Databehandleraftale

Sådan håndterer Alliance42 personoplysninger på dine vegne

Sidst opdateret: 8. april 2026

Dette er vores standard databehandleraftale. For din endelige underskrevne version, book en samtale med os, så vi kan tilpasse aftalen til din specifikke kontrakt med Alliance42.

Få din DPA

Indtast dit CVR og underskriverens oplysninger. Vi sender den udfyldte databehandleraftale til din e-mail, så du kan videresende den internt.

AFSNIT 1

Centrale begreber

Dataansvarlig er dig, vores kunde. Du bestemmer, hvilke personoplysninger der behandles gennem Alliance42s tjenester, og hvorfor.

Databehandler er os, Alliance42 ApS. Vi behandler kun personoplysninger efter dine instruktioner og til de formål, du har engageret os til.

Underdatabehandler er en leverandør, vi anvender til at levere en del af tjenesten. Vi angiver alle underdatabehandlere i afsnit 5, og samtlige er baseret i EU eller EØS, eller opererer under en EU-tilstrækkelighedsfgørelse.

Personoplysninger er enhver information vedrørende en identificeret eller identificerbar person, som defineret i GDPR artikel 4.

AFSNIT 2

Hvad vi behandler

Når du engagerer Alliance42 til managed cybersikkerhed, NIS2-compliance eller netværkstjenester, behandler vi følgende på dine vegne:

Kategorier af registrerede: dine medarbejdere, konsulenter og eventuelle slutbrugere omfattet af tjenesten.

Kategorier af personoplysninger: navne, arbejds-e-mailadresser, arbejdstelefonnumre, stillingsbetegnelser, enhedsidentifikatorer, IP-adresser, sikkerhedshændelseslogfiler, autentificeringsmetadata og data, som dine brugere genererer gennem de tjenester, vi driver for dig.

Formål: levering af managed detection and response, sårbarhedshåndtering, NIS2-compliancedokumentation, identitets- og adgangsstyring, sikkerhedsbevidsthedstræning, netværksdrift og øvrige tjenester dækket af din kontrakt med os.

Vi behandler kun data efter dine dokumenterede instruktioner. Det aftalte tjenesteomfang i din kontrakt fungerer som disse instruktioner.

AFSNIT 3

Hvor længe vi opbevarer data

Driftsdata (sikkerhedslogfiler, hændelsesdata, netværkstelemetri) opbevares i kontraktperioden plus 12 måneder til hændelsesundersøgelse og slettes derefter.

Kontodata (dine kontaktoplysninger, kontraktdokumenter, fakturaer) opbevares i kontraktperioden plus 5 år i overensstemmelse med Bogføringsloven.

Personoplysninger om dine slutbrugere slettes fra produktionssystemer inden for 30 dage efter kontraktophør og fjernes fuldstændigt fra alle backup-rotationer inden for 90 dage, eller returneres til dig i maskinlæsbart format efter anmodning.

Du kan til enhver tid anmode om sletning af en hvilken som helst datakategori, og vi vil efterkomme anmodningen inden for 30 dage, medmindre vi har en juridisk forpligtelse til at bevare data.

AFSNIT 4

Hvor dine data befinder sig

Alle personoplysninger, der behandles under denne databehandleraftale, opbevares og behandles udelukkende inden for Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde. Vi overfører ikke personoplysninger uden for EØS. Specifikt:

Al hostinginfrastruktur kører på Hetzner-datacentre i Tyskland.
Alle driftsværktøjer kører på europæisk-ejede tjenester (se afsnit 5).
Vi bruger ikke AWS, Google Cloud, Microsoft Azure eller nogen anden US-inkorporeret cloud-udbyder til databehandling.
Alliance42 ApS er en dansk virksomhed, registreret i Danmark (CVR 46047109), og er ikke underlagt den amerikanske CLOUD Act, FISA eller noget andet ekstraterritorialt retsgrundlag, der kunne tvinge udlevering af dine data.

Hvis vi nogensinde skulle få brug for en ikke-EU-underdatabehandler, ville vi opdatere denne databehandleraftale, underrette dig skriftligt mindst 30 dage i forvejen og give dig ret til at gøre indsigelse, før data overføres. Bemærk: Alliance42s hjemmeside bruger Plausible Analytics til cookiefri trafikmåling. Plausible er ikke en underdatabehandler under denne aftale, da der ikke behandles personoplysninger. Ingen cookies, ingen IP-opbevaring, ingen brugeridentifikation. Vi nævner det her udelukkende for gennemsigtighedens skyld.

