Databehandleraftale

Dataansvarlig: Kunden, dvs. den virksomhed eller offentlige myndighed der har oprettet et abonnement på mineudbud.dk og indtaster sine medarbejderes oplysninger i tjenesten.

Databehandler: MFS Production, CVR 41755237, herefter "mineudbud.dk".

• Genstand: Databehandling af kundens medarbejderes persondata med det formål at levere mineudbud.dk-tjenesten (AI-filtreret udbuds-overvågning, dashboard, daglig mail, AI-chat, notater m.v.).
• Varighed: Så længe abonnementet er aktivt, samt 90 dage efter opsigelse hvor kunden kan eksportere sine data (se afsnit 9).
• Art: Opbevaring, fremfinding, søgning, AI-baseret klassifikation, mail-afsendelse, betalingshåndtering.
• Formål: Levering af den abonnerede tjeneste til kunden. Mineudbud.dk behandler aldrig persondata til egne formål (fx markedsføring overfor tredjepart, salg af data, eller træning af egne AI-modeller).

Kategorier af registrerede:

• Kundens egne medarbejdere som har oprettet bruger-konti
• Kundens kontaktpersoner i kommunikation med support

Kategorier af persondata:

• Identifikationsoplysninger: e-mailadresse, navn (hvis opgivet)
• Virksomhedsdata: CVR-nummer, firmanavn, adresse, branchekode
• Brugsmønster: login-tidspunkter, søgehistorik, klikket-på-udbud
• Bruger-genereret indhold: agent-definitioner (fritekst om hvad I sælger), notater per udbud, watchlist-entries (leverandører/ordregivere I følger), chat-historik med AI
• Tekniske data: IP-adresse (kun til abuse-detection), browser-type, device-info

Særlige kategorier af persondata (følsomme): Behandles ikke. Kunden må ikke indtaste følsomme oplysninger (helbredsdata, religiøs overbevisning m.v.) i agent-prompts, notater eller AI-chat.

mineudbud.dk behandler kundens persondata kun efter dokumenterede instrukser fra kunden. De fundamentale instrukser fremgår af Handels- og licensbetingelserne samt af kundens aktive brug af tjenesten (fx hvilke agenter og watchlist-entries de opretter). Yderligere instrukser kan gives skriftligt til hej@mineudbud.dk.

mineudbud.dk informerer kunden hvis en instruks efter mineudbud.dk's opfattelse strider mod GDPR eller anden gældende databeskyttelseslovgivning.

mineudbud.dk sikrer at personer der har adgang til kundens persondata (i praksis: indehaveren af MFS Production samt eventuelle fremtidige medarbejdere) er pålagt fortrolighedsforpligtelse — enten via lovgivning eller skriftlig aftale. Adgang gives kun til personer der har behov for adgang for at udføre deres opgaver.

mineudbud.dk har implementeret følgende tekniske og organisatoriske foranstaltninger:

• Kryptering under transport: Alle forbindelser sker via HTTPS (TLS 1.2+).
• Kryptering i hvile: Database (Neon Postgres) krypterer data på disk via AWS KMS.
• Adgangskontrol: Passwordless magic-link-login. Vi opbevarer ikke kunders adgangskoder. Sessions er tidsbegrænsede.
• Rate-limiting: Alle AI-endpoints og kritiske handlinger er throttlet pr. bruger pr. dag.
• Logs: Adgangs- og fejllogs opbevares i 90 dage til fejl-diagnostik og abuse-detection, hvorefter de slettes.
• Backup: Database backup'es dagligt af Neon med 7 dages point-in-time-recovery.
• Pseudonymisering: E-mailadresser maskes i logs hvor muligt.
• Opdateringer: Sikkerhedsopdateringer på platformens dependencies udrulles minimum månedligt, kritiske patches inden for 7 dage.
• Hosting: Platformen kører på Vercel (Frankfurt-region) og Neon (AWS eu-central-1), begge inden for EU. Kun AI-data sendes uden for EU (se afsnit 8).

