlag i henhold til GDPR art. 9, inden sådanne oplysninger registreres.

Overførselsfrekvens Kontinuerlig.

Opbevaring Kundens personoplysninger opbevares, så længe Kunden instruerer herom, og som nærmere beskrevet i Afsnit 13.

Bilag II – Tekniske og organisatoriske foranstaltninger

EasyWeek implementerer mindst følgende foranstaltninger, som kan opdateres fra tid til anden, forudsat at beskyttelsesniveauet ikke reduceres:

• Pseudonymisering og kryptering — TLS 1.3 for data under overførsel på offentlige netværk; AES-256 for data i hvile (databaselagring, objektlagring, sikkerhedskopier); lejerspecifikke krypteringsnøgler til følsomme felter, hvor det er relevant.
• Fortrolighed — rollebaseret adgangskontrol med mindste-privilegium-princippet, multifaktorgodkendelse krævet for al administrativ adgang, automatisk sessionstimeout, IP-baseret adgangskontrol for produktionssystemer, skriftlige fortrolighedsforpligtelser for alt personale.
• Integritet — ændringsstyring, kodegennemgang, automatiseret scanning af afhængigheder, signerede deploymentartefakter, integritetstjek af sikkerhedskopier.
• Tilgængelighed og robusthed — produktionshosting i Hetzners datacentre i Tyskland med redundant strøm og netværk, Kubernetes-orkestrering med automatisk gendannelse, daglige sikkerhedskopier med replikering på tværs af zoner, dokumenteret katastrofegendannelsesplan med årlige bordøvelser, statusside på status.easyweek.io.
• Gendannelse — opbevaring af sikkerhedskopier i tilstrækkeligt omfang til at genoprette tjenesten efter en fysisk eller teknisk hændelse; kvartalsvise gendannelsestest.
• Afprøvning og evaluering — årlig tredjepartsindtrængningstest af produktionsmiljøet, kontinuerlig statisk og dynamisk sikkerhedstest af applikationer i CI/CD, sårbarhedshåndteringsproces med definerede afhjælpnings-SLA'er.
• Netværkssegregering — produktions-, staging- og udviklingsmiljøer er logisk og fysisk adskilt; administrativ adgang kun via bastionværter.
• Logning og overvågning — centraliserede revisionslogfiler for autentificering, autorisering, konfigurationsændringer og dataudlæsningshændelser, opbevaret i mindst ét år; sikkerhedshændelsesovervågning med varsling ved anomalier.
• Sikker udvikling — SDLC med trusselmodellering, peer review, scanning for hemmeligheder, licensoverholdelse og OWASP-justerede kodningsstandarder.
• Leverandørstyring — skriftlige kontrakter med alle Underbehandlere, der pålægger tilsvarende forpligtelser; periodisk gennemgang.
• Personalets sikkerhed — baggrundstjek, hvor det er lovligt; sikkerhedsbevidsthed og databeskyttelsestræning ved ansættelse og herefter årligt.
• Hændelseshåndtering — 24/7 vagtrotation; dokumenteret hændelsesrespons-playbook; anmeldelse af brud inden for 72 timer i henhold til afsnit 10.
• Fysisk sikkerhed — fysisk adgang til behandlingsfaciliteter kontrolleres af den Underbehandler, der driver faciliteten (Hetzner, Google Cloud), under ISO 27001/SOC 2-certificerede kontroller.

Bilag III – Godkendte underbehandlere

Den aktuelle liste over EasyWeeks underbehandlere er offentliggjort og vedligeholdes på /business/subprocessors. Listen på denne URL er hermed inkorporeret ved reference i denne DPA og Bilag III.