AFSNIT 5

Underdatabehandlere

Vi anvender i øjeblikket følgende underdatabehandlere. Alle er EU-baserede, EU-hovedkvarterede eller opererer under en EU-tilstrækkelighedsfgørelse.

Navn	Lokation	Tjeneste	EU-status
Crisp	Frankrig	Live chat-widget på alliance42.eu til besøgende og kundesupport.	EU/EEA
Hetzner	Tyskland	Fysisk hostinginfrastruktur for alle Alliance42-systemer. Datacentre i Tyskland.	EU/EEA
n8n (self-hosted)	Tyskland (self-hosted på Hetzner)	Workflow-automatiseringsplatform, self-hosted på Hetzner-infrastruktur i Tyskland.	EU/EEA
Proton Mail	Schweiz	Krypteret e-mail til transaktionelle notifikationer.	Tilstrækkelighedsfgørelse
Supabase (self-hosted)	Tyskland (self-hosted på Hetzner)	Database- og autentificeringsplatform, self-hosted på Hetzner-infrastruktur i Tyskland.	EU/EEA
WithSecure	Finland	Endpoint-beskyttelsesmotor til A42-C og A42-CC managed cybersikkerhedstjenester.	EU/EEA

Crisp

Lokation: Frankrig

Tjeneste: Live chat-widget på alliance42.eu til besøgende og kundesupport.

EU-status: EU/EEA

Hetzner

Lokation: Tyskland

Tjeneste: Fysisk hostinginfrastruktur for alle Alliance42-systemer. Datacentre i Tyskland.

EU-status: EU/EEA

n8n (self-hosted)

Lokation: Tyskland (self-hosted på Hetzner)

Tjeneste: Workflow-automatiseringsplatform, self-hosted på Hetzner-infrastruktur i Tyskland.

EU-status: EU/EEA

Proton Mail

Lokation: Schweiz

Tjeneste: Krypteret e-mail til transaktionelle notifikationer.

EU-status: Tilstrækkelighedsfgørelse

Supabase (self-hosted)

Lokation: Tyskland (self-hosted på Hetzner)

Tjeneste: Database- og autentificeringsplatform, self-hosted på Hetzner-infrastruktur i Tyskland.

EU-status: EU/EEA

WithSecure

Lokation: Finland

Tjeneste: Endpoint-beskyttelsesmotor til A42-C og A42-CC managed cybersikkerhedstjenester.

EU-status: EU/EEA

Vi kan tilføje eller erstatte underdatabehandlere. Når vi gør det, opdaterer vi denne side og underretter kunder med mindst 30 dages varsel. Du har ret til at gøre indsigelse mod enhver ny underdatabehandler.

AFSNIT 6

Sådan beskytter vi dine data

Vi implementerer tekniske og organisatoriske foranstaltninger, der er passende i forhold til risikoen:

Kryptering: Alle data i transit krypteres via TLS 1.3 eller nyere. Data i hvile krypteres på lagringslaget.

Adgangskontrol: Kun autoriseret Alliance42-personale har adgang til kundedata. Vi håndhæver multifaktorautentificering, princippet om mindste privilegium og revisionslogfiler for al adgang til produktionssystemer.

Fortrolighed: Alt Alliance42-personale er bundet af fortrolighedsforpligtelser, der fortsat gælder efter engagementets ophør.

Alliance42 anvender NIS2 artikel 21-rammeværket internt med samme grundighed, som vi hjælper vores kunder med at implementere. Dokumentation vedligeholdes proportionalt med vores størrelse.

Backup og gendannelse: Daglige krypterede backups, opbevaret i 30 dage, med dokumenterede gendannelsesprocedurer.

Hændelsesrespons: Dokumenteret hændelsesresponsplan, testet to gange årligt via skrivebordsøvelser.

AFSNIT 7

Dine rettigheder som dataansvarlig

Instruer os. Du kan give dokumenterede instruktioner om, hvordan vi behandler personoplysninger, ud over hvad der allerede fremgår af din serviceaftale.

Revidér os. Du kan anmode om oplysninger om vores behandlingsaktiviteter, vores sikkerhedsforanstaltninger og vores underdatabehandlerarrangementer. Ved større engagementer kan du anmode om en fysisk revision med rimeligt varsel.