Kunden giver ved aftalens indgåelse generel forhåndsgodkendelse til mineudbud.dk's brug af underdatabehandlere. mineudbud.dk pålægger underdatabehandlere de samme databeskyttelsesforpligtelser som fremgår af denne DPA via skriftlige aftaler.

Aktuelle underdatabehandlere:

Ændringer: mineudbud.dk informerer kunden via e-mail eller på denne side mindst 30 dage før en ny underdatabehandler tages i brug eller udskiftes. Kunden kan inden 30 dage gøre indsigelse, og hvis indsigelsen er saglig og parterne ikke kan finde en rimelig løsning, kan kunden opsige abonnementet uden gebyr og få forholdsmæssig refusion af forudbetalt periode.

Som angivet i afsnit 7 anvendes flere underdatabehandlere med hovedsæde i USA. For disse gælder, at:

• Anthropic, Stripe, Resend, Vercel, Neon og Google er alle certificeret under EU-US Data Privacy Framework (DPF). DPF-certificering udgør et gyldigt overførselsgrundlag efter GDPR artikel 45.
• Som supplerende sikkerhedsforanstaltning anvender vi tillige Standard Contractual Clauses (SCCs) via de respektive leverandørers offentlige DPA'er.
• For Vercel og Neon befinder data sig fysisk i EU (Frankfurt / Stockholm / Dublin), men selskaberne er USA-baserede.

Ved aftalens ophør (uanset årsag):

• Kundens data forbliver tilgængelig i 90 dage til eksport. Kunden kan kontakte os på hej@mineudbud.dk for at få en eksport leveret som JSON eller CSV.
• Efter 90 dage slettes alle kundens persondata permanent fra produktions-databaser. Backup-kopier overskrives indenfor yderligere 30 dage.
• Kunden kan til enhver tid anmode om øjeblikkelig sletning ved at slette sin konto via dashboard'et eller skrive til support.

Hvis en af kundens medarbejdere udøver sine rettigheder efter GDPR (indsigt, berigtigelse, sletning, dataportabilitet, indsigelse mod behandling, begrænsning) overfor kunden, bistår mineudbud.dk i nødvendigt omfang. Henvendelser om sletning og eksport kan håndteres direkte i dashboard'et af brugeren selv.

Hvis mineudbud.dk bliver opmærksom på et persondatabrud der vedrører kundens data, underretter vi kunden uden unødigt ophold og senest 72 timer efter vi er blevet bekendt med bruddet. Underretningen indeholder:

• Beskrivelse af bruddet, herunder kategorier og omtrentligt antal berørte
• Sandsynlige konsekvenser af bruddet
• Foranstaltninger der er truffet eller foreslås truffet for at afbøde virkningerne
• Navn og kontaktoplysninger på kontaktperson hos mineudbud.dk

Kunden er selv ansvarlig for at indberette bruddet til Datatilsynet, hvor relevant.

mineudbud.dk stiller rimelige oplysninger til rådighed til at dokumentere overholdelse af denne aftale. Kunden kan en gang årligt anmode om en skriftlig redegørelse for sikkerhedsforanstaltninger og overholdelse via hej@mineudbud.dk.

Fysiske on-site-audits er kun relevante for større kunder med dokumenteret saglig grund og aftales særskilt. Omkostninger til audit afholdes af kunden, medmindre auditen påviser væsentlige overtrædelser fra mineudbud.dk's side.

Ansvar mellem parterne reguleres af Handels- og licensbetingelsernes afsnit 11 (Erstatningsbegrænsning og frist for krav). Erstatningsbegrænsningen gælder også for krav vedrørende databeskyttelse, dog således at ufravigelig lovgivning (herunder GDPR's erstatningsregler i Art 82) går forud.

Denne databehandleraftale er underlagt dansk ret. Tvister afgøres ved Retten i Vejle som første instans.

Spørgsmål til denne aftale eller databehandling generelt:
MFS Production
CVR 41755237
E-mail: hej@mineudbud.dk

Tilsynsmyndighed: Datatilsynet, Carl Jacobsens Vej 35, 2500 Valby, datatilsynet.dk.