Databehandleraftale
Senest opdateret: 8. juli 2026
Denne Databehandleraftale (“DPA” eller “Aftalen”) er indgået mellem Klara (“Databehandleren”) og den kunde, der opretter en konto og accepterer Klaras Vilkår (“Dataansvarlig” eller “Kunden”). Aftalen udgør en integreret del af aftalegrundlaget og er gyldig fra det tidspunkt, Kunden accepterer Klaras Vilkår.
1. Formål og omfang
Denne Databehandleraftale regulerer den behandling af personoplysninger, som Databehandleren foretager på vegne af den Dataansvarlige i forbindelse med levering af Klara-tjenesten, jf. de til enhver tid gældende Forretningsbetingelser.
Aftalen skal sikre, at behandlingen lever op til kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (“GDPR”), herunder særligt artikel 28.
2. Instruks og varighed
Databehandleren behandler udelukkende personoplysninger efter dokumenteret instruks fra den Dataansvarlige. Kundens konfiguration af widgetten og dashboardet udgør den fulde og gyldige instruks for behandlingen.
Aftalen løber, indtil hovedaftalen ophører, eller indtil Kunden sletter sin konto.
3. Den Dataansvarliges forpligtelser
Den Dataansvarlige garanterer, at der foreligger et lovligt behandlingsgrundlag, herunder eventuelt udtrykkeligt samtykke til behandling af følsomme oplysninger som helbredsdata, inden data sendes gennem Klara-widgetten.
Den Dataansvarlige bærer det fulde ansvar for, hvilke data der indsamles via widgetten, og for at sikre, at de besøgende modtager den nødvendige information om behandlingen.
Databehandleren foretager ingen juridisk eller indholdsmæssig kontrol af de data, som den Dataansvarlige eller dennes besøgende indtaster. Skulle en besøgende indtaste utilsigtede følsomme oplysninger, fritages Databehandleren for ethvert ansvar herfor. Klara kan ikke holdes ansvarlig for bøder udstedt til den Dataansvarlige af Datatilsynet eller domstolene som følge af manglende behandlingsgrundlag eller ulovlig brug af widgetten.
4. Behandlingens karakter og omfang
Databehandleren behandler personoplysninger med det formål at levere bookingfunktioner, chatdialog, aflysnings- og ombookingshåndtering samt transaktionelle notifikationer.
De kategorier af registrerede og oplysninger, der behandles, er:
- Registrerede: Kundens klienter, patienter og hjemmesidebesøgende
- Oplysningstyper: Navn, e-mailadresse, telefonnummer, bookingoplysninger, chatbeskeder samt eventuelle oplysninger, den besøgende selv vælger at dele
5. Sikkerhed og assistance
Databehandleren implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger jf. GDPR artikel 32. Se vores Sikkerhedsside for en beskrivelse af de konkrete foranstaltninger.
Hvis en slutbruger (klient) fremsætter en anmodning om indsigt, berigtigelse eller sletning direkte til Databehandleren, videresender Databehandleren anmodningen til den Dataansvarlige uden unødig forsinkelse.
Såfremt den Dataansvarlige anmoder Databehandleren om assistance til audit, dokumentation eller besvarelse af registreredes rettigheder ud over det, der følger af denne Aftale, forbeholder Databehandleren sig retten til at fakturere den Dataansvarlige herfor efter medgået tid baseret på Klaras gældende konsulenttakster.
6. Underdatabehandlere
Den Dataansvarlige meddeler hermed generel godkendelse til, at Databehandleren anvender underdatabehandlere. De aktuelle godkendte underdatabehandlere er:
- Supabase (database og login – Frankfurt, Tyskland)
- Vercel (hosting og infrastruktur – Stockholm, Sverige)
- Anthropic (AI-behandling – USA / EU-US Data Privacy Framework og SCC’er)
- Resend (transaktionsmails – Irland)
- Sentry (fejlovervågning – Frankfurt, Tyskland)
- Stripe (betalingshåndtering – Irland)
Databehandleren adviserer den Dataansvarlige om ændringer i underdatabehandlere via e-mail eller dashboardet med mindst 14 dages varsel. Gør Kunden ikke skriftlig indsigelse inden fristens udløb, betragtes ændringen som godkendt.
Alle underdatabehandlere er pålagt de samme databeskyttelsesforpligtelser som fastsat i denne Aftale.
7. Overførsel til tredjelande
Overførsel af personoplysninger til tredjelande sker alene på grundlag af et gyldigt overførselsgrundlag efter GDPR kapitel V, herunder EU-Kommissionens standardkontraktbestemmelser (SCC’er) og EU-US Data Privacy Framework, hvor relevant.
8. Sikkerhedsbrud
I tilfælde af et konstateret sikkerhedsbrud, der involverer personoplysninger behandlet på vegne af den Dataansvarlige, underretter Databehandleren den Dataansvarlige uden unødig forsinkelse og senest inden for 24 timer efter konstatering. Underretningen indeholder de oplysninger, der er nødvendige for at den Dataansvarlige kan overholde sin eventuelle anmeldelsespligt over for Datatilsynet.
9. Ansvarsbegrænsning
Databehandlerens samlede økonomiske og juridiske ansvar under denne Databehandleraftale er underlagt de samme ansvarsbegrænsninger og beløbsmæssige lofter, som er defineret i Klaras Forretningsbetingelser, punkt 6.
Databehandleren kan under ingen omstændigheder gøres erstatningsansvarlig for bøder eller sanktioner udstedt til den Dataansvarlige som følge af den Dataansvarliges manglende overholdelse af databeskyttelseslovgivningen.
10. Ophør og sletning
Ved ophør af kundeforholdet sletter eller anonymiserer Databehandleren alle personoplysninger inden for 90 dage, medmindre anden lovgivning, herunder bogføringsloven, kræver fortsat opbevaring. Kunden kan anmode om en kopi af sine data inden sletning.
11. Kontakt
Spørgsmål til denne Databehandleraftale: hej@hejklara.dk.