Forskellighed

Databehandleraftale

Sidst opdateret: 10-05-2026

Denne aftale gælder mellem Forskellighed (databehandler) og den virksomhed, der via tilmeldingsformularen på tilmeld.forskellighed.dk sender personoplysninger om en medarbejder til behandling i et outplacement-forløb (dataansvarlig). Aftalen accepteres ved at sætte hak i feltet "Jeg bekræfter på vegne af firmaet at have læst og accepteret databehandleraftalen" inden indsendelse.

Aftalen følger strukturen i Europa-Kommissionens standardkontraktbestemmelser for behandling af personoplysninger (Beslutning 2021/915, GDPR art. 28, stk. 7).

Parterne

Den dataansvarlige

Den virksomhed (identificeret ved firmanavn og CVR-nummer), der ved indsendelse af tilmeldingen accepterer denne aftale.

Databehandleren

Forskellighed v/ Torben Tronborg
CVR-nummer: 46031741
E-mail: kontakt@forskellighed.dk

1. Formål og omfang

1.1. Aftalen fastlægger Databehandlerens rettigheder og forpligtelser, når denne behandler personoplysninger på vegne af Den dataansvarlige.

1.2. Aftalen er indgået med henblik på at sikre Parternes overholdelse af artikel 28, stk. 3, i GDPR samt databeskyttelsesloven.

1.3. I tilfælde af modstrid mellem bestemmelserne i Aftalen og bestemmelserne i andre aftaler mellem Parterne har Aftalen forrang for så vidt angår behandlingen af personoplysninger.

2. Den dataansvarliges forpligtelser

2.1. Den dataansvarlige er ansvarlig for, at behandlingen af personoplysninger sker i overensstemmelse med GDPR, databeskyttelsesloven og andre relevante regler.

2.2. Den dataansvarlige har ret og pligt til at træffe beslutninger om, til hvilke formål og med hvilke hjælpemidler personoplysningerne må behandles.

2.3. Den dataansvarlige skal forud for indsendelse af personoplysninger sikre, at den registrerede medarbejder har modtaget den oplysning, der følger af GDPR art. 13 og 14. Forskellighed stiller en standardtekst til rådighed på forskellighed.dk/information-til-tilmeldte-medarbejdere, som Den dataansvarlige kan videresende til medarbejderen.

3. Databehandleren handler efter instruks

3.1. Databehandleren må kun behandle personoplysninger efter dokumenteret instruks fra Den dataansvarlige.

3.2. Aftalen og dens indsendte data udgør Den dataansvarliges instruks. Yderligere instrukser skal afgives skriftligt (e-mail accepteres som skriftlig form).

3.3. Databehandleren underretter omgående Den dataansvarlige, hvis en instruks efter Databehandlerens vurdering er i strid med GDPR eller anden databeskyttelseslovgivning.

4. Fortrolighed

4.1. Databehandleren sikrer, at de personer, som er autoriseret til at behandle personoplysninger, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.

4.2. Adgangen til personoplysningerne begrænses til de personer, der har behov for adgangen for at kunne opfylde Databehandlerens forpligtelser efter Aftalen.

5. Behandlingssikkerhed

5.1. Databehandleren iværksætter passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau jf. GDPR art. 32.

5.2. De konkrete sikkerhedsforanstaltninger er beskrevet i afsnittet "Sikkerhedsforanstaltninger" nedenfor.

5.3. Databehandleren bistår Den dataansvarlige med at besvare anmodninger fra de registrerede.

6. Underdatabehandlere

6.1. Databehandleren anvender underdatabehandlere til behandlingen. De aktuelle underdatabehandlere fremgår nedenfor. Den dataansvarlige har ved Aftalens indgåelse givet generel godkendelse hertil.

6.2. Databehandleren underretter Den dataansvarlige skriftligt mindst 30 dage før eventuelle ændringer i sammensætningen af underdatabehandlere. Den dataansvarlige kan inden for denne frist gøre indsigelse.

6.3. Databehandleren indgår skriftlig aftale med enhver underdatabehandler, der pålægger samme databeskyttelsesforpligtelser som dem, der følger af Aftalen.

7. Overførsel til tredjelande

7.1. Behandlingen af personoplysninger finder sted inden for EU/EØS.

7.2. Underdatabehandleren GitHub Inc. er etableret i USA. Overførsel sker på grundlag af EU-Kommissionens standardkontraktbestemmelser (SCC), 2021/914. GitHub modtager udelukkende kildekode og driftsdata, ikke personoplysninger om de registrerede medarbejdere.

8. Underretning om brud

8.1. Databehandleren underretter Den dataansvarlige om brud på persondatasikkerheden uden unødig forsinkelse, og senest 24 timer efter at Databehandleren er blevet bekendt med bruddet.

8.2. Underretningen indeholder som minimum karakteren af bruddet, sandsynlige konsekvenser, foranstaltninger truffet eller foreslået, og kontaktoplysninger.