Bistand til registrerede. Når en af dine brugere udøver sine GDPR-rettigheder (indsigt, berigtigelse, sletning, dataportabilitet, indsigelse, begrænsning), kan du anmode om vores bistand. Vi svarer inden for 7 arbejdsdage.

Indsigelse mod underdatabehandler. Hvis vi foreslår at tilføje eller erstatte en underdatabehandler, har du 30 dage til at gøre indsigelse. Hvis vi ikke kan løse indsigelsen, kan du opsige de berørte tjenester uden bod.

AFSNIT 8

Vores forpligtelser som databehandler (GDPR artikel 28, stk. 3)

a. Behandling kun efter dine instruktioner. Vi behandler ikke personoplysninger til andre formål end levering af de aftalte tjenester.

b. Fortrolighed. Alt personale med adgang til dine data er bundet af skriftlige fortrolighedsforpligtelser.

c. Sikkerhed. Vi implementerer og vedligeholder de tekniske og organisatoriske foranstaltninger angivet i afsnit 6.

d. Underdatabehandlerhåndtering. Vi engagerer kun underdatabehandlere med din forudgående generelle autorisation (denne databehandleraftale tjener som den autorisation), og vi pålægger dem samme databeskyttelsesforpligtelser, som vi har over for dig.

e. Den registreredes rettigheder. Vi bistår dig med at besvare anmodninger fra registrerede under hensyntagen til behandlingens art.

f. Sikkerheds- og brudstøtte. Vi bistår dig med at opfylde dine forpligtelser i henhold til GDPR artikel 32 til 36, herunder brudnotifikation, konsekvensanalyser vedrørende databeskyttelse og forudgående høringer hos tilsynsmyndigheder.

g. Sletning eller returnering. Ved serviceaftalens ophør sletter eller returnerer vi alle personoplysninger efter dit valg, medmindre EU- eller dansk lovgivning kræver fortsat opbevaring.

h. Revisionssamarbejde. Vi stiller alle nødvendige oplysninger til rådighed for at dokumentere overholdelse af disse forpligtelser og tillader og bidrager til revisioner.

AFSNIT 9

Brudnotifikation

Hvis vi bliver opmærksomme på et brud på personoplysningssikkerheden, der berører dine data, underretter vi dig uden unødig forsinkelse og under alle omstændigheder inden for 24 timer efter, vi er blevet opmærksomme på bruddet. Vores underretning vil indeholde:

Bruddets art
Kategorierne og det omtrentlige antal berørte registrerede
Kategorierne og det omtrentlige antal berørte personoplysningsposter
De sandsynlige konsekvenser af bruddet
De foranstaltninger, vi træffer eller foreslår for at håndtere bruddet

Du er fortsat ansvarlig for eventuelle underretninger til tilsynsmyndigheder og berørte registrerede i henhold til GDPR artikel 33 og 34. Vi leverer alle nødvendige oplysninger til at understøtte disse underretninger.

AFSNIT 10

Dataportabilitet og sletning

Eksport: Du kan til enhver tid anmode om en komplet eksport af alle personoplysninger, vi behandler på dine vegne, i et struktureret, almindeligt anvendt, maskinlæsbart format (JSON eller CSV som standard). Vi leverer eksporten inden for 14 dage.

Sletning: Du kan anmode om sletning af alle eller dele af personoplysningerne. Vi sletter fra produktionssystemer inden for 30 dage, medmindre vi er juridisk forpligtet til at bevare data. Backups, der indeholder data, fjernes fuldstændigt i den normale backup-rotationscyklus inden for 90 dage, hvorefter ingen kopier eksisterer.

Ved kontraktens ophør vil vi, efter dit valg, enten returnere alle personoplysninger til dig eller slette dem. Som standard, hvis du ikke træffer et valg inden for 30 dage efter kontraktophør, sletter vi.

AFSNIT 11

Lovvalg og tvister

Denne databehandleraftale er underlagt dansk ret. Eventuelle tvister, der opstår i henhold til denne aftale, afgøres udelukkende ved de danske domstole.

AFSNIT 12

Kontakt

Har du spørgsmål til denne databehandleraftale, eller ønsker du at udøve dine rettigheder som dataansvarlig? Kontakt os:

Alliance42 ApS
CVR 46047109
tobias@alliance42.eu
+45 42 80 25 42

Dette er vores standard databehandleraftale, skrevet på letforståeligt dansk. Den udfyldte version kan hentes via generatoren ovenfor. For din endelige underskrevne version, book en samtale med os, så vi kan tilpasse aftalen til din specifikke kontrakt med Alliance42.