9. Sletning og tilbagelevering

9.1. Personoplysninger om medarbejderen slettes automatisk 24 måneder efter medarbejderens fritstillingsdato, medmindre andet skriftligt aftales.

9.2. Anmoder Den dataansvarlige om sletning eller tilbagelevering før denne dato, gennemføres dette inden 30 dage og bekræftes skriftligt.

10. Tilsyn og audit

10.1. Databehandleren stiller alle oplysninger, der er nødvendige for at påvise overholdelse af Aftalen, til rådighed for Den dataansvarlige.

10.2. Den dataansvarlige har ret til at gennemføre audit én gang om året med rimelig varsel og under hensyntagen til Databehandlerens drift. Den dataansvarlige bærer egne omkostninger ved audit.

11. Aftalens varighed og ophør

11.1. Aftalen træder i kraft ved Den dataansvarliges accept af Aftalen via tilmeldingsformularen og er gældende, så længe Databehandleren behandler personoplysninger på vegne af Den dataansvarlige.

11.2. Hver Part kan opsige Aftalen med 30 dages skriftligt varsel. Aftalen kan dog ikke opsiges, så længe Databehandleren behandler personoplysninger på vegne af Den dataansvarlige.

12. Slutbestemmelser

12.1. Aftalen er underlagt dansk ret. Tvister afgøres ved Københavns Byret.

Beskrivelse af behandlingen

Formål

Modtagelse, opbevaring og håndtering af personoplysninger med henblik på at gennemføre et outplacement-forløb for en medarbejder, som Den dataansvarlige har opsagt eller fritstillet.

Type af personoplysninger

  • Identifikationsoplysninger: fornavn, efternavn
  • Kontaktoplysninger: e-mail, mobil
  • Beskæftigelsesoplysninger: stilling, anciennitet, fritstillingsdato
  • Forløbsoplysninger: ønsket forløb
  • Bemærkninger: fritekstfelt med Den dataansvarliges supplerende oplysninger
  • Kontaktoplysninger på Den dataansvarliges medarbejder: navn, e-mail, telefon
  • Firmaoplysninger til fakturering: firmanavn, CVR, fakturerings-email, eventuelt EAN

Særlige kategorier (GDPR art. 9): Indsamles ikke.

CPR-nummer: Indsamles ikke. Indtastes CPR-nummer ved en fejl i fritekstfelter, fjernes det automatisk inden lagring.

Kategorier af registrerede

  • Den opsagte medarbejder (primær registreret)
  • Den dataansvarliges kontaktperson (sekundær — kun erhvervsmæssige kontaktdata)

Underdatabehandlere

  • Hetzner Online GmbH (Nürnberg, Tyskland) — hosting af webserver og database
  • Microsoft Ireland Operations Limited (Microsoft 365, EU-datacenter) — e-mail og dokumenthåndtering
  • Brevo SAS (Frankrig) — SMTP-transport for notifikations-e-mails (modtager kun reference-id og firmanavn, ikke personoplysninger om medarbejderen)
  • GitHub Inc. (USA, overførsel på grundlag af EU-Kommissionens SCC 2021/914) — hosting af kildekode og deployment-pipeline (modtager ikke personoplysninger om de registrerede)

Sikkerhedsforanstaltninger

Adgangskontrol

  • Administrativ adgang til lagrede tilmeldinger sker via login-side. Adgangskoden opbevares som scrypt-hash, ikke i klartekst
  • Sessioner er HMAC-signerede, gyldige i otte timer, og leveres via httpOnly + Secure + SameSite=Strict cookies
  • Maks. fem fejlede loginforsøg per IP-adresse per 15 minutter
  • Server-adgang (SSH) sker udelukkende via offentlig nøgle-autentifikation
  • Audit-log registrerer alle login-forsøg, al administrativ adgang og alle indsendte tilmeldinger — uden at logge selve personoplysningerne

Kryptering

  • Kryptering i transit: TLS 1.2 eller højere (HSTS preload)
  • Kryptering på feltniveau: anciennitet, fritstillingsdato og bemærkninger krypteres med AES-256-GCM inden lagring; krypteringsnøgler opbevares uden for databasen
  • Backup: krypteret backup til Hetzner Storage Box i separat fysisk lokation, samme region

Bot- og misbrugsbeskyttelse

  • Honeypot-felt på indsendelser
  • Hastighedsbegrænsning per IP-adresse (10 indsendelser/time)
  • Hastighedsbegrænsning på admin-login (5 fejlede forsøg per IP per 15 minutter)
  • Origin/Referer-validering på alle POST-anmodninger
  • CPR-numre fjernes automatisk fra fritekstfelter inden lagring

Sletning

  • Personoplysninger slettes automatisk 24 måneder efter medarbejderens fritstillingsdato
  • Anmodning om sletning fra den registrerede behandles inden for 30 dage og bekræftes skriftligt
  • Sletning omfatter både primær lagring, backup og notifikations-mails

Kontakt

Spørgsmål til denne aftale eller til behandlingen af personoplysninger kan rettes til tilmelding@forskellighed.dk.